Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Stratégies de sécurité unifiées

Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques en tant que conditions de correspondance dans le cadre des conditions de correspondance de 5 tuple ou 6 tuple (5 tuple avec le pare-feu utilisateur) existantes pour détecter les modifications des applications au fil du temps.

Présentation des stratégies unifiées

À partir de la version 18.2R1 de Junos OS, les stratégies unifiées sont prises en charge sur les pare-feu SRX Series, ce qui permet un contrôle et une application granulaires des applications dynamiques de couche 7 dans la stratégie de sécurité.

Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques en tant que conditions de correspondance dans le cadre des conditions de correspondance de 5 tuple ou 6 tuple (5 tuple avec le pare-feu utilisateur) existantes pour détecter les modifications des applications au fil du temps. Si le trafic correspond à la règle de stratégie de sécurité, une ou plusieurs actions définies dans la stratégie sont appliquées au trafic.

En ajoutant des applications dynamiques aux critères de correspondance, le trafic de données est classé en fonction des résultats d’inspection des applications de couche 7. AppID identifie les applications dynamiques ou en temps réel de couche 4 à couche 7. Une fois qu’une application particulière est identifiée et que la stratégie correspondante est trouvée, les actions sont appliquées en fonction de la stratégie.

Il n’est pas obligatoire de configurer les applications dynamiques en tant que critères de correspondance dans une stratégie de sécurité.

Voici des exemples de configuration d’applications dynamiques en tant que condition de correspondance au sein d’une stratégie de sécurité :

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE

Voici des exemples de configuration de groupes d’applications dynamiques en tant que condition de correspondance dans une stratégie de sécurité :

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping

Avantages

  • Simplifie la gestion des stratégies de sécurité basée sur les applications au niveau de la couche 7.

  • Permet à votre équipement de s’adapter aux changements dynamiques du trafic sur le réseau.

  • Offre un contrôle et une extensibilité plus importants pour gérer le trafic dynamique des applications qu’une stratégie de sécurité traditionnelle.

Présentation de la configuration des stratégies unifiées

Les sections suivantes fournissent plus d’informations sur les stratégies unifiées :

Options de configuration dynamique des applications

Le tableau 1 fournit des options pour configurer une stratégie unifiée avec des applications dynamiques.

Tableau 1 : Options de configuration dynamique des applications

Options de configuration dynamique des applications

Description

Applications ou groupes d’applications dynamiques

Spécifiez des applications dynamiques ou un groupe d’applications dynamiques.

Les exemples sont les suivants :

  • junos:FTP (application dynamique)

  • junos:web:shopping (groupe d’applications dynamique)

Tout

La configuration de l’application dynamique en tant qu’installation any de la stratégie avec l’application en tant que joker (par défaut). Si une application ne peut pas être spécifiée, configurez any en tant qu’application par défaut. Le trafic de données qui correspond aux paramètres d’une stratégie unifiée correspond à la stratégie, quel que soit le type d’application.

Aucun

La configuration de l’application none dynamique ignore les résultats de classification d’AppID et n’utilise pas l’application dynamique dans les recherches de stratégies de sécurité. Dans la liste des stratégies de correspondance potentielles, s’il y a une stratégie configurée avec une application dynamique comme none, cette stratégie est associée en tant que politique finale et est terminale. Si des services de couche 7 sont configurés dans cette stratégie, une inspection approfondie des paquets du trafic est effectuée.

Lors de la mise à niveau de la version Junos OS (où les applications dynamiques n’étaient pas prises en charge), toutes les stratégies traditionnelles existantes sont considérées comme des stratégies avec l’application dynamique configurée en tant que none.

Application dynamique non configurée

Si une application dynamique n’est pas configurée dans une stratégie de sécurité, la stratégie est considérée comme une stratégie de sécurité traditionnelle Cette stratégie est similaire à une stratégie avec l’application dynamique configurée comme none.

À partir des versions 19.4R1 et 20.1R1 de Junos OS, la stratégie de sécurité ne prend pas en charge l’utilisation des applications suivantes car les applications dynamiques correspondent aux critères suivants :

  • junos:HTTPS

  • junos:POP3S

  • junos:IMAPS

  • junos:SMTPS

La mise à niveau logicielle vers les versions 19.4R1 et 20.1R1 de Junos OS et les versions ultérieures échouent lors de la validation si l’une des stratégies de sécurité est configurée avec junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS en tant qu’applications dynamiques comme critère de correspondance.

Nous vous recommandons d’utiliser cetterequest system software validate package-name option avant de passer aux versions susmentionnées.

Nous vous recommandons de supprimer toute configuration comprenant junos:HTTPS, junos:IMAPS, junos:SMTPS ou junos:POP3S en tant que critères de correspondance dans les stratégies de sécurité.

Ports et protocoles par défaut comme critères de correspondance des applications

À partir de la version 18.2R1 de Junos OS, l’option est introduite dans la junos-defaults configuration des stratégies de sécurité en tant que critères de correspondance des applications. Le junos-defaults groupe contient des instructions préconfigurées qui incluent des valeurs prédéfinies pour les applications courantes. Comme les protocoles et les ports par défaut sont hérités de junos-defaults, il n’est pas nécessaire de configurer explicitement les ports et les protocoles, ce qui simplifie la configuration des stratégies de sécurité.

Dans l’exemple suivant, la stratégie de sécurité L7-test s’utilise junos:HTTP comme application dynamique et hérite des ports TCP de destination : 80, 3128, 8000 et 8080 comme critère de correspondance de l’application.

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

Si l’application n’a pas de ports et de protocoles par défaut, elle utilise les ports et protocoles par défaut de l’application dépendante. Par exemple, junos:FACEBOOK-CHAT utilise des protocoles et des ports par défaut HTTP2, HTTPS et SPDY.

L’option junos-defaults doit être configurée avec une application dynamique. Si vous configurez l’option junos-defaults sans spécifier d’application dynamique, un message d’erreur s’affiche et la validation de configuration échoue. Utilisez la show security policies detail commande pour valider l’option junos-defaults .

Actions de stratégie par défaut avant l’identification dynamique des applications

Avant qu’une application ne soit identifiée par l’identification d’application (AppID), les pre-id-default-policy options sont appliquées à la session. La valeur du délai d’expiration de session, ainsi que le mode de journalisation des sessions requis, sont appliqués en fonction de la pre-id-default-policy configuration. S’il n’y a pas de configuration dans la pre-id-default-policy strophe, les valeurs de timeout de session par défaut sont appliquées à la session et aucun journal n’est généré pour le pre-id-default-policy.

Nous recommandons aux clients d’implémenter la set security policies pre-id-default-policy then log session-close configuration, comme illustré ci-dessous, dans leurs propres environnements.

Cette configuration garantit que les journaux de sécurité sont générés par le SRX si un flux ne peut pas quitter le pre-id-default-policy. Ces événements s’expliquent généralement par l’incapacité du JDPI à classer correctement le trafic, bien qu’ils puissent également indiquer des tentatives potentielles d’échapper au moteur APPID.

Dans les versions récentes de Junos OS, la configuration par défaut d’un SRX inclut la session-close configuration.

ATTENTION:

La configuration de la pre-id-default-policy journalisation de session init peut générer une grande quantité de journaux. Chaque session entrant dans le SRX qui correspond initialement à la pré-id-default-policy génère un événement. Nous vous recommandons d’utiliser cette option uniquement à des fins de dépannage.

Utilisation des stratégies globales avec des stratégies unifiées

Lorsqu’une recherche de stratégie est implémentée, les stratégies de sécurité basées sur des zones sont priorisées par rapport aux stratégies globales. À partir de la version 18.2R1 de Junos OS, si une stratégie unifiée est configurée dans les stratégies de sécurité basées sur les zones, la recherche de stratégie globale n’est pas effectuée. Avant la version 18.2R1 de Junos OS, si aucune stratégie basée sur la zone n’est associée, une recherche de stratégie globale est effectuée.

À partir de la version 20.4R1 de Junos OS, les pare-feu SRX Series prennent en charge des stratégies unifiées à la fois au niveau du contexte de zone et des stratégies globales. Dans les versions précédentes, les stratégies unifiées ne supportaient que les stratégies en contexte de zone.

Si la session correspond à une stratégie unifiée, au niveau de la zone ou au niveau global, elle est ajoutée à la liste de correspondance des stratégies potentielles. Si la session ne correspond pas à une stratégie au niveau de la zone, alors la prochaine correspondance de stratégie se produit au niveau global. Les stratégies globales ont les mêmes critères de correspondance que n’importe quelle autre stratégie de sécurité (par exemple : adresse source, adresse de destination, application, application dynamique, etc.).

Actions de stratégie unifiée

Dans une configuration de stratégie unifiée, spécifiez l’une des actions suivantes :

  • Autoriser : autoriser le trafic.

  • Refuser : abandonnez le trafic et fermez la session.

  • Rejeter : avertissez le client, abandonnez le trafic et fermez la session.

Rediriger le profil vers l’action de rejet

Les stratégies unifiées consignent les actions d’abandon et de rejet. Les stratégies unifiées n’informent pas les clients connectés des actions d’abandon et de rejet. Les clients ne savent pas que la page Web n’est pas accessible et peuvent poursuivre leurs tentatives d’accès.

À partir de la version 18.2R1 de Junos OS, un profil de redirection peut être configuré au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez définir une réponse dans la stratégie unifiée pour notifier les clients connectés.

Pour fournir une explication de l’action ou rediriger le client vers une page Web informative, utilisez l’option redirect-message au [edit security dynamic-application profile name] niveau hiérarchique avec l’action de rejet ou de refus dans une configuration de stratégie unifiée pour afficher un message personnalisé.

Lorsque vous configurez l’option de redirection, vous pouvez spécifier le message personnalisé ou l’URL vers laquelle le client est redirigé.

Limitations de la configuration d’un profil de redirection dans des stratégies unifiées

La configuration d’un profil de redirection dans des stratégies unifiées comporte des limites. Ils comprennent :

  • La prise en charge de l’action de redirection avec les messages de blocage avec une URL de redirection n’est pas disponible pour les applications non-HTTP ou non HTTPS.

  • Une stratégie unifiée ne vérifie pas la validité et l’accessibilité d’une URL de redirection configurée par l’utilisateur.

  • Pour le traitement de texte clair, les paquets HTTP hors d’usage ou les requêtes HTTP segmentées, les actions de stratégie disponibles sont rejetées ou refusées. Aucun profil de redirection n’est disponible.

  • Le profil de redirection peut être appliqué uniquement dans des stratégies unifiées. L’action de rejet des stratégies de sécurité traditionnelles ne prend pas en charge une action de redirection avec des profils de message bloqués ou une URL de redirection.

Profil de proxy SSL pour l’action de rejet

À partir de la version 18.2R1 de Junos OS, vous pouvez configurer un profil de redirection dans une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez appliquer un profil proxy SSL au trafic. Le proxy SSL déchiffre le trafic et la fonctionnalité d’identification des applications identifie l’application. Ensuite, vous pouvez effectuer des actions pour rediriger ou abandonner le trafic selon la configuration.

Prenons l’exemple suivant :

Dans cet exemple, vous rejetez certaines des applications Facebook telles que chat, Farmville, etc. dans la politique « policy-1 ». Comme Facebook est une application chiffrée, vous avez besoin d’un proxy SSL pour déchiffrer le trafic en premier.

Dans cet exemple, la stratégie rejette le trafic Facebook chiffré et applique le profil de proxy SSL configuré. Le proxy SSL déchiffre le trafic et JDPI identifie l’application.

Désormais, la stratégie prend les mesures suivantes en fonction de votre configuration :

  • Redirige l’accès client vers une autre URL et ferme la session d’origine.

  • Informe le client à l’aide de messages texte prédéfinis et ferme la session

  • Ferme la session uniquement. Dans l’exemple, la stratégie ferme la session.

Critères et règles de correspondance pour les stratégies unifiées

Correspondance explicite et implicite des stratégies unifiées

À partir de la version 18.2R1 de Junos OS, la commande unified-policy-explicit-match est introduite au niveau de la [edit security policies] hiérarchie. Cette commande définit le comportement explicite et implicite de la correspondance des stratégies et est désactivée par défaut.

  • Correspondance explicite : si une application dépendante ne dispose d’aucune stratégie de correspondance, le trafic est supprimé si la correspondance explicite est activée. Seules les stratégies de sécurité explicitement configurées pour l’application sont appliquées.

  • Correspondance implicite : si l’application dépendante ne dispose d’aucune stratégie de correspondance, alors la stratégie de sécurité configurée pour l’application de base est appliquée.

Par défaut, les stratégies unifiées appliquent des règles implicites sur les applications dépendantes.

Dans l’exemple illustré dans le tableau 2, la stratégie unifiée P3 est configurée pour le trafic FACEBOOK-ACCESS. HTTP est une application dépendante de FACEBOOK-ACCESS et n’a aucune stratégie de sécurité explicitement configurée pour elle.

Tableau 2 : Exemple de correspondance explicite et implicite des stratégies pour une application dépendante

Application dynamique

Stratégie configurée

HTTP

Aucun

ACCÈS FACEBOOK

P3

Les résultats pour le comportement de correspondance implicite et explicite sont affichés dans le tableau 3.

Tableau 3 : Exemple de correspondance de stratégie (critères de correspondance explicite et implicite)

Application identifiée

Correspondance des stratégies

Type de règle explicite ou implicite

Résultat

Aucun

P3

Implicite (l’explicit n’est pas activé)

L’application identifiée est HTTP. Aucune stratégie de sécurité correspondante n’est configurée pour HTTP. La correspondance explicite n’est pas activée (correspondance implicite), de sorte que le trafic est traité plus avant que FACEBOOK-ACCESS soit identifié. La stratégie de sécurité configurée pour FACEBOOK-ACCESS (stratégie P3) est appliquée.

HTTP

ACCÈS FACEBOOK

HTTP

Aucun

Explicite

L’application identifiée est HTTP. Aucune stratégie de correspondance n’est disponible pour HTTP. La correspondance explicite est activée, de sorte qu’aucune stratégie de sécurité n’est appliquée dans ce cas.

Chevauchement des profils pour les services de couche 7

Lorsque vous utilisez des stratégies unifiées, si les résultats AppID n’ont pas encore identifié l’application finale, une recherche de stratégies peut renvoyer une liste de stratégies au lieu d’une stratégie fixe. Ces stratégies sont appelées stratégies de correspondance potentielle. Avant que la dernière application ne soit identifiée, un conflit peut survenir en raison de plusieurs correspondances de stratégies.

Dans ce cas, un profil approprié ou un profil par défaut est appliqué pour les services tels que AppQoS, proxy SSL, Content Security et IDP.

Correspondance des stratégies

Lorsque l’option policy rematch est activée, la stratégie unifiée permet à l’équipement de réévaluer une session active lorsque la stratégie de sécurité associée est modifiée.

La session reste ouverte si elle continue de correspondre à la stratégie qui a permis la session initialement. La session se termine si la stratégie associée est renommée, désactivée ou supprimée. Utilisez l’option extensive pour réévaluer une session active lorsque sa stratégie de sécurité associée est renommée, désactivée ou supprimée.

Si la correspondance est configurée dans une stratégie unifiée avant une correspondance finale, le comportement de la correspondance peut entraîner une fermeture de session. Après la correspondance finale, une correspondance de stratégie déclenche une autre recherche de stratégie en fonction des critères de correspondance de 6 tuple et de la dernière application identifiée.

Configurez policy-rematch et les policy-rematch extensive options au niveau de la [edit security policies] hiérarchie.

Limitations de la configuration des stratégies unifiées

La configuration des stratégies unifiées comporte des limites. Ils comprennent :

  • Une session existante peut se fermer dans les cas suivants :

    • Lorsqu’il y a un changement dans la correspondance finale pour la politique.

    • Lorsqu’une nouvelle stratégie est insérée dans les stratégies existantes, et si cette nouvelle stratégie est configurée avec de nouveaux services.

    • Lorsqu’une stratégie de correspondance finale active de nouveaux services après la création de la session et avant la correspondance finale.

  • Un VPN basé sur des stratégies n’est pas pris en charge pour les stratégies unifiées et ne peut être appliqué qu’à la stratégie traditionnelle.

  • Le traitement du trafic ALG sur les stratégies unifiées n’engage pas les fonctions ALG.
  • Les ALG sont appliquées lors de la correspondance avec les stratégies de sécurité traditionnelles.
    • Les stratégies utilisant une condition de correspondance sont dynamic-application as none traitées comme des stratégies traditionnelles .
  • LE FTP est une exception à la prise en charge d’ALG sur les stratégies unifiées permettant d’analyser les fichiers FTP à la recherche de Content Security Antivirus.
  • Une stratégie de sécurité configurée avec GPRS peut ne pas fonctionner si elle fait partie d’une liste de correspondances potentielle.

  • Une authentification VPN de groupe et pare-feu utilisateur peut être appliquée à une stratégie de sécurité traditionnelle.

  • Les informations de correspondance finale des stratégies peuvent ne pas être disponibles dans les journaux session-init pour les stratégies exploitant des applications dynamiques.

Exemple : configurer une stratégie unifiée à l’aide d’un profil de message de redirection

Cet exemple explique comment configurer une stratégie unifiée avec un profil de message de redirection. Dans cet exemple, vous configurez un profil de redirection avec une URL de redirection. Vous utilisez le profil de redirection comme message de blocage dans la stratégie pour le trafic dans les applications dynamiques GMAIL et FACEBOOK-CHAT. Simultanément, vous configurez l’application junos-defaults de sorte que le port et le protocole par défaut des applications dynamiques soient hérités en fonction des critères de port de destination et de protocole de la stratégie actuelle.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Pare-feu SRX Series exécutant Junos OS version 18.2R1. Cet exemple de configuration est testé avec Junos OS version 18.2R1.

Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, vous définissez le profil de redirection en tant que réponse lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet. Par le biais d’un profil de redirection, vous fournissez une explication de l’action ou redirigez la demande du client vers une page Web informative lorsque l’action de rejet ou de refus est appliquée dans une stratégie de sécurité.

Pour atteindre ces objectifs, vous effectuez les tâches suivantes :

  • Configurez le profil de redirection avec une URL de redirection telle que http://abc.company.com/information/block-message et utilisez-la dans la stratégie comme message de blocage.

  • Configurez les critères source-address de la stratégie de sécurité et destination-address avec la valeur any.

  • Configurez l’application avec junos-defaults, de sorte que le port et le protocole dynamic-application par défaut soient hérités comme les critères de correspondance du port de destination et du protocole de la stratégie actuelle.

  • Configurez dynamic-application avec [junos:GMAIL, junos:FACEBOOK-CHAT] pour que la stratégie puisse appliquer le profil de message de bloc sur les applications.

Configuration

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à l’utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer une stratégie unifiée avec un profil de message de redirection :

  1. Configurez des zones de sécurité.

  2. Créez un profil pour le message de redirection.

  3. Créez une stratégie de sécurité avec une application dynamique comme critère de correspondance.

  4. Définissez l’action de la stratégie.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show security dynamic-application . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérification de la configuration des stratégies unifiées

But

Vérifiez que la configuration des stratégies unifiées est correcte.

Action

Depuis le mode opérationnel, saisissez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité sur l’équipement.

Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’équipement.

Sens

Le résultat affiche des informations sur toutes les sessions de sécurité actives sur l’équipement. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

  • Applications dynamiques configurées

  • Action de rejet de stratégie

Configurer une catégorie d’URL avec des stratégies unifiées

Comprendre la catégorie d’URL avec des stratégies unifiées

À partir de la version 18.4R1 de Junos OS, la fonctionnalité de stratégies unifiées est améliorée pour inclure des catégories d’URL comme critères de correspondance pour la catégorie de filtrage Web. Les catégories d’URL peuvent être configurées en stratégies unifiées avec ou sans application dynamique appliquée. .

Lorsque la catégorie d’URL est configurée en fonction url-category any d’une stratégie, celle-ci fait correspondre toutes les catégories de trafic configurées aux stratégies unifiées.

Lorsque la catégorie URL est configurée en tant que url-category none stratégie, la catégorie URL n’est pas utilisée dans la recherche de stratégie. La stratégie unifiée configurée avec url-category none est considérée comme la priorité absolue pour correspondre à la stratégie d’un trafic. Lorsque la catégorie URL d’une stratégie n’est pas configurée, ou lorsque vous mettez à niveau un équipement d’une version précédente vers la dernière version, la catégorie URL de toutes les stratégies est considérée comme url-category none.

Limites des catégories d’URL avec des stratégies unifiées

L’utilisation de catégories d’URL dans une stratégie unifiée comporte les limites suivantes :

  • Seuls les ports généralement utilisés, tels que les trafics HTTP et HTTPs, sont pris en charge par url-category. Par conséquent, la recherche de stratégies prend en charge les trafics HTTP et HTTPs.

Exemple : configuration d’une stratégie unifiée à l’aide d’une catégorie d’URL

Cet exemple explique comment configurer une stratégie unifiée avec une catégorie d’URL.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Pare-feu SRX Series exécutant Junos OS version 18.4R1. Cet exemple de configuration est testé avec junos OS version 18.4R1.

Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, une catégorie URL est ajoutée à la stratégie de sécurité en tant que critère de correspondance pour la catégorie de filtrage Web.

Pour atteindre ces objectifs, vous effectuez les tâches suivantes :

  • Configurez les critères source-address de la stratégie de sécurité et destination-address avec la valeur any.

  • Configurez l’application avec junos-defaults, de sorte que le port et le protocole dynamic-application par défaut soient hérités comme les critères de correspondance du port de destination et du protocole de la stratégie actuelle.

  • Configurez dynamic-application avec [junos:GMAIL, junos:FACEBOOK-CHAT] pour que la stratégie puisse appliquer le profil de message de bloc sur les applications.

  • Configurez url-category avec Enhanced_News_and_Media des critères de correspondance pour la catégorie de filtrage Web.

Configuration

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Configuration rapide cli
Procédure étape par étape
Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à l’utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer une stratégie unifiée avec un profil de message de redirection :

  1. Configurez des zones de sécurité.

  2. Créez une stratégie de sécurité avec une catégorie d’URL comme critère de correspondance.

  3. Définissez l’action de la stratégie.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show security dynamic-application . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérification de la configuration des stratégies unifiées
But

Vérifiez que la configuration des stratégies unifiées est correcte.

Action

Depuis le mode opérationnel, saisissez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité sur l’équipement.

Sens

Le résultat affiche des informations sur toutes les sessions de sécurité actives sur l’équipement. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

  • Applications dynamiques configurées

  • Catégorie d’URL configurée

  • Action de rejet de stratégie

Configurer les applications dans des stratégies unifiées

Applications dans des stratégies unifiées

À partir de la version 19.1R1 de Junos OS, la configuration de l’instruction application au niveau de la [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] hiérarchie est facultative si l’instruction dynamic-application est configurée au même niveau hiérarchique.

Dans les versions antérieures à Junos OS version 19.1R1, il est obligatoire de configurer l’instruction application même si l’instruction dynamic-application est configurée.

  • Lorsque l’option application est définie, l’application définie est utilisée.

  • Lorsque l’option application n’est pas définie et que l’option dynamic-application est définie comme any, l’application any est implicitement ajoutée.

  • Lorsque l’option application n’est pas définie et que l’option dynamic-application est définie (et n’est pas configurée en tant que any), l’application junos-defaults est implicitement ajoutée.

Exemple : configurer une stratégie unifiée à l’aide d’applications dynamiques

Cet exemple explique comment configurer une stratégie unifiée à l’aide d’applications dynamiques.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Pare-feu SRX Series exécutant Junos OS version 19.1R1. Cet exemple de configuration est testé avec Junos OS version 19.1R1.

Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, les applications dynamiques sont ajoutées à la stratégie de sécurité en tant que critères de correspondance.

Pour atteindre ces objectifs, effectuez les tâches suivantes :

  • Configurez les critères source-address de la stratégie de sécurité et destination-address avec la valeur any.

  • Configurez dynamic-application avec [junos:CNN, junos:BBC] pour permettre à la stratégie d’autoriser les applications junos:CNN et junos:BBC.

Configuration

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Configuration rapide cli
Procédure étape par étape
Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à l’utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer une stratégie unifiée à l’aide d’applications dynamiques :

  1. Configurez des zones de sécurité.

  2. Créez une stratégie de sécurité avec une application dynamique comme critère de correspondance.

  3. Définissez l’action de la stratégie.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérification de la configuration des stratégies unifiées
But

Vérifiez que la configuration des stratégies unifiées est correcte.

Action

Depuis le mode opérationnel, saisissez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité sur l’équipement.

Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’équipement.

Sens

Le résultat affiche des informations sur toutes les sessions de sécurité actives sur l’équipement. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

    Note:

    Le Applications champ est automatiquement peuplé et sa valeur junos-defaults ajoutée est implicitement ajoutée.

  • Applications dynamiques configurées

  • Action de la stratégie

Configurer des micro-applications dans des stratégies unifiées

À partir de la version 19.2R1 de Junos OS, vous pouvez configurer des micro-applications dans une stratégie unifiée. Les micro-applications sont des sous-fonctions d’une application. Les micro-applications permettent un contrôle granulaire d’une application au niveau de la sous-fonction au lieu de bloquer ou d’autoriser l’ensemble de l’application. Par défaut, la détection des micro-applications est désactivée.

Le module d’identification des applications (AppID) détecte une application au niveau de la sous-fonction sur votre réseau. Les stratégies de sécurité exploitent les informations d’identité des applications déterminées par le module AppID. Une fois qu’une application spécifique est identifiée, une action telle que l’autorisation, le refus, le rejet ou la redirection est appliquée au trafic selon la stratégie configurée sur l’équipement. Vous devez activer la détection des micro-applications pour les utiliser dans une stratégie de sécurité. Voir Activation et désactivation de la détection des micro-applications.

Limiter le nombre de recherche de stratégies

Pour traiter une stratégie, la recherche de stratégie doit renvoyer l’état de correspondance final de l’application. Lors de l’utilisation d’une micro-application, la classification des applications n’atteint pas l’état de correspondance final , car la micro-application change constamment pour la session. Parce que la micro-application change d’une transaction à l’autre, un nombre illimité de recherche de stratégies est tenté.

Utilisez l’instruction unified-policy max-lookups au niveau de la [edit security policies] hiérarchie pour limiter le nombre de recherche de stratégies.

Configuration des micro-applications

Pour autoriser une application de niveau de base et toutes ses micro-applications dépendantes, vous pouvez configurer une stratégie unifiée en spécifiant l’application de base comme critère de correspondance. Vous n’avez pas besoin de spécifier explicitement chaque application dépendante comme critère de correspondance pour la stratégie. Par exemple, si vous spécifiez l'application junos-MODBUS de base comme critère de correspondance dans une stratégie unifiée, vous n'avez pas besoin de configurer les micro-applications de l junos-MODBUS 'application (junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL) comme critères de correspondance pour la stratégie.

Si vous souhaitez définir une stratégie unifiée pour un contrôle granulaire, vous devez spécifier les micro-applications de l’application de base comme critères de correspondance pour la stratégie. Vous ne devez pas définir l’application de niveau de base comme critère de correspondance dans la stratégie. Pour une configuration de stratégie plus granulaire, spécifiez junos:MODBUS-READ-COILS comme critères de correspondance dans une stratégie unifiée. Assurez-vous que l’application junos:MODBUS de niveau de base n’est pas définie comme un critère de correspondance dans la même stratégie unifiée.

Recherche de stratégies avec les micro-applications

La détection des micro-applications est désactivée par défaut. Pour utiliser les micro-applications comme critères de correspondance pour la recherche de stratégies, vous devez activer la détection des micro-applications, puis les spécifier comme critères de correspondance pour la stratégie unifiée. Si vous n’avez pas activé la détection des micro-applications, le module d’identification des applications (AppID) ne détecte aucune micro-application et considère l’application de base comme le critère final de correspondance. Prenons l’exemple de l’application junos-:MODBUS de base qui comprend deux micro-applications junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL:

  • Si vous n’avez pas activé la détection des micro-applications, junos:MODBUS est considéré comme l’état de correspondance final pour la classification AppID. Si vous activez des micro-applications, vous pouvez les configurer dans une stratégie unifiée comme n’importe quelle autre application dynamique prédéfinie. Cette micro-application est utilisée pour la recherche de stratégies.

  • Si vous avez activé la détection des micro-applications, le module AppID considère junos:MODBUS l’état pré-correspondance . Lorsque le module AppID détecte l’un junos:MODBUS-READ-COILS ou l’autre junos:MODBUS-WRITE-SINGLE-COIL, AppID considère ce résultat comme l’état de correspondance final et procède à la recherche de stratégies à l’aide de ce critère de correspondance.