Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Stratégies de sécurité unifiées

Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques comme conditions de correspondance dans le cadre des conditions de correspondance existantes à 5 ou 6 uplets (5 uplets avec pare-feu utilisateur) existantes pour détecter les modifications apportées à l’application au fil du temps.

Présentation des stratégies unifiées

Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques comme conditions de correspondance dans le cadre des conditions de correspondance existantes à 5 ou 6 uplets (5 uplets avec pare-feu utilisateur) existantes pour détecter les modifications apportées à l’application au fil du temps. Si le trafic correspond à la règle de stratégie de sécurité, une ou plusieurs actions définies dans la stratégie sont appliquées au trafic.

En ajoutant des applications dynamiques aux critères de correspondance, le trafic de données est classifié en fonction des résultats de l’inspection des applications de couche 7. AppID identifie les applications dynamiques ou en temps réel de couche 4 à 7. Une fois qu’une application particulière est identifiée et que la stratégie correspondante est trouvée, les actions sont appliquées en fonction de la stratégie.

Il n’est pas obligatoire de configurer des applications dynamiques en tant que critères de correspondance dans une stratégie de sécurité.

Voici des exemples de configuration d’applications dynamiques en tant que condition de correspondance au sein d’une stratégie de sécurité :

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE

Voici des exemples de configuration de groupes d’applications dynamiques en tant que condition de correspondance au sein d’une stratégie de sécurité :

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping

Avantages

  • Simplifie la gestion des politiques de sécurité basée sur les applications au niveau de la couche 7.

  • Permet à votre appareil de s’adapter aux changements dynamiques du trafic sur le réseau.

  • Offre un meilleur contrôle et une plus grande extensibilité pour gérer le trafic des applications dynamiques qu’une stratégie de sécurité traditionnelle.

Avant d’utiliser les stratégies unifiées sur les pare-feu SRX Series

Avec l’introduction de stratégies unifiées dans Junos OS version 18.2, certaines commandes sont déconseillées (plutôt que immédiatement supprimées) pour assurer la rétrocompatibilité. Cela vous permet de mettre votre ancienne configuration en conformité avec la nouvelle.

Lorsque vous effectuez une mise à niveau vers Junos OS versions 19.4R3 ou 20.2R3, le dispositif de sécurité affiche l’avertissement suivant lorsque vous tentez de valider la configuration incluant les commandes obsolètes :

Nous vous recommandons de migrer vers des stratégies unifiées pour mettre à jour votre configuration avec les fonctionnalités prises en charge.

Les sections suivantes fournissent des détails sur les configurations non prises en charge dans l’ancienne version et sur la façon dont vous pouvez les activer avec la nouvelle version.

Sécurité des applications

Stratégies unifiées
Junos OS version 15.1X49 (après Junos OS version 18.2)

Configurez des règles de pare-feu pour chaque application afin d’autoriser ou de rejeter le trafic en fonction des applications.

  • Configurez les règles et les ensembles de règles au niveau de la set security application-firewall hiérarchie.
  • Appliquer les fonctionnalités de pare-feu des applications

    set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services application-firewall rule-set.

Créez des politiques de sécurité avec des applications dynamiques comme critères de correspondance pour obtenir les mêmes fonctionnalités que le pare-feu d’applications.

set security policies from-zone <zone> to-zone <zone> policy <policy> match dynamic-application <application-name>

Exemple: Les exemples suivants montrent la différence entre la configuration du pare-feu d’application avec la version 15.1X49 et la configuration avec la version 19.4R3-S1 dans les stratégies unifiées. Nous utilisons un exemple de configuration de règles de pare-feu d'application pour bloquer les applications Facebook.

Avant la mise à niveau

Après la mise à niveau

Stratégies IDP

Stratégies unifiées
Junos OS version 15.1X49 (après Junos OS version 18.2)

Attribuez une stratégie IDP en tant que stratégie IDP active et utilisez-la comme critère de correspondance dans une stratégie de sécurité pour détecter et prévenir les intrusions.

Configurez plusieurs stratégies IDP et appliquez-les à la stratégie de sécurité. Vous pouvez même définir l’une des stratégies IDP comme stratégie par défaut.

  • Spécifiez une stratégie IDP active :

    set security idp active-policy <IDP policy name>

  • Appliquez la stratégie IDP dans la stratégie de sécurité :

    set security policies from-zone <zone> to-zone <zone> policy <policy> then permit application-services idp

Spécifiez plusieurs stratégies IDP par règle de pare-feu :

set security policies from-zone <zone> to-zone <zone> policy <policy-1> then permit application-services <IDP-policy-name-1>

set security policies from-zone <zone> to-zone <zone> policy <policy-2> then permit application-services <IDP-policy-name-2>

set security idp default-policy <IDP-policy name>

Exemple: Les exemples suivants montrent la différence entre la configuration IDP avec 15.1X49 et la configuration avec 19.4R3 dans les stratégies unifiées. Notez que, dans les stratégies unifiées, vous avez la possibilité de configurer plusieurs stratégies IDP.

Avant la mise à niveau

Après la mise à niveau

Sécurité du contenu

Stratégies unifiées
Junos OS version 15.1X49 (après Junos OS version 18.2)

Configurez les paramètres de la fonctionnalité de sécurité du contenu sous chaque profil de fonctionnalité.

  • set security utm feature-profile anti-virus

  • set security utm feature-profile anti-spam
  • set security utm feature-profile web-filtering
  • set security utm feature-profile content-filtering

Configurez les fonctionnalités de sécurité du contenu dans la configuration par défaut. La configuration par défaut de Content Security applique des paramètres que vous n’avez peut-être pas configurés pour une fonctionnalité de Content Security spécifique.

  • set security utm default-configuration anti-virus

  • set security utm default-configuration anti-spam
  • set security utm default-configuration web-filtering
  • set security utm default-configuration content-filtering

Exemple: Les exemples suivants montrent la différence entre la configuration de Content Security avec 15.1X49 et la configuration avec 19.4R3-S1 dans les stratégies unifiées. Nous utilisons un exemple de configuration de l'antivirus Sophos sur votre appareil de sécurité.

Avant la mise à niveau

Après la mise à niveau

Présentation de la configuration des stratégies unifiées

Les sections suivantes fournissent plus d’informations sur les stratégies unifiées :

Options de configuration dynamique des applications

Le Tableau 1 présente les options de configuration d’une stratégie unifiée avec des applications dynamiques.

Tableau 1 : options de configuration dynamique des applications

Options de configuration dynamique des applications

Description

Applications dynamiques ou groupes d’applications

Spécifiez des applications dynamiques ou un groupe d’applications dynamiques.

En voici quelques exemples :

  • junos:FTP (application dynamique)

  • junos:web:shopping (groupe d’application dynamique)

Quelconque

La configuration de l’application dynamique en tant qu’installe any la stratégie avec l’application en tant que caractère générique (par défaut). Si une application ne peut pas être spécifiée, configurez-la any en tant qu’application par défaut. Le trafic de données qui correspond aux paramètres d’une stratégie unifiée correspond à la stratégie, quel que soit le type d’application.

Aucun

La configuration de l’application dynamique en tant qu’ignore none les résultats de classification d’AppID et n’utilise pas l’application dynamique dans les recherches de stratégie de sécurité. Dans la liste des stratégies de correspondance potentielles, s’il existe une stratégie configurée avec une application dynamique en tant que none, cette stratégie correspond à la stratégie finale et est terminale. Si des services de couche 7 sont configurés dans cette stratégie, une inspection approfondie des paquets du trafic est effectuée.

Lors de la mise à niveau de la version de Junos OS (où les applications dynamiques n’étaient pas prises en charge), toutes les stratégies traditionnelles existantes sont considérées comme des stratégies avec l’application dynamique configurée en tant que none.

Application dynamique non configurée

Si une application dynamique n’est pas configurée dans une stratégie de sécurité, celle-ci est considérée comme une stratégie de sécurité traditionnelle Cette stratégie est similaire à une stratégie avec l’application dynamique configurée en tant que none.

À partir des versions 19.4R1 et 20.1R1 de Junos OS, la stratégie de sécurité ne prend pas en charge l’utilisation des applications suivantes comme critères de correspondance des applications dynamiques :

  • junos :HTTPS

  • junos :POP3S

  • junos :IMAPS

  • junos :SMTPS

La mise à niveau logicielle vers les versions 19.4R1 et 20.1R1 et ultérieures de Junos OS échoue pendant la validation si l’une des stratégies de sécurité est configurée avec junos :HTTPS, junos :POP3S, junos :IMAPS, junos :SMTPS comme applications dynamiques comme critères de correspondance.

Nous vous recommandons d’utiliser cetterequest system software validate package-name option avant de passer aux versions mentionnées ci-dessus.

Nous vous recommandons de supprimer toute configuration qui inclut les applications dynamiques junos :HTTPS, junos :IMAPS, junos :SMTPS ou junos :POP3S comme critères de correspondance dans les stratégies de sécurité.

Ports et protocoles par défaut comme critères de correspondance des applications

À partir de Junos OS version 18.2R1, l’option junos-defaults est introduite dans la configuration de la stratégie de sécurité en tant que critère de correspondance de l’application. Le junos-defaults groupe contient des instructions préconfigurées qui incluent des valeurs prédéfinies pour les applications courantes. Étant donné que les protocoles et les ports par défaut sont hérités de junos-defaults, il n’est pas nécessaire de les configurer explicitement de manière explicite, ce qui simplifie la configuration des stratégies de sécurité.

Dans l’exemple suivant, la stratégie de sécurité L7-test-policy utilise junos:HTTP comme application dynamique et hérite des ports TCP de destination : 80, 3128, 8000 et 8080 comme critères de correspondance de l’application.

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

Si l’application ne dispose pas de ports et de protocoles par défaut, elle utilise les ports et protocoles par défaut de l’application dépendante. Par exemple, junos :FACEBOOK-CHAT utilise les protocoles et les ports HTTP2, HTTPS et SPDY par défaut.

L’option junos-defaults doit être configurée en même temps qu’une application dynamique. Si vous configurez l’option sans spécifier d’application junos-defaults dynamique, un message d’erreur s’affiche et la validation de la configuration échoue. Utilisez la show security policies detail commande pour valider l’option junos-defaults .

Politique par défaut de pré-ID

Une stratégie unifiée exploite les informations de l’AppID pour qu’elles correspondent à l’application et prennent les mesures spécifiées dans la stratégie. Avant d’identifier l’application finale, il n’est pas possible de faire correspondre précisément la politique.

La stratégie par défaut de pré-ID permet temporairement à la session d’être créée afin que DPI puisse récupérer le paquet et effectuer l’identification de l’application (AppID).

À partir de Junos OS version 23.4R1, la stratégie par défaut antérieure à l’ID ( pre-id-default-policy ) refuse le flux avant d’effectuer l’identification de l’application (AppID) lorsqu’il n’existe aucune stratégie potentielle pour autoriser le flux.

Lorsque l’équipement reçoit le premier paquet d’un flux de trafic, il effectue la correspondance de base à 5 uplets et vérifie les stratégies potentielles définies pour déterminer comment traiter le paquet. Si l’action « refuser » de toutes les stratégies potentielles est « refuser » et que l’action de stratégie par défaut est également définie sur « refuser », l’appareil refuse le trafic et n’effectue pas d’identification de l’application (AppID).

Si une stratégie comporte une action autre que « refuser », l’appareil exécute une résolution pour identifier l’application.

L’appareil recherche d’éventuelles politiques sur le contexte de zone et le contexte global.

Actions de stratégie par défaut avant l’identification dynamique des applications

Avant qu’une application ne soit identifiée par l’ID d’application (AppID), les pre-id-default-policy options sont appliquées à la session. La valeur du délai d’expiration de session, ainsi que le mode de journalisation de session requis, sont appliqués en fonction de la pre-id-default-policy configuration. S’il n’y a pas de configuration dans la pre-id-default-policy strophe, les valeurs par défaut du délai d’expiration de session sont appliquées à la session et aucun journal n’est généré pour le pre-id-default-policyfichier .

Nous recommandons aux clients d’implémenter la set security policies pre-id-default-policy then log session-close configuration, comme indiqué ci-dessous, dans leurs propres environnements.

Cette configuration garantit que les journaux de sécurité sont générés par le pare-feu SRX Series si un flux ne peut pas quitter le pre-id-default-policy. Ces événements résultent généralement de l’incapacité de JDPI à classer correctement le trafic, bien qu’ils puissent également indiquer des tentatives potentielles d’échapper au moteur AppID.

Dans les versions récentes de Junos OS, la configuration d’usine par défaut d’un pare-feu SRX Series inclut la session-close configuration.

PRUDENCE:

La configuration de la journalisation session-init pour le pre-id-default-policy peut générer une grande quantité de journaux. Chaque session qui pénètre dans le pare-feu SRX Series et qui correspond initialement à la stratégie pre-id-default-policy génère un événement. Nous vous recommandons d’utiliser cette option uniquement à des fins de dépannage.

Utilisation globale des stratégies avec des stratégies unifiées

Lorsqu’une recherche de stratégie est implémentée, les stratégies de sécurité basées sur des zones sont prioritaires sur les stratégies globales.

Si la session correspond à une stratégie unifiée, que ce soit au niveau de la zone ou au niveau global, la stratégie est ajoutée à la liste des correspondances potentielles des stratégies. Si la session ne correspond pas à une stratégie au niveau de la zone, la correspondance de stratégie suivante se produit au niveau global. Les stratégies de niveau global ont les mêmes critères de correspondance que n’importe quelle autre stratégie de sécurité (par exemple : adresse source, adresse de destination, application, application dynamique, etc.).

Actions stratégiques unifiées

Dans une configuration de stratégie unifiée, spécifiez l’une des actions suivantes :

  • Permit (Autoriser) : autorise le trafic.

  • Refuser : abandonne le trafic et ferme la session.

  • Rejeter : notifie le client, abandonne le trafic et ferme la session.

Profil de redirection pour l’action de rejet

Stratégies unifiées, consignation des actions d’abandon et de rejet. Les stratégies unifiées n’informent pas les clients connectés des actions d’abandon et de rejet. Les clients ne savent pas que la page Web n’est pas accessible et peuvent continuer leurs tentatives d’y accéder.

À partir de Junos OS version 18.2R1, un profil de redirection peut être configuré au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez définir une réponse dans la stratégie unifiée pour avertir les clients connectés.

Pour fournir une explication de l’action ou pour rediriger le client vers une page Web informative, utilisez l’option au niveau de la redirect-message [edit security dynamic-application profile name] hiérarchie avec l’action de rejet ou de refus dans une configuration de stratégie unifiée pour afficher un message personnalisé.

Lorsque vous configurez l’option de redirection, vous pouvez spécifier le message personnalisé ou l’URL vers laquelle le client est redirigé.

Limites de la configuration d’un profil de redirection dans les stratégies unifiées

La configuration d’un profil de redirection dans les stratégies unifiées présente des limites. Il s’agit notamment de :

  • La prise en charge de l’action de redirection avec des messages de blocage avec une URL de redirection n’est pas disponible pour les applications non-HTTP ou non-HTTPS.

  • Une stratégie unifiée ne vérifie pas la validité et l’accessibilité d’une URL de redirection configurée par l’utilisateur.

  • Pour le traitement de texte clair, les paquets HTTP désordonnés ou les requêtes HTTP segmentées, les actions de stratégie disponibles sont rejeter ou refuser. Un profil de redirection n’est pas disponible.

  • Le profil de redirection ne peut être appliqué que dans les stratégies unifiées. L’action de rejet des stratégies de sécurité traditionnelles ne prend pas en charge une action de redirection avec des profils de messages de blocage ou une URL de redirection.

Profil proxy SSL pour l’action de rejet

À partir de Junos OS version 18.2R1, vous pouvez configurer un profil de redirection au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez appliquer un profil proxy SSL au trafic. Le proxy SSL déchiffre le trafic et la fonctionnalité d’identification des applications permet d’identifier l’application. Ensuite, vous pouvez prendre des mesures pour rediriger ou supprimer le trafic en fonction de la configuration.

Prenons l’exemple suivant :

Dans cet exemple, vous rejetez certaines des applications Facebook telles que chat, Farmville, etc. dans la politique « policy-1 ». Comme Facebook est une application cryptée, vous avez d’abord besoin d’un proxy SSL pour déchiffrer le trafic.

Dans cet exemple, la stratégie rejette le trafic Facebook chiffré et applique le profil proxy SSL configuré. Le proxy SSL déchiffre le trafic et JDPI identifie l’application.

La stratégie prend maintenant les mesures suivantes en fonction de votre configuration :

  • Redirige l’accès du client vers une autre URL et ferme la session d’origine.

  • Notifie le client à l’aide de messages texte prédéfinis et ferme la session

  • Ferme uniquement la session. Dans l’exemple, la stratégie ferme la session.

Critères et règles de correspondance pour des stratégies unifiées

Correspondance implicite et explicite unifiée des politiques

À partir de Junos OS version 18.2R1, la commande unified-policy-explicit-match est introduite au niveau de la [edit security policies] hiérarchie. Cette commande définit le comportement explicite et implicite de correspondance des stratégies et est désactivée par défaut.

  • Correspondance explicite : si une application dépendante n’a pas de stratégie de correspondance, le trafic est abandonné si la correspondance explicite est activée. Seules les stratégies de sécurité explicitement configurées pour l’application sont appliquées.

  • Correspondance implicite : si l’application dépendante n’a pas de stratégie de correspondance, la stratégie de sécurité configurée pour l’application de base est appliquée.

Par défaut, les stratégies unifiées appliquent des règles implicites aux applications dépendantes.

Dans l’exemple du tableau 2, la stratégie unifiée P3 est configurée pour le trafic FACEBOOK-ACCESS. HTTP est une application dépendante de FACEBOOK-ACCESS et aucune stratégie de sécurité n’est explicitement configurée pour elle.

Tableau 2 : exemple de correspondance explicite et implicite de stratégie pour une application dépendante

Application dynamique

Stratégie configurée

HTTP (en anglais)

Aucun

ACCÈS FACEBOOK

P3

Les résultats pour le comportement de correspondance implicite et explicite sont présentés dans le tableau 3.

Tableau 3 : Exemple de correspondance de stratégie (critères de correspondance implicite et explicite)

Application identifiée

Correspondance des stratégies

Type de règle explicite ou implicite

Résultat

Aucun

P3 (en anglais)

Implicite (explicite n’est pas activé)

L’application identifiée est HTTP. Il n’y a pas de stratégie de sécurité correspondante configurée pour HTTP. La correspondance explicite n’est pas activée (correspondance implicite), de sorte que le trafic est traité jusqu’à ce que FACEBOOK-ACCESS soit identifié. La politique de sécurité configurée pour FACEBOOK-ACCESS (stratégie P3) est appliquée.

HTTP (en anglais)

ACCÈS FACEBOOK

HTTP (en anglais)

Aucun

Explicite

L’application identifiée est HTTP. Il n’y a pas de stratégie de correspondance disponible pour HTTP. La correspondance explicite est activée, de sorte qu’aucune stratégie de sécurité n’est appliquée dans ce cas.

Chevauchement des profils pour les services de couche 7

Lors de l’utilisation de stratégies unifiées, si les résultats d’AppID n’ont pas encore identifié l’application finale, une recherche de stratégies peut renvoyer une liste de stratégies au lieu d’une stratégie fixe. Ces stratégies sont appelées stratégies de correspondance potentielle. Avant que l’application finale ne soit identifiée, un conflit peut se produire en raison de plusieurs correspondances de stratégie.

Dans ce cas, un profil approprié ou un profil par défaut est appliqué à des services tels que AppQoS, le proxy SSL, la sécurité du contenu et l’IDP.

Déséquilibre des politiques

Lorsque l’option policy rematch est activée, la stratégie unifiée permet à l’appareil de réévaluer une session active lorsque sa stratégie de sécurité associée est modifiée.

La session reste ouverte si elle continue à correspondre à la stratégie qui l’a autorisée initialement. La session se ferme si la stratégie associée est renommée, désactivée ou supprimée. Utilisez cette extensive option pour réévaluer une session active lorsque la stratégie de sécurité associée est renommée, désactivée ou supprimée.

Si la réappariation de stratégie est configurée dans une stratégie unifiée avant une correspondance finale, le comportement de réappariement peut entraîner la fermeture d’une session. Après la correspondance finale, une réappariation de stratégie déclenche une autre recherche de stratégie en fonction des critères de correspondance à 6 uplets et de l’application finale identifiée.

Configurer policy-rematch et les policy-rematch extensive options au niveau de la [edit security policies] hiérarchie.

Limites de la configuration de stratégies unifiées

La configuration de stratégies unifiées présente des limites. Il s’agit notamment de :

  • Une session existante peut se fermer dans les cas suivants :

    • Lorsqu’il y a un changement dans la correspondance finale de la stratégie.

    • Lorsqu’une nouvelle stratégie est insérée dans les stratégies existantes, et si cette nouvelle stratégie est configurée avec de nouveaux services.

    • Lorsqu’une stratégie de correspondance finale permet d’activer de nouveaux services après la création de la session et avant la correspondance finale.

  • Le VPN basé sur les stratégies n’est pas pris en charge pour les stratégies unifiées et ne peut être appliqué qu’à la stratégie traditionnelle.

  • Le traitement du trafic ALG sur les stratégies unifiées n’engage pas les fonctions ALG.
  • Les ALG sont appliquées lors de la mise en correspondance avec les stratégies de sécurité traditionnelles.
    • Les stratégies utilisant une condition de correspondance de dynamic-application as none sont traitées comme des stratégies classiques.
  • FTP est une exception à la prise en charge d’ALG sur les stratégies unifiées autorisant l’analyse de fichiers FTP pour Content Security Antivirus.
  • Une stratégie de sécurité configurée avec GPRS peut ne pas fonctionner si elle fait partie d’une liste de correspondances potentielles.

  • Une authentification par VPN de groupe et pare-feu utilisateur peut être appliquée à une stratégie de sécurité traditionnelle.

  • Les informations finales sur la correspondance des stratégies peuvent ne pas être disponibles dans les journaux d’initialisation de session pour les stratégies exploitant des applications dynamiques.

Exemple : Configurer une stratégie unifiée à l’aide d’un profil de message de redirection

Cet exemple décrit comment configurer une stratégie unifiée avec un profil de message de redirection. Dans cet exemple, vous configurez un profil de redirection avec une URL de redirection. Vous utilisez le profil de redirection comme message de blocage dans la stratégie de trafic dans les applications dynamiques GMAIL et FACEBOOK-CHAT. Simultanément, vous configurez l’application junos-defaults de manière à ce que le port et le protocole par défaut des applications dynamiques soient hérités en tant que critère de correspondance du port de destination et du protocole de la stratégie actuelle.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Pare-feu SRX Series exécutant Junos OS version 18.2R1. Cet exemple de configuration est testé avec Junos OS version 18.2R1.

Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, vous définissez le profil de redirection en tant que réponse lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet. Par le biais d’un profil de redirection, vous fournissez une explication de l’action ou vous redirigez la demande du client vers une page Web informative lorsque l’action de rejet ou de refus est appliquée dans une stratégie de sécurité.

Pour atteindre ces objectifs, vous devez effectuer les tâches suivantes :

  • Configurez le profil de redirection avec une URL de redirection telle que http://abc.company.com/information/block-message et utilisez-la dans la stratégie comme message de blocage.

  • Configurez les critères source-address de correspondance de la politique de sécurité et destination-address avec la valeur any.

  • Configurez l’application avec junos-defaults, de sorte que le port et le protocole par défaut de soient hérités en tant que critère de correspondance du port de destination et du protocole de dynamic-application la stratégie actuelle.

  • Configurez dynamic-application avec [junos:GMAIL, junos:FACEBOOK-CHAT] afin que la stratégie puisse appliquer le profil de message de blocage sur les applications.

Configuration

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.

Pour configurer une stratégie unifiée avec un profil de message de redirection :

  1. Configurez les zones de sécurité.

  2. Créez un profil pour le message de redirection.

  3. Créez une politique de sécurité avec une application dynamique comme critère de correspondance.

  4. Définissez l’action de stratégie.

Résultats

En mode configuration, confirmez votre configuration en entrant les show security policies commandes and show security dynamic-application . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification de la configuration unifiée des politiques

But

Vérifiez que la configuration de la stratégie unifiée est correcte.

Action

À partir du mode opérationnel, entrez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité sur l’appareil.

À partir du mode opérationnel, entrez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’appareil.

Signification

La sortie affiche des informations sur toutes les sessions de sécurité actuellement actives sur l’appareil. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

  • Applications dynamiques configurées

  • Action de rejet de stratégie

Configurer une catégorie d’URL avec des stratégies unifiées

Comprendre la catégorie d’URL avec les stratégies unifiées

À partir de la version 18.4R1 de Junos OS, la fonctionnalité de stratégies unifiées a été améliorée pour inclure les catégories d’URL comme critères de correspondance pour les catégories de filtrage Web. Les catégories d’URL peuvent être configurées selon des politiques unifiées, avec ou sans application dynamique. .

Lorsque la catégorie d’URL est configurée en tant que url-category any stratégie, la stratégie correspond à toutes les catégories de trafic configurées pour les stratégies unifiées.

Lorsque la catégorie d’URL est configurée en tant que url-category none stratégie, la catégorie d’URL n’est pas utilisée dans la recherche de stratégie. La stratégie unifiée configurée avec url-category none est considérée comme la priorité la plus élevée pour la correspondance de stratégie pour un trafic. Lorsque la catégorie d’URL d’une stratégie n’est pas configurée ou lorsque vous mettez à niveau un appareil de la version précédente vers la dernière version, la catégorie d’URL de toutes les stratégies est considérée comme url-category none.

Limites de la catégorie d’URL avec des stratégies unifiées

L’utilisation de catégories d’URL dans une stratégie unifiée présente les limitations suivantes :

  • Seuls les ports généralement utilisés, tels que les trafics HTTP et HTTPs, sont pris en charge par url-category. Par conséquent, la recherche de stratégie prend en charge les trafics HTTP et HTTPs.

Exemple : Configuration d’une stratégie unifiée à l’aide d’une catégorie d’URL

Cet exemple décrit comment configurer une stratégie unifiée avec une catégorie d’URL.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Pare-feu SRX Series exécutant Junos OS version 18.4R1. Cet exemple de configuration est testé avec Junos OS version 18.4R1.

Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, la catégorie URL est ajoutée à la stratégie de sécurité en tant que critère de correspondance pour la catégorie de filtrage Web.

Pour atteindre ces objectifs, vous devez effectuer les tâches suivantes :

  • Configurez les critères source-address de correspondance de la politique de sécurité et destination-address avec la valeur any.

  • Configurez l’application avec junos-defaults, de sorte que le port et le protocole par défaut de soient hérités en tant que critère de correspondance du port de destination et du protocole de dynamic-application la stratégie actuelle.

  • Configurez dynamic-application avec [junos:GMAIL, junos:FACEBOOK-CHAT] afin que la stratégie puisse appliquer le profil de message de blocage sur les applications.

  • Configurez url-category avec Enhanced_News_and_Media des critères de correspondance pour la catégorie de filtrage Web.

Configuration

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Configuration rapide de la CLI
Procédure étape par étape
Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.

Pour configurer une stratégie unifiée avec un profil de message de redirection :

  1. Configurez les zones de sécurité.

  2. Créez une politique de sécurité avec une catégorie d’URL comme critère de correspondance.

  3. Définissez l’action de stratégie.

Résultats

En mode configuration, confirmez votre configuration en entrant les show security policies commandes and show security dynamic-application . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification de la configuration unifiée des politiques
But

Vérifiez que la configuration de la stratégie unifiée est correcte.

Action

À partir du mode opérationnel, entrez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité sur l’appareil.

Signification

La sortie affiche des informations sur toutes les sessions de sécurité actuellement actives sur l’appareil. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

  • Applications dynamiques configurées

  • Catégorie d’URL configurée

  • Action de rejet de stratégie

Configurer les applications dans le cadre de stratégies unifiées

Applications dans les politiques unifiées

À partir de Junos OS version 19.1R1, la configuration de l’instruction application au niveau de la [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] hiérarchie est facultative si l’instruction dynamic-application est configurée au même niveau hiérarchique.

Dans les versions antérieures à Junos OS version 19.1R1, il est obligatoire de configurer l’instruction application même si elle dynamic-application est configurée.

  • Lorsque l’option application est définie, c’est l’application définie qui est utilisée.

  • Lorsque l’option n’est application pas définie et que l’option dynamic-application est définie comme any, l’application any est implicitement ajoutée.

  • Lorsque l’option n’est application pas définie et que l’option est définie (et n’est dynamic-application pas configurée en tant que any), l’application junos-defaults est implicitement ajoutée.

Exemple : Configurer une stratégie unifiée à l’aide d’applications dynamiques

Cet exemple décrit comment configurer une stratégie unifiée à l’aide d’applications dynamiques.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Pare-feu SRX Series exécutant Junos OS version 19.1R1. Cet exemple de configuration est testé avec Junos OS version 19.1R1.

Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, les applications dynamiques sont ajoutées à la stratégie de sécurité en tant que critères de correspondance.

Pour atteindre ces objectifs, effectuez les tâches suivantes :

  • Configurez les critères source-address de correspondance de la politique de sécurité et destination-address avec la valeur any.

  • Configurer dynamic-application avec [junos:CNN, junos:BBC] pour que la stratégie puisse autoriser les applications junos :CNN et junos :BBC.

Configuration

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Configuration rapide de la CLI
Procédure étape par étape
Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.

Pour configurer une stratégie unifiée à l’aide d’applications dynamiques :

  1. Configurez les zones de sécurité.

  2. Créez une politique de sécurité avec une application dynamique comme critère de correspondance.

  3. Définissez l’action de stratégie.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification de la configuration unifiée des politiques
But

Vérifiez que la configuration de la stratégie unifiée est correcte.

Action

À partir du mode opérationnel, entrez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité sur l’appareil.

À partir du mode opérationnel, entrez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’appareil.

Signification

La sortie affiche des informations sur toutes les sessions de sécurité actuellement actives sur l’appareil. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

    Note:

    Le Applications champ est renseigné automatiquement et sa valeur junos-defaults est ajoutée implicitement.

  • Applications dynamiques configurées

  • Mesures politiques

Configurer des micro-applications dans le cadre de politiques unifiées

À partir de Junos OS version 19.2R1, vous pouvez configurer des micro-applications dans une stratégie unifiée. Les micro-applications sont des sous-fonctions d’une application. Les micro-applications permettent un contrôle granulaire d’une application au niveau d’une sous-fonction au lieu de bloquer ou d’autoriser l’application entière. Par défaut, la détection des micro-applications est désactivée.

Le module d’identification des applications (AppID) détecte une application au niveau d’une sous-fonction sur votre réseau. Les stratégies de sécurité exploitent les informations d’identité de l’application déterminées par le module AppID. Une fois qu’une application spécifique est identifiée, une action telle qu’autoriser, refuser, rejeter ou rediriger est appliquée au trafic en fonction de la stratégie configurée sur l’appareil. Vous devez activer la détection des micro-applications pour les utiliser dans une stratégie de sécurité. Reportez-vous à la section Activation et désactivation de la détection des micro-applications.

Limiter le nombre de recherches de stratégies

Pour traiter une stratégie, la recherche de stratégie doit renvoyer l’état de correspondance final de l’application. Lors de l’utilisation d’une micro-application, la classification des applications n’atteint pas l’état de correspondance final , car la micro-application change constamment au cours de la session. Étant donné que la micro-application passe d’une transaction à l’autre, un nombre illimité de recherches de stratégies est tentée.

Utilisez l’instruction unified-policy max-lookups au niveau de la [edit security policies] hiérarchie pour limiter le nombre de recherches de stratégie.

Configurer des micro-applications

Pour autoriser une application de base et toutes ses micro-applications dépendantes, vous pouvez configurer une stratégie unifiée en spécifiant l’application de base comme critère de correspondance. Il n’est pas nécessaire de spécifier explicitement chaque application dépendante en tant que critère de correspondance pour la stratégie. Par exemple, si vous spécifiez l'application junos-MODBUS de base comme critère de correspondance dans une stratégie unifiée, vous n'avez pas besoin de configurer les micro-applications de l junos-MODBUS 'application (junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL) en tant que critères de correspondance pour la stratégie.

Si vous souhaitez définir une stratégie unifiée pour le contrôle au niveau granulaire, vous devez spécifier les micro-applications de l’application de base en tant que critères de correspondance pour la stratégie. Vous ne devez pas définir l’application de base en tant que critère de correspondance dans la stratégie. Pour une configuration des stratégies plus précise, spécifiez-les junos:MODBUS-READ-COILS en tant que critères correspondants dans une stratégie unifiée. Assurez-vous que l’application junos:MODBUS de base n’est pas définie comme un critère de correspondance dans la même stratégie unifiée.

Recherche de stratégies avec des micro-applications

La détection des micro-applications est désactivée par défaut. Pour utiliser des micro-applications comme critères de correspondance pour la recherche de stratégie, vous devez activer la détection des micro-applications, puis les spécifier en tant que critères de correspondance pour la stratégie unifiée. Si vous n’avez pas activé la détection des micro-applications, le module d’identification des applications (AppID) ne détecte aucune micro-application et considère l’application de base comme critère de correspondance final. Par exemple, considérons l’application junos-:MODBUS de base qui a deux micro-applications junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL:

  • Si vous n’avez pas activé la détection des micro-applications, junos:MODBUS est considéré comme l’état de correspondance final pour la classification AppID. Si vous activez des micro-applications, vous pouvez les configurer dans une stratégie unifiée comme n’importe quelle autre application dynamique prédéfinie. Cette micro-application est utilisée pour la recherche de stratégies.

  • Si vous avez activé la détection des micro-applications, le module AppID considère junos:MODBUS l’état d’avant-match . Lorsque le module AppID détecte ou junos:MODBUS-READ-COILS junos:MODBUS-WRITE-SINGLE-COIL, AppID considère ce résultat comme l’état de correspondance final et procède à la recherche de stratégie à l’aide de ce critère de correspondance.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
Modification terminée
Modification terminée
Modification terminée