Planification des stratégies de sécurité
Le planificateur est une fonctionnalité de sécurité qui permet d’activer une stratégie pendant une durée spécifiée. Vous pouvez définir des planificateurs pour un créneau horaire unique (non récurrent) ou récurrent au sein duquel une stratégie est active. Vous pouvez créer des planificateurs indépendamment d’une stratégie, ce qui signifie qu’un planificateur ne peut être utilisé par aucune stratégie.
Présentation des planificateurs de stratégies de sécurité
Les planificateurs sont des fonctionnalités puissantes qui permettent d’activer une stratégie pour une durée spécifiée. Vous pouvez définir des planificateurs pour un créneau horaire unique (non récurrent) ou récurrent au sein duquel une stratégie est active. Vous pouvez créer des planificateurs indépendamment d’une stratégie, ce qui signifie qu’un planificateur ne peut être utilisé par aucune stratégie. Toutefois, si vous souhaitez qu’une stratégie soit active dans un délai planifié, vous devez d’abord créer un planificateur.
Lorsqu’un planificateur expire, la stratégie associée est désactivée. Par la suite, toutes les sessions associées à la stratégie expirent uniquement si la fonction policy-rematch est utilisée
Si une stratégie contient une référence à un planificateur, la planification détermine quand la stratégie est active, c’est-à-dire quand elle peut être utilisée comme correspondance possible pour le trafic. Les planificateurs vous permettent de restreindre l’accès à une ressource pendant un certain temps ou de supprimer une restriction.
Les directives suivantes s’appliquent aux planificateurs :
Un planificateur peut être associé à plusieurs stratégies. Toutefois, une stratégie ne peut pas être associée à plusieurs planificateurs.
Une stratégie est active pendant la période où le planificateur auquel elle fait référence est également actif.
Lorsqu’un planificateur est désactivé, la stratégie n’est pas disponible pour la recherche de stratégie.
Un planificateur peut être configuré comme l’un des éléments suivants :
Le planificateur peut être actif pour un seul créneau horaire, tel que spécifié par une date et une heure de début et une date et une heure de fin.
Le planificateur peut être actif pour toujours (récurrent), mais comme spécifié par la planification quotidienne. L’horaire d’un jour précis (créneau horaire) est prioritaire sur l’horaire quotidien.
Le planificateur peut être actif dans un créneau horaire spécifié par la planification du jour de la semaine.
Le planificateur peut avoir une combinaison de deux créneaux horaires (quotidien et créneau horaire).
Exemple : Configuration des planificateurs pour une planification quotidienne à l’exclusion d’un jour
Cet exemple montre comment configurer les planificateurs pour les vérifications de correspondance de paquets tous les jours, de 8 h 00 à 17 h 00, sauf le dimanche.
Exigences
Avant de commencer :
Comprendre les planificateurs de stratégies de sécurité. Reportez-vous à la section Présentation des stratégies de sécurité.
Configurez les zones de sécurité avant d’appliquer cette configuration.
Aperçu
Les planificateurs sont des fonctionnalités puissantes qui permettent d’activer une stratégie pour une durée spécifiée. Vous pouvez définir des planificateurs pour un créneau horaire unique (non récurrent) ou récurrent au sein duquel une stratégie est active. Si vous souhaitez qu’une stratégie soit active dans un délai planifié, vous devez d’abord créer un planificateur.
Pour configurer un planificateur, vous devez entrer un nom significatif et une heure de début et de fin pour le planificateur. Vous pouvez également joindre des commentaires.
Dans cet exemple, vous :
Spécifiez le planificateur, sch1, qui permet à une stratégie, qui s’y réfère, d’être utilisée pour les vérifications de correspondance de paquets tous les jours, de 8 h 00 à 17 h 00, sauf le dimanche.
Note:Utilisez le format 24 heures (hh :mm) pour spécifier les heures et les minutes de l’heure quotidienne.
Créez une stratégie, abc, et spécifiez les conditions de correspondance et les actions à effectuer sur le trafic qui correspond aux conditions spécifiées. et liez les planificateurs à la stratégie pour autoriser l’accès pendant les jours spécifiés.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set schedulers scheduler sch1 daily start-time 08:00 stop-time 17:00 set schedulers scheduler sch1 sunday exclude set security policies from-zone green to-zone red policy abc match source-address any set security policies from-zone green to-zone red policy abc match destination-address any set security policies from-zone green to-zone red policy abc match application any set security policies from-zone green to-zone red policy abc then permit set security policies from-zone green to-zone red policy abc scheduler-name sch1 set security policies default-policy permit-all
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.
Pour configurer un planificateur :
Définissez un planificateur.
[edit schedulers ] user@host# set scheduler sch1 daily start-time 08:00 stop-time 17:00 user@host# set scheduler sch1 sunday exclude
Spécifiez les conditions de correspondance de la stratégie.
[edit security policies from-zone green to-zone red policy abc] user@host# set match source-address any destination-address any application any
Spécifiez l’action.
[edit security policies from-zone green to-zone red policy abc] user@host# set then permit
Associez le planificateur à la stratégie.
[edit security policies from-zone green to-zone red policy abc ] user@host# set scheduler-name sch1
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show schedulers commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
[user@host]show schedulers
scheduler sch1 {
daily {
start-time 08:00 stop-time 17:00;
sunday exclude;
}
[edit]
[user@host]show security policies
from-zone green to-zone red {
policy abc {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
scheduler-name sch1;
}
}
default-policy {
permit-all;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de l’activité des planificateurs
But
Vérifiez si les planificateurs sont activés ou non.
Action
À partir du mode opérationnel, entrez la show schedulers commande.
Vérification des stratégies planifiées
But
Affichez des informations sur les stratégies de sécurité planifiées.
Action
Utilisez la show schedulers commande CLI pour afficher des informations sur les planificateurs configurés sur le système. Si un planificateur spécifique est identifié, des informations détaillées s’affichent uniquement pour ce planificateur.
user@host# show schedulers
scheduler sche1 {
/* This is sched1 */
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
}
scheduler sche2 {
daily {
all-day;
}
sunday {
start-time 16:00 stop-time 17:00;
}
friday {
exclude;
}
}
scheduler sche3 {
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
daily {
start-time 10:00 stop-time 17:00
}
sunday {
start-time 12:00 stop-time 14:00;
start-time 16:00 stop-time 17:00;
}
monday {
all-day;
}
friday {
exclude;
}
}
Sens
La sortie affiche des informations sur les planificateurs configurés sur le système. Vérifiez les informations suivantes :
Les planificateurs quotidiens (récurrents) et ponctuels (non récurrents) sont configurés correctement.
Les planificateurs sont actifs si des stratégies sont associées.