Глобальные политики безопасности

В межсетевом экране с функцией ведения базы данных в ОС Junos политики безопасности применяют правила для транзитного трафика с точки зрения того, что трафик может проходить через межсетевой экран, и действия, которые должны происходить в трафике по мере его прохождения через межсетевой экран. Политики безопасности требуют входа трафика в одну зону безопасности и выхода из другой зоны безопасности. Такое сочетание от зоны до зоны называется . context В каждом контексте содержится упорядоченный список политик. Каждая политика обрабатывается в порядке, который он определяется в контексте. Трафик классифицируется путем сопоставления политик из зоны в зону, адрес источника, адрес назначения и приложение, которое трафик несет в заголовке протокола. Каждая глобальная политика, как и любая другая политика безопасности, имеет следующие действия: разрешение, отказ, отклонение, регистрация, подсчет голосов.

Вы можете настроить политику безопасности с помощью пользовательского интерфейса. Политики безопасности управляют потоком трафика из одной зоны в другую, определяя тип трафика, разрешенного из конкретных IP-источников в конкретные IP-направления в запланированное время. В большинстве случаев это работает хорошо, но недостаточно гибко. Например, если вы хотите выполнять действия в отношении трафика, необходимо настроить политики для каждого возможного контекста. Чтобы избежать создания нескольких политик в каждом возможном контексте, вы можете создать глобальную политику, которая охватывает все зоны или многозонную политику, которая охватывает несколько зон.

Используя глобальную политику, вы можете регулировать трафик с помощью адресов и приложений, независимо от их зон безопасности, ссылаясь на определяемые пользователем адреса или предопределенный адрес "любой". Эти адреса могут охватывать несколько зон безопасности. Например, если вы хотите предоставить доступ к нескольким зонам или из них, вы можете создать глобальную политику с адресом «любой», который охватывает все адреса во всех зонах. Выбор «любого» адреса соответствует любому IP-адресу, и когда «любой» используется в качестве адреса источника/назначения в любой конфигурации глобальной политики, он соответствует адресу источника/адреса назначения любого пакета.

Используя глобальную политику, вы также можете предоставить доступ к нескольким зонам источника и зонам назначения в одной политике. Однако мы рекомендуем в целях безопасности избежать подмены трафика при создании многозонной политики, в которой используются идентичные критерии соответствия (адрес источника, адрес назначения, приложение) и идентичные действия. Например, на рис. 1 при создании многозонной политики, включающей DMZ и недоверие из зон, спуфинг трафика 203.0.0.113.0/24 из зоны DMZ может успешно соответствовать политике и достичь защищенного хоста в зоне «Доверие к зоне».

Примечание:

Глобальные политики без информации о зонах и зонах не поддерживают туннели VPN, поскольку туннели VPN требуют информации о конкретных зонах.

При поиске политик проводится проверка политик в следующем порядке: внутризоны (доверие к доверию), между зонами (доверие к недоверию), затем глобальной. Как и в случае с регулярными политиками, приказываются глобальные политики в контексте, чтобы применима первая соответствующая политика к трафику.

Примечание:

Если у вас есть глобальная политика, убедитесь, что вы не определили правило «поймать всех», например, источник совпадения, место назначения совпадения любого или соответствующее приложение в внутризонных или межзонных политиках, потому что глобальные политики не будут проверены. Если у вас нет глобальной политики, то рекомендуется включить действие «отрицать все» в свои внутризоны или между зонами политики. Если у вас есть глобальная политика, то вы должны включить действие "отказ всех" в глобальной политике.

В логических системах вы можете определять глобальные политики для каждой логической системы. Глобальные политики в одной логической системе находятся в отдельном контексте, чем другие политики безопасности, и имеют более низкий приоритет, чем обычные политики безопасности, в плане поиска политик. Например, если выполняется поиск политик, регулярные политики безопасности имеют приоритет над глобальной политикой. Таким образом, при поиске политик в первую очередь проводится поиск регулярных политик безопасности и при отсутствии совпадений выполняется поиск глобальной политики.

В отличие от других политик безопасности в ОС Junos, глобальные политики не ссылаются на конкретные зоны источника и назначения. Глобальные политики ссылаются на предварительно определенный адрес «любые» или определяемые пользователем адреса, которые могут охватывать несколько зон безопасности. Глобальные политики обеспечивают гибкость выполнения действий в отношении трафика без каких-либо ограничений в зонах. Например, вы можете создать глобальную политику, чтобы каждый хост в каждой зоне может получить доступ к веб-сайту компании, например, www.example.com. Использование глобальной политики — это удобный кратчайший путь, когда существует множество зон безопасности. Трафик классифицируется путем сопоставления его исходного адреса, адреса назначения и приложения, которое трафик несет в заголовке протокола.

На этом примере показано, как настроить глобальную политику для отказа или разрешения трафика.

В отличие от других политик безопасности в ОС Junos, глобальные политики позволяют создавать многозонные политики. Глобальная политика — это удобный ярлык, когда существует множество зон безопасности, поскольку она позволяет настраивать несколько зон источника и несколько зон назначения в одной глобальной политике вместо того, чтобы создавать отдельную политику для каждой пары из зоны/зоны, даже если другие атрибуты, такие как адрес источника или адрес назначения, идентичны.