Erstellen von Firewall-Richtlinienregeln

Vorbereitungen

Lesen Sie das Thema Übersicht über Firewall-Richtlinien.
Lesen Sie die Hauptseite Firewall-Regeln, um sich einen Überblick über Ihren aktuellen Datensatz zu verschaffen. Feldbeschreibungen finden Sie unter Felder auf der Hauptseite der Firewall-Richtlinienregeln .

Auf der Seite "Regel erstellen" können Sie Firewallregeln konfigurieren, die den Transitdatenverkehr innerhalb eines Kontexts (Quellzone zu Zielzone) steuern. Der Datenverkehr wird klassifiziert, indem die Quell- und Zielzonen, die Quell- und Zieladressen sowie die Anwendung, die der Datenverkehr in seinen Protokollheadern trägt, mit der Richtliniendatenbank abgeglichen werden.

Security Director ermöglicht es einem Gerät, über eine gerätespezifische Richtlinie zu verfügen und Teil mehrerer Gruppenrichtlinien zu sein. Regeln für ein Gerät werden in dieser Reihenfolge aktualisiert:

Regeln innerhalb von Richtlinien, die vor "gerätespezifischen Richtlinien" angewendet werden
Regeln innerhalb gerätespezifischer Richtlinien
Regeln innerhalb von Richtlinien, die nach "Gerätespezifische Richtlinien" angewendet werden

Regeln innerhalb von Richtlinien, die vor "gerätespezifischen Richtlinien" angewendet werden, haben Vorrang und können nicht außer Kraft gesetzt werden. Sie können jedoch Regeln innerhalb von Richtlinien, die nach "Gerätespezifische Richtlinien" angewendet werden, außer Kraft setzen, indem Sie eine überschreibende Regel in den gerätespezifischen Richtlinien hinzufügen. In einem Unternehmensszenario können einem Gerät "Common-Must-Enforce"-Regeln aus den "Policies Applied Before Device Specific Policies" zugewiesen werden, und "Common-Nice-to-have"-Regeln können einem Gerät aus den "Policies Applied After Device Specific Policies" zugewiesen werden.

Hinweis:

Eine Ausnahme kann für jedes Gerät unter "Gerätespezifische Richtlinien" hinzugefügt werden. Eine vollständige Liste der auf ein Gerät angewendeten Regeln erhalten Sie unter Konfigurieren > Firewall-Richtlinie > Geräte. Wählen Sie ein Gerät aus, um die mit diesem Gerät verknüpften Regeln anzuzeigen.

So konfigurieren Sie eine Firewall-Richtlinienregel:

Wählen Sie > Firewall-Richtlinie konfigurieren aus.
Wählen Sie die Richtlinie aus, für die Sie Regeln definieren möchten, und klicken Sie auf das Symbol +.

Die Seite "Regeln erstellen" wird angezeigt.

Hinweis:
Um Regeln inline zu bearbeiten und zu erstellen, klicken Sie auf die Richtlinie, um die Felder bearbeitbar zu machen.
Schließen Sie die Konfiguration gemäß den Richtlinien in Tabelle 1 ab.
Klicken Sie auf OK.

Die von Ihnen konfigurierten Regeln sind mit der ausgewählten Richtlinie verknüpft.

Tabelle 1: Festlegen der Firewall-Richtlinienregeln
Einstellung	Richtlinie
`General Information`
Name der Regel	Geben Sie eine eindeutige Zeichenfolge aus alphanumerischen Zeichen, Doppelpunkten, Punkten, Bindestrichen und Unterstrichen ein. Es sind keine Leerzeichen erlaubt und die; Die maximale Länge beträgt 63 Zeichen.
Beschreibung	Geben Sie eine Beschreibung für die Richtlinienregeln ein. Die maximale Länge beträgt 1024 Zeichen. Kommentare, die in dieses Feld eingegeben werden, werden an das Gerät gesendet.
`Identify the traffic that the rule applies to`
(Quelle) Zone	Geben Sie für Geräte der SRX-Serie eine Quellzone (Von-Zone) an, um den Kontext für die Richtlinie zu definieren. Zonenrichtlinien werden auf Datenverkehr angewendet, der in eine Sicherheitszone (Quellzone) in eine andere Sicherheitszone (Zielzone) eintritt. Diese Kombination aus einer Quellzone und einer Zielzone wird als Kontext bezeichnet. Ab Junos Space Security Director, Version 16.2, fungiert bei Routern der MX-Serie das Quellzonenfeld als Eingangsschnittstelle, von der aus das Paket eingeht. Die Übereinstimmungsrichtung wird eingegeben, wenn das Paket in die Schnittstelle eintritt. Die Übereinstimmungsrichtung wird ausgegeben, wenn das Paket die Schnittstelle verlässt. Konfigurieren Sie den Eingangsschlüssel, indem Sie den aggregierten Multiservices-Wert (AMS) auswählen. Ab Junos Space Security Director, Version 16.2, können polymorphe Zonen als Quell- und Zielzone verwendet werden, wenn Sie Geräte der SRX-Serie und Router der MX-Serie derselben Gruppenrichtlinie zuweisen.
(Quelle) Adresse(n)	Geben Sie einen oder mehrere Adressnamen oder Adresssatznamen ein. Klicken Sie auf Auswählen , um Quelladressen hinzuzufügen. Gehen Sie auf der Seite "Quelladresse" wie folgt vor: Beliebige Adresse einschließen: Fügen Sie der Firewallregel eine beliebige Adresse hinzu. Include Specific: Fügen Sie der Regel die ausgewählte Quelladresse hinzu. Wenn Sie einen NSX Manager hinzufügen, werden die Sicherheitsgruppen synchronisiert und die entsprechenden dynamischen Adressgruppen (DAGs) werden in der Security Director-Datenbank erstellt. Wählen Sie für Ihren NSX Manager die erforderlichen DAGs aus der Liste aus. Exclude Specific (Bestimmte ausschließen): Die ausgewählten Quelladressen werden von der Regel ausgenommen. Nach Metadatenfilter: Wählen Sie die übereinstimmende Adresse eines benutzerdefinierten Metadatens als Quelladresse aus. Metadatenfilter: Klicken Sie auf das Feld, um die erforderlichen Metadaten aus der Liste auszuwählen. Die übereinstimmenden Adressen werden gefiltert und im Feld Übereinstimmende Adresse aufgelistet. Übereinstimmende Adressen: Listet die Adressen auf, die mit den ausgewählten Metadaten übereinstimmen. Diese Adresse wird als Quelladresse verwendet. Für jeden Metadatenausdruck wird eine eindeutige dynamische Adressgruppe (DAG) erstellt. Bei dieser DAG verweist die Feedserver-URL auf die Feedserver-URL von Security Director. Office 365 ist jetzt in der Liste der Drittanbieter-Feeds enthalten, um Endpunktinformationen (IP-Adressen) für Microsoft Office 365-Dienste an das Gerät der SRX-Serie zu übertragen. Dieser Feed funktioniert anders als andere Feeds und erfordert bestimmte Konfigurationsparameter, einschließlich des vordefinierten Namens "ipfilter_office365". Sie müssen den Office 365-Feed in Juniper ATP Cloud aktivieren. Informationen zum Aktivieren des Office 365-Feeds in Juniper ATP Cloud und zum Erstellen einer DAG auf dem Gerät der SRX-Serie, die auf den ipfilter_office365-Feed verweist, finden Sie unter Aktivieren von Bedrohungs-Feeds von Drittanbietern. Konfigurieren Sie die Feedserver-URL, indem Sie den folgenden CLI-Befehl für jedes Gerät der SRX-Serie oder vSRX verwenden, das auf die metadatenbasierten Richtlinien reagiert. `set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>` Siehe Adressen und Adressgruppen anlegen.
(Quelle) Benutzer-ID	Geben Sie die Quellidentität (Benutzer und Rollen) an, die als Übereinstimmungskriterien für die Richtlinie verwendet werden soll. Sie können je nach Benutzerrollen und Benutzergruppen unterschiedliche Richtlinienregeln haben. Klicken Sie auf Auswählen , um Quellidentitäten anzugeben, die zugelassen oder verweigert werden sollen. Auf der Seite Benutzer-ID können Sie eine Benutzeridentität aus der verfügbaren Liste auswählen oder eine neue Identität hinzufügen, indem Sie auf Neue Benutzer-ID hinzufügen klicken. Um eine Benutzeridentität aus der Security Director-Datenbank zu löschen, klicken Sie auf Benutzer-ID löschen und wählen Sie einen Wert aus der Dropdown-Liste aus, der in keiner Richtlinie konfiguriert ist. Wenn Sie versuchen, eine Benutzeridentität zu löschen, die in einer Richtlinie konfiguriert ist, wird eine Meldung mit der Referenz-ID und der Benutzer-ID angezeigt. Hinweis: Die Benutzer-IDs, die nur in Security Director erstellt wurden, werden in der Dropdown-Liste angezeigt.
(Quelle) Endbenutzerprofil	Wählen Sie ein Endbenutzerprofil aus der Liste aus. Die Firewall-Richtlinienregel wird darauf angewendet. Wenn Datenverkehr von Gerät A bei einem Gerät der SRX-Serie eintrifft, ruft die SRX-Serie die IP-Adresse von Gerät A aus dem ersten Datenverkehrspaket ab und verwendet sie, um die Authentifizierungstabelle für die Geräteidentität nach einem übereinstimmenden Geräteidentitätseintrag zu durchsuchen. Anschließend wird dieses Geräteidentitätsprofil mit einer Sicherheitsrichtlinie abgeglichen, deren Feld Endbenutzerprofil den Namen des Geräteidentitätsprofils angibt. Wenn eine Übereinstimmung gefunden wird, wird die Sicherheitsrichtlinie auf Datenverkehr angewendet, der von Gerät A ausgeht.
(Zielort) Zone	Geben Sie für Geräte der SRX-Serie eine Zielzone (to-zone) an, um den Kontext für die Richtlinie zu definieren. Zonenrichtlinien werden auf Datenverkehr angewendet, der in eine Sicherheitszone (Quellzone) in eine andere Sicherheitszone (Zielzone) eintritt. Diese Kombination aus einer Quellzone und einer Zielzone wird als Kontext bezeichnet. Ab Junos Space Security Director, Version 16.2, fungiert dieses Feld für Router der MX-Serie als Ausgangsschnittstelle, von der aus das Paket eingeht. Die Übereinstimmungsrichtung wird eingegeben, wenn das Paket in die Schnittstelle eintritt. Die Übereinstimmungsrichtung wird ausgegeben, wenn das Paket die Schnittstelle verlässt. Konfigurieren Sie den Ausgangsschlüssel, indem Sie den AMS-Wert (Aggregated Multiservices) auswählen. Polymorphe Zonen können als Quellzone und Zielzone verwendet werden, wenn Sie Geräte der SRX-Serie und Router der MX-Serie derselben Gruppenrichtlinie zuweisen.
(Zielort) Adresse(n)	Wählen Sie einen oder mehrere Adressnamen oder Adressgruppen aus. Klicken Sie auf Auswählen , um Zieladressen hinzuzufügen. Gehen Sie auf der Seite "Zieladresse" wie folgt vor: Wählen Sie die Option Einschließen aus, um die ausgewählten Zieladressen oder eine beliebige Adresse zur Regel hinzuzufügen. Wählen Sie die Option Ausschließen , um die ausgewählten Zieladressen von der Regel auszunehmen. Wählen Sie die Option Nach Metadatenfilter , um die übereinstimmende Adresse eines benutzerdefinierten Metadatens als Zieladresse auszuwählen. Metadatenfilter: Klicken Sie auf das Feld, um die erforderlichen Metadaten aus der Liste auszuwählen. Die übereinstimmenden Adressen werden gefiltert und im Feld Übereinstimmende Adresse aufgelistet. Übereinstimmende Adressen: Listet die Adressen auf, die mit den ausgewählten Metadaten übereinstimmen. Diese Adresse wird als Zieladresse verwendet. Für jeden Metadatenausdruck wird eine eindeutige dynamische Adressgruppe (DAG) erstellt. Bei dieser DAG verweist die Feedserver-URL auf die Feedserver-URL von Security Director. Office 365 ist jetzt in der Liste der Drittanbieter-Feeds enthalten, um Endpunktinformationen (IP-Adressen) für Microsoft Office 365-Dienste an das Gerät der SRX-Serie zu übertragen. Dieser Feed funktioniert anders als andere Feeds und erfordert bestimmte Konfigurationsparameter, einschließlich des vordefinierten Namens "ipfilter_office365". Sie müssen den Office 365-Feed in Juniper ATP Cloud aktivieren. Informationen zum Aktivieren des Office 365-Feeds in Juniper ATP Cloud und zum Erstellen einer DAG auf dem Gerät der SRX-Serie, die auf den ipfilter_office365-Feed verweist, finden Sie unter Aktivieren von Bedrohungs-Feeds von Drittanbietern. Konfigurieren Sie die Feedserver-URL, indem Sie den folgenden CLI-Befehl für jedes Gerät der SRX-Serie oder vSRX verwenden, das auf die metadatenbasierten Richtlinien reagiert. `set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>` Siehe Adressen und Adressgruppen anlegen.
(Zielort) URL-Kategorie	Wählen Sie eine oder mehrere vordefinierte oder benutzerdefinierte URL-Kategorien als Übereinstimmungskriterium aus. Die URL-Kategorie wird auf Geräten unterstützt, auf denen Junos OS Version 18.4R3 und höher ausgeführt wird. Klicken Sie auf Auswählen, um eine URL-Kategorie auszuwählen. Wählen Sie eine oder mehrere vordefinierte oder benutzerdefinierte URL-Kategorien aus der Liste Verfügbar aus und verschieben Sie sie in die Liste Ausgewählt. Klicken Sie auf OK.
(Service-Protokolle) Dienstleistungen	Wählen Sie einen oder mehrere Dienstnamen (Anwendungsnamen) aus. Wählen Sie "Include, Any Service" aus, um die Option "Any" im Servicelisten-Builder zu deaktivieren. Deaktivieren Sie das Kontrollkästchen Beliebiger Dienst, um Dienste in der Spalte Verfügbarer Dienstlisten-Generator zuzulassen oder abzulehnen. Klicken Sie auf Neuen Dienst hinzufügen, um einen Dienst zu erstellen. Weitere Informationen finden Sie unter Erstellen von Services und Servicegruppen.
Anwendungssignaturen	Klicken Sie auf das + -Symbol, um die Anwendungssignaturen hinzuzufügen. Sie können sowohl vordefinierte als auch benutzerdefinierte Anwendungssignaturen hinzufügen.
`Advanced Security`
Regel-Aktion	Die Aktion gilt für den gesamten Datenverkehr, der die angegebenen Kriterien erfüllt. Verweigern - Das Gerät verwirft automatisch alle Pakete für die Sitzung und sendet keine aktiven Kontrollmeldungen wie TCP-Zurücksetzen oder ICMP nicht erreichbar. Ablehnen: Das Gerät sendet einen TCP-Reset, wenn es sich bei dem Protokoll um ein TCP-Protokoll handelt, und das Gerät sendet einen ICMP-Reset, wenn es sich bei den Protokollen um UDP, ICMP oder ein anderes IP-Protokoll handelt. Diese Option ist nützlich, wenn Sie mit vertrauenswürdigen Ressourcen konfrontiert sind, damit die Anwendungen keine Zeit mit dem Warten auf Zeitüberschreitungen verschwenden und stattdessen die aktive Meldung erhalten. Zulassen: Das Gerät lässt Datenverkehr mit dem Typ der Firewall-Authentifizierung zu, den Sie auf die Richtlinie angewendet haben. Tunnel – Das Gerät lässt Datenverkehr über die Art von VPN-Tunneling-Optionen zu, die Sie auf die Richtlinie angewendet haben.
Erweiterte Sicherheit	Firewall-Richtlinien stellen eine zentrale Sicherheitsebene dar, die sicherstellt, dass der Netzwerkverkehr nur auf das beschränkt wird, was eine Richtlinie durch ihre Übereinstimmungskriterien vorschreibt. Firewall-Richtlinien stellen eine zentrale Sicherheitsebene dar, die sicherstellt, dass der Netzwerkverkehr nur auf das beschränkt wird, was eine Richtlinie durch ihre Übereinstimmungskriterien vorschreibt. Wenn die herkömmliche Richtlinie nicht ausreicht, wählen Sie Anwendungsidentifikationskomponenten aus, um ein erweitertes Sicherheitsprofil für die Richtlinie zu erstellen: App-Firewall: Wählen Sie diese Option aus, um herkömmliche Firewall-Kontrollen für den Datenverkehr durchzusetzen, während die Anwendungs-Firewall geschichtet wird, um sicherzustellen, dass Anwendungen nicht nur den Portinformationen entsprechen, sondern auch dem, was zwischen einem Client und einem Server übertragen wird. Sie können Anträge zulassen, ablehnen und ablehnen. Es gibt auch eine spezielle Weiterleitungsfunktion für HTTP und HTTPS. Klicken Sie auf den Link Neu hinzufügen , um eine Application Firewall-Richtlinie zu erstellen, und klicken Sie auf Neue APPFW-Regel hinzufügen , um Regeln zu erstellen. Weitere Informationen finden Sie unter Erstellen von Application Firewall-Richtlinien. SSL Forward Proxy (SSL-Weiterleitungsproxy): Wählen Sie diese Option aus, um ein Protokoll auf Anwendungsebene zu aktivieren, das Verschlüsselungstechnologie für das Internet bereitstellt. Klicken Sie auf Weiterleitungsproxy hinzufügen, um SSL-Weiterleitungsproxyprofile zu erstellen. Weitere Informationen finden Sie unter Erstellen von SSL-Forward-Proxy-Profilen. Klicken Sie auf Reverse-Proxy hinzufügen , um SSL-Reverse-Proxy-Profile zu erstellen. Weitere Informationen finden Sie unter Erstellen von SSL-Reverse-Proxy-Profilen. IPS: Wählen Sie den IPS-Wert als Ein oder Aus aus. IPS-Richtlinie: Bietet Unterstützung für IPS-Richtlinien innerhalb der Standard-Firewall-Richtlinie. Wählen Sie eine IPS-Richtlinie aus, die der Firewallrichtlinie zugewiesen werden soll. IPS-Richtlinien, die keinem Gerät zugewiesen sind, werden in der Dropdown-Liste aufgelistet. Bei Geräten mit Junos OS Version 18.2 und höher wird die CLI-Konfiguration für die zugewiesene IPS-Richtlinie zusammen mit der Standard-Firewall-Richtlinie generiert. Hinweis: Die Regelaktion sollte Zulassen sein. Wenn Sie in Junos OS Version 18.1 und früher eine Richtlinie konfiguriert haben, bei der IPS sowohl aktiviert oder ausgeschaltet ist als auch eine IPS-Richtlinie, ignoriert Security Director die IPS-Richtlinie und sendet nur den Befehl IPS On CLI an das Gerät. Wenn Sie in Junos OS Version 18.2 und höher eine Richtlinie konfiguriert haben, bei der IPS sowohl aktiviert oder ausgeschaltet ist als auch eine IPS-Richtlinie, ignoriert Security Director den Befehl IPS On CLI und sendet nur den CLI-Befehl der IPS-Richtlinie an das Gerät. UTM: Wählen Sie diese Option aus, um den Layer-7-Schutz vor clientseitigen Bedrohungen zu definieren. Klicken Sie auf Neu hinzufügen , um Content Security-Richtlinien zu erstellen. Weitere Informationen finden Sie unter Erstellen von UTM-Richtlinien. Sicherer Web-Proxy: Wählen Sie ein sicheres Web-Proxy-Profil aus, das unter Erstellen eines sicheren Web-Proxy-Profils erstellt wurde. Sie können einen sicheren Webproxy verwenden, damit Datenverkehr für ausgewählte Anwendungen den externen Proxyserver umgehen und direkt an einen Webserver gesendet werden kann. Threat Prevention-Richtlinie – Wählen Sie eine Option aus, um Schutz und Überwachung für die ausgewählten Bedrohungsprofile bereitzustellen, einschließlich Command and Control-Servern, infizierten Hosts und Malware. Hinweis: Zum Erstellen von Inline-Anwendungsfirewall-Richtlinien, SSL-Proxyprofilen und Content Security muss die Regelaktion "Zulassen" lauten.
Erstellung von Bedrohungsprofilen	Juniper ATP Cloud Adaptive Threat Profiling ermöglicht es Geräten der SRX-Serie, Bedrohungs-Feeds basierend auf ihren eigenen erweiterten Erkennungs- und Richtlinienübereinstimmungsereignissen zu generieren, zu verbreiten und zu nutzen. Ab Junos Space Security Director, Version 21.2, können Sie eine Firewall-Richtlinie mit Quell- und Zieladressen als Bedrohungstypen konfigurieren, wodurch die Quell-IP-Adresse und die Ziel-IP-Adresse in den ausgewählten Bedrohungs-Feed eingefügt werden, wenn der Datenverkehr mit der Regel übereinstimmt. Der Bedrohungs-Feed kann von anderen Geräten als dynamische Adressgruppe (DAG) genutzt werden. Quell-IP zum Feed hinzufügen: Wählen Sie einen Sicherheits-Feed aus der Liste aus. Die Quell-IP-Adresse wird dem Bedrohungsfeed hinzugefügt, wenn der Datenverkehr mit der Regel übereinstimmt. Ziel-IP zum Feed hinzufügen: Wählen Sie einen Sicherheits-Feed aus der Liste aus. Die Ziel-IP-Adresse wird dem Bedrohungsfeed hinzugefügt, wenn der Datenverkehr mit der Regel übereinstimmt. Hinweis: Um diese Felder zu verwenden, registrieren Sie zuerst die Geräte bei ATP Cloud und konfigurieren Sie dann Policy Enforcer so, dass Feeds in der Dropdown-Liste angezeigt werden.
`Rule Options`
Profil	Wählen Sie ein Standardprofil oder ein benutzerdefiniertes Profil aus, oder Sie können ein Richtlinienprofil von einer anderen Richtlinie übernehmen. Das Richtlinienprofil legt die Grundeinstellungen einer Sicherheitsrichtlinie fest. Weitere Informationen finden Sie unter Erstellen von Firewall-Richtlinienprofilen.
Zeitplan	Richtlinienzeitpläne ermöglichen es Ihnen, zu definieren, wann eine Richtlinie aktiv ist, und sind daher ein implizites Übereinstimmungskriterium. Sie können den Wochentag und die Uhrzeit definieren, zu der die Richtlinie aktiv ist. Sie können z. B. eine Sicherheitsrichtlinie definieren, die den Zugriff basierend auf Geschäftszeiten öffnet oder schließt. Es können mehrere Scheduler auf verschiedene Richtlinien angewendet werden, aber nur ein Scheduler kann pro Richtlinie aktiv sein. Wählen Sie einen vorgespeicherten Zeitplan aus, und die Zeitplanoptionen werden mit den Daten des ausgewählten Zeitplans gefüllt. Klicken Sie auf Neu , um einen weiteren Zeitplan zu erstellen.
`Rule Analysis`
Neue Regel, Analyse durchführen	Wählen Sie diese Option aus, wenn Sie Ihre Regeln analysieren möchten, um Anomalien zu vermeiden.
`Rule Placement`
Ort/Reihenfolge	Zeigt die Sequenznummer und die Reihenfolge an, in der die Regel platziert wird.

Tabelle der Versionshistorie

Release

Beschreibung

16.2

Ab Junos Space Security Director, Version 16.2, fungiert bei Routern der MX-Serie das Quellzonenfeld als Eingangsschnittstelle, von der aus das Paket eingeht.

16.2

Ab Junos Space Security Director, Version 16.2, können polymorphe Zonen als Quell- und Zielzone verwendet werden, wenn Sie Geräte der SRX-Serie und Router der MX-Serie derselben Gruppenrichtlinie zuweisen.

16.2

Ab Junos Space Security Director, Version 16.2, fungiert dieses Feld für Router der MX-Serie als Ausgangsschnittstelle, von der aus das Paket eingeht.

Erstellen von Firewall-Richtlinienregeln

Zugehörige Dokumentation