Creación de servicios y grupos de servicios
Antes de empezar
Lea el tema.
Recopile toda la información de los protocolos que está utilizando para crear el servicio, incluidos los puertos de origen y destino y el tipo de protocolo, como TCP o UDP.
Compruebe si la clonación de un servicio existente puede ser más eficaz que la creación de uno nuevo.
Revise la página principal de servicios para obtener una idea del conjunto de datos actual. Consulte para obtener descripciones de los campos.
Un servicio en Security Director hace referencia a una aplicación en un dispositivo, como el Servicio de nombres de dominio (DNS). Los servicios se basan en protocolos y puertos utilizados por una aplicación y, cuando se agregan a una política, un servicio configurado se puede aplicar en todos los dispositivos administrados por Security Director. Una vez creado un servicio, puede combinarlo con otros servicios para formar un grupo de servicios. Los grupos de servicios son útiles cuando desea aplicar la misma directiva a varios servicios.
Los protocolos disponibles para crear un servicio incluyen: TCP, UDP, SUN-RPC, MS-RPC, ICMP, ICMPv6 y otros.
Durante una actualización de dispositivo, puede eliminar todos los servicios y grupos de servicios no utilizados seleccionando una opción disponible en Actualizar dispositivo en Junos Space. De forma predeterminada, esta opción se habilita cuando se realiza una instalación nueva de Security Director o se actualiza desde la versión anterior.
Hay objetos de servicio definidos por Juniper Networks para los servicios de uso común, pero no puede modificarlos ni eliminarlos. Estos servicios aparecen al instalar una versión nueva de Security Director.
Para configurar un servicio:
- Seleccione Configurar > objetos > servicios compartidos.
- Haga clic en Crear.
- Complete la configuración de acuerdo con las directrices de la Tabla 1 a la Tabla 3.
- Haga clic en Aceptar.
Se crea un nuevo servicio o grupo de servicios con sus configuraciones. Puede utilizar este objeto en directivas. También puede asignarlo a un dominio; consulte Asignación de políticas y perfiles a dominios.
Ajuste |
Directriz |
---|---|
General Information |
|
Tipo de objeto |
Seleccione Servicio o Grupo de servicios. Si selecciona Grupo de servicios, la pantalla cambiará para que pueda seleccionar los servicios que desea incluir en su grupo de servicios. |
Nombre |
Obligatorio. Escriba un nombre único para el servicio. Debe comenzar con un carácter alfanumérico y no puede superar los 63 caracteres. Se permiten guiones y guiones bajos. |
Descripción |
Introduzca una descripción para el servicio. Debe hacer que esta descripción sea lo más útil posible para todos los administradores. |
Create Protocol |
|
Nombre |
Escriba un nombre único para el protocolo. Debe comenzar con un carácter alfanumérico y no puede superar los 63 caracteres. Se permiten guiones y guiones bajos. |
Descripción |
Introduzca una descripción para el protocolo. No puede superar los 1.024 caracteres. |
Tipo |
Seleccione un tipo de protocolo y rellene los campos correspondientes. Los tipos disponibles son: TCP, UDP, ICMP, SUN-RPC, MS-RPC, ICMPv6 y otros. Si selecciona TCP, continúe con esta tabla. Consulte la Tabla 2 para ver los otros tipos de protocolo. |
Puerto de destino |
Escriba un número de puerto de destino para TCP. Este es un valor o intervalo de valores de 0 a 65.535. Si no proporciona ningún valor en el campo Puerto de destino, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar e introduzca el puerto de destino o haga clic en Aceptar para continuar con el valor predeterminado. |
Advanced Settings |
|
Habilitar tiempo de espera de inactividad |
Seleccionado de forma predeterminada. Introduzca un valor de tiempo de espera para este protocolo en segundos o minutos. Los valores máximos son 129.600 segundos y 2.160 minutos. |
ALG |
Seleccione una opción de servicio ALG (Application Layer Gateway) si procede. |
Puertos y rangos de puertos de origen |
Introduzca el puerto o intervalo de puertos de origen del protocolo. Si no proporciona ningún valor en el campo Puerto de origen, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar e introduzca el puerto de origen o haga clic en Aceptar para continuar con el valor predeterminado. |
A partir de Security Director versión 18.3R1, no puede crear un objeto de servicio con detalles de protocolo duplicados, como el nombre, el puerto de destino, la duración del tiempo de espera y el puerto o intervalos de puertos de origen. La creación de servicios con contenido duplicado se basa en la configuración de objetos compartidos de la plataforma de administración de red de Junos Space.
De forma predeterminada, puede crear objetos de servicio duplicados. Si no desea permitir la creación de servicios duplicados en Security Director, vaya a Plataforma de administración de red y seleccione Administración>Aplicación>Modificar configuración de la aplicación>Objetos compartidos. Active la casilla para impedir la creación de servicios con contenido duplicado. Cuando se selecciona cualquier contenido duplicado en Security Director, se muestra un mensaje de error.
La Tabla 2 incluye la configuración y las directrices para los distintos tipos de protocolos.
Ajuste |
Directriz |
---|---|
UDP |
|
Puerto de destino |
Introduzca un número de puerto de destino para UDP. Este es un valor o intervalo de valores de 0 a 65.535. Si no proporciona ningún valor en el campo Puerto de destino, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar para introducir el puerto de destino o haga clic en Aceptar para continuar con el valor predeterminado. |
Advanced Settings |
|
Habilitar tiempo de espera de inactividad |
Seleccionado de forma predeterminada. Introduzca un valor de tiempo de espera para este protocolo en segundos o minutos. Los valores máximos son 129.600 segundos y 2.160 minutos. |
ALG |
Seleccione una opción de servicio ALG (Application Layer Gateway) si procede. |
Puertos y rangos de puertos de origen |
Introduzca un puerto o intervalo de puertos de origen para UDP. Este es un valor o intervalo de valores de 0 a 65.535. Si no proporciona ningún valor en el campo Puerto de origen, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar para especificar el puerto de origen o haga clic en Aceptar para continuar con el valor predeterminado. |
ICMP |
|
Habilitar tiempo de espera de inactividad |
Seleccionado de forma predeterminada. Introduzca un valor de tiempo de espera para este protocolo en segundos o minutos. Los valores máximos son 129.600 segundos y 2.160 minutos. |
Tipo de ICMP |
Introduzca un valor del 0 al 225 para el tipo de mensaje ICMP. Por ejemplo, escriba 1 para host inalcanzable. Puede encontrar estos valores en RFC 792. |
Código ICMP |
Introduzca un valor del 0 al 225 para el código ICMP. Por ejemplo, escriba 0 para la respuesta de eco. Puede encontrar estos valores en RFC 792. |
SUN-RPC |
|
Puerto de destino (disponible si se selecciona Habilitar ALG) |
Introduzca un puerto de destino para SUN-RPC. Este es un valor o intervalo de valores de 0 a 65.535. Si no proporciona ningún valor en el campo Puerto de destino, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar para introducir el puerto de destino o haga clic en Aceptar para continuar con el valor predeterminado. |
Habilitar tiempo de espera de inactividad |
Seleccionado de forma predeterminada. Introduzca un valor de tiempo de espera para este protocolo en segundos o minutos. Los valores máximos son 129.600 segundos y 2.160 minutos. |
Habilitar ALG |
No está seleccionado de forma predeterminada. Si habilita ALG para este protocolo, debe introducir un puerto de destino en el campo que esté disponible. |
Número de programa RPC |
Introduzca un valor o intervalo de valores para el servicio RPC (llamada a procedimiento remoto). Por ejemplo, escriba 100.017 para ejecución remota. Puede encontrar estos valores en RFC 5531. |
Tipo de protocolo |
Seleccione TCP o UDP para el tipo de protocolo. |
MS-RPC |
|
Puerto de destino (disponible si se selecciona Habilitar ALG) |
Escriba un puerto de destino para MS-RPC. Este es un valor o intervalo de valores de 0 a 65.535. Si no proporciona ningún valor en el campo Puerto de destino, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar para introducir el puerto de destino y haga clic en Aceptar para continuar con el valor predeterminado. |
Habilitar tiempo de espera de inactividad |
Seleccionado de forma predeterminada. Introduzca un valor de tiempo de espera para este protocolo en segundos o minutos. Los valores máximos son 129.600 segundos y 2.160 minutos. |
Habilitar ALG |
No está seleccionado de forma predeterminada. Si habilita ALG para este protocolo, debe especificar un número de puerto de destino en el campo que esté disponible. |
UUID |
Escriba el valor UUID correspondiente para el servicio MS-RPC. Para obtener valores predefinidos, consulte Asignaciones UUID de MS-RPC. |
Tipo de protocolo |
Seleccione TCP o UDP para el tipo de protocolo. |
ICMPv6 |
|
Habilitar tiempo de espera de inactividad |
Seleccionado de forma predeterminada. Introduzca un valor de tiempo de espera para este protocolo en segundos o minutos. Los valores máximos son 129.600 segundos y 2.160 minutos. |
Tipo de ICMP |
Escriba un valor del 0 al 225 para el tipo de mensaje ICMPv6. Puede encontrar estos valores en RFC 4443. |
Código ICMP |
Introduzca un valor del 0 al 225 para el código ICMPv6. Puede encontrar estos valores en RFC 4443. |
Puerto de destino |
Utilice otros para crear protocolos que no coincidan con las categorías de tipo proporcionadas. Introduzca un puerto de destino para el otro protocolo. Este es un valor o intervalo de valores de 0 a 65.535. Si no proporciona ningún valor en el campo Puerto de destino, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar para introducir el puerto de destino y haga clic en Aceptar para continuar con el valor predeterminado. |
Advanced Settings |
|
Habilitar tiempo de espera de inactividad |
Seleccionado de forma predeterminada. Introduzca un valor de tiempo de espera para este protocolo en segundos o minutos. Los valores máximos son 129.600 segundos y 2.160 minutos. |
ALG |
Seleccione una opción de servicio ALG (Application Layer Gateway) si procede. |
Puertos y rangos de puertos de origen |
Introduzca el puerto o intervalo de puertos de origen para el otro protocolo. Si no proporciona ningún valor en el campo Puerto de origen, se muestra un mensaje que indica que el valor predeterminado será Cualquiera. "Cualquiera" representa nulo o vacío. Haga clic en Cancelar para especificar el puerto de origen o haga clic en Aceptar para continuar con el valor predeterminado. |
Número de protocolo |
Introduzca un número de protocolo para el tipo de protocolo. RFC 791 contiene una lista de protocolos y sus números correspondientes. Este número identifica el servicio en el siguiente nivel superior de la pila de protocolos a la que se pasan los datos. |
En la tabla 3 se incluyen la configuración y las directrices para los grupos de servicios.
Ajuste |
Directriz |
---|---|
General Information |
|
Tipo de objeto |
Seleccione Grupo de servicios. Cuando selecciona Grupo de servicios, la pantalla cambia para que pueda seleccionar los servicios que desea incluir en su grupo de servicios. |
Nombre |
Escriba un nombre único para el grupo de servicios. Debe comenzar con un carácter alfanumérico y no puede superar los 63 caracteres. Se permiten guiones y guiones bajos. |
Descripción |
Escriba una descripción para el grupo de servicios. Debe hacer que esta descripción sea lo más útil posible para todos los administradores. |
Servicios |
Active la casilla situada junto a cada servicio que desee incluir en el grupo de servicios. Haga clic en la flecha para mover el servicio o servicios seleccionados de la columna Disponible a la columna Seleccionado. Tenga en cuenta que puede utilizar los campos en la parte superior de cada columna para buscar los servicios enumerados. Si los grupos de servicios seleccionados ya están disponibles, la creación de grupos de servicios con contenido duplicado se basa en la configuración de objetos compartidos de la plataforma de administración de red de Junos Space. De forma predeterminada, puede crear grupos de servicios duplicados. Si no desea permitir la creación de grupos de servicios duplicados en Security Director, vaya a Plataforma de administración de red y seleccione Administración>Aplicación>Modificar configuración de la aplicación>Objetos compartidos. Active la casilla para impedir la creación de grupos de servicios con contenido duplicado. Cuando se selecciona cualquier contenido duplicado en Security Director, se muestra un mensaje de error. |