Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Campos de la página principal de reglas de política de firewall

Utilice esta página para obtener una vista general y de alto nivel de la configuración de las reglas de directiva del firewall. Los detalles le ayudan a realizar un seguimiento del número y el orden de las reglas por política. Puede filtrar y ordenar esta información para comprender mejor lo que desea ver. En la Tabla 1 se describen los campos de esta página.

Tabla 1: Campos de la página principal de reglas de política de firewall

Campo

Descripción

Seq.

Número de pedido de la póliza. La búsqueda de directivas se realiza en el orden en que se configuran las directivas. Se utiliza la primera directiva que coincida con el tráfico.

Recuento de visitas

Muestra la frecuencia con la que se usa una directiva determinada en función del flujo de tráfico. El recuento de aciertos es el número de aciertos desde el último reinicio. Haga clic en el valor del recuento de visitas para ver los detalles en la página Detalles del recuento de visitas.

Ejemplo: El recuento de visitas es especialmente útil cuando se utiliza un conjunto de políticas grande y se desea comprobar qué reglas se usan mucho y cuáles se usan raramente. Si ve que algunas de las reglas no se están usando, puede comprobar que las reglas no están siendo objeto de sombra por otra directiva. Esto le ayuda a administrar el dispositivo sin tener que generar tráfico manualmente.

Nombre de la regla

Nombre único de la regla.

Zona Src.

Zona de origen (to-zone) que define el contexto de la directiva. Las políticas de zona se aplican al tráfico que entra en una zona de seguridad (zona de origen) a otra zona de seguridad (zona de destino). Esta combinación de una zona de origen y una zona de destino se denomina contexto.

Por ejemplo, todas las directivas de confianza de zona de origen y no confianza de zona de destino se encuentran en el mismo contexto.

Dirección Src.

Nombres de direcciones o nombres de conjuntos de direcciones que se utilizarán como criterios de coincidencia para el tráfico entrante.

Se recomienda crear conjuntos de direcciones en lugar de utilizar varias entradas de direcciones. Por ejemplo, si su organización tiene requisitos comunes para tipos similares de acceso a través de diferentes reglas, aprovechar los grupos puede ser ventajoso.

Puede tener cualquier número de objetos con un conjunto (por ejemplo, host, red, DNS, comodín, etc.)

Src. ID

Usuarios y roles que se usarán como criterios de coincidencia para la directiva.

Puede tener diferentes reglas de directiva basadas en el rol de usuario y el grupo de usuarios.

Si especifica la identidad de origen en cualquier directiva del par de zonas, se recuperará la información de usuario y rol antes de que pueda continuar la búsqueda de directivas. (Si todas las directivas del par de zonas se establecen en cualquiera o no tienen ninguna entrada en el campo Identidad de origen, no se requiere información de usuario y rol y solo se usan los otros cinco criterios de coincidencia estándar para la búsqueda de directivas).

Zona Dest.

Zona de destino (zona de) que define el contexto de la directiva.

Las políticas de zona se aplican al tráfico que entra en una zona de seguridad (zona de origen) a otra zona de seguridad (zona de destino). Esta combinación de una zona de origen y una zona de destino se denomina contexto.

Por ejemplo, todas las directivas de confianza de zona de origen y no confianza de zona de destino se encuentran en el mismo contexto.

Dirección

Nombres de direcciones o nombres de conjuntos de direcciones que se utilizarán como criterios de coincidencia para el tráfico saliente.

Se recomienda crear conjuntos de direcciones en lugar de utilizar varias entradas de direcciones.

Por ejemplo, si su organización tiene requisitos comunes para tipos similares de acceso a través de diferentes reglas, aprovechar los grupos puede ser ventajoso.

Puede tener cualquier número de objetos con un conjunto (por ejemplo, host, red, DNS, comodín, etc.).

Servicio

El nombre del servicio (aplicación) en los criterios de coincidencia tiene uno o más conjuntos de servicios o servicios.

Se recomienda crear un conjunto de servicios y hacer referencia al nombre del conjunto en una directiva en lugar de utilizar varios nombres de servicio individuales.

Por ejemplo, para un grupo de empleados, puede crear un conjunto de servicios que contenga todos los servicios aprobados. Los objetos de servicio permiten especificar objetos que se utilizarán en los criterios de coincidencia de las directivas de seguridad. Puede definir numerosos atributos para ayudar a definir cuáles deben ser los criterios de coincidencia de este objeto.

Acción

La acción se aplica a todo el tráfico que coincide con los criterios especificados.

  • Denegar: el dispositivo descarta silenciosamente todos los paquetes de la sesión y no envía ningún mensaje de control activo, como restablecimientos TCP o ICMP inalcanzable.

  • Rechazar: el dispositivo envía un restablecimiento de TCP si el protocolo es TCP y un restablecimiento de ICMP si los protocolos son UDP, ICMP o cualquier otro protocolo de IP. Esta opción es útil cuando se enfrentan a recursos de confianza para que las aplicaciones no pierdan tiempo esperando tiempos de espera y en su lugar obtengan el mensaje activo.

  • Permitir: el dispositivo permite el tráfico mediante el tipo de autenticación de firewall que aplicó a la política.

  • Túnel: el dispositivo permite el tráfico mediante el tipo de opciones de túnel VPN que aplicó a la política.

A partir de Junos Space Security Director versión 16.1, los objetos de dirección y servicio se pueden crear, administrar, arrastrar y soltar en las reglas necesarias desde la página de reglas de políticas de firewall. Además de direcciones y servicios, también puede arrastrar y soltar zonas. En la lista Objetos compartidos, seleccione Mostrar direcciones o Mostrar servicios para ver los objetos compartidos necesarios. Para crear una nueva dirección u objeto de servicio, haga clic en el signo más (+). También puede modificar, eliminar y administrar estos objetos. Puede buscar cualquier objeto por su nombre y dirección IP en el campo de búsqueda disponible en la esquina superior derecha.

Puede arrastrar más de un objeto y soltarlo en las columnas respectivas de cualquier regla de política. Security Director garantiza que los objetos se coloquen en las columnas admitidas y no permite colocarlos debajo de ninguna otra columna. Se admite arrastrar y colocar objetos en la dirección de origen, la dirección de destino, la zona de origen, la zona de destino y las columnas de servicio. Se puede arrastrar y soltar una sola dirección o varias direcciones desde el campo de dirección de origen al campo de dirección de destino de la misma regla o entre reglas. Del mismo modo, uno o varios servicios y zonas también se pueden arrastrar y soltar entre reglas. Para ver varios objetos en una columna de dirección, zona o servicio, haga clic en el triángulo horizontal pequeño para expandir las columnas.

También puede arrastrar y colocar reglas en un único grupo de reglas o en varios grupos de reglas.

Documentación relacionada

Tabla de historial de versiones
Lanzamiento
Descripción
16.1
A partir de Junos Space Security Director versión 16.1, los objetos de dirección y servicio se pueden crear, administrar, arrastrar y soltar en las reglas necesarias desde la página de reglas de políticas de firewall. Además de direcciones y servicios, también puede arrastrar y soltar zonas.