Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Übersicht über die Anordnung von Richtlinien

Standardmäßig werden neue Richtlinien an das Ende einer Richtlinien-Suchliste gesetzt. Daher ist es möglich, dass eine Richtlinie eine andere Richtlinie in den Schatten stellt oder überschattet. Die Reihenfolge der konfigurierten Richtlinien ist entscheidend für die Art und Weise, wie das Gerät den Datenverkehr verarbeitet. Die Richtliniensuche erfolgt in der Reihenfolge, in der die Richtlinien konfiguriert wurden. Die erste Richtlinie, die dem Datenverkehr entspricht, wird verwendet. Wenn eine bestimmte Richtlinie nach einer allgemeinen Richtlinie aufgeführt wird, ist es sehr wahrscheinlich, dass die spezifische Richtlinie nicht verwendet wird.

Wenn Sie z. B. zwei Richtlinien für dieselbe Quellzone, Zielzone, Quell-IP-Adresse und Ziel-IP-Adresse konfiguriert haben, aber eine Richtlinie über "Permit-All" und eine über "Permit-Mail" verfügt, wird die Richtlinie mit "Permit-Mail" nie abgeglichen, wenn sie nach der Richtlinie mit "Allow-All" aufgeführt wird.

Da Richtlinien in der Reihenfolge ihres Auftretens ausgeführt werden, müssen Sie Folgendes beachten:

  • Die Reihenfolge der Richtlinien ist wichtig.

  • Neu erstellte Richtlinien werden an das Ende der Richtlinienliste gesetzt.

  • Sie können die Reihenfolge der Richtlinien ändern.

  • Die letzte Richtlinie in der Richtlinienliste ist die Standardrichtlinie, die standardmäßig die gesamte Aktion zum Verweigern des gesamten Datenverkehrs hat.

Neuanordnen einer Richtlinie

Sie können die Überschattung von Richtlinien korrigieren, indem Sie einfach die Reihenfolge der Richtlinien umkehren und die spezifischere Richtlinie an die erste Stelle setzen.

Anmerkung:

Die Reihenfolge von Richtlinien ist in VPN-Umgebungen (Virtual Private Networks) äußerst wichtig. Durch das Auflisten einer VPN- oder Verschlüsselungsrichtlinie wird zuerst sichergestellt, dass der VPN-Datenverkehr die Verschlüsselungsrichtlinie und nicht eine allgemeine Genehmigungsrichtlinie erreicht.

Die S.-Nr. (Sequenznummer) auf der Seite "Zonenrichtlinie" können Sie die Richtlinien neu anordnen:

  • Verwenden Sie die S.-Nr. , um eine Zahl einzugeben, um die Richtlinienreihenfolge zu ändern.

  • Ziehen Sie eine ausgewählte Richtlinie per Drag & Drop von einem Ort an einen anderen.

Die Sequenznummer ändert sich, wenn Sie die Richtlinie ziehen oder manuell eine neue Sequenznummer eingeben. Die Sequenznummern aller Richtlinien unterhalb der neu verschobenen Richtlinie ändern sich ebenfalls.

Anmerkung:

Die Drag & Drop-Funktion ist deaktiviert, wenn Sie die Richtlinienliste gefiltert haben.

Rangfolge für Richtlinienübereinstimmungen

Bei Richtlinienübereinstimmungen ist es wichtig zu verstehen, wie die Firewall Richtlinien auswertet. Juniper nennt einen Sicherheitsrichtlinienkontext die Richtlinie, die sich innerhalb desselben Quell-Ziel-Zonenpaars befindet. Beispielsweise befinden sich alle Richtlinien innerhalb der Quellzonenvertrauensstellung und der Zielzonen-Nichtvertrauenswürdigkeit im selben Kontext. Abbildung 1 zeigt die Reihenfolge, in der Richtlinien nachgeschlagen werden.

Abbildung 1: Richtliniensuche Flowchart illustrating network traffic handling: Incoming traffic checks match criteria, applies intrazone, interzone, global, and default policies, then stops lookup.

In Bezug auf den Kontext unterstützen Geräte der SRX-Serie die folgende Rangfolge:

  1. Übereinstimmung mit zoneninternen Richtlinien: Das erste Paket in einer unbekannten Sitzung wird ausgewertet, um festzustellen, ob die Quell- und Zielzone identisch sind. Dies tritt auf, wenn sich sowohl die Eingangs- als auch die Ausgangsschnittstelle in derselben Zone befinden. Diese Kontextübereinstimmung hat die höchste Priorität und wird zuerst abgeglichen.

  2. Übereinstimmung mit zonenübergreifenden Richtlinien: Wenn die Sitzung nicht mit einem innerzoneninternen Kontext oder einer Richtlinie übereinstimmt, gilt die nächste Richtlinie für eine Quellzone und einen Zielzonenkontext. Wenn der Kontext übereinstimmt, werden die Richtlinien in diesem Kontext auf eine Übereinstimmung ausgewertet. Interzonenrichtlinien werden nur ausgewertet, wenn keine übereinstimmende Übereinstimmung mit der innerzoneninternen Richtlinie vorliegt.

  3. Globale Richtlinien: Wenn es keine Richtlinienübereinstimmung für Intrazonen- oder Interzonenrichtlinien gibt, ist die nächste Richtlinienübereinstimmung die globale Richtlinie. Eine globale Richtlinie stimmt mit jedem Zonenkontext überein, hat jedoch die gleichen Übereinstimmungskriterien für die Richtlinien wie jede andere Sicherheitsrichtlinie (z. B. Quell-IP-Adresse, Zieladresse, Dienste, Benutzerobjekt usw.). Es ist der letzte Richtliniensatz, der nach Intrazonen- und Interzonenrichtlinien ausgewertet wird.

  4. Standardaktion: Diese Aktion wird ausgeführt, wenn es keine Übereinstimmung mit den Richtlinien innerhalb der Zone, zwischen den Zonen oder den globalen Richtlinien gibt.

Zugehörige Dokumentation