Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar políticas de aplicación en enrutadores de Session Smart

Las políticas de aplicación son políticas de seguridad del diseño de Garantía de WAN de Juniper, en las que se define qué red y usuarios pueden acceder a qué aplicaciones y según qué política de dirección de tráfico. Para definir directivas de aplicación, debe crear redes, aplicaciones y perfiles de dirección de tráfico. A continuación, utilice estos detalles como criterios coincidentes para permitir o bloquear el acceso desde aplicaciones o destinos.

En el portal de la nube de Juniper Mist™, la configuración Redes o Usuarios determina la zona de origen. La configuración Aplicaciones + Dirección de tráfico determina la zona de destino.

Notas sobre las políticas de aplicación en los enrutadores de Session Smart™ de Juniper®:

  • Puede definir políticas de aplicación de una de estas tres maneras: a nivel de organización, dentro de una plantilla de borde de WAN o dentro de un perfil de concentrador.

  • Cuando define una política de aplicación en el nivel de la organización, puede importar y usar la política en varias plantillas de borde WAN o en perfiles de concentrador. Es decir, puede seguir el modelo "definir una vez, usar varias veces".

  • Cuando se define una política de aplicación directamente dentro de un perfil de borde o concentrador de WAN, el ámbito de la política se limita únicamente a esa plantilla de borde de WAN o perfil de concentrador. No puede volver a utilizar la directiva en otras plantillas o perfiles.

  • Mist evalúa y aplica las políticas en el orden en que aparecen en la lista de políticas.

Configurar directivas de aplicación

Para configurar directivas de aplicación:

  1. En el portal de la nube de Juniper Mist , seleccione Política de aplicación de > de WAN > de organización para crear una política a nivel de organización.
    Si desea crear la directiva en una plantilla de borde WAN o en un nivel de perfil de concentrador, seleccione Plantillas de organización > WAN > borde WAN o Perfil de concentrador y seleccione la plantilla o el perfil requeridos
  2. Desplácese hacia abajo hasta la sección Políticas de aplicación y haga clic en el botón Agregar directiva de aplicación.
    Nota:

    Puede importar una política global a la plantilla de borde de WAN o al perfil de concentrador haciendo clic en la opción Importar directiva de aplicación .

    El portal Juniper Mist Cloud muestra las políticas importadas en color gris para diferenciarlas de las políticas locales definidas en la plantilla o el perfil.
  3. Haga clic en el nuevo campo debajo de la columna Nombre y asigne un nombre a la directiva y, a continuación, haga clic en la marca de verificación azul para aplicar los cambios.

    En la figura 1 se muestran las opciones que están disponibles al configurar una directiva de aplicación.

    Figura 1: Opciones Application Policy Configuration Options de configuración de directivas de aplicación
    Cuadro 1 Explica las opciones de configuración disponibles para una directiva de aplicación.
    Tabla 1: Opciones de políticas de aplicación
    Descripción del campo
    No.

    Abreviatura de número. Esta entrada indica la posición de la directiva de aplicación. Mist evalúa y aplica las políticas por su posición, es decir, el orden en que se enumeran en este campo.

    En el caso de los enrutadores con Session Smart, el orden de las políticas no es importante. Como buena práctica, las políticas globales se colocan al final de la lista de políticas.
    Nombre Nombre de la directiva de aplicación. Puede utilizar hasta 32 caracteres para nombrar la aplicación, incluidos alfanuméricos, guiones bajos y guiones.
    Red/Usuario

    Redes y usuarios de la red. Las redes son los orígenes de la solicitud en su red. Puede seleccionar una red de la lista de redes disponibles. Si ha asociado un usuario a la red, el portal de Mist muestra los detalles como user.network formato en el menú desplegable.
    Acción

    Acciones políticas. Seleccione una de estas acciones de política:

    • Conceder

    • Bloquear
    Aplicación / Destino Punto de conexión de destino. Las aplicaciones determinan los destinos utilizados en una política Puede seleccionar aplicaciones de la lista de aplicaciones ya definidas.
    IDP

    (Opcional) Perfiles de detección y prevención de intrusiones (IDP). Seleccione uno de los perfiles de IDP:

    • Estándar: el perfil estándar es el perfil predeterminado y representa el conjunto de firmas y reglas de IDP recomendadas por Juniper Networks. Las acciones incluyen:

      Cierre la conexión TCP de cliente y servidor.

      Descarte el paquete actual y todos los paquetes subsiguientes

    • Estricto: el perfil estricto contiene un conjunto similar de firmas y reglas de IDP que el perfil estándar. Sin embargo, cuando el sistema detecta un ataque, el perfil bloquea activamente cualquier tráfico malicioso u otros ataques detectados en la red.

    • Alerta

      : el perfil de alerta genera solo alertas y no realiza ninguna acción adicional. Los perfiles de alertas solo son adecuados para ataques de baja gravedad. La firma y las reglas del IDP son las mismas que en el perfil estándar.
    • Ninguno: no se ha aplicado ningún perfil de IDP.

    El perfil de IDP aplicado en la directiva de la aplicación realiza una inspección del tráfico para detectar y evitar intrusiones en el tráfico permitido.
    Dirección del tráfico

    Perfiles de dirección de tráfico. El perfil de dirección del tráfico define la ruta o rutas de tráfico.

    Los perfiles de dirección son necesarios para desplegar la política en el dispositivo radial perimetral WAN o en un dispositivo concentrador.
    Nota:

    Los campos (número de pedido) y Dirección de tráfico no están disponibles para las directivas de aplicación a nivel de organización. Cuando define una política de aplicación directamente dentro de un perfil de concentrador o borde de WAN, debe especificar el número de pedido y las opciones de dirección de tráfico.

  4. Complete la configuración de acuerdo con los detalles disponibles en la Tabla 2 .
    de directiva
    Tabla 2: Ejemplos de políticas de aplicación
    No. Acción de red /aplicación de usuario/destino de nombre
    1 Spoke-to-Hub-DMZ LAN1 RADIO-1 HUB1-LAN1 y HUB2-LAN1 Conceder
    2 Spoke-to-Spoke-via-hub LAN1 RADIO-1 LAN1 RADIO-1 Conceder
    3 Hub-DMZ a radial HUB1-LAN1 y HUB2-LAN1 LAN1 RADIO-1 Conceder
    4 Internet-via-Hub-CBO LAN1 RADIO-1 Cualquier Conceder
  5. Haga clic en Guardar.

    La figura 2 muestra la lista de directivas de aplicación recién creadas.

    Figura 2: Resumen de Application Policies Summary directivas de aplicación

Reordenar y eliminar directivas de aplicación

Reordenar la directiva de la aplicación le permite mover las políticas después de que se hayan creado.

Mist evalúa las políticas y las ejecuta en el orden en que aparecen en la lista de políticas, debe tener en cuenta lo siguiente:

  • El orden de las políticas es importante. Dado que la evaluación de políticas comienza desde la parte superior de la lista,

  • Las nuevas políticas van al final de la lista de políticas.

Seleccione una política y utilice la flecha arriba o la flecha abajo para cambiar el orden. Puede cambiar el orden de la póliza en cualquier momento.

Figura 3: Cambio del orden Changing Policy Order de las políticas

Para eliminar una directiva de aplicación, seleccione la directiva de aplicación que desea eliminar y, a continuación, haga clic en Eliminar que aparece en la parte superior derecha del panel.

Uso de las mismas direcciones IP o prefijos en redes y aplicaciones

En la configuración de políticas de aplicación, Red /Usuarios pertenecen a la zona de origen y Aplicaciones/Destino pertenecen a la zona de destino.

Puede utilizar las mismas direcciones IP y prefijos tanto para redes como para aplicaciones cuando los defina para diferentes propósitos; es decir, actúan como fuente en una política y como destino en otra política.

Considere las políticas de la figura 4.

Figura 4: Detalles de Application Policies Details las políticas de aplicación

Aquí, tiene una red / usuarios SPOKE-LAN1 que tiene una dirección IP 192.168.200.0/24 para una interfaz LAN radial. La captura de pantalla muestra que las siguientes directivas usan la misma red de diferentes maneras:

  • Spoke-to-Spoke-via-Hub: esta política permite la entrada y salida de tráfico de radio a radio a través de un hub. Aquí, lo definimos SPOKE-LAN1 como una red y como una aplicación.

  • Spoke-to-Hub-DMZ: esta política permite el tráfico de radio a hub. Aquí, lo definimos SPOKE-LAN1 como una red.

  • Hub-DMZ-to-Spoke: esta política permite el tráfico de hub a radio. Aquí, lo definimos SPOKE-LAN1 como una aplicación.

Supervisión de rutas de ruptura (beta)

Puede supervisar rutas de ruptura con el gráfico Visibilidad de enrutamiento de aplicaciones del panel Directiva de aplicación.

Nota:

Esta función solo está disponible para los participantes de la versión beta.

Para mejorar su experiencia de monitoreo de red con dispositivos SSR, Juniper Mist cambia el tráfico de ruptura local de una ruta a otra cuando la ruta no cumple con los requisitos de SLA asociados para los parámetros de latencia, fluctuación y pérdida del vínculo.

Los dispositivos SSR comparan los parámetros del SLA (latencia, fluctuación y pérdida) para todas las rutas de ruptura local con los umbrales configurados para estos parámetros para cada aplicación. Cada vez que se infringe un umbral establecido (es decir, una ruta de ruptura local no cumple los requisitos de SLA asociados), el tráfico cambia a otra ruta según la configuración de dirección de tráfico. Cualquier cambio de tráfico se muestra en el gráfico Visibilidad de enrutamiento de aplicaciones del panel Directiva de aplicación.

En el ejemplo siguiente, verá un cambio de tráfico de la interfaz ge-0/0/3 a la interfaz ge-0/0/5 debido a una infracción del umbral de SLA.

Application Routing Visibility Graph