Agregar una regla a una política de seguridad
Usted está aquí: Políticas y objetos de seguridad > Políticas de seguridad.
Para hacer referencia a las políticas de seguridad de contenido y los perfiles de AppQoS en una regla de política de seguridad, cree políticas de seguridad de contenido y perfiles de AppQoS antes de crear o editar reglas de política de seguridad si es necesario. Para crear directivas de seguridad de contenido, vaya a Servicios de seguridad > Seguridad de contenido > Políticas de seguridad de contenido y, para crear perfiles de AppQoS, vaya a QoS de red > aplicación.
Para agregar una regla a una política de seguridad:
Campo |
Acción |
---|---|
Nombre de la regla |
Escriba un nombre para la nueva regla o política. |
Descripción de la regla |
Escriba una descripción para la política de seguridad. |
Política global |
Active esta opción para especificar que la directiva definida es una directiva global y que las zonas no son necesarias. |
Zona de origen |
Para agregar fuentes:
|
Zona de destino |
Para agregar un destino:
|
Acción |
Seleccione una acción para realizar cuando el tráfico coincida con los criterios:
|
Servicios avanzados Haga clic en +. Aparecerá la página Seleccionar servicios avanzados.
Nota:
|
|
Proxy SSL |
Seleccione la directiva de proxy SSL que desea asociar a esta regla en la lista. |
Seguridad de contenido |
Seleccione la directiva de seguridad de contenido que desea asociar a esta regla de la lista. La lista muestra todas las políticas de seguridad de contenido disponibles. Si desea crear una nueva directiva de seguridad de contenido, haga clic en Agregar nuevo. Aparecerá la página Crear una política de seguridad de contenido. Para obtener más información sobre cómo crear una nueva política de seguridad de contenido, consulte Crear una política de seguridad de contenido. |
Política de IPS |
Seleccione la política IPS de la lista. |
Política de prevención de amenazas |
Seleccione la directiva de prevención de amenazas configurada de la lista. |
Perfil de redireccionamiento ICAP |
Seleccione el nombre del perfil de redireccionamiento ICAP configurado de la lista. |
AAMW |
Seleccione un perfil antimalware de la lista que desee asociar a la directiva de seguridad.
Nota:
A partir de la versión Junos OS 22.2R1, puede asociar un perfil antimalware a las políticas de seguridad. |
Grupo de perfiles de SecIntel |
Seleccione un grupo de perfiles de SecIntel de la lista que desee asociar a la política de seguridad.
Nota:
A partir de la versión 22.2R1 de Junos OS, puede asociar un grupo de perfiles de SecIntel con las políticas de seguridad. |
IPsec VPN |
Seleccione el túnel VPN IPsec de la lista.
Nota:
Si selecciona Aplicaciones dinámicas en el destino, no se admite la opción VPN IPsec. |
Nombre de directiva de emparejamiento |
Escriba el nombre de la política con la misma VPN IPsec en la dirección opuesta para crear una política de par.
Nota:
Si selecciona Aplicaciones dinámicas en el destino, no se admite la opción Emparejar nombre de directiva. |
Perfil QoS de la aplicación |
Seleccione el perfil de AppQoS configurado de la lista. Si desea crear un nuevo perfil de AppQoS, haga clic en Agregar nuevo. Aparecerá la página Agregar perfil de AppQoS. Para obtener más información sobre cómo crear un nuevo perfil de AppQoS, consulte Agregar un perfil de QoS de aplicación. |
Generación de perfiles de amenazas |
A partir de Juons OS versión 21.4R1, puede habilitar esta opción para generar fuentes de generación de perfiles de amenazas.
Nota:
Las fuentes solo se muestran si se ha inscrito en ATP Cloud de Juniper. También puede descargar las fuentes con el comando Puede agregar direcciones de origen y destino, e identidades de origen y destino a las fuentes de amenazas. Una vez generadas las fuentes, puede configurar otras directivas de seguridad para que las usen de manera que coincidan con el tráfico designado y realicen acciones de directiva.
|
Captura de paquetes |
Habilite esta opción para capturar tráfico de aplicaciones desconocido específico de una regla de política de seguridad. De forma predeterminada, esta opción está deshabilitada. Una vez habilitado, puede ver los detalles del archivo de captura de paquetes (PCAP) o descargar el archivo PCAP en la página Monitor > Registrar > sesiones . |
Opciones de reglas Haga clic en Opciones de reglas. Aparecerá la página SELECCIONAR OPCIONES DE REGLA. |
|
Registro | |
Inicio de sesión |
Active esta opción para registrar un evento cuando se cree una sesión. |
Cierre de sesión |
Active esta opción para registrar un evento cuando se cierre la sesión. |
Contar |
Active esta opción para recopilar estadísticas del número de paquetes, bytes y sesiones que pasan por el firewall con esta directiva. Especifica los recuentos estadísticos. Se activa una alarma cuando el tráfico supera los umbrales de bytes y paquetes especificados.
Nota:
Los campos de umbral de alarma se desactivan si Activar recuento no está habilitado. |
Autenticación
Nota:
|
|
Inserción de la entrada de autenticación en JIMS |
Active esta opción para insertar entradas de autenticación desde la autenticación de firewall, que están en estado de éxito de autenticación, a Juniper Identity Management Server (JIMS). Esto permitirá que el firewall de la serie SRX consulte JIMS para obtener mapeo de IP/usuario e información del dispositivo. Esta no es una opción obligatoria. Puede seleccionarlo cuando al menos un dominio esté configurado en Active Directory local o configurar la administración de identidades. |
Tipo |
Seleccione el tipo de autenticación de firewall en la lista. Las opciones disponibles son: Ninguna, Paso a través, Firewall de usuario y Autenticación web. |
Perfil de acceso |
Seleccione un perfil de acceso de la lista.
Nota:
Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web. |
Nombre del cliente |
Escriba el nombre de usuario del cliente o el nombre del grupo de usuarios del cliente.
Nota:
Esta opción no se admite si selecciona el tipo de autenticación como User-firewall. |
Dominio |
Seleccione un nombre de dominio que debe estar en un nombre de cliente de la lista.
Nota:
Esta opción sólo se admite si selecciona el tipo de autenticación como User-firewall. |
Redireccionamiento web (http) |
Active esta opción para redirigir las solicitudes HTTP al servidor web interno del dispositivo enviando una respuesta HTTP de redirección al sistema cliente para volver a conectarse al servidor web para la autenticación de usuarios.
Nota:
Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web. |
Portal cautivo |
Active esta opción para redirigir una solicitud HTTP o HTTPS de cliente al servidor web HTTPS interno del dispositivo. Las solicitudes de cliente HTTPS se redirigen cuando se configura el perfil de terminación SSL.
Nota:
Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web. |
Interfaz |
Seleccione una interfaz para el servidor web donde se redirige la solicitud HTTP o HTTPS del cliente.
Nota:
No puede editarlo una vez creada la directiva. Para editar la interfaz, vaya a Interfaces de conectividad > conectividad de red >. |
Dirección IPv4 |
Introduzca la dirección IPv4 del servidor web donde se redirige la solicitud HTTP o HTTPS del cliente.
Nota:
No puede editarlo una vez creada la directiva. Para editar la interfaz, vaya a Interfaces de conectividad > conectividad de red >. |
Perfil de terminación SSL |
Seleccione un perfil de terminación SSL de la lista que contiene la configuración de conexión terminada SSL. La terminación SSL es un proceso en el que el firewall de la serie SRX actúa como un servidor proxy SSL y finaliza la sesión SSL desde el cliente. Para agregar un nuevo perfil de terminación SSL:
|
Navegador de solo autenticación |
Active esta opción para eliminar el tráfico HTTP que no sea del navegador para permitir que el portal cautivo se presente a los usuarios no autenticados que solicitan acceso mediante un navegador.
Nota:
Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web. |
Agentes de usuario |
Introduzca un valor de agente de usuario que se utiliza para comprobar que el tráfico del explorador del usuario es tráfico HTTP/HTTPS.
Nota:
Esta opción no se admite si selecciona el tipo de autenticación como Autenticación Web. |
Configuración avanzada | |
Traducción de direcciones de destino |
Seleccione de la lista la acción que desea realizar en una traducción de direcciones de destino. Las opciones disponibles son: Ninguno, Drop Translated y Drop Untranslated. |
Opciones de redireccionamiento |
Seleccione una acción de redireccionamiento de la lista. Las opciones disponibles son: Ninguno, Redirección Wx y Redirección inversa Wx.
Nota:
Esta opción no es compatible con SRX5000 línea de dispositivos. |
Opciones de sesión TCP | |
Comprobación del número de secuencia |
Habilite o deshabilite la comprobación de números de secuencia en segmentos TCP durante las inspecciones de estado en el nivel de regla de directiva. De forma predeterminada, la comprobación se realiza a nivel global. Para evitar errores de confirmación, desactive la comprobación de número de secuencia en Opciones globales > flujo > sesión TCP. |
Comprobación del indicador SYN |
Habilite o deshabilite la comprobación del bit TCP SYN antes de crear una sesión en el nivel de regla de directiva. De forma predeterminada, la comprobación se realiza a nivel global. Para evitar errores de confirmación, desactive la comprobación de indicadores SYN en Opciones globales > flujo > sesión TCP. |
Horario | |
Horario |
Haga clic en Programar y seleccione una de las programaciones configuradas de la lista. Para agregar una nueva programación, haga clic en Agregar nueva programación. Aparecerá la página Agregar nueva programación. Para obtener más información sobre cómo crear una nueva programación, consulte la tabla 4. |
Campo |
Acción |
---|---|
Nombre |
Escriba un nombre para la dirección. El nombre debe ser una cadena única que debe comenzar con un carácter alfanumérico y puede incluir dos puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres. |
Tipo de IP |
Seleccione IPv4 o IPv6. |
IPv4 | |
Dirección IPv4 |
Introduzca una dirección IPv4 válida. |
Subred |
Introduzca una máscara de subred para la dirección IPv4. |
IPv6 | |
Dirección IPv6 |
Introduzca una dirección IPv6 válida. |
Prefijo de subred |
Introduzca un prefijo de subred para la dirección IPv6. |
Campo |
Acción |
---|---|
Configuración global | |
Nombre |
Escriba un nombre único para la aplicación. |
Descripción |
Introduzca la descripción de la aplicación. |
Protocolo de aplicación |
Seleccione una opción de la lista para el protocolo de aplicación. |
Hacer coincidir el protocolo IP |
Seleccione una opción de la lista para que coincida con el protocolo IP. |
Puerto de origen |
Seleccione una opción de la lista para puerto de origen. |
Puerto de destino |
Seleccione una opción de la lista para el puerto de destino. |
Tipo de ICMP |
Seleccione una opción de la lista para Tipo de mensaje ICMP. |
Código ICMP |
Seleccione una opción de la lista para el código de mensaje ICMP. |
Números de programa RPC |
Escriba un valor para los números de programa RPC. El formato del valor debe ser W o X-Y. Donde, W, X e Y son enteros entre 0 y 65535. |
Tiempo de espera de inactividad |
Seleccione una opción de la lista para el tiempo de espera de inactividad específico de la aplicación. |
UUID |
Introduzca un valor para los objetos RPC de DCE.
Nota:
El formato del valor debe ser 12345678-1234-1234-1234-123456789012. |
Grupo de aplicaciones personalizadas |
Seleccione un nombre de conjunto de aplicaciones de la lista. |
Letra chica Haga clic en +. Aparecerá la página Crear término. |
|
Nombre |
Escriba un nombre para el término. |
ALG |
Seleccione una opción de la lista para ALG. |
Hacer coincidir el protocolo IP |
Seleccione una opción de la lista para que coincida con el protocolo IP. |
Puerto de origen |
Seleccione una opción de la lista para puerto de origen. |
Puerto de destino |
Seleccione una opción de la lista para el puerto de destino. |
Tipo de ICMP |
Seleccione una opción de la lista para Tipo de mensaje ICMP. |
Código ICMP |
Seleccione una opción de la lista para el código de mensaje ICMP. |
Números de programa RPC |
Escriba un valor para los números de programa RPC.
Nota:
El formato del valor debe ser W o X-Y. Donde, W, X e Y son enteros entre 0 y 65535. |
Tiempo de espera de inactividad |
Seleccione una opción de la lista para el tiempo de espera de inactividad específico de la aplicación. |
UUID |
Introduzca un valor para los objetos RPC de DCE.
Nota:
El formato del valor debe ser 12345678-1234-1234-1234-123456789012. |
Campo |
Acción |
---|---|
Nombre |
Escriba el nombre de la programación. |
Descripción |
Introduzca una descripción para la programación. |
Repite |
Seleccione una opción de la lista para repetir la programación:
|
Todo el día |
Active esta opción para programar un evento para todo un día. Esta opción solo está disponible para la programación de tipo Nunca y Repetición diaria. |
Fecha de inicio |
Seleccione la fecha de inicio programada en el formato AAAA-MM-DD. Esta opción solo está disponible para la programación de tipo No repetir nunca. |
Fecha de finalización |
Seleccione la fecha de finalización programada en el formato AAAA-MM-DD. Esta opción solo está disponible para la programación de tipo No repetir nunca. |
Hora de comienzo |
Introduzca la hora de inicio de la programación en formato HH:MM:SS 24 horas. Esta opción solo está disponible para la programación de tipo de repetición diaria. |
Tiempo de parada |
Introduzca la hora de finalización de la programación en formato HH:MM:SS de 24 horas. Esta opción solo está disponible para la programación de tipo de repetición diaria. |
Repita el |
Seleccione los días y la hora en los que desea repetir el horario. Para establecer la hora de los días seleccionados:
Esta opción solo está disponible para la programación de tipo de repetición semanal. |
Criterios de programación |
Seleccione cualquiera de las siguientes opciones:
Esta opción solo está disponible para la programación de tipo de repetición diaria y semanal. |