Stratégies de sécurité globales
Une stratégie de sécurité est une stratégie de pare-feu dynamique qui contrôle le flux de trafic d’une zone à une autre en définissant le(s) type(s) de trafic autorisé(s) depuis des sources IP spécifiques vers des destinations IP spécifiques à des heures planifiées. Pour éviter de créer plusieurs stratégies dans tous les contextes possibles, vous pouvez créer une stratégie globale qui englobe toutes les zones, ou une stratégie multizone qui englobe plusieurs zones. À l’aide d’une stratégie globale, vous pouvez réguler le trafic avec des adresses et des applications, quelles que soient leurs zones de sécurité, en référençant les adresses définies par l’utilisateur ou l’adresse prédéfinie, et vous permet également d’accéder à plusieurs zones sources et à plusieurs zones de destination dans une seule stratégie.
Présentation globale de la stratégie
Dans un pare-feu dynamique Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer à travers le pare-feu et les actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu. Les stratégies de sécurité exigent que le trafic entre dans une zone de sécurité et en ressorte d’une autre. Cette combinaison d’une zone de départ et d’une zone de destination est appelée contextzone . Chaque contexte contient une liste ordonnée de stratégies. Chaque stratégie est traitée dans l’ordre dans lequel elle est définie dans un contexte. Le trafic est classé en faisant correspondre l’adresse dela zone de, la zone de destination, l’adresse source, l’adresse de destination et l’application transportée dans l’en-tête de protocole de la stratégie. Chaque stratégie globale, comme toute autre stratégie de sécurité, comporte les actions suivantes : autoriser, refuser, rejeter, consigner, compter.
Vous pouvez configurer une stratégie de sécurité à partir de l’interface utilisateur. Les stratégies de sécurité contrôlent le flux de trafic d’une zone à une autre en définissant le(s) type(s) de trafic autorisé(s) depuis des sources IP spécifiques vers des destinations IP spécifiques à des heures planifiées. Cela fonctionne bien dans la plupart des cas, mais ce n’est pas assez flexible. Par exemple, si vous souhaitez effectuer des actions sur le trafic, vous devez configurer des stratégies pour chaque contexte possible. Pour éviter de créer plusieurs stratégies dans tous les contextes possibles, vous pouvez créer une stratégie globale qui englobe toutes les zones, ou une stratégie multizone qui englobe plusieurs zones.
À l’aide d’une stratégie globale, vous pouvez réguler le trafic avec des adresses et des applications, quelles que soient leurs zones de sécurité, en référençant les adresses définies par l’utilisateur ou l’adresse prédéfinie « any ». Ces adresses peuvent s’étendre sur plusieurs zones de sécurité. Par exemple, si vous souhaitez fournir un accès vers ou depuis plusieurs zones, vous pouvez créer une stratégie globale avec l’adresse « any », qui englobe toutes les adresses de toutes les zones. La sélection de l’adresse « any » correspond à n’importe quelle adresse IP, et lorsque « any » est utilisé comme adresse source/destination dans une configuration de stratégie globale, elle correspond à l’adresse source/destination de n’importe quel paquet.
À l’aide d’une stratégie globale, vous pouvez également autoriser l’accès à plusieurs zones sources et à plusieurs zones de destination dans une seule stratégie. Toutefois, pour des raisons de sécurité et afin d’éviter l’usurpation de trafic, nous vous recommandons d’utiliser des critères de correspondance identiques (adresse source, adresse de destination, application) et une action identique lors de la création d’une stratégie multizone. Sur la figure 1, par exemple, si vous créez une stratégie multizone qui inclut des zones DMZ et Untrust from, l’usurpation du trafic 203.0.113.0/24 à partir de la zone DMZ peut correspondre à la stratégie et atteindre l’hôte protégé dans la zone Trust.
sécurité relatives aux stratégies globales multizones
Les stratégies globales sans informations de zone de départ et de destination ne prennent pas en charge les tunnels VPN, car les tunnels VPN nécessitent des informations de zone spécifiques.
Lorsque la recherche de stratégie est effectuée, les stratégies sont vérifiées dans l’ordre suivant : intrazone (de confiance à confiance), interzone (de confiance à non), puis globale. À l’instar des stratégies normales, les stratégies globales dans un contexte sont ordonnées de manière à ce que la première stratégie correspondante soit appliquée au trafic.
Si vous disposez d’une stratégie globale, assurez-vous que vous n’avez pas défini de règle « fourre-tout » telle que « Correspond à la source n’importe quelle », « Correspond à la destination n’importe quel » ou « Correspond à l’application n’importe quelle » dans les stratégies intra-zone ou inter-zone, car les stratégies globales ne seront pas vérifiées. Si vous n’avez pas de stratégie globale, il est recommandé d’inclure une action « tout refuser » dans vos stratégies intrazone ou interzone. Si vous disposez d’une stratégie globale, vous devez inclure une action « tout refuser » dans la stratégie globale.
Dans les systèmes logiques, vous pouvez définir des stratégies globales pour chaque système logique. Les stratégies globales d’un système logique se trouvent dans un contexte distinct des autres stratégies de sécurité et ont une priorité inférieure à celle des stratégies de sécurité normales dans une recherche de stratégie. Par exemple, si une recherche de stratégie est effectuée, les stratégies de sécurité normales ont priorité sur les stratégies globales. Par conséquent, lors d’une recherche de stratégie, les stratégies de sécurité régulières sont recherchées en premier et, s’il n’y a pas de correspondance, une recherche globale de stratégie est effectuée.
Voir aussi
Exemple : Configuration d’une stratégie globale sans restriction de zone
Contrairement aux autres stratégies de sécurité de Junos OS, les stratégies globales ne font pas référence à des zones sources et de destination spécifiques. Les stratégies globales font référence à l’adresse prédéfinie « any » ou aux adresses définies par l’utilisateur qui peuvent s’étendre sur plusieurs zones de sécurité. Les stratégies globales vous permettent d’effectuer des actions sur le trafic sans aucune restriction de zone. Par exemple, vous pouvez créer une stratégie globale afin que chaque hôte de chaque zone puisse accéder au site Web de l’entreprise, par exemple, www.example.com. L’utilisation d’une stratégie globale est un raccourci pratique lorsqu’il existe de nombreuses zones de sécurité. Le trafic est classé en faisant correspondre son adresse source, son adresse de destination et l’application qu’il transporte dans son en-tête de protocole.
Cet exemple montre comment configurer une stratégie globale pour refuser ou autoriser le trafic.
Exigences
Avant de commencer :
Passez en revue les stratégies de sécurité du pare-feu.
Voir Présentation des stratégies de sécurité, Présentation globale des stratégies, Comprendre les règles de stratégie de sécurité etComprendre les éléments de politique de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie.
Reportez-vous à la section Exemple : Configuration de carnets d’adresses et de jeux d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type.
Aperçu
Cet exemple de configuration montre comment configurer une stratégie globale qui accomplit ce que plusieurs stratégies de sécurité (à l’aide de zones) auraient accompli. La stratégie globale gp1 autorise tout le trafic, tandis que la stratégie gp2 refuse tout le trafic.
Topologie
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security address-book global address server1 dns-name www.example.com set security address-book global address server2 dns-name www.mail.example.com set security policies global policy gp1 match source-address server1 set security policies global policy gp1 match destination-address server2 set security policies global policy gp1 match application any set security policies global policy gp1 then permit set security policies global policy gp2 match source-address server2 set security policies global policy gp2 match destination-address server1 set security policies global policy gp2 match application junos-ftp set security policies global policy gp2 then deny
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie globale afin d’autoriser ou de refuser l’ensemble du trafic :
Créez des adresses.
[edit security] user@host# set security address-book global address server1 dns-name www.example.com user@host# set security address-book global address server2 dns-name www.mail.example.com
Créez la stratégie globale pour autoriser tout le trafic.
[edit security] user@host# set policy global policy gp1 match source-address server1 user@host# set policy global policy gp1 match destination-address server2 user@host# set policy global policy gp1 match application any user@host# set policy global policy gp1 then permit
Créez la stratégie globale de refus de tout le trafic.
[edit security] user@host# set policy global policy gp2 match source-address server2 user@host# set policy global policy gp2 match destination-address server1 user@host# set policy global policy gp2 match application junos-ftp user@host# set policy global policy gp2 then deny
Résultats
En mode configuration, confirmez votre configuration en entrant les show security policies commandes and show security policies global . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show security policies
global {
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
}
user@host# show security policies global
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration globale de la stratégie
But
Vérifiez que les stratégies globales gp1 et gp2 sont configurées comme requis.
Action
À partir du mode opérationnel, entrez la show security policies global commande.
user@host> show security policies global
Global policies:
Policy: gp1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
From zones: any
To zones: any
Source addresses: server1
Destination addresses: server2
Applications: any
Action: permit
Policy: gp2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
From zones: any
To zones: any
Source addresses: server2
Destination addresses: server1
Applications: junos-ftp
Action: deny
Signification
La sortie affiche des informations sur toutes les stratégies globales configurées sur l’appareil.
Exemple : Configuration d’une stratégie globale avec plusieurs zones
Contrairement aux autres stratégies de sécurité de Junos OS, les stratégies globales vous permettent de créer des stratégies multizones. Une stratégie globale est un raccourci pratique lorsqu’il existe de nombreuses zones de sécurité, car elle vous permet de configurer plusieurs zones source et plusieurs zones de destination dans une stratégie globale au lieu d’avoir à créer une stratégie distincte pour chaque paire zone/zone de/à, même lorsque d’autres attributs, tels que l’adresse source-ou l’adresse de destination, sont identiques.
Exigences
Avant de commencer :
Passez en revue les stratégies de sécurité du pare-feu.
Voir Présentation des stratégies de sécurité, Présentation globale des stratégies, Comprendre les règles de stratégie de sécurité et Comprendre les éléments de politique de sécurité.
Créez des zones de sécurité.
Aperçu
Cet exemple de configuration montre comment configurer une stratégie globale qui accomplit ce que plusieurs stratégies de sécurité auraient accompli. Le Pa autorise tout le trafic des zones 1 et 2 vers les zones 3 et 4.
Topologie
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer une stratégie globale avec plusieurs zones :
Créez une stratégie globale pour autoriser tout trafic des zones 1 et 2 vers les zones 3 et 4.
[edit security] set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies global commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security policies global
policy Pa {
match {
source-address any;
destination-address any;
application any;
from-zone [ zone1 zone2 ];
to-zone [ zone3 zone4 ];
}
then {
permit;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.