Descripción general de la política de firewall
Contrail Service Orchestration (CSO) ofrece la capacidad de crear, modificar y eliminar intenciones de política de firewall asociadas con una política de firewall. Las políticas de firewall se presentan como políticas basadas en la intención. Una intención de política de firewall controla el tráfico de tránsito dentro de un contexto que se deriva de los puntos finales definidos en la intención. Las políticas de firewall basadas en la intención pueden incorporar estructuras de firewall de capa de transporte (capa 4) y capa de aplicación (capa 7) en una sola intención. El sistema subyacente analiza automáticamente la intención y las traduce en el conjunto de reglas que los dispositivos entienden. La elección de la secuencia y la asignación se realiza implícitamente en función de los puntos de conexión en la definición de intención. La intención consta de puntos de conexión de origen y destino. Los puntos de conexión podrían ser aplicaciones (L7), sitios o grupos de sitios, direcciones/grupos de direcciones IP, servicios o departamentos.
A partir de la versión 5.0.1 de CSO, si un dispositivo (CPE o firewall de última generación) ejecuta la versión 18.2R1 o posterior de Junos OS, una política de firewall actúa como una política de firewall unificada. En una política de firewall unificada, la aplicación dinámica se puede usar como una condición de coincidencia junto con las condiciones de coincidencia existentes. Por lo tanto, un firewall de aplicación independiente no está configurado en el dispositivo para permitir o bloquear tráfico a una aplicación.
Sin embargo, si el dispositivo está ejecutando una versión anterior a Junos OS versión 18.2R1, la política de firewall no actúa como una política de firewall unificada y los firewalls de aplicación continúan configurados en el dispositivo.
Consulte Políticas de seguridad unificadas para obtener información acerca de las políticas de firewall unificadas.
Las políticas de firewall proporcionan funcionalidad de seguridad mediante la aplicación de intenciones en el tráfico que pasa a través de un dispositivo. Se permite o se niega el tráfico según la acción definida como la intención de la política de firewall.
Una política de firewall ofrece las siguientes características:
Permite, rechaza o niega tráfico basado en la aplicación en uso.
Identifica no solo HTTP, sino también cualquier aplicación que se ejecute sobre él, lo que le permite aplicar correctamente las políticas. Por ejemplo, una intención de firewall de aplicación podría bloquear el tráfico HTTP de Facebook, pero permitir el acceso web al tráfico HTTP desde Microsoft Outlook.
Proporciona la capacidad de habilitar la protección de seguridad avanzada especificando uno o más de los siguientes:
Perfil de seguridad de contenido
Perfil de proxy SSL
Perfil del sistema de prevención de intrusiones (SPI)
En CSO, las intenciones se clasifican como intenciones basadas en zonas e intenciones basadas en la empresa.
Las intenciones basadas en zonas son intenciones con zonas como puntos de conexión de origen y destino. Las políticas con intenciones basadas en zonas se pueden aplicar a sitios de RAEDS y sitios de firewall de última generación. Los parámetros que puede definir para intenciones basadas en zonas se enumeran en la tabla 1.
Tabla 1: Intenciones basadas en zonas Puntos finales de origen
Puntos finales de destino
Opciones de seguridad avanzadas
Opciones compatibles
Zonas
Dirección
Usuarios
Zonas
Dirección
Servicio (puerto/protocolo L4)
Aplicaciones (aplicaciones dinámicas)
Perfil de proxy SSL
Perfil de seguridad de contenido
Perfil de SPI
Programador
Registro
Nota:No puede seleccionar un departamento o sitio como un punto de conexión en intenciones basadas en zonas. Los sitios asignados a la política se aplican a las intenciones basadas en zonas y se consideran automáticamente para la implementación.
Las intenciones basadas en la empresa son intenciones que contienen sitios, grupos de sitios, departamentos, direcciones como puntos de conexión de origen y destino. Las políticas de firewall con intenciones basadas en la empresa solo se pueden aplicar a los sitios de RAEDS. Los parámetros que puede definir para intenciones basadas en la empresa se enumeran en la tabla 2.
Tabla 2: Intenciones basadas en la empresa Puntos de conexión de origen
Puntos de conexión de destino
Opciones de seguridad avanzadas
Opciones compatibles
Sitios
Grupos de sitios
Departamentos
Direcciones
Usuarios
Sitios
Grupos de sitios
Departamentos
Direcciones
Usuarios
Servicio/Aplicaciones
Perfil de seguridad de contenido
Perfil de SPI
Programador
Registro
Nota:No se pueden seleccionar zonas como puntos de conexión de origen o destino para intenciones basadas en la empresa.
Las intenciones agregadas en la versión 4.1 de CSO y anteriores ahora se denominan intenciones basadas en la empresa.