Réorganisation des stratégies de sécurité
La réorganisation des stratégies de sécurité permet de déplacer les stratégies une fois qu’elles ont été créées. Junos OS offre un outil pour vérifier que l’ordre des stratégies dans la liste des stratégies est valide.
Comprendre l’ordonnancement des stratégies de sécurité
Junos OS offre un outil pour vérifier que l’ordre des stratégies dans la liste des stratégies est valide.
Il est possible qu’une politique éclipse ou éclipse une autre politique. Prenons les exemples suivants :
Exemple 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Exemple 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
Dans les exemples 1 et 2, où la stratégie permit-mail
est configurée après la stratégie permit-all
d’une zone trust
à l’autre untrust
. Tout le trafic provenant de la zone untrust
correspond à la première stratégie permit-all
et est autorisé par défaut. Aucun trafic ne correspond à la stratégie permit-mail
.
Étant donné que Junos OS effectue une recherche de stratégie en commençant par le haut de la liste, lorsqu’il trouve une correspondance pour le trafic reçu, il n’apparaît pas plus bas dans la liste des stratégies. Pour corriger l’exemple précédent, vous pouvez simplement inverser l’ordre des stratégies, en mettant la plus spécifique en premier :
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Dans les cas où il existe des dizaines ou des centaines de stratégies, l’éclipse d’une politique par une autre peut ne pas être si facile à détecter. Pour vérifier si les stratégies sont masquées, entrez l’une des commandes suivantes :
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Cette commande signale les stratégies d’observation et d’ombre. Il est alors de la responsabilité de l'administrateur de corriger la situation.
Le concept d’observation des politiques fait référence à la situation où une politique située plus haut dans la liste des politiques prend toujours effet avant une politique subséquente. Étant donné que la recherche de stratégie utilise toujours la première stratégie qu’elle trouve qui correspond au tuple en cinq parties de la zone source et de destination, de l’adresse source et de destination et du type d’application, si une autre stratégie s’applique au même tuple (ou à un sous-ensemble du tuple), la recherche de stratégie utilise la première stratégie de la liste et n’atteint jamais la seconde.
Voir aussi
Exemple : réorganisation des stratégies de sécurité
Cet exemple montre comment déplacer les stratégies une fois qu’elles ont été créées.
Exigences
Avant de commencer :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez le carnet d’adresses et créez des adresses à utiliser dans la stratégie. Reportez-vous à la section Exemple : Configuration des carnets d’adresses et des ensembles d’adresses.
Aperçu
Pour réorganiser les stratégies afin de corriger le shadowing, vous pouvez simplement inverser l’ordre des stratégies, en plaçant la plus spécifique en premier.
Configuration
Procédure
Procédure étape par étape
Pour réorganiser des stratégies existantes :
Réorganisez deux stratégies existantes en entrant la commande suivante :
[edit] user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security policies
commande.