Réorganisation des stratégies de sécurité
La réorganisation des politiques de sécurité permet de déplacer les stratégies une fois qu’elles ont été créées. Junos OS fournit des instructions et des commandes CLI pour vérifier l’ordre des stratégies dans la liste des stratégies et modifier l’ordre si nécessaire.
Afficher et modifier l’ordre des politiques de sécurité
Les stratégies de sécurité s’exécutent dans l’ordre de leur apparition dans le fichier de configuration, vous devez tenir compte des points suivants :
- L’ordre des politiques est important.
- Les nouvelles stratégies sont placées à la fin de la liste des stratégies.
- La dernière stratégie est la stratégie par défaut, qui a pour action par défaut de refuser tout le trafic.
Une fois que vous avez configuré le nombre de stratégies de sécurité, il est possible qu’une stratégie éclipse ou éclipse une autre stratégie. Dans ce cas :
- Vous pouvez afficher la liste des stratégies masquées dans la liste des stratégies à l’aide de la
show security shadow-policiescommande. - Vous pouvez modifier l’ordre des stratégies et placer la stratégie la plus spécifique avant les autres à l’aide de l’instruction
insertandbefore.
Prenons les exemples suivants :
Exemple 1
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all user@host# set security policies from-zone trust to-zone untrust policy permit-all match source-address any user@host# set security policies from-zone trust to-zone untrust match destination-address any user@host# set security policies from-zone trust to-zone untrust match application any user@host# set security policies from-zone trust to-zone untrust set then permit user@host# set security policies from-zone untrust to-zone trust policy deny-all match source-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match destination-address any user@host# set security policies from-zone untrust to-zone trust policy deny-all match application any user@host# set security policies from-zone untrust to-zone trust policy deny-all then deny
Exemple 2
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services all user@host# set security address-book book1 address mail-untrust 192.0.2.1/24 user@host# set security address-book book1 attach zone untrust user@host# set security address-book book2 address mail-trust 192.168.1.1/24 user@host# set security address-book book2 attach zone trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust user@host# set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail user@host# set security policies from-zone trust to-zone untrust policy permit-mail then permit
Dans les exemples 1 et 2, où la stratégie permit-mail est configurée après la politique permit-all d’une zone trust à l’autre untrust. Tout le trafic provenant de la zone untrust correspond à la première stratégie permit-all et est autorisé par défaut. Aucun trafic ne correspond à la stratégie permit-mail.
Étant donné que Junos OS effectue une recherche de stratégie en commençant par le haut de la liste, lorsqu’il trouve une correspondance pour le trafic reçu, il n’apparaît pas plus bas dans la liste des stratégies. Pour corriger l’exemple précédent, vous pouvez simplement inverser l’ordre des stratégies, en mettant la plus spécifique en premier :
[edit]
user@host# insert security policies from-zone trust to-zone untrust policy permit-mail before policy permit-all
Dans les cas où il existe des dizaines ou des centaines de stratégies, l’éclipse d’une politique par une autre peut ne pas être si facile à détecter. Pour vérifier si les stratégies sont masquées, entrez l’une des commandes suivantes :
[edit]
user@host# run show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name
[edit]
user@host# run show security shadow-policies logical-system lsys-name global
Cette commande signale les stratégies d’ombrage et d’ombre. Il est alors de la responsabilité de l'administrateur de corriger la situation.
Le concept d’observation des politiques fait référence à la situation où une politique située plus haut dans la liste des politiques prend toujours effet avant une politique subséquente. Étant donné que la recherche de stratégie utilise toujours la première stratégie qu’elle trouve qui correspond au tuple en cinq parties de la zone source et de destination, de l’adresse source et de destination et du type d’application, si une autre stratégie s’applique au même tuple (ou à un sous-ensemble du tuple), la recherche de stratégie utilise la première stratégie de la liste et n’atteint jamais la seconde.