Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Stratégies de sécurité unifiées

Les stratégies unifiées sont des stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques en tant que conditions de correspondance dans le cadre des conditions de correspondance 5 ou 6 tople (5-tuple avec le pare-feu utilisateur) existantes afin de détecter les changements d’application au fil du temps.

Présentation des stratégies unifiées

À partir de Junos OS version 18.2R1, les stratégies unifiées sont prises en charge sur les équipements SRX Series, ce qui permet un contrôle granulaire et une application des applications dynamiques de couche 7 au sein de la stratégie de sécurité.

Les stratégies unifiées sont des stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques en tant que conditions de correspondance dans le cadre des conditions de correspondance 5 ou 6 tople (5-tuple avec le pare-feu utilisateur) existantes afin de détecter les changements d’application au fil du temps. Si le trafic correspond à la règle de stratégie de sécurité, une ou plusieurs actions définies dans la stratégie sont appliquées au trafic.

En ajoutant des applications dynamiques aux critères de correspondance, le trafic de données est classifié en fonction des résultats de l’inspection des applications de couche 7. AppID identifie les applications de couche 4 à couche 7 dynamiques ou en temps réel. Une fois qu’une application particulière est identifiée et que la stratégie de correspondance est trouvée, les actions sont appliquées en fonction de la stratégie.

La configuration d’applications dynamiques comme critères de correspondance dans une stratégie de sécurité n’est pas obligatoire.

Voici quelques exemples de configuration d’applications dynamiques en tant que condition de correspondance dans une stratégie de sécurité :

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:FTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:HTTP

  • set security policies from-zone z1 to-zone z2 policy p1 match dynamic-application junos:GOOGLE

Voici quelques exemples de configuration de groupes d’applications dynamiques en tant que condition de correspondance dans une stratégie de sécurité :

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:p2p

  • set security policies from-zone trust to-zone untrust policy p1 match dynamic-application junos:web:shopping

Avantages

  • Simplifie la gestion des stratégies de sécurité basées sur les applications au niveau de la couche 7.

  • Permet à votre équipement de s’adapter aux changements de trafic dynamiques du réseau.

  • Offre un meilleur contrôle et une plus grande extensibilité pour gérer le trafic dynamique des applications qu’une stratégie de sécurité traditionnelle.

Présentation de la configuration des stratégies unifiées

Les sections suivantes fournissent plus d’informations sur les stratégies unifiées :

Options de configuration dynamique des applications

Le tableau 1 fournit des options pour la configuration d’une stratégie unifiée avec des applications dynamiques.

Tableau 1 : Options de configuration dynamique des applications

Options de configuration dynamique des applications

Description

Applications ou groupes d’applications dynamiques

Spécifiez des applications dynamiques ou un groupe d’applications dynamique.

Voici quelques exemples :

  • junos:FTP (application dynamique)

  • junos:web:shopping (groupe d’applications dynamique)

Tout

La configuration de l’application dynamique comme any installe la stratégie avec l’application comme générique (par défaut). Si une application ne peut pas être spécifiée, configurez-la any comme application par défaut. Le trafic de données correspondant aux paramètres d’une stratégie unifiée correspond à la stratégie, quel que soit le type d’application.

Aucun

La configuration de l’application dynamique comme none ignore les résultats de classification d’AppID et n’utilise pas l’application dynamique dans les recherches de stratégies de sécurité. Dans la liste des stratégies de correspondance potentielles, si une stratégie est configurée avec une application dynamique en tant que none, cette stratégie est associée comme stratégie finale et est terminale. Si des services de couche 7 sont configurés dans cette stratégie, une inspection approfondie des paquets pour le trafic est effectuée.

Lors de la mise à niveau de la version de Junos OS (où les applications dynamiques n’étaient pas prises en charge), toutes les stratégies traditionnelles existantes sont considérées comme des stratégies avec l’application dynamique configurée en tant que none.

Application dynamique non configurée

Si une application dynamique n’est pas configurée dans une stratégie de sécurité, celle-ci est considérée comme une stratégie de sécurité traditionnelle Cette stratégie est similaire à une stratégie avec l’application dynamique configurée en tant que none.

À partir des versions 19.4R1 et 20.1R1 de Junos OS, la stratégie de sécurité ne prend pas en charge l’utilisation des applications suivantes en tant que critères de correspondance entre les applications dynamiques :

  • junos :HTTPS

  • junos:POP3S

  • junos:IMAPS

  • junos:SMTPS

La mise à niveau logicielle vers Junos OS Versions 19.4R1 et 20.1R1 et versions ultérieures échoue lors de la validation si l’une des stratégies de sécurité est configurée avec junos:HTTPS, junos:POP3S, junos:IMAPS, junos:SMTPS en tant qu’applications dynamiques comme critères de correspondance.

Nous vous recommandons d’utiliser cetterequest system software validate package-name option avant de passer aux versions ci-dessus.

Nous vous recommandons de supprimer toute configuration incluant junos:HTTPS, junos:IMAPS, junos:SMTPS ou junos:POP3S comme critères de correspondance dans les stratégies de sécurité.

Ports et protocoles par défaut en tant que critères de correspondance des applications

Dès la version 18.2R1 de Junos OS, l’option est introduite dans la junos-defaults configuration de la stratégie de sécurité en tant que critère de correspondance de l’application. Le junos-defaults groupe contient des instructions préconfigurées incluant des valeurs prédéfinies pour les applications courantes. Étant donné que les protocoles et les ports par défaut sont hérités, il n’est pas nécessaire de configurer explicitement les ports et les protocoles, simplifiant ainsi la configuration de la stratégie de junos-defaultssécurité.

Dans l’exemple suivant, la stratégie de sécurité L7-test-policy utilise junos:HTTP comme application dynamique et hérite des ports TCP de destination : 80, 3128, 8000 et 8080 comme critères de correspondance pour l’application.

set security policies from-zone trust to-zone untrust policy L7-test-policy match application junos-defaults dynamic-application junos:HTTP

Si l’application ne dispose pas de ports et de protocoles par défaut, elle utilise les ports et protocoles par défaut de l’application dépendante. Par exemple, junos:FACEBOOK-CHAT utilise des protocoles et des ports par défaut de HTTP2, HTTPS et SPDY.

L’option junos-defaults doit être configurée avec une application dynamique. Si vous configurez l’option junos-defaults sans spécifier d’application dynamique, un message d’erreur s’affiche et la validation de la configuration échoue. Utilisez la show security policies detail commande pour valider l’option junos-defaults .

Actions de stratégie par défaut avant l’identification dynamique des applications

Avant d’identifier une application par l’identification des applications (AppID), les pre-id-default-policy options sont appliquées à la session. La valeur de délai d’expiration de session, ainsi que le mode de journalisation de session requis, sont appliqués en fonction de la pre-id-default-policy configuration. S’il n’y a pas de configuration dans l’aubaine pre-id-default-policy , les valeurs de délai d’expiration de session par défaut sont appliquées à la session et aucun journal n’est généré pour le pre-id-default-policy.

Nous recommandons aux clients d’implémenter la set security policies pre-id-default-policy then log session-close configuration, comme illustré ci-dessous, dans leurs propres environnements.

Cette configuration garantit que les journaux de sécurité sont générés par le pare-feu SRX si un flux ne peut pas quitter le pre-id-default-policy. Ces événements résultent généralement du fait que JDPI n’est pas en mesure de classer correctement le trafic, même s’ils peuvent également indiquer des tentatives potentielles d’échapper au moteur APPID.

Dans les versions récentes de Junos OS, la configuration par défaut définie en usine d’un SRX comprend la session-close configuration.

ATTENTION:

La configuration de la journalisation de session-init pour la pre-id-default-policy solution peut générer une grande quantité de journaux. Chaque session entrante dans le SRX qui correspond initialement à la stratégie pré-id-par défaut générera un événement. Nous vous recommandons d’utiliser cette option uniquement à des fins de dépannage.

Utilisation globale des stratégies avec des stratégies unifiées

Les stratégies de sécurité basées sur les zones sont hiérarchisées par rapport aux stratégies globales lors de l’implémentation d’une recherche de stratégie. À partir de Junos OS version 18.2R1, si une stratégie unifiée est configurée au sein des stratégies de sécurité basées sur des zones, la recherche globale des stratégies n’est pas effectuée. Avant la version 18.2R1 de Junos OS, si aucune stratégie basée sur les zones n’est jumelée, une recherche de stratégie globale est effectuée.

À partir de Junos OS version 20.4R1, les équipements SRX Series prennent en charge simultanément des stratégies unifiées à la fois au niveau de la zone et au niveau mondial. Dans les versions précédentes, les stratégies unifiées ne pris en charge que les stratégies de contexte de zone.

Si la session correspond à une stratégie unifiée, soit au niveau de la zone, soit au niveau mondial, la stratégie est ajoutée à la liste de correspondance de la stratégie potentielle. Si la session ne correspond pas à une stratégie au niveau de la zone, la stratégie suivante se produit au niveau mondial. Les stratégies globales ont les mêmes critères de correspondance que toutes les autres stratégies de sécurité (par exemple : adresse source, adresse de destination, application, application dynamique, etc.).

Actions unifiées en matière de stratégie

Dans une configuration de stratégie unifiée, spécifiez l’une des actions suivantes :

  • Autoriser : permet le trafic.

  • Refuser : rejette le trafic et ferme la session.

  • Refuser : notifie le client, rejette le trafic et ferme la session.

Profil de redirection pour rejeter l’action

Les stratégies unifiées consignent les actions et les rejettent. Les stratégies unifiées n’avertient pas les clients connectés des actions d’abandon ou de rejet. Les clients ignorent que la page Web n’est pas accessible et peuvent continuer à tenter d’y accéder.

À partir de Junos OS version 18.2R1, un profil de redirection peut être configuré au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez définir une réponse dans la stratégie unifiée pour notifier les clients connectés.

Pour fournir une explication de l’action ou pour rediriger le client à une page Web informative, utilisez l’option redirect-message au niveau de la [edit security dynamic-application profile name] hiérarchie avec l’action de rejet ou de refus dans une configuration de stratégie unifiée pour afficher un message personnalisé.

Lorsque vous configurez l’option de redirection, vous pouvez spécifier le message personnalisé ou l’URL à laquelle le client est redirigé.

Limites de la configuration d’un profil de redirection dans les stratégies unifiées

La configuration d’un profil de redirection dans des stratégies unifiées comporte des limites. Au programme :

  • La prise en charge de l’action de redirection avec blocage des messages comportant une URL de redirection n’est pas disponible pour les applications non HTTP ou non HTTPS.

  • Une stratégie unifiée ne vérifie pas la validité et l’accessibilité d’une URL de redirection configurée par l’utilisateur.

  • Pour le traitement de texte clair, les paquets HTTP hors ordre ou les requêtes HTTP segmentées, les actions de stratégie disponibles sont rejetées ou rejetées. Un profil de redirection n’est pas disponible.

  • Le profil de redirection peut être appliqué uniquement dans des stratégies unifiées. L’action refuser pour les stratégies de sécurité traditionnelles ne prend pas en charge une action de redirection avec des profils de message bloqués ou une URL de redirection.

Profil de proxy SSL pour rejeter l’action

À partir de Junos OS Version 18.2R1, vous pouvez configurer un profil de redirection au sein d’une stratégie unifiée. Lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet, vous pouvez appliquer un profil de proxy SSL au trafic. Le proxy SSL déchiffre le trafic et la fonctionnalité d’identification des applications pour identifier l’application. Vous pouvez ensuite prendre des mesures pour rediriger ou supprimer le trafic conformément à la configuration.

Prenons l’exemple suivant :

Dans cet exemple, vous rejetez certaines des applications Facebook telles que chat, Farmville, etc. dans la politique « policy-1 ». Comme Facebook est une application chiffrée, vous avez besoin d’un proxy SSL pour déchiffrer le trafic en premier.

Dans cet exemple, la stratégie rejette le trafic Facebook chiffré et applique le profil de proxy SSL configuré. Le proxy SSL déchiffre le trafic et JDPI identifie l’application.

Désormais, la stratégie prend les mesures suivantes en fonction de votre configuration :

  • Redirige l’accès du client vers une autre URL et ferme la session d’origine.

  • Notifie le client à l’aide de messages texte prédéfinis et ferme la session

  • Ferme uniquement la session. Dans l’exemple, la stratégie ferme la session.

Critères et règles de correspondance pour les stratégies unifiées

Politique unifiée Correspondance implicite et explicite

À partir de Junos OS version 18.2R1, la commande unified-policy-explicit-match est introduite au niveau de la [edit security policies] hiérarchie. Cette commande définit le comportement de correspondance explicite et implicite des stratégies et est désactivée par défaut.

  • Correspondance explicite : si une application dépendante ne dispose d’aucune stratégie de correspondance, le trafic est supprimé si la correspondance explicite est activée. Seules les stratégies de sécurité explicitement configurées pour l’application sont appliquées.

  • Correspondance implicite : si l’application dépendante ne dispose d’aucune stratégie de correspondance, la stratégie de sécurité configurée pour l’application de base est appliquée.

Par défaut, les stratégies unifiées appliquent des règles implicites sur les applications dépendantes.

Dans l’exemple illustré dans le tableau 2, la stratégie unifiée P3 est configurée pour le trafic FACEBOOK-ACCESS. HTTP est une application dépendante de FACEBOOK-ACCESS et ne dispose d’aucune stratégie de sécurité configurée explicitement pour elle.

Tableau 2 : Exemple de correspondance de stratégie explicite et implicite pour une application dépendante

Application dynamique

Stratégie configurée

HTTP

Aucun

ACCÈS FACEBOOK

P3

Les résultats du comportement de correspondance implicite et explicite sont illustrés dans le tableau 3.

Tableau 3 : Exemple de correspondance avec une stratégie (critères de correspondance implicites et explicites)

Application identifiée

Correspondance avec les stratégies

Type de règle explicite ou implicite

Résultat

Aucun

P3

Implicite (explicit is not Enabled)

L’application identifiée est HTTP. Aucune stratégie de sécurité équivalente n’est configurée pour HTTP. La correspondance explicite n’est pas activée (correspondance implicite), de sorte que le trafic est traité davantage jusqu’à l’identification de FACEBOOK-ACCESS. La stratégie de sécurité configurée pour FACEBOOK-ACCESS (stratégie P3) est appliquée.

HTTP

ACCÈS FACEBOOK

HTTP

Aucun

Explicite

L’application identifiée est HTTP. Aucune stratégie de correspondance n’est disponible pour HTTP. La correspondance explicite est activée, de sorte qu’aucune stratégie de sécurité n’est appliquée dans ce cas.

Chevauchement de profil pour les services de couche 7

En utilisant des stratégies unifiées, si les résultats appID n’ont pas encore identifié l’application finale, une recherche de stratégie peut renvoyer une liste de stratégies au lieu d’une stratégie fixe. Ces politiques sont appelées politiques de correspondance potentielles. Avant que l’application finale ne soit identifiée, un conflit peut survenir en raison de plusieurs correspondances de stratégies.

Dans ce cas, un profil approprié ou un profil par défaut est appliqué aux services tels qu’AppQoS, proxy SSL, UTM et IDP.

Correspondance des stratégies

Lorsque l’option policy rematch est activée, la stratégie unifiée permet à l’équipement de réévaluer une session active lors de la modification de la stratégie de sécurité associée.

La session reste ouverte si elle continue à correspondre à la stratégie qui a autorisé la session initialement. La session se ferme si la stratégie associée est renommée, désactivée ou supprimée. Utilisez l’option extensive pour réévaluer une session active lorsque sa stratégie de sécurité associée est renommée, désactivée ou supprimée.

Si la correspondance des stratégies est configurée dans une stratégie unifiée avant une dernière correspondance, le comportement de correspondance peut entraîner la fermeture d’une session. Après le match final, une correspondance de stratégie déclenche une autre recherche de stratégie en fonction des 6 critères de correspondance et de la demande finale identifiée.

Configurez policy-rematch et les policy-rematch extensive options au niveau de la [edit security policies] hiérarchie.

Limites de la configuration des stratégies unifiées

La configuration de stratégies unifiées comporte des limites. Au programme :

  • Une session existante peut se fermer dans les cas suivants :

    • Lorsqu’il y a un changement dans le match final pour la politique.

    • Lorsqu’une nouvelle stratégie est insérée dans les stratégies existantes, et si cette nouvelle stratégie est configurée avec de nouveaux services.

    • Lorsqu’une stratégie de correspondance finale active de nouveaux services après la création de la session et avant le match final.

  • Le VPN basé sur des stratégies n’est pas pris en charge pour les stratégies unifiées et ne peut être appliqué qu’à la stratégie traditionnelle.

  • Les ALG sont appliquées dans l’une des conditions suivantes :

    • La stratégie de sécurité traditionnelle est configurée.

    • La stratégie unifiée est configurée avec une application dynamique comme nulle.

    La configuration d’une application dynamique avec junos:FTP déclencheurs d’un ALG FTP pour prendre en charge l’analyse antivirus UTM. Voir Activation de l’analyse antivirus FTP (procédure CLI)

  • Une stratégie de sécurité configurée avec GPRS peut ne pas fonctionner si elle fait partie d’une liste de correspondances potentielle.

  • L’authentification par pare-feu utilisateur et VPN de groupe peut être appliquée à une stratégie de sécurité traditionnelle.

  • Il se peut que les informations de correspondance finale des stratégies ne soient pas disponibles dans les journaux d’init de session pour les stratégies exploitant des applications dynamiques.

Exemple : configurer une stratégie unifiée à l’aide d’un profil de message de redirection

Cet exemple décrit comment configurer une stratégie unifiée avec un profil de message de redirection. Dans cet exemple, vous configurez un profil de redirection avec une URL de redirection. Vous utilisez le profil de redirection comme un message bloqué dans la stratégie de trafic dans les applications dynamiques GMAIL et FACEBOOK-CHAT. Simultanément, vous configurez l’application junos-defaults afin que le port et le protocole par défaut des applications dynamiques soient hérités en tant que critères de correspondance entre le port de destination et le protocole de la stratégie actuelle.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Équipement SRX Series exécutant Junos OS version 18.2R1. Cet exemple de configuration est testé avec Junos OS version 18.2R1.

Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, vous définissez le profil de redirection comme une réponse lorsqu’une stratégie bloque le trafic HTTP ou HTTPS avec une action de refus ou de rejet. Par le biais d’un profil de redirection, vous fournissez une explication de l’action ou vous redirigez la demande du client vers une page Web informative lorsque l’action de rejet ou de refus est appliquée dans une stratégie de sécurité.

Pour atteindre ces objectifs, vous effectuez les tâches suivantes :

  • Configurez le profil de redirection à l’aide d’une URL de redirection telle que http://abc.company.com/information/block-message et utilisez-le dans la stratégie comme message bloqué.

  • Configurez les critères source-address de correspondance de la stratégie de sécurité et destination-address la valeur any.

  • Configurez l’application avec junos-defaults, de sorte que le port et le protocole par défaut sont dynamic-application hérités en tant que critères de correspondance entre le port de destination et le protocole de la stratégie actuelle.

  • Configurez dynamic-application avec [junos:GMAIL, junos:FACEBOOK-CHAT] pour que la stratégie puisse appliquer le profil de message de bloc sur les applications.

Configuration

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode (Utilisation de l’éditeur de cli en mode configuration ) dans le guide de l’utilisateur cli.

Pour configurer une stratégie unifiée avec un profil de message de redirection :

  1. Configurez les zones de sécurité.

  2. Créez un profil pour le message de redirection.

  3. Créez une stratégie de sécurité avec une application dynamique comme critère de correspondance.

  4. Définir l’action de la stratégie.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show security policies show security dynamic-application commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérification de la configuration des stratégies unifiées

But

Vérifiez que la configuration de la stratégie unifiée est correcte.

Action

Dans le mode opérationnel, saisissez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité sur l’équipement.

Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’équipement.

Sens

La sortie affiche les informations sur toutes les sessions de sécurité actuellement actives sur l’équipement. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

  • Configuration des applications dynamiques

  • Action de rejet de la stratégie

Configurer une catégorie d’URL avec des stratégies unifiées

Comprendre la catégorie d’URL avec des stratégies unifiées

À partir de Junos OS version 18.4R1, la fonctionnalité de stratégies unifiées est améliorée afin d’inclure des catégories d’URL comme critères de correspondance pour la catégorie de filtrage Web. Les catégories d’URL peuvent être configurées pour des stratégies unifiées avec ou sans application dynamique. .

Lorsque la catégorie d’URL est configurée en tant que url-category any stratégie, elle correspond à toutes les catégories de trafic configurées avec les stratégies unifiées.

Lorsque la catégorie d’URL est configurée en tant que url-category none stratégie, la catégorie d’URL n’est pas utilisée dans la recherche de stratégie. La stratégie unifiée configurée avec url-category none est considérée comme la priorité la plus élevée pour une stratégie correspondant à un trafic. Lorsque la catégorie d’URL d’une stratégie n’est pas configurée, ou lorsque vous mettez à niveau un équipement d’une version antérieure à la dernière version, la catégorie d’URL de toutes les stratégies est considérée comme url-category none.

Limites de la catégorie d’URL avec des stratégies unifiées

L’utilisation de catégories d’URL dans une stratégie unifiée présente les limites suivantes :

  • Seuls les ports généralement utilisés comme les trafics HTTP et HTTP sont pris en charge par url-category. Par conséquent, la recherche de stratégie prend en charge les trafics HTTP et HTTP.

Exemple : Configuration d’une stratégie unifiée à l’aide de la catégorie d’URL

Cet exemple décrit comment configurer une stratégie unifiée avec une catégorie d’URL.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Équipement SRX Series exécutant Junos OS version 18.4R1. Cet exemple de configuration est testé avec Junos OS version 18.4R1.

Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, la catégorie d’URL est ajoutée à la stratégie de sécurité en tant que critère de correspondance pour la catégorie de filtrage Web.

Pour atteindre ces objectifs, vous effectuez les tâches suivantes :

  • Configurez les critères source-address de correspondance de la stratégie de sécurité et destination-address la valeur any.

  • Configurez l’application avec junos-defaults, de sorte que le port et le protocole par défaut sont dynamic-application hérités en tant que critères de correspondance entre le port de destination et le protocole de la stratégie actuelle.

  • Configurez dynamic-application avec [junos:GMAIL, junos:FACEBOOK-CHAT] pour que la stratégie puisse appliquer le profil de message de bloc sur les applications.

  • Configurez url-category avec Enhanced_News_and_Media comme critère de correspondance pour la catégorie de filtrage Web.

Configuration

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Configuration rapide CLI
Procédure étape par étape
Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode (Utilisation de l’éditeur de cli en mode configuration ) dans le guide de l’utilisateur cli.

Pour configurer une stratégie unifiée avec un profil de message de redirection :

  1. Configurez les zones de sécurité.

  2. Créez une stratégie de sécurité avec une catégorie d’URL comme critère de correspondance.

  3. Définir l’action de la stratégie.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show security policies show security dynamic-application commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérification de la configuration des stratégies unifiées
But

Vérifiez que la configuration de la stratégie unifiée est correcte.

Action

Dans le mode opérationnel, saisissez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité sur l’équipement.

Sens

La sortie affiche les informations sur toutes les sessions de sécurité actuellement actives sur l’équipement. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

  • Configuration des applications dynamiques

  • Catégorie d’URL configurée

  • Action de rejet de la stratégie

Configurer les applications dans des stratégies unifiées

Applications dans des stratégies unifiées

À partir de Junos OS Version 19.1R1, la configuration de l’instruction application au niveau de la [edit security policies from-zone zone-name to-zone zone-name policy policy-name match] hiérarchie est facultative si l’instruction dynamic-application est configurée au même niveau hiérarchique.

Dans les versions antérieures à Junos OS version 19.1R1, il est obligatoire de configurer l’instruction application même si l’instruction dynamic-application est configurée.

  • Lorsque l’option application est définie, l’application définie est utilisée.

  • Lorsque l’option application n’est pas définie et que l’option dynamic-application est définie comme any, l’application any est ajoutée implicitement.

  • Lorsque l’option application n’est pas définie et que l’option dynamic-application est définie (et n’est pas configurée en tant que any), l’application junos-defaults est ajoutée implicitement.

Exemple : configurer une stratégie unifiée à l’aide d’applications dynamiques

Cet exemple décrit comment configurer une stratégie unifiée à l’aide d’applications dynamiques.

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Équipement SRX Series exécutant Junos OS version 19.1R1. Cet exemple de configuration est testé avec Junos OS version 19.1R1.

Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.

Aperçu

Dans cet exemple, des applications dynamiques sont ajoutées à la stratégie de sécurité en tant que critères de correspondance.

Pour atteindre ces objectifs, effectuez les tâches suivantes :

  • Configurez les critères source-address de correspondance de la stratégie de sécurité et destination-address la valeur any.

  • Configurez dynamic-application avec [junos:CNN, junos:BBC] afin que la stratégie autorise les applications junos:CNN et junos:BBC.

Configuration

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Configuration rapide CLI
Procédure étape par étape
Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode (Utilisation de l’éditeur de cli en mode configuration ) dans le guide de l’utilisateur cli.

Pour configurer une stratégie unifiée à l’aide d’applications dynamiques :

  1. Configurez les zones de sécurité.

  2. Créez une stratégie de sécurité avec une application dynamique comme critère de correspondance.

  3. Définir l’action de la stratégie.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérification de la configuration des stratégies unifiées
But

Vérifiez que la configuration de la stratégie unifiée est correcte.

Action

Dans le mode opérationnel, saisissez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité sur l’équipement.

Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un résumé détaillé de toutes les stratégies de sécurité sur l’équipement.

Sens

La sortie affiche les informations sur toutes les sessions de sécurité actuellement actives sur l’équipement. Vérifiez les informations suivantes :

  • Nom de la stratégie configurée

  • Adresses source et de destination

  • Applications configurées

    Note:

    Le Applications champ est auto-rempli et sa valeur junos-defaults ajoutée est implicitement ajoutée.

  • Configuration des applications dynamiques

  • Action de stratégie

Configurer des micro-applications dans des stratégies unifiées

À partir de Junos OS version 19.2R1, vous pouvez configurer des micro-applications dans une stratégie unifiée. Les micro-applications sont des sous-fonctions d’une application. Les micro-applications permettent un contrôle granulaire d’une application au niveau des sous-fonctions au lieu de bloquer ou d’autoriser l’application dans son ensemble. Par défaut, la détection des micro-applications est désactivée.

Le module d’identification des applications (AppID) détecte une application au niveau de la sous-fonction sur votre réseau. Les stratégies de sécurité exploitent les informations d’identité des applications déterminées par le module AppID. Une fois une application spécifique identifiée, une action telle qu’autoriser, refuser, rejeter ou rediriger est appliquée au trafic en fonction de la stratégie configurée sur l’équipement. Vous devez activer la détection des micro-applications pour les utiliser dans une stratégie de sécurité. Voir Activation et désactivation de la détection des micro-applications.

Limiter le nombre de recherche de stratégies

Pour traiter une stratégie, la recherche de stratégie doit renvoyer l’état final de correspondance pour l’application. Lors de l’utilisation d’une micro-application, la classification des applications n’atteint pas l’état final de correspondance , car la micro-application change constamment pour la session. Étant donné que la micro-application passe d’une transaction à une autre, un nombre illimité de requêtes de stratégie est tentée.

Utilisez l’instruction unified-policy max-lookups au niveau de la [edit security policies] hiérarchie pour limiter le nombre de recherche de stratégies.

Configuration des micro-applications

Pour autoriser une application de base et toutes ses micro-applications dépendantes, vous pouvez configurer une stratégie unifiée en spécifiant l’application de base comme critère de correspondance. Vous n’avez pas à spécifier explicitement chaque application dépendante comme critère de correspondance pour la stratégie. Par exemple, si vous spécifiez l'application junos-MODBUS de niveau de base comme critère de correspondance dans une stratégie unifiée, vous n'avez pas à configurer les micro-applications de l junos-MODBUS 'application (junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL) comme critères de correspondance pour la stratégie.

Si vous souhaitez définir une stratégie unifiée pour un contrôle granulaire, vous devez spécifier les micro-applications de l’application de base comme critères de correspondance pour la stratégie. Vous ne devez pas définir la demande de niveau de base comme critère de correspondance dans la stratégie. Pour une configuration plus granulaire des stratégies, spécifiez junos:MODBUS-READ-COILS comme critères de correspondance dans une stratégie unifiée. Assurez-vous que l’application junos:MODBUS de base n’est pas définie comme un critère de correspondance dans la même politique unifiée.

Recherche de stratégies avec des micro-applications

La détection des micro-applications est désactivée par défaut. Pour utiliser les micro-applications comme critères de correspondance pour la recherche de stratégies, vous devez activer la détection des micro-applications, puis les spécifier comme critères de correspondance pour la stratégie unifiée. Si vous n’avez pas activé la détection de micro-applications, le module d’identification des applications (AppID) ne détecte aucune micro-application et considère l’application de base comme le critère final de correspondance. Prenons l’exemple de l’application junos-:MODBUS de base qui comporte deux micro-applications junos:MODBUS-READ-COILS et junos:MODBUS-WRITE-SINGLE-COIL:

  • Si vous n’avez pas activé la détection de micro-applications, junos:MODBUS est considéré comme l’état final de correspondance pour la classification AppID. Si vous activez les micro-applications, vous pouvez les configurer dans une stratégie unifiée comme n’importe quelle autre application dynamique prédéfinie. Cette micro-application est utilisée pour rechercher des stratégies.

  • Si vous avez activé la détection des micro-applications, le module AppID considère junos:MODBUS l’état d’avant correspondance . Lorsque le module AppID détecte l’un junos:MODBUS-READ-COILS ou l’autre , junos:MODBUS-WRITE-SINGLE-COILAppID considère ce résultat comme l’état final de correspondance et procède à la recherche de stratégies à l’aide de ce critère de correspondance.