Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar políticas de aplicación en firewalls de la serie SRX

Las políticas de aplicación son políticas de seguridad del diseño de Garantía de WAN de Juniper, en las que se define qué red y usuarios pueden acceder a qué aplicaciones y según qué política de dirección de tráfico. Para definir directivas de aplicación, debe crear redes, aplicaciones y perfiles de dirección de tráfico. A continuación, utilice estos detalles como criterios coincidentes para permitir el acceso a aplicaciones o destinos o bloquear el acceso desde ellas.

En el portal de la nube de Juniper Mist™, la configuración Redes o Usuarios determina la zona de origen. La configuración Aplicaciones + Dirección de tráfico determina la zona de destino. Las rutas de dirección de tráfico determinan la zona de destino en los firewalls de la serie SRX de Juniper Networks®, así que asegúrese de asignar perfiles de dirección de tráfico a las políticas de la aplicación.

Notas sobre las directivas de aplicación:

  • Puede definir políticas de aplicación de una de estas tres maneras: a nivel de organización, dentro de una plantilla de borde de WAN o dentro de un perfil de concentrador.

  • Cuando define una directiva de aplicación en el nivel de la organización, puede importar y usar la directiva en varias plantillas de borde WAN o en perfiles de concentrador. Es decir, puede seguir el modelo "definir una vez, usar varias veces".

  • Cuando se define una política de aplicación directamente dentro de un perfil de concentrador o borde de WAN, el ámbito de la política está limitado dentro de esa plantilla de borde de WAN o solo dentro de ese perfil de concentrador. No puede volver a utilizar la directiva en otras plantillas o perfiles.

  • Mist evalúa y aplica las políticas en el orden en que aparecen en la lista de políticas.

    Nota: En el caso de los enrutadores con Session Smart, el orden de las políticas no es importante. Como buena práctica, puede colocar las directivas globales al final de la lista de políticas.

Configurar directivas de aplicación

Para configurar directivas de aplicación:

  1. En el portal de la nube de Juniper Mist, seleccione Política de aplicación de WAN >> organización para crear una política a nivel de organización.
    Si desea crear la directiva en una plantilla de borde WAN o en un nivel de perfil de concentrador, seleccione Organización > WAN > Plantillas de borde WAN o Perfil de concentrador y seleccione la plantilla o el perfil necesarios.
  2. Desplácese hacia abajo hasta la sección Políticas de aplicación y haga clic en Agregar directiva de aplicación.
    Nota:

    Puede importar una política global a la plantilla de borde de WAN o al perfil de concentrador haciendo clic en la opción Importar directiva de aplicación .

    El portal en la nube de Juniper Mist muestra las políticas importadas en gris para diferenciarlas de las políticas locales definidas en la plantilla o el perfil.
  3. Haga clic en el nuevo campo de la columna Nombre , asigne un nombre a la directiva y, a continuación, haga clic en la marca de verificación azul para aplicar los cambios.

    En la figura siguiente (figura 1) se muestran las opciones que están disponibles al configurar una directiva de aplicación.

    Figura 1: Opciones Application Policy Configuration Options de configuración de directivas de aplicación
    El cuadro siguiente ( Cuadro 1) explica las opciones de configuración disponibles para una directiva de aplicación.
    Tabla 1: Opciones de políticas de aplicación
    Descripción del campo
    No.

    Abreviatura de número. Esta entrada indica la posición de la directiva de aplicación. Mist evalúa y aplica las políticas por su posición, es decir, el orden en que se enumeran en este campo.

    Nombre Nombre de la directiva de aplicación. Puede utilizar hasta 32 caracteres para nombrar la aplicación, incluidos alfanuméricos, guiones bajos y guiones.
    Red/Usuario

    Redes y usuarios de la red. Las redes son los orígenes de la solicitud en su red. Puede seleccionar una red de la lista de redes disponibles. Si ha asociado un usuario a la red, el portal de Mist muestra los detalles como user.network formato en el menú desplegable.
    Acción

    Acciones políticas. Seleccione una de estas acciones de política:

    • Conceder

    • Bloquear
    Aplicación / Destino

    Punto de conexión de destino. Las aplicaciones determinan los destinos utilizados en una política.

    Puede seleccionar aplicaciones de la lista de aplicaciones ya definidas.
    IDP

    (Opcional) Perfiles de detección y prevención de intrusiones (IDP). Seleccione uno de los perfiles de IDP:

    • Estándar: el perfil estándar es el perfil predeterminado y representa el conjunto de firmas y reglas de IDP recomendadas por Juniper Networks. Las acciones incluyen:

      Cierre la conexión TCP de cliente y servidor.

      Descarte el paquete actual y todos los paquetes subsiguientes

    • Estricto: el perfil estricto contiene un conjunto similar de firmas y reglas de IDP que el perfil estándar. Sin embargo, cuando el sistema detecta un ataque, el perfil bloquea activamente cualquier tráfico malicioso u otros ataques detectados en la red.

    • Alerta

      : el perfil de alerta genera solo alertas y no realiza ninguna acción adicional. Los perfiles de alertas solo son adecuados para ataques de baja gravedad. La firma y las reglas del IDP son las mismas que en el perfil estándar.

    • Solo crítico (SRX): el perfil Solo crítico es adecuado para ataques de gravedad crítica. Cuando el sistema detecta un ataque crítico, este perfil toma las medidas adecuadas. Recomendamos el perfil Crítico – Solo SRX para la línea de firewalls SRX300.

    • Ninguno: no se ha aplicado ningún perfil de IDP.

    El perfil de IDP que aplique en la directiva de la aplicación realiza una inspección del tráfico para detectar y evitar intrusiones en el tráfico permitido.
    Servicios de seguridad avanzados (solo SRX)

    Puede configurar las siguientes características de borde nativo de IA segura en una directiva de aplicación en Servicios de seguridad avanzados para firewalls de la serie SRX:

    • Proxy de reenvío de Capa de sockets seguros (SSL): el proxy de reenvío SSL actúa como intermediario, realizando el cifrado y descifrado SSL entre el cliente y el servidor. El proxy de reenvío SSL es un proxy transparente; es decir, realiza cifrado y descifrado SSL entre el cliente y el servidor, pero ni el servidor ni el cliente pueden detectar su presencia. Los siguientes perfiles de proxy SSL están disponibles según la categoría de cifrado: Débil, Medio y Fuerte.

    • Antivirus: puede crear una configuración antivirus y asociarla a una política de aplicación. Puede seleccionar entre un conjunto de configuraciones predefinidas (predeterminada, solo HTTP (S) y sin FTP) o crear una configuración antivirus personalizada.

    Nota: Estas funciones requieren licencias adicionales del lado del dispositivo.
    Dirección del tráfico

    Perfiles de dirección de tráfico. El perfil de dirección del tráfico define la ruta o rutas de tráfico.

    Los perfiles de dirección son necesarios para desplegar la política en el dispositivo radial perimetral WAN o en un dispositivo concentrador.
    Recuento de visitas El recuento de visitas a la directiva de aplicación (permitir/bloquear/filtrar) muestra el número de veces que el tráfico ha afectado a una directiva de aplicación determinada.
    Nota:

    Los campos (número de pedido) y Dirección de tráfico no están disponibles para las directivas de aplicación a nivel de organización. Cuando define una política de aplicación directamente dentro de un perfil de concentrador o borde de WAN, debe especificar el número de pedido y las opciones de dirección de tráfico.

  4. Complete la configuración de acuerdo con los detalles disponibles en la Tabla 2.
    Acción
    Tabla 2: Ejemplos de políticas de aplicación
    S.No. Nombre de la reglade red Dirección de destino
    1 Spoke-to-Hub-DMZ TODO. LAN1 RADIO-1 Pasar HUB1-LAN1 HUB-LAN
    2 Hub-DMZ a radios HUB1-LAN1 Pasar LAN1 RADIO-1 Superponer
    3 Spoke-to-Spoke-on-Hub-Hairpin TODO. LAN1 RADIO-1 Pasar LAN1 RADIO-1 Superponer
    4 Hub-DMZ a Internet HUB1-LAN1 Pasar CUALQUIER LBO
    5 Spokes-Traffic-CBO-on-Hub TODO. LAN1 RADIO-1 Pasar CUALQUIER LBO
  5. Haga clic en Guardar.

    La figura 2 muestra la lista de directivas de aplicación recién creadas.

    Figura 2: Resumen de Application Policies Summary directivas de aplicación

Reordenar y eliminar directivas de aplicación

Reordenar la directiva de la aplicación le permite mover las políticas después de que se hayan creado.

Mist evalúa las políticas y las ejecuta en el orden en que aparecen en la lista de políticas, debe tener en cuenta lo siguiente:

  • El orden de las políticas es importante. Dado que la evaluación de políticas comienza desde la parte superior de la lista,

  • Las nuevas políticas van al final de la lista de políticas.

Seleccione una política y utilice la flecha arriba o la flecha abajo para cambiar el orden. Puede cambiar el orden de la póliza en cualquier momento.

Figura 3: Cambio del orden Changing Policy Order de las políticas

Para eliminar una directiva de aplicación, seleccione la directiva de aplicación que desea eliminar y, a continuación, haga clic en Eliminar que aparece en la parte superior derecha del panel.

Usar las mismas direcciones IP y prefijos en redes y aplicaciones

En la configuración de políticas de aplicación, Red /Usuarios pertenecen a la zona de origen y Aplicaciones/Destino pertenecen a la zona de destino.

Puede utilizar las mismas direcciones IP y prefijos tanto para redes como para aplicaciones cuando los defina para diferentes propósitos; es decir, actúan como fuente en una política y como destino en otra política.

Considere las políticas de la figura 4.

Figura 4: Detalles de Application Policies Details las políticas de aplicación

Aquí, tiene una red / usuarios SPOKE-LAN1 que tiene una dirección IP 192.168.200.0/24 para una interfaz LAN radial. La captura de pantalla muestra que las siguientes directivas usan la misma red de diferentes maneras:

  • Spoke-to-Spoke-via-Hub: esta política permite la entrada y salida de tráfico de radio a radio a través de un hub. Aquí, lo definimos SPOKE-LAN1 como una red y como una aplicación.

  • Spoke-to-Hub-DMZ: esta política permite el tráfico de radio a hub. Aquí, lo definimos SPOKE-LAN1 como una red.

  • Hub-DMZ-to-Spoke: esta política permite el tráfico de hub a radio. Aquí, lo definimos SPOKE-LAN1 como una aplicación.

Ver también