Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configurer des stratégies d’application sur les pare-feu SRX Series

Suivez ces étapes pour configurer des stratégies qui contrôlent l’accès aux applications.

Les stratégies d’application sont des politiques de sécurité dans la conception de Juniper WAN Assurance, dans lesquelles vous définissez quel réseau et quels utilisateurs peuvent accéder à quelles applications, et en fonction de quelle stratégie de pilotage du trafic. Pour définir des stratégies d’application, vous devez créer des réseaux, des applications et des profils d’orientation du trafic. Vous utilisez ensuite ces informations comme critères de correspondance pour autoriser ou bloquer l’accès à partir d’applications ou de destinations.

Dans le portail cloud Juniper Mist™, le paramètre Réseaux ou Utilisateurs détermine la zone source. Le paramètre Applications + Orientation du trafic détermine la zone de destination. Les chemins d’orientation du trafic déterminent la zone de destination dans les pare-feu SRX Series de Juniper Networks®. Veillez donc à attribuer des profils d’orientation du trafic aux stratégies d’application.

Remarques sur les politiques d’application :

  • Vous pouvez définir des stratégies d’application de l’une des trois manières suivantes : au niveau de l’organisation, dans un modèle de périphérie WAN ou dans un profil de hub.

  • Lorsque vous définissez une stratégie d’application au niveau de l’organisation, vous pouvez l’importer et l’utiliser dans plusieurs modèles de périphérie WAN ou dans des profils de hub. C’est-à-dire que vous pouvez suivre le modèle « définir une fois, utiliser plusieurs fois ».

  • Lorsque vous définissez une stratégie d’application directement à l’intérieur d’un profil de périphérie WAN ou de hub, la portée de la stratégie est limitée dans ce modèle de périphérie WAN ou dans ce profil de hub uniquement. Vous ne pouvez pas réutiliser la stratégie dans d’autres modèles ou profils.

  • Mist évalue et applique les stratégies dans l’ordre de leur apparition dans la liste des stratégies.

    Note: Pour les routeurs Session Smart, l’ordre des stratégies n’a pas d’importance. Il est recommandé de placer les stratégies globales à la fin de la liste des stratégies.

Configurer les stratégies d’application

Pour configurer des stratégies d’application :

  1. Dans le portail cloud Juniper Mist, sélectionnez Organization > WAN > Application Policy pour créer une stratégie au niveau de l’organisation.
    Si vous souhaitez créer la stratégie au niveau d’un modèle de périphérie WAN ou d’un profil de hub, sélectionnez Organization > WAN > WAN Edge Templates ou Hub Profile (Profil de hub ), puis sélectionnez le modèle ou le profil requis.
  2. Faites défiler l’écran vers le bas jusqu’à la section Stratégies d’application, puis cliquez sur Ajouter une stratégie d’application.
    Note:

    Vous pouvez importer une stratégie globale dans le modèle de périphérie WAN ou le profil du hub en cliquant sur l’option Importer la stratégie d’application .

    Le portail cloud Juniper Mist affiche les stratégies importées en gris pour les différencier des stratégies locales définies dans le modèle ou le profil.
  3. Cliquez sur le nouveau champ sous la colonne Nom , donnez un nom à la stratégie, puis cliquez sur la coche bleue pour appliquer vos modifications.

    La figure suivante (Figure 1) illustre les options qui s’offrent à vous lorsque vous configurez une stratégie d’application.

    Figure 1 : options de configuration de la stratégie d’application Application Policy Configuration Options
    Le tableau suivant ( Tableau 1) explique les options de configuration disponibles pour une stratégie d’application.
    Tableau 1 : options relatives aux stratégies d’application
    Description du champ
    Non.

    Abréviation de nombre. Cette entrée indique la position de la stratégie d’application. Mist évalue et applique les stratégies en fonction de leur position, c’est-à-dire de l’ordre dans lequel elles sont répertoriées dans ce champ.

    Nom Nom de la stratégie d’application. Vous pouvez utiliser jusqu’à 32 caractères pour nommer l’application, y compris les caractères alphanumériques, les traits de soulignement et les tirets.
    Réseau/Utilisateur

    Réseaux et utilisateurs du réseau. Les réseaux sont les sources de la requête dans votre réseau. Vous pouvez sélectionner un réseau dans la liste des réseaux disponibles. Si vous avez associé un utilisateur au réseau, le portail Mist affiche les détails sous forme user.network de format dans le menu déroulant.
    Action

    Mesures politiques. Sélectionnez l’une des actions de stratégie suivantes :

    • Permettre

    • Bloquer
    Application / Destination

    Point de terminaison de destination. Les applications déterminent les destinations utilisées dans une stratégie.

    Vous pouvez sélectionner des applications dans la liste des applications déjà définies.
    IDP (en anglais)

    (Facultatif) Profils de détection et de prévention d’intrusion (IDP). Sélectionnez l’un des profils IDP :

    • Standard : le profil standard est le profil par défaut et représente l’ensemble des signatures IDP et des règles recommandées par Juniper Networks. Parmi ces actions, on peut citer :

      Fermez la connexion TCP client-serveur.

      Supprimer le paquet en cours et tous les paquets suivants

    • Strict (Strict) : le profil strict contient un ensemble de signatures et de règles IDP similaire à celui du profil standard. Cependant, lorsque le système détecte une attaque, profile bloque activement tout trafic malveillant ou toute autre attaque détectée sur le réseau.

    • Alerte

      : le profil d’alerte génère uniquement une alerte et n’effectue aucune action supplémentaire. Les profils d’alertes ne conviennent qu’aux attaques de faible gravité. La signature et les règles IDP sont les mêmes que dans le profil standard.

    • Critique uniquement (SRX) : le profil Critique uniquement convient aux attaques de gravité critique. Lorsque le système détecte une attaque critique, ce profil prend les mesures appropriées. Nous recommandons le profil Critical – Only SRX pour la gamme de pare-feu SRX300.

    • Aucun : aucun profil IDP n’est appliqué.

    Le profil IDP que vous appliquez dans votre stratégie d’application effectue une inspection du trafic pour détecter et empêcher les intrusions sur le trafic autorisé.
    Services de sécurité avancés (SRX uniquement)

    Vous pouvez configurer les fonctionnalités de périphérie IA natives sécurisées suivantes dans une stratégie d’application sous Services de sécurité avancés pour les pare-feu SRX Series :

    • Secure Sockets Layer (SSL) Forward Proxy : le proxy de transfert SSL agit en tant qu’intermédiaire et effectue le chiffrement et le déchiffrement SSL entre le client et le serveur. Le proxy de transfert SSL est un proxy transparent ; c’est-à-dire qu’il effectue un cryptage et un déchiffrement SSL entre le client et le serveur, mais ni le serveur ni le client ne peuvent détecter sa présence. Les profils de proxy SSL suivants sont disponibles en fonction de la catégorie de chiffrement : Faible, Moyen et Fort.

    • Antivirus : vous pouvez créer une configuration antivirus et l’associer à une stratégie d’application. Vous pouvez soit choisir parmi un ensemble de configurations prédéfinies (par défaut, HTTP(S) uniquement et Pas de FTP), soit créer une configuration antivirus personnalisée.

    Note: Ces fonctionnalités nécessitent des licences côté appareil supplémentaires.
    Orientation du trafic

    Profils d’orientation du trafic. Le profil d’orientation du trafic définit le ou les chemins de trafic.

    Des profils de direction sont requis pour le déploiement de la stratégie sur l’équipement spoke de périphérie WAN ou sur un équipement central.
    Nombre de coups Le nombre d’accès à la stratégie d’application (autoriser/bloquer/filtrer) affiche le nombre de fois où le trafic a atteint une stratégie d’application donnée.
    Note:

    Les champs (numéro de commande) et Orientation du trafic ne sont pas disponibles pour les stratégies d’application au niveau de l’organisation. Lorsque vous définissez une stratégie d’application directement dans un profil de hub ou de périphérie WAN, vous devez spécifier le numéro de commande et les options d’orientation du trafic.

    Note: Les stratégies d’application qui autorisent le trafic du WAN vers le LAN doivent être configurées avec un réseau pour lequel le NAT de destination est configuré. Cette configuration permet d’envoyer la stratégie d’application au pare-feu SRX Series. Pour plus d’informations, reportez-vous au Tableau 1 de la section Configurer les réseaux pour les pare-feu SRX Series.
  4. Complétez la configuration en suivant les instructions du Tableau 2.
    Tableau 2 : exemples de stratégies d’application
    S.No. Nom de la règle, Action réseau , Direction de la destination
    1 Spoke-to-Hub-DMZ (en anglais) TOUT. RAYONS-LAN1 Passer HUB1-LAN1 HUB-LAN
    2 De la DMZ du moyeu aux rayons HUB1-LAN1 Passer RAYONS-LAN1 Superposer
    3 Spoke-to-Spoke-on-Hub-Hairpin-Épingle TOUT. RAYONS-LAN1 Passer RAYONS-LAN1 Superposer
    4 Hub-DMZ-vers-Internet HUB1-LAN1 Passer QUELCONQUE LBO
    5 Spokes-Traffic-CBO-on-Hub TOUT. RAYONS-LAN1 Passer QUELCONQUE LBO
  5. Cliquez sur Save (Enregistrer).

    La figure 2 présente la liste des stratégies d’application nouvellement créées.

    Figure 2 : Résumé Application Policies Summary des stratégies d’application

Réorganisation et suppression des stratégies d’application

Réorganiser la stratégie d’application vous permet de déplacer les stratégies une fois qu’elles ont été créées.

Mist évalue et exécute les stratégies dans l’ordre de leur apparition dans la liste des stratégies, vous devez tenir compte des points suivants :

  • L’ordre des politiques est important. Parce que l’évaluation des stratégies commence par le haut de la liste,

  • Les nouvelles stratégies sont placées à la fin de la liste des stratégies.

Sélectionnez une stratégie et utilisez la flèche vers le haut ou la flèche vers le bas pour modifier l’ordre. Vous pouvez modifier l’ordre des stratégies à tout moment.

Figure 3 : Modification de l’ordre des Changing Policy Order stratégies

Pour supprimer une stratégie d’application, sélectionnez la stratégie d’application que vous souhaitez supprimer, puis cliquez sur Supprimer qui s’affiche en haut à droite du volet.

Utiliser les mêmes adresses IP et les mêmes préfixes dans les réseaux et les applications

Dans la configuration des stratégies d’application, Réseau/Utilisateurs appartiennent à la zone source et Applications/Destination appartiennent à la zone de destination.

Vous pouvez utiliser les mêmes adresses IP et les mêmes préfixes pour les réseaux et les applications lorsque vous les définissez à des fins différentes. C’est-à-dire qu’ils agissent comme une source dans une stratégie et comme une destination dans une autre.

Examinons les stratégies de la figure 4.

Figure 4 : détails des Application Policies Details stratégies d’application

Ici, vous avez un SPOKE-LAN1 Réseau/Utilisateurs qui a une adresse IP 192.168.200.0/24 pour une interface LAN étoile. La capture d’écran montre que les stratégies suivantes utilisent le même réseau de différentes manières :

  • Spoke-to-Spoke-via-Hub : cette stratégie autorise le trafic spoke-to-spoke entrant et sortant via un hub. Ici, nous avons défini SPOKE-LAN1 à la fois le réseau et l’application.

  • Spoke-to-Hub-DMZ : cette stratégie autorise le trafic spoke-to-hub. Ici, nous l’avons défini SPOKE-LAN1 comme un réseau.

  • Hub-DMZ-to-Spoke : cette stratégie autorise le trafic hub-to-spoke. Ici, nous l’avons défini SPOKE-LAN1 comme une application.

Voir aussi