Creación de reglas de directiva de firewall

General Information

Nombre de la regla

Introduzca una cadena única de caracteres alfanuméricos, dos puntos, puntos, guiones y guiones bajos. No se permiten espacios y el; La longitud máxima es de 63 caracteres.

Descripción

Introduzca una descripción para las reglas de la directiva; La longitud máxima es de 1024 caracteres. Los comentarios introducidos en este campo se envían al dispositivo.

Identify the traffic that the rule applies to

(Fuente) Zona

Para dispositivos de la serie SRX, especifique una zona de origen (zona de) para definir el contexto de la política. Las políticas de zona se aplican al tráfico que entra en una zona de seguridad (zona de origen) a otra zona de seguridad (zona de destino). Esta combinación de una zona de origen y una zona de destino se denomina contexto.

A partir de Junos Space Security Director versión 16.2, para los enrutadores de la serie MX, el campo de zona de origen actúa como una interfaz de entrada desde donde entra el paquete. La dirección de coincidencia es la entrada, si el paquete está entrando en la interfaz. La dirección de coincidencia es la salida si el paquete sale de la interfaz. Configure la clave de entrada seleccionando el valor de multiservicios agregados (AMS).

A partir de Junos Space Security Director versión 16.2, las zonas polimórficas se pueden utilizar como zona de origen y zona de destino cuando se asignan dispositivos serie SRX y enrutadores serie MX a la misma directiva de grupo.

(Fuente) Dirección(es)

Introduzca uno o más nombres de direcciones o nombres de conjunto de direcciones. Haga clic en Seleccionar para agregar direcciones de origen.

En la página Dirección de origen:

• Incluir cualquier dirección: añade cualquier dirección a la regla del firewall.

• Incluir específico: permite añadir la dirección de origen seleccionada a la regla.

  Cuando se agrega un administrador NSX, los grupos de seguridad se sincronizan y los grupos de direcciones dinámicas (DAG) correspondientes se crean en la base de datos de Security Director. Para NSX Manager, seleccione los DAG necesarios de la lista.

• Excluir específico: exime las direcciones de origen seleccionadas de la regla.

• Por filtro de metadatos: elija la dirección coincidente de un metadato definido por el usuario como dirección de origen.

  • Filtro de metadatos: haga clic en el campo para seleccionar los metadatos necesarios de la lista. Las direcciones coincidentes se filtran y se enumeran en el campo Dirección coincidente.

  • Direcciones coincidentes: enumera las direcciones que coinciden con los metadatos seleccionados. Esta dirección se utiliza como dirección de origen.

    Para cada expresión de metadatos, se crea un grupo de direcciones dinámicas (DAG) único. Este DAG tiene la URL del servidor de fuentes que apunta a la URL del servidor de fuentes de Security Director.

    Office 365 ahora se incluye en la lista de fuentes de terceros para insertar información de extremo de servicios de Microsoft Office 365 (direcciones IP) en el dispositivo serie SRX. Este feed funciona de manera diferente a otros feeds y requiere ciertos parámetros de configuración, incluido un nombre predefinido de "ipfilter_office365". Debe habilitar la fuente de Office 365 en la nube ATP de Juniper. Para comprender cómo habilitar la fuente de Office 365 en la nube ATP de Juniper y crear un DAG en el dispositivo serie SRX que haga referencia a la fuente ipfilter_office365, consulte Habilitar fuentes de amenazas de terceros.

    Configure la URL del servidor de fuentes mediante el siguiente comando de CLI para cada dispositivo serie SRX o vSRX que actúe según las políticas basadas en metadatos.

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

Consulte Creación de direcciones y grupos de direcciones.

(Fuente) ID de usuario

Especifique la identidad de origen (usuarios y roles) que se usará como criterio de coincidencia para la directiva. Puede tener diferentes reglas de directiva basadas en roles y grupos de usuarios.

Haga clic en Seleccionar para especificar las identidades de origen que desea permitir o denegar. En la página ID de usuario, puede seleccionar una identidad de usuario de la lista disponible o puede agregar una nueva identidad haciendo clic en Agregar nuevo ID de usuario.

Para eliminar una identidad de usuario de la base de datos de Security Director, haga clic en Eliminar ID de usuario y seleccione un valor de la lista desplegable, que no está configurado en ninguna directiva. Si intenta eliminar una identidad de usuario configurada en una política, se muestra un mensaje con su ID de referencia y su ID de usuario.

(Fuente) Perfil de usuario final

Seleccione un perfil de usuario final de la lista. Se le aplica la regla de directiva de firewall.

Cuando el tráfico del dispositivo A llega a un dispositivo de la serie SRX, la serie SRX obtiene la dirección IP del dispositivo A del primer paquete de tráfico y la utiliza para buscar en la tabla de autenticación de identidad del dispositivo una entrada de identidad de dispositivo coincidente. A continuación, hace coincidir ese perfil de identidad del dispositivo con una política de seguridad cuyo campo Perfil de usuario final especifica el nombre del perfil de identidad del dispositivo. Si se encuentra una coincidencia, la política de seguridad se aplica al tráfico que se emite desde el dispositivo A.

(Destino) Zona

En el caso de los dispositivos de la serie SRX, especifique una zona de destino (to-zone) para definir el contexto de la directiva. Las políticas de zona se aplican al tráfico que entra en una zona de seguridad (zona de origen) a otra zona de seguridad (zona de destino). Esta combinación de una zona de origen y una zona de destino se denomina contexto.

A partir de Junos Space Security Director versión 16.2, para los enrutadores de la serie MX, este campo actúa como una interfaz de salida desde donde entra el paquete. La dirección de coincidencia es la entrada, si el paquete está entrando en la interfaz. La dirección de coincidencia es la salida si el paquete sale de la interfaz. Configure la clave de salida seleccionando el valor de multiservicios agregados (AMS).

Las zonas polimórficas se pueden usar como zona de origen y zona de destino cuando se asignan dispositivos serie SRX y enrutadores serie MX a la misma directiva de grupo.

(Destino) Dirección(es)

Seleccione uno o más nombres de direcciones o conjuntos de direcciones. Haga clic en Seleccionar para agregar direcciones de destino.

En la página Dirección de destino:

• Seleccione la opción Incluir para agregar las direcciones de destino seleccionadas o cualquier dirección a la regla.

• Seleccione la opción Excluir para eximir de la regla las direcciones de destino seleccionadas.

• Seleccione la opción Por filtro de metadatos para elegir la dirección coincidente de un metadato definido por el usuario como dirección de destino.

  • Filtro de metadatos: haga clic en el campo para seleccionar los metadatos necesarios de la lista. Las direcciones coincidentes se filtran y se enumeran en el campo Dirección coincidente.

  • Direcciones coincidentes: enumera las direcciones que coinciden con los metadatos seleccionados. Esta dirección se utiliza como dirección de destino.

    Para cada expresión de metadatos, se crea un grupo de direcciones dinámicas (DAG) único. Este DAG tiene la URL del servidor de fuentes que apunta a la URL del servidor de fuentes de Security Director.

    Office 365 ahora se incluye en la lista de fuentes de terceros para insertar información de extremo de servicios de Microsoft Office 365 (direcciones IP) en el dispositivo serie SRX. Este feed funciona de manera diferente a otros feeds y requiere ciertos parámetros de configuración, incluido un nombre predefinido de "ipfilter_office365". Debe habilitar la fuente de Office 365 en la nube ATP de Juniper. Para saber cómo habilitar la fuente de Office 365 en ATP Cloud de Juniper y crear un DAG en el dispositivo serie SRX que haga referencia a la fuente ipfilter_office365, consulte Habilitar fuentes de amenazas de terceros.

    Configure la URL del servidor de fuentes mediante el siguiente comando de CLI para cada dispositivo serie SRX o vSRX que actúe según las políticas basadas en metadatos.

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

Consulte Creación de direcciones y grupos de direcciones.

(Destino) Categoría de URL

Seleccione una o más categorías de URL predefinidas o personalizadas como criterio de coincidencia. La categoría de URL es compatible con dispositivos que ejecutan Junos OS versión 18.4R3 y posteriores.

Haga clic en Seleccionar para seleccionar una categoría de URL. Seleccione una o más categorías de URL predefinidas o personalizadas de la lista Disponibles y muévalas a la lista Seleccionados. Haga clic en Aceptar.

(Protocolos de servicio) Servicios

Seleccione uno o más nombres de servicio (aplicación). Seleccione Incluir, cualquier servicio para deshabilitar la opción cualquier en el generador de listas de servicios. Desactive la casilla Cualquier servicio para permitir o denegar servicios en la columna Generador de listas de servicios disponibles. Haga clic en Agregar nuevo servicio para crear un servicio. Consulte Creación de servicios y grupos de servicios.

Firmas de aplicaciones

Haga clic en el icono + para agregar las firmas de la aplicación. Puede agregar firmas de aplicación predefinidas y personalizadas.

Advanced Security

Acción de regla

La acción se aplica a todo el tráfico que coincide con los criterios especificados.

• Denegar: el dispositivo descarta silenciosamente todos los paquetes de la sesión y no envía ningún mensaje de control activo, como restablecimientos TCP o ICMP inalcanzable.

• Rechazo: el dispositivo envía un restablecimiento de TCP si el protocolo es TCP y el dispositivo envía un restablecimiento de ICMP si los protocolos son UDP, ICMP o cualquier otro protocolo IP. Esta opción es útil cuando se enfrentan a recursos de confianza para que las aplicaciones no pierdan tiempo esperando tiempos de espera y en su lugar obtengan el mensaje activo.

• Permitir: el dispositivo permite el tráfico mediante el tipo de autenticación de firewall que aplicó a la política.

• Túnel: el dispositivo permite el tráfico mediante el tipo de opciones de túnel VPN que aplicó a la política.

Seguridad avanzada

Las políticas de firewall proporcionan una capa básica de seguridad que garantiza que el tráfico de red se restrinja solo a lo que dicta una política a través de sus criterios de coincidencia.

Las políticas de firewall proporcionan una capa básica de seguridad que garantiza que el tráfico de red se restrinja solo a lo que dicta una política a través de sus criterios de coincidencia. Cuando la política tradicional no sea suficiente, seleccione componentes de identificación de aplicaciones para crear un perfil de seguridad avanzado para la directiva:

• Firewall de aplicaciones: seleccione esta opción para aplicar controles de firewall tradicionales en el tráfico mientras se superpone el firewall de la aplicación para garantizar que las aplicaciones se ajusten no solo a la información del puerto, sino también a lo que se transmite entre un cliente y un servidor. Puede permitir, denegar y rechazar solicitudes. También hay una función especial de redireccionamiento para HTTP y HTTPS.

  Haga clic en el vínculo Agregar nuevo para crear una directiva de firewall de aplicaciones y haga clic en Agregar nueva regla APPFW para crear reglas. Consulte Creación de directivas de firewall de aplicaciones.

• Proxy de reenvío SSL: seleccione esta opción para habilitar un protocolo de nivel de aplicación que proporcione tecnología de cifrado para Internet.

  Haga clic en Agregar proxy de reenvío para crear perfiles de proxy de reenvío SSL. Consulte Creación de perfiles de proxy de reenvío SSL.

  Haga clic en Agregar proxy inverso para crear perfiles de proxy inverso SSL. Consulte Creación de perfiles de proxy inverso SSL.

• IPS: seleccione el valor IPS como Activado o Desactivado.

• Política IPS: proporciona compatibilidad con la política IPS dentro de la política de firewall estándar. Seleccione una política IPS para asignarla a la directiva de firewall. Las políticas de IPS que no están asignadas a ningún dispositivo se enumeran en el menú desplegable.

  Para los dispositivos con Junos OS versión 18.2 en adelante, la configuración de CLI para la política IPS asignada se genera junto con la política de firewall estándar.

  Nota:

  La acción de la regla debe ser Permitir.

  • En Junos OS versión 18.1 y anteriores, si ha configurado una política con IPS como Activado o Desactivado y una política IPS, Security Director omite la política IPS y envía solo el comando IPS On CLI al dispositivo.

  • En Junos OS versión 18.2 y posteriores, si ha configurado una política con IPS como Activado o Desactivado y una Política IPS, Security Director omite el comando IPS activado en la CLI y envía solo el comando CLI de política IPS al dispositivo.

• UTM: seleccione esta opción para definir la protección de capa 7 contra amenazas del lado cliente.

  Haga clic en Agregar nuevo para crear políticas de seguridad de contenido. Consulte Creación de políticas de UTM.

• Proxy web seguro: seleccione un perfil de proxy web seguro creado en Crear un perfil de proxy web seguro.

  Puede utilizar un proxy web seguro para permitir que el tráfico de las aplicaciones seleccionadas omita el servidor proxy externo y se envíe directamente a un servidor web.

• Política de prevención de amenazas: seleccione una opción para proporcionar protección y supervisión para los perfiles de amenazas seleccionados, incluidos los servidores de comando y control, los hosts infectados y el malware.

Generación de perfiles de amenazas

El perfil adaptable de amenazas en la nube ATP de Juniper permite que los dispositivos de la serie SRX generen, propaguen y consuman fuentes de amenazas basadas en sus propios eventos de detección avanzada y coincidencia de políticas.

A partir de Junos Space Security Director versión 21.2, puede configurar una política de firewall con direcciones de origen y destino como tipos de amenaza, que inyecta la dirección IP de origen y la dirección IP de destino en la fuente de amenazas seleccionada cuando el tráfico coincide con la regla. Otros dispositivos pueden aprovechar la fuente de amenazas como un grupo de direcciones dinámicas (DAG).

Agregar IP de origen al feed: seleccione una fuente de seguridad de la lista. La dirección IP de origen se agrega a la fuente de amenazas cuando el tráfico coincide con la regla.

Agregar IP de destino al feed: seleccione una fuente de seguridad de la lista. La dirección IP de destino se agrega a la fuente de amenazas cuando el tráfico coincide con la regla.

Rule Options

Perfil

Seleccione un perfil predeterminado o personalizado, o puede heredar un perfil de directiva de otra directiva. El perfil de directiva especifica la configuración básica de una política de seguridad. Consulte Creación de perfiles de directiva de firewall.

Horario

Las programaciones de políticas le permiten definir cuándo una política está activa y, por lo tanto, son un criterio de coincidencia implícita. Puede definir el día de la semana y la hora del día en que la política está activa. Por ejemplo, puede definir una política de seguridad que abra o cierre el acceso en función del horario comercial. Se pueden aplicar varios programadores a diferentes políticas, pero solo puede haber un programador activo por política. Seleccione una programación guardada previamente y las opciones de programación se rellenarán con los datos de la programación seleccionada. Haga clic en Nuevo para crear otra programación.

Rule Analysis

Nueva regla, realizar análisis

Seleccione esta opción si desea analizar sus reglas para evitar anomalías.

Rule Placement

Ubicación/Secuencia

Muestra el número de secuencia y el orden en que se coloca la regla.