Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Réorganisation des stratégies de sécurité

La réorganisation des stratégies de sécurité permet de déplacer les stratégies une fois qu’elles ont été créées. Junos OS offre un outil pour vérifier que l’ordre des stratégies dans la liste des stratégies est valide.

Comprendre l’ordonnancement des stratégies de sécurité

Junos OS offre un outil pour vérifier que l’ordre des stratégies dans la liste des stratégies est valide.

Il est possible qu’une politique éclipse ou éclipse une autre politique. Prenons les exemples suivants :

Exemple 1

Exemple 2

Dans les exemples 1 et 2, où la stratégie permit-mail est configurée après la stratégie permit-all d’une zone trust à l’autre untrust. Tout le trafic provenant de la zone untrust correspond à la première stratégie permit-all et est autorisé par défaut. Aucun trafic ne correspond à la stratégie permit-mail.

Étant donné que Junos OS effectue une recherche de stratégie en commençant par le haut de la liste, lorsqu’il trouve une correspondance pour le trafic reçu, il n’apparaît pas plus bas dans la liste des stratégies. Pour corriger l’exemple précédent, vous pouvez simplement inverser l’ordre des stratégies, en mettant la plus spécifique en premier :

Dans les cas où il existe des dizaines ou des centaines de stratégies, l’éclipse d’une politique par une autre peut ne pas être si facile à détecter. Pour vérifier si les stratégies sont masquées, entrez l’une des commandes suivantes :

Cette commande signale les stratégies d’observation et d’ombre. Il est alors de la responsabilité de l'administrateur de corriger la situation.

Note:

Le concept d’observation des politiques fait référence à la situation où une politique située plus haut dans la liste des politiques prend toujours effet avant une politique subséquente. Étant donné que la recherche de stratégie utilise toujours la première stratégie qu’elle trouve qui correspond au tuple en cinq parties de la zone source et de destination, de l’adresse source et de destination et du type d’application, si une autre stratégie s’applique au même tuple (ou à un sous-ensemble du tuple), la recherche de stratégie utilise la première stratégie de la liste et n’atteint jamais la seconde.

Exemple : réorganisation des stratégies de sécurité

Cet exemple montre comment déplacer les stratégies une fois qu’elles ont été créées.

Exigences

Avant de commencer :

Aperçu

Pour réorganiser les stratégies afin de corriger le shadowing, vous pouvez simplement inverser l’ordre des stratégies, en plaçant la plus spécifique en premier.

Configuration

Procédure

Procédure étape par étape

Pour réorganiser des stratégies existantes :

  1. Réorganisez deux stratégies existantes en entrant la commande suivante :

  2. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la show security policies commande.