Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la política de firewall

Contrail Service Orchestration (CSO) ofrece la capacidad de crear, modificar y eliminar intenciones de política de firewall asociadas con una política de firewall. Las políticas de firewall se presentan como políticas basadas en la intención. Una intención de política de firewall controla el tráfico de tránsito dentro de un contexto que se deriva de los puntos finales definidos en la intención. Las políticas de firewall basadas en la intención pueden incorporar estructuras de firewall de capa de transporte (capa 4) y capa de aplicación (capa 7) en una sola intención. El sistema subyacente analiza automáticamente la intención y las traduce en el conjunto de reglas que los dispositivos entienden. La elección de la secuencia y la asignación se realiza implícitamente en función de los puntos de conexión en la definición de intención. La intención consta de puntos de conexión de origen y destino. Los puntos de conexión podrían ser aplicaciones (L7), sitios o grupos de sitios, direcciones/grupos de direcciones IP, servicios o departamentos.

Nota:
  • A partir de la versión 5.0.1 de CSO, si un dispositivo (CPE o firewall de última generación) ejecuta la versión 18.2R1 o posterior de Junos OS, una política de firewall actúa como una política de firewall unificada. En una política de firewall unificada, la aplicación dinámica se puede usar como una condición de coincidencia junto con las condiciones de coincidencia existentes. Por lo tanto, un firewall de aplicación independiente no está configurado en el dispositivo para permitir o bloquear tráfico a una aplicación.

    Sin embargo, si el dispositivo está ejecutando una versión anterior a Junos OS versión 18.2R1, la política de firewall no actúa como una política de firewall unificada y los firewalls de aplicación continúan configurados en el dispositivo.

    Consulte Políticas de seguridad unificadas para obtener información acerca de las políticas de firewall unificadas.

Las políticas de firewall proporcionan funcionalidad de seguridad mediante la aplicación de intenciones en el tráfico que pasa a través de un dispositivo. Se permite o se niega el tráfico según la acción definida como la intención de la política de firewall.

Una política de firewall ofrece las siguientes características:

  • Permite, rechaza o niega tráfico basado en la aplicación en uso.

  • Identifica no solo HTTP, sino también cualquier aplicación que se ejecute sobre él, lo que le permite aplicar correctamente las políticas. Por ejemplo, una intención de firewall de aplicación podría bloquear el tráfico HTTP de Facebook, pero permitir el acceso web al tráfico HTTP desde Microsoft Outlook.

  • Proporciona la capacidad de habilitar la protección de seguridad avanzada especificando uno o más de los siguientes:

    • Perfil de seguridad de contenido

    • Perfil de proxy SSL

    • Perfil del sistema de prevención de intrusiones (SPI)

En CSO, las intenciones se clasifican como intenciones basadas en zonas e intenciones basadas en la empresa.

  • Las intenciones basadas en zonas son intenciones con zonas como puntos de conexión de origen y destino. Las políticas con intenciones basadas en zonas se pueden aplicar a sitios de RAEDS y sitios de firewall de última generación. Los parámetros que puede definir para intenciones basadas en zonas se enumeran en la tabla 1.

    Tabla 1: Intenciones basadas en zonas

    Puntos finales de origen

    Puntos finales de destino

    Opciones de seguridad avanzadas

    Opciones compatibles

    Zonas

    Dirección

    Usuarios

    Zonas

    Dirección

    Servicio (puerto/protocolo L4)

    Aplicaciones (aplicaciones dinámicas)

    Perfil de proxy SSL

    Perfil de seguridad de contenido

    Perfil de SPI

    Programador

    Registro

    Nota:

    No puede seleccionar un departamento o sitio como un punto de conexión en intenciones basadas en zonas. Los sitios asignados a la política se aplican a las intenciones basadas en zonas y se consideran automáticamente para la implementación.

  • Las intenciones basadas en la empresa son intenciones que contienen sitios, grupos de sitios, departamentos, direcciones como puntos de conexión de origen y destino. Las políticas de firewall con intenciones basadas en la empresa solo se pueden aplicar a los sitios de RAEDS. Los parámetros que puede definir para intenciones basadas en la empresa se enumeran en la tabla 2.

    Tabla 2: Intenciones basadas en la empresa

    Puntos de conexión de origen

    Puntos de conexión de destino

    Opciones de seguridad avanzadas

    Opciones compatibles

    Sitios

    Grupos de sitios

    Departamentos

    Direcciones

    Usuarios

    Sitios

    Grupos de sitios

    Departamentos

    Direcciones

    Usuarios

    Servicio/Aplicaciones

    Perfil de seguridad de contenido

    Perfil de SPI

    Programador

    Registro

    Nota:
    • No se pueden seleccionar zonas como puntos de conexión de origen o destino para intenciones basadas en la empresa.

    • Las intenciones agregadas en la versión 4.1 de CSO y anteriores ahora se denominan intenciones basadas en la empresa.