Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de la base de reglas

En Security Director, puede configurar uno o ambos tipos (basados en zonas o globales) de bases de reglas para cada directiva. Todas las reglas basadas en zonas se agrupan en Zona y todas las reglas de dispositivos se agrupan en Global.

Si los dispositivos se asignan a una directiva que no tiene una de las bases de reglas bajo su administración, Security Director sigue interpretando que esa base de reglas está dentro de su ámbito. Por ejemplo, si configura políticas de firewall fuera de banda en un dispositivo en una base de reglas no administrada, Security Director eliminará esas políticas. Si no selecciona la base de reglas configurada previamente en el flujo de trabajo de modificación de Security Director para la directiva, Security Director eliminará automáticamente todas las reglas de la directiva en la siguiente publicación y actualización.

Ejemplo: eliminación de una base de reglas administrada anteriormente

Puede quitar un dispositivo administrado de Security Director. Para quitar una base de reglas administrada anteriormente cuando no hay ninguna otra directiva publicada en el dispositivo excepto la existente, siga estas directrices:

  • No seleccione la opción Administrar directiva global para modificar una directiva de dispositivo en Security Director.

    Security Director elimina la base de reglas global de los datos de diseño de la aplicación Security Director.

  • Publique una política y actualice el dispositivo. La actualización elimina todas las reglas globales del dispositivo.

    Cuando la actualización se realiza correctamente, la directiva de todos los dispositivos del dispositivo se elimina de la administración de Security Director.

Nota:

Security Director seguirá eliminando cualquier política de todos los dispositivos configurada en el dispositivo a través de la CLI en las actualizaciones posteriores que se publiquen.

Análisis de políticas

Durante un período de tiempo, las bases de reglas de firewall pueden volverse ineficientes a medida que las reglas se desorganizan, lo que hace que algunas reglas se vuelvan ineficaces. Esto ocurre principalmente debido a la falta de notificación oportuna a los usuarios finales cuando se agregan reglas nuevas o reglas modificadas, lo que puede afectar negativamente a las demás reglas de la base de reglas.

Este problema se puede solucionar analizando la política e informando al usuario final de las anomalías en las reglas de una política. Informes de análisis de políticas sobre anomalías de observación y redundantes en una regla; estos informes están disponibles en formato PDF. Además, el análisis de políticas encuentra la anomalía entre la dirección y el servicio de las reglas.

El análisis de directivas le ayuda a analizar la base de reglas de firewall para las directivas administradas por Security Director e identifica las reglas de firewall que contienen los siguientes problemas:

  • Sombreado: se produce cuando una regla superior en el orden de la base de la regla coincide con todos los paquetes de una regla inferior en el orden de la base de la regla. La regla sombreada nunca se activa. La posible solución es reordenar las reglas, o deshabilitar o eliminar una de las reglas. El cálculo de anomalías no se realiza para las reglas deshabilitadas.

  • Redundante: se produce cuando hay dos o más reglas que realizan la misma acción en los mismos paquetes junto con los mismos valores o configuraciones. La solución es deshabilitar o eliminar las reglas redundantes.

El informe de análisis de políticas se genera en formato PDF y se puede enviar por correo electrónico a varios destinatarios. Los informes contienen un resumen y un gráfico circular que muestra todas las anomalías. Puede programar la generación del informe.

En la lista siguiente se muestra el comportamiento del análisis de directivas para distintos tipos de directivas de firewall:

  • Política de todos los dispositivos: analiza todas las reglas presentes en la página de inicio de la política de firewall, dentro de la política de todos los dispositivos.

  • Política de grupo: analiza todas las reglas presentes en la página de inicio de la política de firewall, dentro de la directiva de grupo, incluidas las reglas de política de todos los dispositivos.

  • Política de dispositivos: analiza todas las reglas presentes en la página de inicio de la política de firewall, dentro de la política de dispositivos, incluidas las reglas de política de todos los dispositivos. Si desea analizar todas las reglas presentes en un dispositivo, debe generar el informe haciendo clic en la directiva de dispositivo.

  • Política de excepción de dispositivo: analiza todas las reglas presentes en la página de inicio de la política de firewall, dentro de la política de excepción de dispositivo, incluidos todos los dispositivos.

El análisis de directivas no se realiza en los siguientes escenarios:

  • Las reglas deshabilitadas no se tienen en cuenta para el cálculo del análisis de políticas.

  • Aparte de las columnas Dirección (origen y destino) y Servicio, no se tiene en cuenta ninguna otra columna de la página de inicio del firewall para el cálculo del análisis de políticas.

  • La dirección variable, la dirección comodín y la dirección de exclusión no se tienen en cuenta para el cálculo del análisis de directivas.

Documentación relacionada