Stratégies de sécurité unifiées
Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques en tant que conditions de correspondance dans le cadre des conditions de correspondance de 5 tuple ou 6 tuple (5 tuple avec le pare-feu utilisateur) existantes pour détecter les modifications des applications au fil du temps.
Présentation des stratégies unifiées
À partir de la version 18.2R1 de Junos OS, les stratégies unifiées sont prises en charge sur les pare-feu SRX Series, ce qui permet un contrôle et une application granulaires des applications dynamiques de couche 7 dans la stratégie de sécurité.
Les stratégies unifiées sont les stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques en tant que conditions de correspondance dans le cadre des conditions de correspondance de 5 tuple ou 6 tuple (5 tuple avec le pare-feu utilisateur) existantes pour détecter les modifications des applications au fil du temps. Si le trafic correspond à la règle de stratégie de sécurité, une ou plusieurs actions définies dans la stratégie sont appliquées au trafic.
En ajoutant des applications dynamiques aux critères de correspondance, le trafic de données est classé en fonction des résultats d’inspection des applications de couche 7. AppID identifie les applications dynamiques ou en temps réel de couche 4 à couche 7. Une fois qu’une application particulière est identifiée et que la stratégie correspondante est trouvée, les actions sont appliquées en fonction de la stratégie.
Il n’est pas obligatoire de configurer les applications dynamiques en tant que critères de correspondance dans une stratégie de sécurité.
Voici des exemples de configuration d’applications dynamiques en tant que condition de correspondance au sein d’une stratégie de sécurité :
set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTPset security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTPset security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE
Voici des exemples de configuration de groupes d’applications dynamiques en tant que condition de correspondance dans une stratégie de sécurité :
set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2pset security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping
Avantages
Simplifie la gestion des stratégies de sécurité basée sur les applications au niveau de la couche 7.
Permet à votre équipement de s’adapter aux changements dynamiques du trafic sur le réseau.
Offre un contrôle et une extensibilité plus importants pour gérer le trafic dynamique des applications qu’une stratégie de sécurité traditionnelle.
Présentation de la configuration des stratégies unifiées
Les sections suivantes fournissent plus d’informations sur les stratégies unifiées :
- Options de configuration dynamique des applications
- Ports et protocoles par défaut comme critères de correspondance des applications
- Actions de stratégie par défaut avant l’identification dynamique des applications
- Utilisation des stratégies globales avec des stratégies unifiées
- Actions de stratégie unifiée
- Rediriger le profil vers l’action de rejet
- Profil de proxy SSL pour l’action de rejet
- Critères et règles de correspondance pour les stratégies unifiées
- Limitations de la configuration des stratégies unifiées
Options de configuration dynamique des applications
Le tableau 1 fournit des options pour configurer une stratégie unifiée avec des applications dynamiques.
Options de configuration dynamique des applications |
Description |
|---|---|
Applications ou groupes d’applications dynamiques |
Spécifiez des applications dynamiques ou un groupe d’applications dynamiques. Les exemples sont les suivants :
|
Tout |
La configuration de l’application dynamique en tant qu’installation |
Aucun |
La configuration de l’application Lors de la mise à niveau de la version Junos OS (où les applications dynamiques n’étaient pas prises en charge), toutes les stratégies traditionnelles existantes sont considérées comme des stratégies avec l’application dynamique configurée en tant que |
Application dynamique non configurée |
Si une application dynamique n’est pas configurée dans une stratégie de sécurité, la stratégie est considérée comme une stratégie de sécurité traditionnelle Cette stratégie est similaire à une stratégie avec l’application dynamique configurée comme |
À partir des versions 19.4R1 et 20.1R1 de Junos OS, la stratégie de sécurité ne prend pas en charge l’utilisation des applications suivantes car les applications dynamiques correspondent aux critères suivants :
junos:HTTPS
junos:POP3S
junos:IMAPS
junos:SMTPS
La mise à niveau logicielle vers les versions 19.4R1 et 20.1R1 de Junos OS et les versions ultérieures échouent lors de la validation si l’une des stratégies de sécurité est configurée avec junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS en tant qu’applications dynamiques comme critère de correspondance.
Nous vous recommandons d’utiliser cetterequest system software validate package-name option avant de passer aux versions susmentionnées.
Nous vous recommandons de supprimer toute configuration comprenant junos:HTTPS, junos:IMAPS, junos:SMTPS ou junos:POP3S en tant que critères de correspondance dans les stratégies de sécurité.
Ports et protocoles par défaut comme critères de correspondance des applications
À partir de la version 18.2R1 de Junos OS, l’option est introduite dans la junos-defaults configuration des stratégies de sécurité en tant que critères de correspondance des applications. Le junos-defaults groupe contient des instructions préconfigurées qui incluent des valeurs prédéfinies pour les applications courantes. Comme les protocoles et les ports par défaut sont hérités de junos-defaults, il n’est pas nécessaire de configurer explicitement les ports et les protocoles, ce qui simplifie la configuration des stratégies de sécurité.
Dans l’exemple suivant, la stratégie de sécurité L7-test s’utilise junos:HTTP comme application dynamique et hérite des ports TCP de destination : 80, 3128, 8000 et 8080 comme critère de correspondance de l’application.
set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP
Si l’application n’a pas de ports et de protocoles par défaut, elle utilise les ports et protocoles par défaut de l’application dépendante. Par exemple, junos:FACEBOOK-CHAT utilise des protocoles et des ports par défaut HTTP2, HTTPS et SPDY.
L’option junos-defaults doit être configurée avec une application dynamique. Si vous configurez l’option junos-defaults sans spécifier d’application dynamique, un message d’erreur s’affiche et la validation de configuration échoue. Utilisez la show security policies detail commande pour valider l’option junos-defaults .
Actions de stratégie par défaut avant l’identification dynamique des applications
Avant qu’une application ne soit identifiée par l’identification d’application (AppID), les pre-id-default-policy options sont appliquées à la session. La valeur du délai d’expiration de session, ainsi que le mode de journalisation des sessions requis, sont appliqués en fonction de la pre-id-default-policy configuration. S’il n’y a pas de configuration dans la pre-id-default-policy strophe, les valeurs de timeout de session par défaut sont appliquées à la session et aucun journal n’est généré pour le pre-id-default-policy.
Nous recommandons aux clients d’implémenter la set security policies pre-id-default-policy then log session-close configuration, comme illustré ci-dessous, dans leurs propres environnements.
# show security policies pre-id-default-policy
then {
log {
session-close;
}
}
Cette configuration garantit que les journaux de sécurité sont générés par le SRX si un flux ne peut pas quitter le pre-id-default-policy. Ces événements s’expliquent généralement par l’incapacité du JDPI à classer correctement le trafic, bien qu’ils puissent également indiquer des tentatives potentielles d’échapper au moteur APPID.
Dans les versions récentes de Junos OS, la configuration par défaut d’un SRX inclut la session-close configuration.
La configuration de la pre-id-default-policy journalisation de session init peut générer une grande quantité de journaux. Chaque session entrant dans le SRX qui correspond initialement à la pré-id-default-policy génère un événement. Nous vous recommandons d’utiliser cette option uniquement à des fins de dépannage.
Utilisation des stratégies globales avec des stratégies unifiées
Lorsqu’une recherche de stratégie est implémentée, les stratégies de sécurité basées sur des zones sont priorisées par rapport aux stratégies globales. À partir de la version 18.2R1 de Junos OS, si une stratégie unifiée est configurée dans les stratégies de sécurité basées sur les zones, la recherche de stratégie globale n’est pas effectuée. Avant la version 18.2R1 de Junos OS, si aucune stratégie basée sur la zone n’est associée, une recherche de stratégie globale est effectuée.
À partir de la version 20.4R1 de Junos OS, les pare-feu SRX Series prennent en charge des stratégies unifiées à la fois au niveau du contexte de zone et des stratégies globales. Dans les versions précédentes, les stratégies unifiées ne supportaient que les stratégies en contexte de zone.
Si la session correspond à une stratégie unifiée, au niveau de la zone ou au niveau global, elle est ajoutée à la liste de correspondance des stratégies potentielles. Si la session ne correspond pas à une stratégie au niveau de la zone, alors la prochaine correspondance de stratégie se produit au niveau global. Les stratégies globales ont les mêmes critères de correspondance que n’importe quelle autre stratégie de sécurité (par exemple : adresse source, adresse de destination, application, application dynamique, etc.).
Actions de stratégie unifiée
Dans une configuration de stratégie unifiée, spécifiez l’une des actions suivantes :
Autoriser : autoriser le trafic.
Refuser : abandonnez le trafic et fermez la session.
Rejeter : avertissez le client, abandonnez le trafic et fermez la session.
Rediriger le profil vers l’action de rejet
Les stratégies unifiées consignent les actions d’abandon et de rejet. Les stratégies unifiées n’informent pas les clients connectés des actions d’abandon et de rejet. Les clients ne savent pas que la page Web n’est pas accessible et peuvent poursuivre leurs tentatives d’accès.
À partir de la version 18.2R1 de Junos OS, un profil de redirection peut être configuré au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez définir une réponse dans la stratégie unifiée pour notifier les clients connectés.
Pour fournir une explication de l’action ou rediriger le client vers une page Web informative, utilisez l’option redirect-message au [edit security dynamic-application profile name] niveau hiérarchique avec l’action de rejet ou de refus dans une configuration de stratégie unifiée pour afficher un message personnalisé.
Lorsque vous configurez l’option de redirection, vous pouvez spécifier le message personnalisé ou l’URL vers laquelle le client est redirigé.
Limitations de la configuration d’un profil de redirection dans des stratégies unifiées
La configuration d’un profil de redirection dans des stratégies unifiées comporte des limites. Ils comprennent :
La prise en charge de l’action de redirection avec les messages de blocage avec une URL de redirection n’est pas disponible pour les applications non-HTTP ou non HTTPS.
Une stratégie unifiée ne vérifie pas la validité et l’accessibilité d’une URL de redirection configurée par l’utilisateur.
Pour le traitement de texte clair, les paquets HTTP hors d’usage ou les requêtes HTTP segmentées, les actions de stratégie disponibles sont rejetées ou refusées. Aucun profil de redirection n’est disponible.
Le profil de redirection peut être appliqué uniquement dans des stratégies unifiées. L’action de rejet des stratégies de sécurité traditionnelles ne prend pas en charge une action de redirection avec des profils de message bloqués ou une URL de redirection.
Profil de proxy SSL pour l’action de rejet
À partir de la version 18.2R1 de Junos OS, vous pouvez configurer un profil de redirection dans une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez appliquer un profil proxy SSL au trafic. Le proxy SSL déchiffre le trafic et la fonctionnalité d’identification des applications identifie l’application. Ensuite, vous pouvez effectuer des actions pour rediriger ou abandonner le trafic selon la configuration.
Prenons l’exemple suivant :
Dans cet exemple, vous rejetez certaines des applications Facebook telles que chat, Farmville, etc. dans la politique « policy-1 ». Comme Facebook est une application chiffrée, vous avez besoin d’un proxy SSL pour déchiffrer le trafic en premier.
policy policy-1 {
match {
source-address any;
destination-address any;
application any;
dynamic-application [ junos:FACEBOOK-CHAT junos:FACEBOOK-FARMVILLE junos:FACEBOOK-MOBILE-CHAT junos:FACEBOOK-SUPERPOKE junos:FACEBOOK-WINDOWSLIVEMESSENGER junos:FACEBOOK-VIDEO ];
}
then {
reject {
ssl-proxy {
profile-name test;
}
}
log {
session-init;
session-close;
}
}
}
Dans cet exemple, la stratégie rejette le trafic Facebook chiffré et applique le profil de proxy SSL configuré. Le proxy SSL déchiffre le trafic et JDPI identifie l’application.
Désormais, la stratégie prend les mesures suivantes en fonction de votre configuration :
Redirige l’accès client vers une autre URL et ferme la session d’origine.
Informe le client à l’aide de messages texte prédéfinis et ferme la session
Ferme la session uniquement. Dans l’exemple, la stratégie ferme la session.
Critères et règles de correspondance pour les stratégies unifiées
- Correspondance explicite et implicite des stratégies unifiées
- Chevauchement des profils pour les services de couche 7
- Correspondance des stratégies
Correspondance explicite et implicite des stratégies unifiées
À partir de la version 18.2R1 de Junos OS, la commande unified-policy-explicit-match est introduite au niveau de la [edit security policies] hiérarchie. Cette commande définit le comportement explicite et implicite de la correspondance des stratégies et est désactivée par défaut.
Correspondance explicite : si une application dépendante ne dispose d’aucune stratégie de correspondance, le trafic est supprimé si la correspondance explicite est activée. Seules les stratégies de sécurité explicitement configurées pour l’application sont appliquées.
Correspondance implicite : si l’application dépendante ne dispose d’aucune stratégie de correspondance, alors la stratégie de sécurité configurée pour l’application de base est appliquée.
Par défaut, les stratégies unifiées appliquent des règles implicites sur les applications dépendantes.
Dans l’exemple illustré dans le tableau 2, la stratégie unifiée P3 est configurée pour le trafic FACEBOOK-ACCESS. HTTP est une application dépendante de FACEBOOK-ACCESS et n’a aucune stratégie de sécurité explicitement configurée pour elle.
Application dynamique |
Stratégie configurée |
|---|---|
HTTP |
Aucun |
ACCÈS FACEBOOK |
|
Les résultats pour le comportement de correspondance implicite et explicite sont affichés dans le tableau 3.
Application identifiée |
Correspondance des stratégies |
Type de règle explicite ou implicite |
Résultat |
|---|---|---|---|
Aucun |
P3 |
Implicite (l’explicit n’est pas activé) |
L’application identifiée est HTTP. Aucune stratégie de sécurité correspondante n’est configurée pour HTTP. La correspondance explicite n’est pas activée (correspondance implicite), de sorte que le trafic est traité plus avant que FACEBOOK-ACCESS soit identifié. La stratégie de sécurité configurée pour FACEBOOK-ACCESS (stratégie P3) est appliquée. |
HTTP |
|||
ACCÈS FACEBOOK |
|||
HTTP |
Aucun |
Explicite |
L’application identifiée est HTTP. Aucune stratégie de correspondance n’est disponible pour HTTP. La correspondance explicite est activée, de sorte qu’aucune stratégie de sécurité n’est appliquée dans ce cas. |
Chevauchement des profils pour les services de couche 7
Lorsque vous utilisez des stratégies unifiées, si les résultats AppID n’ont pas encore identifié l’application finale, une recherche de stratégies peut renvoyer une liste de stratégies au lieu d’une stratégie fixe. Ces stratégies sont appelées stratégies de correspondance potentielle. Avant que la dernière application ne soit identifiée, un conflit peut survenir en raison de plusieurs correspondances de stratégies.
Dans ce cas, un profil approprié ou un profil par défaut est appliqué pour les services tels que AppQoS, proxy SSL, Content Security et IDP.
Correspondance des stratégies
Lorsque l’option policy rematch est activée, la stratégie unifiée permet à l’équipement de réévaluer une session active lorsque la stratégie de sécurité associée est modifiée.
La session reste ouverte si elle continue de correspondre à la stratégie qui a permis la session initialement. La session se termine si la stratégie associée est renommée, désactivée ou supprimée. Utilisez l’option extensive pour réévaluer une session active lorsque sa stratégie de sécurité associée est renommée, désactivée ou supprimée.
Si la correspondance est configurée dans une stratégie unifiée avant une correspondance finale, le comportement de la correspondance peut entraîner une fermeture de session. Après la correspondance finale, une correspondance de stratégie déclenche une autre recherche de stratégie en fonction des critères de correspondance de 6 tuple et de la dernière application identifiée.
Configurez policy-rematch et les policy-rematch extensive options au niveau de la [edit security policies] hiérarchie.
Limitations de la configuration des stratégies unifiées
La configuration des stratégies unifiées comporte des limites. Ils comprennent :
-
Une session existante peut se fermer dans les cas suivants :
-
Lorsqu’il y a un changement dans la correspondance finale pour la politique.
-
Lorsqu’une nouvelle stratégie est insérée dans les stratégies existantes, et si cette nouvelle stratégie est configurée avec de nouveaux services.
-
Lorsqu’une stratégie de correspondance finale active de nouveaux services après la création de la session et avant la correspondance finale.
-
-
Un VPN basé sur des stratégies n’est pas pris en charge pour les stratégies unifiées et ne peut être appliqué qu’à la stratégie traditionnelle.
- Le traitement du trafic ALG sur les stratégies unifiées n’engage pas les fonctions ALG.
- Les ALG sont appliquées lors de la correspondance avec les stratégies de sécurité traditionnelles.
- Les stratégies utilisant une condition de correspondance sont
dynamic-application as nonetraitées comme des stratégies traditionnelles .
- Les stratégies utilisant une condition de correspondance sont
- LE FTP est une exception à la prise en charge d’ALG sur les stratégies unifiées permettant d’analyser les fichiers FTP à la recherche de Content Security Antivirus.
- Nécessite l’utilisation de
dynamic-application anyoudynamic-application junos:FTP. - Voir Activation de l’analyse antivirus FTP (procédure CLI)
- Nécessite l’utilisation de
-
Une stratégie de sécurité configurée avec GPRS peut ne pas fonctionner si elle fait partie d’une liste de correspondances potentielle.
-
Une authentification VPN de groupe et pare-feu utilisateur peut être appliquée à une stratégie de sécurité traditionnelle.
-
Les informations de correspondance finale des stratégies peuvent ne pas être disponibles dans les journaux session-init pour les stratégies exploitant des applications dynamiques.
Voir aussi
Exemple : configurer une stratégie unifiée à l’aide d’un profil de message de redirection
Cet exemple explique comment configurer une stratégie unifiée avec un profil de message de redirection. Dans cet exemple, vous configurez un profil de redirection avec une URL de redirection. Vous utilisez le profil de redirection comme message de blocage dans la stratégie pour le trafic dans les applications dynamiques GMAIL et FACEBOOK-CHAT. Simultanément, vous configurez l’application junos-defaults de sorte que le port et le protocole par défaut des applications dynamiques soient hérités en fonction des critères de port de destination et de protocole de la stratégie actuelle.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series exécutant Junos OS version 18.2R1. Cet exemple de configuration est testé avec Junos OS version 18.2R1.
Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous définissez le profil de redirection en tant que réponse lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet. Par le biais d’un profil de redirection, vous fournissez une explication de l’action ou redirigez la demande du client vers une page Web informative lorsque l’action de rejet ou de refus est appliquée dans une stratégie de sécurité.
Pour atteindre ces objectifs, vous effectuez les tâches suivantes :
Configurez le profil de redirection avec une URL de redirection telle que http://abc.company.com/information/block-message et utilisez-la dans la stratégie comme message de blocage.
Configurez les critères
source-addressde la stratégie de sécurité etdestination-addressavec la valeurany.Configurez l’application avec
junos-defaults, de sorte que le port et le protocoledynamic-applicationpar défaut soient hérités comme les critères de correspondance du port de destination et du protocole de la stratégie actuelle.Configurez
dynamic-applicationavec[junos:GMAIL, junos:FACEBOOK-CHAT]pour que la stratégie puisse appliquer le profil de message de bloc sur les applications.
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security zones security-zone trust set security zones security-zone untrust set security dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procédure
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à l’utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie unifiée avec un profil de message de redirection :
Configurez des zones de sécurité.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Créez un profil pour le message de redirection.
[edit security] user@host# set dynamic-application profile profile1 redirect-message type redirect-url content http://abc.company.com/information/block-message
Créez une stratégie de sécurité avec une application dynamique comme critère de correspondance.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Définissez l’action de la stratégie.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show security dynamic-application . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]user@host#show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; } then { reject { profile profile1; } } } }
[edit]user@host#show security dynamic-application profile profile1 { redirect-message { type { redirect-url { content http://abc.company.com/information/block-message; } } } }
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérification de la configuration des stratégies unifiées
But
Vérifiez que la configuration des stratégies unifiées est correcte.
Action
Depuis le mode opérationnel, saisissez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité sur l’équipement.
user@host> show security policies
Default policy: deny-all
Pre ID default policy: permit-all
From zone: trust, To zone: untrust
Policy: p2, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:GMAIL, junos:FACEBOOK-CHAT
dynapp-redir-profile: profile1
Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’équipement.
user@host> show security policies detail
Default policy: deny-all
Pre ID default policy: permit-all
Policy: p2, action-type: reject, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [443-443]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [5432-5432]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [80-80]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [3128-3128]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8000-8000]
IP protocol: 6, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [8080-8080]
IP protocol: 17, ALG: 0, Inactivity timeout: 60
Source port range: [0-0]
Destination port range: [1-65535]
Dynamic Application:
junos:GMAIL: 51
dynapp-redir-profile: profile1
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: NoSens
Le résultat affiche des informations sur toutes les sessions de sécurité actives sur l’équipement. Vérifiez les informations suivantes :
Nom de la stratégie configurée
Adresses source et de destination
Applications configurées
Applications dynamiques configurées
Action de rejet de stratégie
Configurer une catégorie d’URL avec des stratégies unifiées
- Comprendre la catégorie d’URL avec des stratégies unifiées
- Exemple : configuration d’une stratégie unifiée à l’aide d’une catégorie d’URL
Comprendre la catégorie d’URL avec des stratégies unifiées
À partir de la version 18.4R1 de Junos OS, la fonctionnalité de stratégies unifiées est améliorée pour inclure des catégories d’URL comme critères de correspondance pour la catégorie de filtrage Web. Les catégories d’URL peuvent être configurées en stratégies unifiées avec ou sans application dynamique appliquée. .
Lorsque la catégorie d’URL est configurée en fonction url-category any d’une stratégie, celle-ci fait correspondre toutes les catégories de trafic configurées aux stratégies unifiées.
Lorsque la catégorie URL est configurée en tant que url-category none stratégie, la catégorie URL n’est pas utilisée dans la recherche de stratégie. La stratégie unifiée configurée avec url-category none est considérée comme la priorité absolue pour correspondre à la stratégie d’un trafic. Lorsque la catégorie URL d’une stratégie n’est pas configurée, ou lorsque vous mettez à niveau un équipement d’une version précédente vers la dernière version, la catégorie URL de toutes les stratégies est considérée comme url-category none.
Limites des catégories d’URL avec des stratégies unifiées
L’utilisation de catégories d’URL dans une stratégie unifiée comporte les limites suivantes :
Seuls les ports généralement utilisés, tels que les trafics HTTP et HTTPs, sont pris en charge par
url-category. Par conséquent, la recherche de stratégies prend en charge les trafics HTTP et HTTPs.
Exemple : configuration d’une stratégie unifiée à l’aide d’une catégorie d’URL
Cet exemple explique comment configurer une stratégie unifiée avec une catégorie d’URL.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series exécutant Junos OS version 18.4R1. Cet exemple de configuration est testé avec junos OS version 18.4R1.
Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, une catégorie URL est ajoutée à la stratégie de sécurité en tant que critère de correspondance pour la catégorie de filtrage Web.
Pour atteindre ces objectifs, vous effectuez les tâches suivantes :
Configurez les critères
source-addressde la stratégie de sécurité etdestination-addressavec la valeurany.Configurez l’application avec
junos-defaults, de sorte que le port et le protocoledynamic-applicationpar défaut soient hérités comme les critères de correspondance du port de destination et du protocole de la stratégie actuelle.Configurez
dynamic-applicationavec[junos:GMAIL, junos:FACEBOOK-CHAT]pour que la stratégie puisse appliquer le profil de message de bloc sur les applications.Configurez
url-categoryavecEnhanced_News_and_Mediades critères de correspondance pour la catégorie de filtrage Web.
Configuration
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
Configuration rapide cli
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application junos-defaults set security policies from-zone trust to-zone untrust policy p2 match dynamic-application [junos:GMAIL, junos:FACEBOOK-CHAT] set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Procédure étape par étape
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à l’utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie unifiée avec un profil de message de redirection :
Configurez des zones de sécurité.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Créez une stratégie de sécurité avec une catégorie d’URL comme critère de correspondance.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p2 match source-address any user@host# set from-zone trust to-zone untrust policy p2 match destination-address any user@host# set from-zone trust to-zone untrust policy p2 match application junos-defaults user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:GMAIL user@host# set security policies from-zone trust to-zone untrust policy p2 match url-category Enhanced_News_and_Media user@host# set from-zone trust to-zone untrust policy p2 match dynamic-application junos:FACEBOOK-CHAT
Définissez l’action de la stratégie.
[edit security policies] user@host# set security policies from-zone trust to-zone untrust policy p2 then reject profile profile1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show security dynamic-application . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]user@host#show security policies from-zone trust to-zone untrust { policy p2 { match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:GMAIL, junos:FACEBOOK-CHAT ]; url-category Enhanced_News_and_Media; } then { reject { profile profile1; } } } }
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérification de la configuration des stratégies unifiées
But
Vérifiez que la configuration des stratégies unifiées est correcte.
Action
Depuis le mode opérationnel, saisissez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité sur l’équipement.
user@host> show security policies
Default policy: permit-all
Pre ID default policy: permit-all
From zone: untrust, To zone: internet
Policy: ip1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-dns-udp, junos-dns-tcp
Action: permit, log
Policy: ip2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
Source addresses: any
Destination addresses: any
Applications: junos-ping, junos-pingv6, junos-telnet, junos-dns-udp, junos-dns-tcp, junos-ftp, junos-http, junos-https
Action: permit, log
From zone: untrust, To zone: trust
Policy: up3, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source addresses: H1, H1_v6
Destination addresses: H0, H0_v6
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:HTTP, junos:GOOGLE-GEN, junos:YAHOO, junos:SSL
Url-category: Enhanced_Search_Engines_and_Portals, cust_white
Action: permit, log
Policy: up4, State: enabled, Index: 9, Scope Policy: 0, Sequence number: 2
Source addresses: as1
Destination addresses: as0
Applications: junos-ping, junos-telnet, junos-ftp, junos-http, junos-https, my_app_udp, my_app_tcp
Dynamic Applications: junos:web, junos:FTP
Url-category: Enhanced_Private_IP_Addresses, cust_white
Action: permit, log
Sens
Le résultat affiche des informations sur toutes les sessions de sécurité actives sur l’équipement. Vérifiez les informations suivantes :
Nom de la stratégie configurée
Adresses source et de destination
Applications configurées
Applications dynamiques configurées
Catégorie d’URL configurée
Action de rejet de stratégie
Configurer les applications dans des stratégies unifiées
- Applications dans des stratégies unifiées
- Exemple : configurer une stratégie unifiée à l’aide d’applications dynamiques
Applications dans des stratégies unifiées
À partir de la version 19.1R1 de Junos OS, la configuration de l’instruction application au niveau de la [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] hiérarchie est facultative si l’instruction dynamic-application est configurée au même niveau hiérarchique.
Dans les versions antérieures à Junos OS version 19.1R1, il est obligatoire de configurer l’instruction application même si l’instruction dynamic-application est configurée.
Lorsque l’option
applicationest définie, l’application définie est utilisée.Lorsque l’option
applicationn’est pas définie et que l’optiondynamic-applicationest définie commeany, l’applicationanyest implicitement ajoutée.Lorsque l’option
applicationn’est pas définie et que l’optiondynamic-applicationest définie (et n’est pas configurée en tant queany), l’applicationjunos-defaultsest implicitement ajoutée.
Exemple : configurer une stratégie unifiée à l’aide d’applications dynamiques
Cet exemple explique comment configurer une stratégie unifiée à l’aide d’applications dynamiques.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Pare-feu SRX Series exécutant Junos OS version 19.1R1. Cet exemple de configuration est testé avec Junos OS version 19.1R1.
Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, les applications dynamiques sont ajoutées à la stratégie de sécurité en tant que critères de correspondance.
Pour atteindre ces objectifs, effectuez les tâches suivantes :
Configurez les critères
source-addressde la stratégie de sécurité etdestination-addressavec la valeurany.Configurez
dynamic-applicationavec[junos:CNN, junos:BBC]pour permettre à la stratégie d’autoriser les applications junos:CNN et junos:BBC.
Configuration
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
Configuration rapide cli
set security zones security-zone trust set security zones security-zone untrust set security policies from-zone trust to-zone untrust policy p3 match source-address any set security policies from-zone trust to-zone untrust policy p3 match destination-address any set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN set security policies from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC set security policies from-zone trust to-zone untrust policy p3 then permit
Procédure étape par étape
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à l’utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie unifiée à l’aide d’applications dynamiques :
Configurez des zones de sécurité.
[edit security] user@host# set security-zone trust user@host# set security-zone untrust
Créez une stratégie de sécurité avec une application dynamique comme critère de correspondance.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 match source-address any user@host# set from-zone trust to-zone untrust policy p3 match destination-address any user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:CNN user@host# set from-zone trust to-zone untrust policy p3 match dynamic-application junos:BBC
Définissez l’action de la stratégie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p3 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]user@host#show security policies from-zone trust to-zone untrust { policy p3 { match { source-address any; destination-address any; dynamic-application [ junos:CNN junos:BBC ]; } then { permit; } } }
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérification de la configuration des stratégies unifiées
But
Vérifiez que la configuration des stratégies unifiées est correcte.
Action
Depuis le mode opérationnel, saisissez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité sur l’équipement.
user@host> show security policies
Policy: p3, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-defaults
Dynamic Applications: junos:CNN, junos:BBC
Action: permitDepuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’équipement.
user@host> show security policies detail
Default policy: permit-all
Pre ID default policy: permit-all
Policy: p3, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: junos-defaults
IP protocol: TCP, ALG: 0, Inactivity timeout: 1800
Destination ports: 80, 443, 3128, 8000, 8080
Dynamic Application:
junos:BBC: 1754
junos:CNN: 988
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: NoSens
Le résultat affiche des informations sur toutes les sessions de sécurité actives sur l’équipement. Vérifiez les informations suivantes :
Nom de la stratégie configurée
Adresses source et de destination
Applications configurées
Note:Le
Applicationschamp est automatiquement peuplé et sa valeurjunos-defaultsajoutée est implicitement ajoutée.Applications dynamiques configurées
Action de la stratégie
Configurer des micro-applications dans des stratégies unifiées
À partir de la version 19.2R1 de Junos OS, vous pouvez configurer des micro-applications dans une stratégie unifiée. Les micro-applications sont des sous-fonctions d’une application. Les micro-applications permettent un contrôle granulaire d’une application au niveau de la sous-fonction au lieu de bloquer ou d’autoriser l’ensemble de l’application. Par défaut, la détection des micro-applications est désactivée.
Le module d’identification des applications (AppID) détecte une application au niveau de la sous-fonction sur votre réseau. Les stratégies de sécurité exploitent les informations d’identité des applications déterminées par le module AppID. Une fois qu’une application spécifique est identifiée, une action telle que l’autorisation, le refus, le rejet ou la redirection est appliquée au trafic selon la stratégie configurée sur l’équipement. Vous devez activer la détection des micro-applications pour les utiliser dans une stratégie de sécurité. Voir Activation et désactivation de la détection des micro-applications.
Limiter le nombre de recherche de stratégies
Pour traiter une stratégie, la recherche de stratégie doit renvoyer l’état de correspondance final de l’application. Lors de l’utilisation d’une micro-application, la classification des applications n’atteint pas l’état de correspondance final , car la micro-application change constamment pour la session. Parce que la micro-application change d’une transaction à l’autre, un nombre illimité de recherche de stratégies est tenté.
Utilisez l’instruction unified-policy max-lookups au niveau de la [edit security policies] hiérarchie pour limiter le nombre de recherche de stratégies.
Configuration des micro-applications
Pour autoriser une application de niveau de base et toutes ses micro-applications dépendantes, vous pouvez configurer une stratégie unifiée en spécifiant l’application de base comme critère de correspondance. Vous n’avez pas besoin de spécifier explicitement chaque application dépendante comme critère de correspondance pour la stratégie. Par exemple, si vous spécifiez l'application junos-MODBUS de base comme critère de correspondance dans une stratégie unifiée, vous n'avez pas besoin de configurer les micro-applications de l junos-MODBUS 'application (junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL) comme critères de correspondance pour la stratégie.
Si vous souhaitez définir une stratégie unifiée pour un contrôle granulaire, vous devez spécifier les micro-applications de l’application de base comme critères de correspondance pour la stratégie. Vous ne devez pas définir l’application de niveau de base comme critère de correspondance dans la stratégie. Pour une configuration de stratégie plus granulaire, spécifiez junos:MODBUS-READ-COILS comme critères de correspondance dans une stratégie unifiée. Assurez-vous que l’application junos:MODBUS de niveau de base n’est pas définie comme un critère de correspondance dans la même stratégie unifiée.
Recherche de stratégies avec les micro-applications
La détection des micro-applications est désactivée par défaut. Pour utiliser les micro-applications comme critères de correspondance pour la recherche de stratégies, vous devez activer la détection des micro-applications, puis les spécifier comme critères de correspondance pour la stratégie unifiée. Si vous n’avez pas activé la détection des micro-applications, le module d’identification des applications (AppID) ne détecte aucune micro-application et considère l’application de base comme le critère final de correspondance. Prenons l’exemple de l’application junos-:MODBUS de base qui comprend deux micro-applications junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL:
Si vous n’avez pas activé la détection des micro-applications, junos:MODBUS est considéré comme l’état de correspondance final pour la classification AppID. Si vous activez des micro-applications, vous pouvez les configurer dans une stratégie unifiée comme n’importe quelle autre application dynamique prédéfinie. Cette micro-application est utilisée pour la recherche de stratégies.
Si vous avez activé la détection des micro-applications, le module AppID considère junos:MODBUS l’état pré-correspondance . Lorsque le module AppID détecte l’un junos:MODBUS-READ-COILS ou l’autre junos:MODBUS-WRITE-SINGLE-COIL, AppID considère ce résultat comme l’état de correspondance final et procède à la recherche de stratégies à l’aide de ce critère de correspondance.