Stratégies de sécurité globales
Une stratégie de sécurité est une stratégie de pare-feu dynamique qui contrôle le flux de trafic d’une zone à une autre en définissant le(s) type(s) de trafic autorisé(s) à partir de sources IP spécifiques vers des destinations IP spécifiques à des moments planifiés. Pour éviter de créer plusieurs stratégies dans tous les contextes possibles, vous pouvez créer une stratégie globale qui englobe toutes les zones ou une stratégie multizone qui englobe plusieurs zones. À l’aide d’une stratégie globale, vous pouvez réguler le trafic avec des adresses et des applications, quelles que soient leurs zones de sécurité, en référençant les adresses définies par l’utilisateur ou l’adresse prédéfinie, et vous permet également d’accéder à plusieurs zones sources et à plusieurs zones de destination dans une seule stratégie.
Vue d’ensemble de la stratégie globale
Dans un pare-feu dynamique Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer à travers le pare-feu et d’actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu. Les stratégies de sécurité exigent que le trafic entre dans une zone de sécurité et en sorte d’une autre. Cette combinaison d’une zone de départ et d’une zone de destination est appelée contextzone de début et de destination. Chaque contexte contient une liste ordonnée de stratégies. Chaque stratégie est traitée dans l’ordre dans lequel elle est définie dans un contexte. Le trafic est classé en faisant correspondre l’adresse de la zone de, de destination, l’adresse source, l’adresse de destination et l’application que le trafic transporte dans son en-tête de protocole. Chaque stratégie globale, comme toute autre politique de sécurité, comporte les actions suivantes : autoriser, refuser, rejeter, consigner, compter.
Vous pouvez configurer une stratégie de sécurité à partir de l’interface utilisateur. Les stratégies de sécurité contrôlent le flux de trafic d’une zone à une autre en définissant le ou les types de trafic autorisés à partir de sources IP spécifiques vers des destinations IP spécifiques à des heures planifiées. Cela fonctionne bien dans la plupart des cas, mais ce n’est pas assez flexible. Par exemple, si vous souhaitez effectuer des actions sur le trafic, vous devez configurer des stratégies pour chaque contexte possible. Pour éviter de créer plusieurs stratégies dans tous les contextes possibles, vous pouvez créer une stratégie globale qui englobe toutes les zones ou une stratégie multizone qui englobe plusieurs zones.
À l’aide d’une stratégie globale, vous pouvez réguler le trafic avec des adresses et des applications, quelles que soient leurs zones de sécurité, en référençant les adresses définies par l’utilisateur ou l’adresse prédéfinie « any ». Ces adresses peuvent s’étendre sur plusieurs zones de sécurité. Par exemple, si vous souhaitez fournir un accès vers ou depuis plusieurs zones, vous pouvez créer une stratégie globale avec l’adresse « any », qui englobe toutes les adresses de toutes les zones. La sélection de l’adresse « any » correspond à n’importe quelle adresse IP, et lorsque « any » est utilisé comme adresse source/destination dans une configuration de stratégie globale, elle correspond à l’adresse source/destination de n’importe quel paquet.
À l’aide d’une stratégie globale, vous pouvez également fournir l’accès à plusieurs zones sources et à plusieurs zones de destination dans une seule stratégie. Toutefois, pour des raisons de sécurité et pour éviter l’usurpation de trafic, nous vous recommandons d’utiliser des critères de correspondance identiques (adresse source, adresse de destination, application) et une action identique lors de la création d’une stratégie multizone. Dans la figure 1, par exemple, si vous créez une stratégie multizone qui inclut des zones DMZ et Untrust from, l’usurpation du trafic de 203.0.113.0/24 à partir de la zone DMZ peut correspondre à la stratégie avec succès et atteindre l’hôte protégé dans la zone Trust to.
Les stratégies globales sans informations de zone de départ et de zone d’arrivée ne prennent pas en charge les tunnels VPN, car les tunnels VPN nécessitent des informations de zone spécifiques.
Lorsque la recherche de stratégie est effectuée, les stratégies sont vérifiées dans l’ordre suivant : intra-zone (de confiance à confiance), inter-zone (de confiance à non-confiance), puis globale. À l’instar des stratégies normales, les stratégies globales dans un contexte sont ordonnées de manière à ce que la première stratégie correspondante soit appliquée au trafic.
Si vous disposez d’une stratégie globale, assurez-vous que vous n’avez pas défini de règle « fourre-tout » telle que « faire correspondre la source n’importe quelle », « faire correspondre la destination n’importe quelle » ou « faire correspondre l’application n’importe quelle » dans les stratégies intra-zone ou inter-zone, car les stratégies globales ne seront pas vérifiées. Si vous n’avez pas de stratégie globale, il est recommandé d’inclure une action « Tout refuser » dans vos stratégies intra-zone ou inter-zone. Si vous disposez d’une stratégie globale, vous devez inclure une action « tout refuser » dans la stratégie globale.
Dans les systèmes logiques, vous pouvez définir des stratégies globales pour chaque système logique. Les stratégies globales d’un système logique se trouvent dans un contexte distinct des autres stratégies de sécurité et ont une priorité inférieure à celle des stratégies de sécurité normales dans une recherche de stratégie. Par exemple, si une recherche de stratégie est effectuée, les stratégies de sécurité normales ont priorité sur les stratégies globales. Par conséquent, lors d’une recherche de stratégie, les stratégies de sécurité normales sont recherchées en premier et, s’il n’y a pas de correspondance, une recherche globale de stratégie est effectuée.
Voir aussi
Exemple : Configuration d’une stratégie globale sans restriction de zone
Contrairement aux autres stratégies de sécurité de Junos OS, les stratégies globales ne font pas référence à des zones source et de destination spécifiques. Les stratégies globales font référence à l’adresse prédéfinie « any » ou aux adresses définies par l’utilisateur qui peuvent s’étendre sur plusieurs zones de sécurité. Les stratégies globales vous permettent d’effectuer des actions sur le trafic sans aucune restriction de zone. Par exemple, vous pouvez créer une stratégie globale afin que chaque hôte de chaque zone puisse accéder au site Web de l’entreprise, par exemple, www.example.com. L’utilisation d’une stratégie globale est un raccourci pratique lorsqu’il existe de nombreuses zones de sécurité. Le trafic est classé en faisant correspondre son adresse source, son adresse de destination et l’application qu’il transporte dans son en-tête de protocole.
Cet exemple montre comment configurer une stratégie globale pour refuser ou autoriser le trafic.
Exigences
Avant de commencer :
Passez en revue les stratégies de sécurité du pare-feu.
Reportez-vous aux sections Présentation des stratégies de sécurité, Vue d’ensemble globale des stratégies, Comprendre les règles de stratégie de sécurité etComprendre les éléments de stratégie de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type.
Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Aperçu
Cet exemple de configuration montre comment configurer une stratégie globale qui accomplit ce que plusieurs stratégies de sécurité (à l’aide de zones) auraient accompli. La stratégie globale gp1 autorise tout le trafic tandis que la stratégie gp2 refuse tout le trafic.
Topologie
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security address-book global address server1 dns-name www.example.com set security address-book global address server2 dns-name www.mail.example.com set security policies global policy gp1 match source-address server1 set security policies global policy gp1 match destination-address server2 set security policies global policy gp1 match application any set security policies global policy gp1 then permit set security policies global policy gp2 match source-address server2 set security policies global policy gp2 match destination-address server1 set security policies global policy gp2 match application junos-ftp set security policies global policy gp2 then deny
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie globale afin d’autoriser ou de refuser tout le trafic :
Créez des adresses.
[edit security] user@host# set security address-book global address server1 dns-name www.example.com user@host# set security address-book global address server2 dns-name www.mail.example.com
Créez la stratégie globale pour autoriser tout le trafic.
[edit security] user@host# set policy global policy gp1 match source-address server1 user@host# set policy global policy gp1 match destination-address server2 user@host# set policy global policy gp1 match application any user@host# set policy global policy gp1 then permit
Créez la stratégie globale de refus de tout le trafic.
[edit security] user@host# set policy global policy gp2 match source-address server2 user@host# set policy global policy gp2 match destination-address server1 user@host# set policy global policy gp2 match application junos-ftp user@host# set policy global policy gp2 then deny
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show security policies global . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show security policies
global {
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
}
user@host# show security policies global
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration globale de la stratégie
But
Vérifiez que les stratégies globales gp1 et gp2 sont configurées comme requis.
Action
À partir du mode opérationnel, entrez la show security policies global commande.
user@host> show security policies global
Global policies:
Policy: gp1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
From zones: any
To zones: any
Source addresses: server1
Destination addresses: server2
Applications: any
Action: permit
Policy: gp2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
From zones: any
To zones: any
Source addresses: server2
Destination addresses: server1
Applications: junos-ftp
Action: deny
Sens
La sortie affiche des informations sur toutes les stratégies globales configurées sur l’appareil.
Exemple : Configuration d’une stratégie globale avec plusieurs zones
Contrairement aux autres stratégies de sécurité de Junos OS, les stratégies globales vous permettent de créer des stratégies multizones. Une stratégie globale est un raccourci pratique lorsqu’il existe de nombreuses zones de sécurité, car elle vous permet de configurer plusieurs zones sources et plusieurs zones de destination dans une seule stratégie globale au lieu d’avoir à créer une stratégie distincte pour chaque paire zone/zone d’arrivée, même lorsque d’autres attributs, tels que adresse-source ou adresse-destination, sont identiques.
Exigences
Avant de commencer :
Passez en revue les stratégies de sécurité du pare-feu.
Reportez-vous aux sections Présentation des stratégies de sécurité, Vue d’ensemble globale des stratégies, Comprendre les règles de stratégie de sécurité et Comprendre les éléments de stratégie de sécurité.
Créez des zones de sécurité.
Aperçu
Cet exemple de configuration montre comment configurer une stratégie globale qui accomplit ce que plusieurs stratégies de sécurité auraient accompli. Le Pa autorise tout le trafic des zones 1 et 2 vers les zones 3 et 4.
Topologie
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer une stratégie globale avec plusieurs zones :
Créez une stratégie globale pour autoriser tout trafic des zones 1 et 2 vers les zones 3 et 4.
[edit security] set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies global commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security policies global
policy Pa {
match {
source-address any;
destination-address any;
application any;
from-zone [ zone1 zone2 ];
to-zone [ zone3 zone4 ];
}
then {
permit;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.