Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Politiques de sécurité

Présentation de la politique de sécurité

La connectivité des points de terminaison est déterminée par l’accessibilité (l’état de transfert correct sur le réseau) et la sécurité (la connectivité doit être autorisée). Les stratégies doivent être spécifiées entre les domaines L2 et L3 et entre les points de terminaison IP L2/L3 plus granulaires. Les stratégies de sécurité vous permettent d’autoriser ou de refuser le trafic entre les points de terminaison plus granulaires. Ils contrôlent le trafic réseau inter-virtuel (ACL sur les SVI) et le trafic externe vers interne (ACL dans les équipements Leaf de bordure, points de terminaison externes uniquement). Les listes de contrôle d’accès sont rendues dans la syntaxe d’équipement appropriée et appliquées aux points d’application. L’ajout d’un nouveau point de terminaison VXLAN (par exemple, l’ajout d’un rack ou l’ajout d’une branche à un réseau virtuel) place automatiquement la liste de contrôle d’accès sur l’interface du réseau virtuel. Ajout d’un nouveau système générique Le point de connectivité externe (ECP) (point d’application) place automatiquement l’ACL pour les groupes de points de terminaison externes. Vous pouvez appliquer des stratégies de sécurité à des blueprints compatibles IPv4 de couche 2 (IPv6 n’est pas pris en charge). Pour connaître les appareils pris en charge, reportez-vous au tableau Connectivity (from Leaf Layer) (Connectivité (à partir de la couche leaf) de la section Feature Matrix (Référence).

Les stratégies de sécurité se composent d’un point source (sous-réseau ou adresse IP), d’un point de destination (sous-réseau ou adresse IP) et de règles autorisant ou refusant le trafic entre ces points en fonction du protocole. Les règles sont sans état, ce qui signifie que les réponses au trafic entrant autorisé sont soumises aux règles du trafic sortant (et vice versa).

Les règles peuvent inclure la journalisation du trafic. La liste de contrôle d’accès est configurée pour consigner les correspondances à l’aide du mécanisme pris en charge sur l’appareil. La configuration du journal est locale à l’équipement réseau ; Il n’est pas sur le serveur Apstra. L’analyse de ces journaux n’entre pas dans le cadre de ce document.

Dans le cas d’une stratégie de sécurité bidirectionnelle, vous devez créer deux instances de la stratégie, une pour chaque direction.

Vous pouvez appliquer plusieurs stratégies à chaque sous-réseau/point de terminaison, ce qui signifie que l’ordre des règles a un impact sur le comportement. Il existe une hiérarchie implicite entre les zones de routage, les réseaux virtuels et les points de terminaison IP, de sorte que vous devez tenir compte de la manière dont les stratégies sont appliquées aux différents niveaux de la hiérarchie. Lorsque l’ensemble de correspondances d’une règle contient l’ensemble de correspondances de l’autre (confinement complet), les règles peuvent entrer en conflit. Vous pouvez définir les règles pour qu’elles exécutent d’abord des règles plus spécifiques (focus/mode « exception ») ou moins spécifiques (« focus/mode de remplacement »).

Les règles peuvent également entrer en conflit lorsqu’il y a une situation de confinement total entre les règles, mais que l’action est la même. Dans ce cas, l’utilisation de la règle la moins spécifique peut entraîner une compression, et la règle la plus spécifique devient une règle « fantôme ». Lorsque des règles contradictoires sont détectées, vous êtes alerté et la résolution vous est affichée.

Quelques cas où des règles contradictoires sont identifiées sont décrits ci-dessous :

  • Les règles des stratégies entre différentes paires de points de terminaison IP (même si l’une d’entre elles est commune aux deux paires) ne se chevauchent pas étant donné que les paires d’adresses IP sont différentes. Cela provoque un jeu de correspondances disjoint du point de vue de l’adresse IP source/IP de destination (« signature IP » différente).
  • Les règles des stratégies entre les mêmes points de terminaison IP peuvent chevaucher des champs (tels que le port de destination) ; Le logiciel Apstra vérifie cela.
  • Les règles des stratégies entre différentes paires de réseaux virtuels (même si un réseau virtuel est commun aux deux paires) ne se chevauchent pas étant donné que les paires de sous-réseaux sont différentes. Cela provoque un jeu de correspondances disjoint du point de vue de l’IP source/IP de destination (« signature IP » différente).
  • Les règles des stratégies entre les mêmes réseaux virtuels peuvent chevaucher des champs (tels que le port de destination) ; Le logiciel Apstra vérifie cela.
  • Lorsque des groupes de points de terminaison IP sont utilisés, ils génèrent un ensemble de paires de points de terminaison IP, de sorte que la discussion ci-dessus relative aux paires de points de terminaison IP s’applique.
  • Dans les stratégies, les règles entre une paire de points de terminaison IP et une paire de réseaux virtuels parents sont contenues du point de vue de la signature IP. Le logiciel Apstra analyse le chevauchement port / protocole de destination et le classe dans la catégorie des conflits de confinement total ou non de confinement complet.
  • Les règles établies dans les stratégies entre une paire de points de terminaison IP et une paire de réseaux virtuels dont au moins un réseau virtuel n’est pas parent ne sont pas conflictuelles (« signature IP » différente).
  • Les règles des stratégies entre une paire de points de terminaison IP et une paire point de terminaison IP - réseau virtuel où le réseau virtuel est parent sont entièrement confinées du point de vue de la signature IP ; Le logiciel Apstra analyse les champs restants.
  • Les règles des stratégies qui contiennent des points de terminaison ou des groupes de points de terminaison IP externes doivent être analysées du point de vue de la signature IP, car les points externes ne sont pas liés par des hypothèses hiérarchiques.
  • Une zone de routage est un ensemble de réseaux virtuels et de points de terminaison IP, c’est pourquoi les discussions ci-dessus s’appliquent.

Les points de terminaison ne sont pas pris en charge dans les stratégies de sécurité dans les cas suivants :

  • Le point source est un point de terminaison externe ou un groupe de points de terminaison externes
  • Le point de destination est interne (point de terminaison interne, groupe de points de terminaison interne, réseau virtuel, zone de routage)

Pour rendre la composition plus traitable, à la fois du point de vue de l’analyse et de la compréhension de la composition résultante, il peut être utile de limiter le nombre de stratégies de sécurité qui peuvent s’appliquer à un point de terminaison/groupe donné.

Paramètres de la stratégie de sécurité

Les stratégies de sécurité incluent les détails suivants :

Description des paramètres
Nom 32 caractères maximum, trait de soulignement, tiret et caractères alphanumériques uniquement
Description optionnel
Activé
  • ON pour activer la stratégie de sécurité (par défaut)
  • OFF pour désactiver la stratégie de sécurité
Étiquettes optionnel
Source Point Type
  • Point de terminaison interne (associé aux réseaux virtuels - contient l’adresse IP /32)
  • Point de terminaison externe (contient /32 ou un sous-réseau)
  • Groupe de points de terminaison externes
  • Groupe de points de terminaison internes
  • Réseau virtuel (contient le sous-réseau)
  • Zone de routage (collection logique de tous les réseaux virtuels et des points de terminaison IP internes)
Source Point
  • Point de terminaison interne
  • Point de terminaison externe
  • Groupe de points de terminaison externes
  • Groupe de points de terminaison internes
  • Réseau virtuel
  • Zone de routage
Destination Point Type Point source (précédemment créé)
Destination Point Point de destination (précédemment créé)
Actions sur les règles
  • Nier
  • Refuser et consigner
  • Permettre
  • Permis et journal
Protocoles de règles
  • TCP
  • UDP
  • IP
  • ICMP
Source Port Pour les protocoles TCP et IP
Destination Port Pour les protocoles TCP et IP

Dans le blueprint, accédez à Stratégies de > intermédiaire > Stratégies de sécurité > Stratégies pour accéder à Stratégies de sécurité. Vous pouvez créer, cloner, modifier et supprimer des stratégies de sécurité.

Créer une stratégie de sécurité

Avant de créer des stratégies de sécurité, créez des zones de routage, des réseaux virtuels, des points de terminaison et des groupes de points de terminaison, dans cet ordre. Ils constituent la base de la création des politiques de sécurité.

Pour créer des politiques de sécurité :

  1. Dans le blueprint, accédez à Stratégies de > intermédiaire > Stratégies de sécurité > Stratégies, puis cliquez sur Créer une stratégie de sécurité.
  2. Entrez un nom et, si vous souhaitez que la stratégie soit activée, conservez le nom par défaut. Sinon, cliquez sur le bouton Activé pour le désactiver.
  3. Sélectionnez un type de point source, puis entrez le point source.
  4. Sélectionnez un type de point de destination, puis entrez le point de destination.
  5. Cliquez sur Ajouter une règle, puis saisissez un nom et une description (facultatif).
  6. Sélectionnez une action dans la liste déroulante (Refuser, Refuser et consigner, Autoriser, Autoriser et consigner).
  7. Sélectionnez un protocole dans la liste déroulante (TCP, UDP, IP, ICMP).
  8. Si vous avez sélectionné TCP ou UDP, entrez un port (ou une plage de ports) pour la source et la destination. (Si vous avez créé des alias de port TCP/UDP, ils apparaissent dans la liste déroulante).
  9. Pour ajouter une autre règle, cliquez sur Ajouter une règle et configurez comme ci-dessus.
    Note:

    À droite du bouton Ajouter une règle , vous pouvez créer automatiquement une stratégie de type liste de blocage en cliquant sur Refuser tout ou une stratégie de type liste d’autorisation en cliquant sur Tout autoriser.
  10. Vous pouvez modifier l’ordre des règles en cliquant sur les boutons Déplacer vers le haut ou Déplacer vers le bas dans chaque règle.
  11. Cliquez sur Create (Créer) pour transférer la stratégie et revenir à la vue tabulaire.

Erreurs de stratégie

  1. Vérifiez la stratégie de sécurité dans le tableau pour détecter les erreurs, qui sont surlignées en rouge.
  2. Pour afficher les détails, cliquez sur le bouton Afficher les erreurs.
  3. Lorsque vous résolvez des erreurs, la stratégie n’est plus surlignée en rouge et le champ Erreurs est vide.

Pour activer les modifications intermédiaires, validez-les dans le blueprint.

Modifier la politique de sécurité

  1. Dans le menu de navigation de gauche, accédez à Stratégies de > intermédiaire > Stratégies de sécurité > Stratégies, puis cliquez sur le bouton Modifier de la stratégie à modifier.
  2. Apportez vos modifications.
  3. Cliquez sur Modifier pour mettre en œuvre les modifications et revenir à la vue tabulaire.

Supprimer la stratégie de sécurité

  1. Dans le menu de navigation de gauche, accédez à Stratégies de > intermédiaire > Stratégies de sécurité > Stratégies, puis cliquez sur le bouton Supprimer de la stratégie à supprimer.
  2. Cliquez sur Supprimer pour planifier la suppression et revenir à la vue tabulaire.

Conflits de politiques de sécurité

Dans le blueprint, accédez à Stratégies de > intermédiaire > Stratégies de sécurité > Conflits pour voir les conflits qui ont été détectés (colonne Conflits de règles ). Les conflits sont résolus automatiquement dans la mesure du possible. Par défaut, des stratégies plus spécifiques sont appliquées avant d’autres moins spécifiques, mais vous pouvez modifier ces paramètres de politique de sécurité. Pour afficher les détails du conflit, cliquez sur l’icône dans la colonne Conflits de règles .

Si le conflit a été résolu automatiquement, la mention Résolu par AOS s’affiche dans la colonne État .

Paramètres de la stratégie de sécurité

Vous pouvez configurer la manière dont vous souhaitez résoudre les conflits et autoriser ou refuser le trafic.

  1. Dans le blueprint, accédez à Stratégies de > intermédiaire > Stratégies de sécurité > Paramètres.
  2. Sélectionnez les options appropriées.
    • Résolution de conflit
      • Plus spécifique d’abord - une stratégie IP plus spécifique est utilisée (par défaut)
      • Plus générique d’abord - moins de politique IP spécifique est utilisée
      • Désactivé - désactive la résolution des conflits
    • Action par défaut
      • Permit - autorise le trafic (par défaut)
      • Permit & Log - autorise le trafic et l’enregistre
      • Refuser - refuse le trafic
      • Refuser et consigner : refuse le trafic et le consigne
  3. Cliquez sur Enregistrer les modifications pour transférer les modifications.

Pour activer les modifications intermédiaires, validez-les dans le blueprint.

Voir aussi