Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Políticas unificadas Compatibilidad con Flow

A partir de Junos OS versión 18.2R1, las políticas unificadas son compatibles con los firewalls de la serie SRX, lo que permite el control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad. Las directivas unificadas son las políticas de seguridad que permiten usar aplicaciones dinámicas como condiciones de coincidencia como parte de las condiciones de coincidencia existentes de 5 o 6 tuplas (5 tuplas con firewall de usuario) para detectar cambios en las aplicaciones a lo largo del tiempo.

Las directivas unificadas permiten usar aplicaciones dinámicas como criterios de coincidencia de políticas en la aplicación. Al aplicar la identificación de aplicación (AppID) al tráfico, AppID comprueba varios paquetes e identifica la aplicación. Una vez identificada la aplicación, se aplica la directiva final a la sesión. Las acciones de la política, como permitir, denegar, rechazar o redirigir, se aplican al tráfico según la política.

Durante la fase inicial de búsqueda de directivas, que tiene lugar antes de que se identifique una aplicación dinámica, si hay varias directivas en la lista de directivas potenciales, el firewall de la serie SRX aplica la directiva de seguridad predeterminada hasta que se produzca una coincidencia más explícita. La directiva que mejor se adapte a la aplicación es la directiva final.

Para obtener más información sobre las políticas unificadas, consulte [Políticas de seguridad unificadas, Compatibilidad con la identificación de aplicaciones para políticas unificadas y Descripción de la compatibilidad de políticas de desplazados internos con políticas unificadas.]

Ruta de flujo primero para políticas unificadas

Cuando el dispositivo examina el primer paquete de un flujo, determina la política de seguridad correspondiente y realiza una búsqueda de política de seguridad. Durante este proceso se observan los siguientes casos:

  • Si el tráfico coincide con una política de seguridad heredada o con la directiva final, se crea la sesión.

  • Si hay varias directivas en la lista de directivas potenciales y hay un conflicto de políticas de seguridad, se aplicará la directiva de seguridad predeterminada.

  • Si hay varias directivas en la lista de directivas potenciales y la acción de directiva no permite el tráfico, la sesión se cierra. Se genera un mensaje de registro para indicar el motivo del cierre de la sesión. La directiva de seguridad predeterminada es necesaria durante la etapa de conflicto de directivas, ya que cada directiva de la lista de directivas potenciales tiene valores de configuración diferentes para MSS, comprobación de TCP SYN, intervalo de tiempo de espera de sesión, etc. En este caso, cuando se aplica la directiva de seguridad predeterminada, se aplican todos los valores configurados en esa directiva. Cuando se hace coincidir una política de seguridad predeterminada, las acciones de la política se aplican a la sesión.

    Nota:
    • La política de seguridad predeterminada es la directiva definida por el sistema. Esta política no se puede eliminar.

    • La directiva predeterminada se crea en todos los niveles del sistema lógico, de manera similar a la directiva predeterminada global.

    • El intervalo de tiempo de espera de la sesión y los valores del registro de sesión se aprovechan de la directiva de seguridad predeterminada y los valores predeterminados, como TCP-MSS y TCP SYN, se aprovechan de la configuración de flujo.

  • Cuando se aplica una política predeterminada, se asigna un metadato potencial para la acción de la política. Los metadatos potenciales se actualizan de acuerdo con la lista de políticas potenciales.

    Nota:
    • Tener una política de seguridad predeterminada ayuda a resolver la lista de políticas potenciales.

    • Puede haber muchas sesiones que coincidan con la política de seguridad predeterminada; Sin embargo, los servicios de aplicación definidos en la directiva para el tráfico permitido pueden ser diferentes. Se guarda la información del flujo de seguridad de cada sesión.

    • Cuando un firewall de la serie SRX funciona en modo de clúster de chasis, la información se sincroniza desde el nodo principal al nodo secundario junto con la sesión de flujo y los objetos en tiempo real (RTO) del clúster de chasis.

  • Cuando se identifica la aplicación final, se aplica la política de seguridad que coincide con la aplicación final. Los paquetes subsiguientes se procesan de acuerdo con la política final.

Descripción de la ruta rápida de flujo

Después de que el primer paquete de un flujo ha atravesado el dispositivo y se ha establecido una sesión para él, se somete a un procesamiento de ruta rápida. Cuando el dispositivo examina una sesión de flujo de seguridad con una política predeterminada, realiza una búsqueda de política de seguridad y se observan los siguientes casos:

  • Si la identificación de aplicación existente requiere una actualización, el proceso de búsqueda de políticas se repite. El proceso se repite hasta que se devuelve una política explícita y se reemplaza en la sesión de flujo de seguridad. Si se devuelve una política implícita, se deniega el tráfico y se cierra la sesión.

  • Cuando se identifica la aplicación final, se aplica la directiva final que coincida con el tráfico. Si las acciones de directiva de la directiva predeterminada y la directiva final son similares, la directiva final reemplaza a la directiva predeterminada en la sesión de flujo de seguridad. Si las acciones de directiva de la directiva predeterminada y la directiva final son diferentes, se conserva la directiva predeterminada y se cierra la sesión del flujo de seguridad.

    Nota:

    Cuando la política final y la predeterminada con una acción de denegación coinciden, la sesión de flujo de seguridad se cierra.

  • Para actualizar una sesión, se usa la configuración de tiempo de espera de sesión, registro o contador de la directiva final.

Configuración del registro de sesión para la directiva de seguridad predeterminada

La directiva de seguridad predeterminada es necesaria para administrar los conflictos de políticas en la lista de directivas potenciales. Puede establecer los registros de sesión para las sesiones necesarias en las configuraciones predeterminadas de políticas de seguridad:

Puede habilitar el registro al final de una sesión y al principio de la sesión con los siguientes comandos:

  1. Genere un registro de Session_Create para las políticas que ingresan a la política global pre-id-default-policy.
    CAUTELA:

    La configuración session-init del registro para el pre-id-default-policy puede generar una gran cantidad de registros. Cada sesión que ingrese al SRX que inicialmente coincida con el pre-id-default-policy generará un evento. Recomendamos usar esta opción solo para solucionar problemas.

  2. Genere un registro Session_Close para las políticas que se cierran sin salir de la política global pre-id-default-policy.

Se recomienda habilitar el registro de cierre de sesión dentro de la política pre-id-default. Esto garantizará que el SRX genere registros de seguridad si un flujo no puede salir de la política pre-id-default-policy. Estos eventos generalmente se deben a que Juniper Networks Deep Packet Inspection (JDPI) no pudo clasificar el tráfico correctamente. Los eventos también pueden indicar posibles intentos de evadir el motor de identificación de aplicaciones (AppID).

Configuración del tiempo de espera de sesión para la directiva de seguridad predeterminada

Puede establecer el tiempo de espera de la sesión para las sesiones necesarias en las configuraciones predeterminadas de la directiva de seguridad. Puede especificar los valores de tiempo de espera para las sesiones UDP, TCP, ICMP e ICMP6 mediante el set security policies pre-id-default-policy then session-timeout comando:

  • Especifique el valor de tiempo de espera en segundos para la sesión TCP:
  • Especifique el valor de tiempo de espera en segundos para la sesión UDP:
  • Especifique el valor de tiempo de espera en segundos para la sesión ICMP:
  • Especifique el valor de tiempo de espera en segundos para la sesión ICMP6:

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, las políticas unificadas son compatibles con los firewalls de la serie SRX, lo que permite el control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad. Las directivas unificadas son las políticas de seguridad que permiten usar aplicaciones dinámicas como condiciones de coincidencia como parte de las condiciones de coincidencia existentes de 5 o 6 tuplas (5 tuplas con firewall de usuario) para detectar cambios en las aplicaciones a lo largo del tiempo.