Configurar políticas de aplicación en enrutadores de Session Smart

Siga estos pasos para configurar directivas que controlen el acceso a las aplicaciones.

Las políticas de aplicación son políticas de seguridad del diseño de Garantía de WAN de Juniper, en las que se define qué red y usuarios pueden acceder a qué aplicaciones y según qué política de dirección de tráfico. Para definir directivas de aplicación, debe crear redes, aplicaciones y perfiles de dirección de tráfico. A continuación, utilice estos detalles como criterios coincidentes para permitir o bloquear el acceso desde aplicaciones o destinos.

En el portal de la nube de Juniper Mist, la configuración Redes o Usuarios determina la zona de origen. La configuración Aplicaciones + Dirección de tráfico determina la zona de destino.

Notas sobre las políticas de aplicación en los enrutadores de Session Smart™ de Juniper®:

Puede definir políticas de aplicación de una de estas tres maneras: a nivel de organización, dentro de una plantilla de borde de WAN o dentro de un perfil de concentrador.
Cuando define una política de aplicación en el nivel de la organización, puede importar y usar la política en varias plantillas de borde WAN o en perfiles de concentrador. Es decir, puede seguir el modelo "definir una vez, usar varias veces".
Cuando se define una política de aplicación directamente dentro de un perfil de borde o concentrador de WAN, el alcance de la política se limita únicamente a esa plantilla de borde de WAN o perfil de concentrador. No puede volver a utilizar la directiva en otras plantillas o perfiles.

Configurar directivas de aplicación

Para configurar directivas de aplicación:

En el portal de la nube de Juniper Mist , seleccione Política de aplicación de > de WAN > de organización para crear una política a nivel de organización.
Si desea crear la política en una plantilla de borde WAN o en un nivel de perfil de concentrador, seleccione Organización > Plantillas de borde de WAN > WAN o Perfil de concentrador y seleccione la plantilla o el perfil necesarios.
Desplácese hacia abajo hasta la sección Políticas de aplicación y haga clic en el botón Agregar directiva de aplicación.

Nota:
Puede importar una política global a la plantilla de borde de WAN o al perfil de concentrador haciendo clic en la opción Importar directiva de aplicación .

El portal Juniper Mist Cloud muestra las políticas importadas en color gris para diferenciarlas de las políticas locales definidas en la plantilla o el perfil.

Haga clic en el nuevo campo debajo de la columna Nombre y asigne un nombre a la directiva y, a continuación, haga clic en la marca de verificación azul para aplicar los cambios.

En la figura 1 se muestran las opciones que están disponibles al configurar una directiva de aplicación.

Figura 1: Opciones Application Policy Configuration Options

de configuración de directivas de aplicación

Cuadro 1 Explica las opciones de configuración disponibles para una directiva de aplicación.

Tabla 1: Opciones de políticas de aplicación
Descripción	del campo
No.	Abreviatura de número. Esta entrada indica la posición de la directiva de aplicación. En el caso de los enrutadores con Session Smart, el orden de las políticas no es importante. Como buena práctica, las políticas globales se colocan al final de la lista de políticas.
Nombre	Nombre de la directiva de aplicación. Puede utilizar hasta 32 caracteres para nombrar la aplicación, incluidos alfanuméricos, guiones bajos y guiones.
Red/Usuario	Redes y usuarios de la red. Las redes son los orígenes de la solicitud en su red. Puede seleccionar una red de la lista de redes disponibles. Si ha asociado un usuario a la red, el portal de Mist muestra los detalles como `user.` `network` formato en el menú desplegable.
Acción	Acciones políticas. Seleccione una de estas acciones de política: Conceder Bloquear
Aplicación / Destino	Extremo de destino. Las aplicaciones determinan los destinos utilizados en una política Puede seleccionar aplicaciones de la lista de aplicaciones ya definidas.
IDP	(Opcional) Perfiles de detección y prevención de intrusiones (IDP). Seleccione uno de los perfiles de IDP: Estándar: el perfil estándar es el perfil predeterminado y representa el conjunto de firmas y reglas de IDP recomendadas por Juniper Networks. Las acciones incluyen: Cierre la conexión TCP de cliente y servidor. Elimine el paquete actual y todos los paquetes posteriores. Estricto: el perfil estricto contiene un conjunto similar de firmas y reglas de IDP que el perfil estándar. Sin embargo, cuando el sistema detecta un ataque, el perfil bloquea activamente cualquier tráfico malicioso u otros ataques detectados en la red. Alerta : el perfil de alerta genera solo alertas y no realiza ninguna acción adicional. Los perfiles de alertas solo son adecuados para ataques de baja gravedad. La firma y las reglas del IDP son las mismas que en el perfil estándar. Ninguno: no se ha aplicado ningún perfil de IDP. El perfil de IDP aplicado en la directiva de la aplicación realiza una inspección del tráfico para detectar y evitar intrusiones en el tráfico permitido.
Dirección del tráfico	Perfiles de dirección de tráfico. El perfil de dirección del tráfico define la ruta o rutas de tráfico. Los perfiles de dirección son necesarios para desplegar la política en el dispositivo radial perimetral WAN o en un dispositivo concentrador.

Nota:

Los campos Nº (número de pedido) y Dirección de tráfico no están disponibles para las directivas de aplicación a nivel de organización. Cuando define una política de aplicación directamente dentro de un perfil de concentrador o borde de WAN, debe especificar el número de pedido y las opciones de dirección de tráfico.

Complete la configuración de acuerdo con los detalles disponibles en la Tabla 2 .

de directiva

Tabla 2: Ejemplos de políticas de aplicación
No.	Acción de red	/aplicación de usuario/destino	de	nombre
1	Spoke-to-Hub-DMZ	LAN1 RADIO-1	HUB1-LAN1 y HUB2-LAN1	Conceder
2	Spoke-to-Spoke-via-hub	LAN1 RADIO-1	LAN1 RADIO-1	Conceder
3	Hub-DMZ a radial	HUB1-LAN1 y HUB2-LAN1	LAN1 RADIO-1	Conceder
4	Internet-via-Hub-CBO	LAN1 RADIO-1	Cualquier	Conceder

Haga clic en Guardar.

La figura 2 muestra la lista de directivas de aplicación recién creadas.

Figura 2: Resumen de directivas de aplicación

Reordenar y eliminar directivas de aplicación

Reordenar la directiva de la aplicación le permite mover las políticas después de que se hayan creado.

Tenga en cuenta lo siguiente acerca del orden de directivas para enrutadores con Session Smart:

El orden de las políticas no es importante para los enrutadores con Session Smart.
Los enrutadores de Session Smart evalúan todas las políticas simultáneamente y aplican la política de coincidencia más específica a cada sesión. El orden de las directivas de aplicación en la lista de directivas no afecta a su evaluación o aplicación.
Las nuevas políticas van al final de la lista de políticas.
En el caso de los firewalls de la serie SRX, el dispositivo evalúa las políticas de arriba hacia abajo. Ordenar una política más específica por encima de una política menos específica cambiará la política que coincide.

Puede organizar sus políticas en cualquier orden de acuerdo con sus necesidades de administración sin afectar su aplicación.

Seleccione una política y utilice la flecha arriba o la flecha abajo para cambiar el orden. Puede cambiar el orden de la póliza en cualquier momento.

Figura 3: Cambio del orden Changing Policy Order

de las políticas

Para eliminar una directiva de aplicación, seleccione la directiva de aplicación que desea eliminar y, a continuación, haga clic en Eliminar que aparece en la parte superior derecha del panel.

Uso de las mismas direcciones IP o prefijos en redes y aplicaciones

En la configuración de políticas de aplicación, Red /Usuarios pertenecen a la zona de origen y Aplicaciones/Destino pertenecen a la zona de destino.

Puede utilizar las mismas direcciones IP y prefijos para redes y aplicaciones cuando los defina para fines diferentes. Es decir, actúan como fuente en una política y como destino en otra política.

Considere las políticas de la figura 4.

Figura 4: Detalles de Application Policies Details

las políticas de aplicación

Aquí, tiene una red / usuarios SPOKE-LAN1 que tiene una dirección IP 192.168.200.0/24 para una interfaz LAN radial. La captura de pantalla muestra que las siguientes directivas usan la misma red de diferentes maneras:

Spoke-to-Spoke-via-Hub: esta política permite la entrada y salida de tráfico de radio a radio a través de un hub. Aquí, lo definimos SPOKE-LAN1 como una red y como una aplicación.
Spoke-to-Hub-DMZ: esta política permite el tráfico de radio a hub. Aquí, lo definimos SPOKE-LAN1 como una red.
Hub-DMZ-to-Spoke: esta política permite el tráfico de hub a radio. Aquí, lo definimos SPOKE-LAN1 como una aplicación.

Supervisión de rutas de ruptura (beta)

Puede supervisar rutas de ruptura con el gráfico Visibilidad de enrutamiento de aplicaciones del panel Directiva de aplicación.

Nota:

Esta función solo está disponible para los participantes de la versión beta.

Para mejorar su experiencia de monitoreo de red con los enrutadores de Session Smart, Juniper Mist cambia el tráfico de ruptura local de una ruta a otra cuando la ruta no cumple con los requisitos de SLA asociados para los parámetros de latencia, fluctuación y pérdida del vínculo.

Los dispositivos SSR comparan los parámetros del SLA (latencia, fluctuación y pérdida) para todas las rutas de ruptura local con los umbrales configurados para estos parámetros para cada aplicación. Cada vez que se infringe un umbral establecido (es decir, una ruta de ruptura local no cumple los requisitos de SLA asociados), el tráfico cambia a otra ruta según la configuración de dirección de tráfico. Cualquier cambio de tráfico se muestra en el gráfico Visibilidad de enrutamiento de aplicaciones del panel Directiva de aplicación.

En el ejemplo siguiente, verá un cambio de tráfico de la interfaz ge-0/0/3 a la interfaz ge-0/0/5 debido a una infracción del umbral de SLA.