Programación de políticas de seguridad
El programador es una característica de seguridad que permite activar una política durante un período especificado. Puede definir programadores para un intervalo de tiempo único (no recurrente) o recurrente dentro del cual una política esté activa. Puede crear programadores independientemente de una política, lo que significa que ninguna política puede usar un programador.
Descripción general de los programadores de políticas de seguridad
Los programadores son potentes funciones que permiten activar una política durante un período determinado. Puede definir programadores para un intervalo de tiempo único (no recurrente) o recurrente dentro del cual una política esté activa. Puede crear programadores independientemente de una política, lo que significa que ninguna política puede usar un programador. Sin embargo, si desea que una directiva esté activa dentro de un tiempo programado, primero debe crear un programador.
Cuando se agota el tiempo de espera de un programador, se desactiva la política asociada. Posteriormente, se agota el tiempo de espera de todas las sesiones asociadas con la directiva solo si se usa la revancha de la directiva
Si una política contiene una referencia a un programador, la programación determina cuándo la política está activa, es decir, cuándo se puede usar como posible coincidencia para el tráfico. Los programadores le permiten restringir el acceso a un recurso durante un período de tiempo o eliminar una restricción.
Las siguientes directrices se aplican a los programadores:
Un programador puede tener varias políticas asociadas; Sin embargo, una política no se puede asociar con varios programadores.
Una política está activa durante el tiempo en que el programador al que hace referencia también está activo.
Cuando un programador está desactivado, la directiva no está disponible para la búsqueda de directivas.
Un programador se puede configurar como uno de los siguientes:
El programador puede estar activo para un solo intervalo de tiempo, según lo especificado por una fecha y hora de inicio y una fecha y hora de finalización.
El programador puede estar activo para siempre (recurrente), pero según lo especificado por la programación diaria. El horario en un día específico (franja horaria) tiene prioridad sobre el horario diario.
El programador puede estar activo dentro de un intervalo de tiempo especificado por la programación de días laborables.
El programador puede tener una combinación de dos intervalos de tiempo (diario y intervalo de tiempo).
Ejemplo: configuración de programadores para una programación diaria excluyendo un día
En este ejemplo se muestra cómo configurar programadores para comprobaciones de coincidencia de paquetes todos los días, de 8:00 a.m. a 5:00 p.m., excepto los domingos.
Requisitos
Antes de empezar:
Comprender los programadores de políticas de seguridad. Consulte Descripción general de las políticas de seguridad.
Configure las zonas de seguridad antes de aplicar esta configuración.
Visión general
Los programadores son potentes funciones que permiten activar una política durante un período determinado. Puede definir programadores para un intervalo de tiempo único (no recurrente) o recurrente dentro del cual una política esté activa. Si desea que una directiva esté activa dentro de un tiempo programado, primero debe crear un programador.
Para configurar un programador, escriba un nombre descriptivo y una hora de inicio y finalización para el programador. También puede adjuntar comentarios.
En este ejemplo, usted:
Especifique el programador, sch1, que permite que una política, que hace referencia a ella, se utilice para comprobar la coincidencia de paquetes todos los días, de 8:00 a.m. a 5:00 p.m., excepto los domingos.
Nota:Utilice el formato de 24 horas (hh:mm) para especificar las horas y los minutos del tiempo diario.
Cree una política, abc, y especifique las condiciones de coincidencia y la acción que se realizará en el tráfico que coincida con las condiciones especificadas. y vincular los programadores a la política para permitir el acceso durante los días especificados.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set schedulers scheduler sch1 daily start-time 08:00 stop-time 17:00 set schedulers scheduler sch1 sunday exclude set security policies from-zone green to-zone red policy abc match source-address any set security policies from-zone green to-zone red policy abc match destination-address any set security policies from-zone green to-zone red policy abc match application any set security policies from-zone green to-zone red policy abc then permit set security policies from-zone green to-zone red policy abc scheduler-name sch1 set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar un programador:
Establezca un programador.
[edit schedulers ] user@host# set scheduler sch1 daily start-time 08:00 stop-time 17:00 user@host# set scheduler sch1 sunday exclude
Especifique las condiciones de coincidencia para la directiva.
[edit security policies from-zone green to-zone red policy abc] user@host# set match source-address any destination-address any application any
Especifique la acción.
[edit security policies from-zone green to-zone red policy abc] user@host# set then permit
Asocie el programador a la política.
[edit security policies from-zone green to-zone red policy abc ] user@host# set scheduler-name sch1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show schedulers comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
[user@host]show schedulers
scheduler sch1 {
daily {
start-time 08:00 stop-time 17:00;
sunday exclude;
}
[edit]
[user@host]show security policies
from-zone green to-zone red {
policy abc {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
scheduler-name sch1;
}
}
default-policy {
permit-all;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar que los programadores estén activos
Propósito
Compruebe si los programadores están habilitados o no.
Acción
Desde el modo operativo, ingrese el show schedulers comando.
Verificación de políticas programadas
Propósito
Muestra información sobre las políticas de seguridad programadas.
Acción
Utilice el comando CLI show schedulers para mostrar información sobre los programadores configurados en el sistema. Si se identifica un programador específico, se muestra información detallada solo para ese programador.
user@host# show schedulers
scheduler sche1 {
/* This is sched1 */
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
}
scheduler sche2 {
daily {
all-day;
}
sunday {
start-time 16:00 stop-time 17:00;
}
friday {
exclude;
}
}
scheduler sche3 {
start-date 2006-11-02.12:12 stop-date 2007-11-02.12:11;
daily {
start-time 10:00 stop-time 17:00
}
sunday {
start-time 12:00 stop-time 14:00;
start-time 16:00 stop-time 17:00;
}
monday {
all-day;
}
friday {
exclude;
}
}
Significado
El resultado muestra información sobre los programadores configurados en el sistema. Verifique la siguiente información:
Los programadores diarios (recurrentes) y de una sola vez (no recurrentes) están configurados correctamente.
Los programadores están activos si las políticas están asociadas.