Wie man Sicherheits-, NAT-und PBF-Regeln über das CLI testet
Resolution
Übersicht
In diesem Dokument wird erläutert, wie zu bestätigen ist, ob eine Sitzung mit Hilfe der Regeln "Testsicherheit, Adressübersetzung" (NAT) und der Richtlinien für die politikbasierte Weiterleitung (PBF) über CLI zu einer erwarteten Politik passt.
Um die Test Sicherheitspolitik, die NAT-Politik und die PBF-Politik zu betreiben, sind immer folgende Argumente erforderlich:
- Quelle-Quelle-IP-Adresse
- Reiseziel-Ziel-IP-Adresse
- Zielport-geben Sie die Ziel Portnummer an
- Protokoll-spezifizieren Sie die für das Paket erwartete IP-Protokollnummer zwischen 1 und 255 (TCP-6, UDP-17, ICMP-1, ESP-50)
Wenn der Wert für eines der oben genannten Argumente unbekannt ist oder keine Rolle spielt, wie in dem Szenario, in dem die Regel, die erwartet wird, "irgendwelche" als die Felder Wert hat, dann kann ein Fake oder ein Dummy-Wert eingegeben werden. Außerdem können "Anwendung", "Kategorie", "von" und "zu"-Zonen angegeben werden.
Hinweis: um die erwartete Sicherheitspolitik zu erreichen, wenn es viele Sicherheitsrichtlinien gibt, die mit den gleichen Quell-und Zielzonen konfiguriert sind, wird empfohlen, die Quell-und Zielzonen anzugeben. Wenn die Zonen nicht angegeben sind, wird der Test Befehl die Ergebnisse für Regeln zurückgeben, die auf Zonen basieren, in die die Quell-und Ziel IP-Adressen nicht gehören.
Details
SicherheitsRegeln testen
Testsicherheit-Policy-Match
+ Bewerbungs Name
+ Kategorie Name
+ Zielziel IP-Adresse
+ Reiseziel-Port Destination Port
+ von
+ Protokoll IP-Protokoll Wert
+ Show-alle zeigen alle möglichen Match Regeln
+ Quell Quelle IP-Adresse
+ Source-User Source User
+ bis zu
<Enter>Finish Input</Enter>
Beispiel 1: (wenn die Werte für die geforderten Argumente bekannt sind)
Test Security-Policy-Match Protokoll 6 von L3-Trust auf L3-Untrust Source 192.168.52.1 Ziel 74.125.225.69 Destination-Port 80 Anwendung Gmail-Base
Trust_Untrust {
von L3-Trust;
Quelle 192.168.52.1;
Quelle-Region any;
zu L3-Unvertrauen;
Destination 74.125.225.69;
Reiseziel-Region any;
Benutzer;
Kategorie alle;
Anwendung/Service [Gmail-Base/TCP/any/80 Gmail-Base/TCP/any/8080 Web-Browsing/TCP/any/80 Web-Browsing/TCP/any/8080 Gmail-Chat/TCP/any/80 Gmail-Chat/TCP/any/8080 Gmail-Enterprise/TCP/any/ Gmail-Anruf-Telefon/TCP/any/80 Gmail-Anruf-Hone/TCP/any/8080 Gmail-Video-Chat/TCP/any/80 Gmail-Video-Chat/TCP/any/8080]; Aktion erlauben;
}
Beispiel 2: (wenn die Werte für die geforderten Argumente unbekannt sind wie in dem Szenario, in dem die Regel "irgendwelche" als die Felder Wert hat)
Test Security-Policy-Match Protokoll 1 von L3-Trust to L3-Untrust Source 192.168.52.1 Ziel 4.4.4.4 Destination-Port 80
Vertrauen. Unvertrauen {
von L3-Trust;
jede Quelle;
Quelle-Region any;
zu L3-Unvertrauen;
Ziel jeder;
Reiseziel-Region any;
Benutzer;
Kategorie alle;
Anwendung/Service alle/alle/irgendwelche/any;
Aktion ermöglichen;
}
Beispiel 3: (kein regelspiel)
Test Security-Policy-Match Protokoll 6 von L3-Trust auf L3-Untrust-Quelle 192.168.52.1 Ziel 69.171.242.11 Destination-Port 80 Anwendung Facebook-Base
Keine Regel passte
NAT-Regeln testen
Test NAT-Policy-Match
+ Zielziel IP-Adresse
+ Reiseziel-Port Destination Port
+ von
+ ha-Gerät-ID HA Active-aktive Geräte-ID
+ Protokoll IP-Protokoll Wert
+ Quell Quelle IP-Adresse
+ Source-Port Source Port
+ bis zu
+ to-Interface Egress-Schnittstelle zu verwenden
<Enter>Finish Input</Enter>
Beispiel 1: (wenn die Werte für die geforderten Argumente bekannt sind)
Test NAT-Policy-Match Protokoll 6 von L3-Trust zu L3-Untrust Source 192.168.52.1 Ziel 171.161.148.173 Destination-Port 443
Quelle-NAT: Regel: Src_NAT
192.168.52.1:0 = > 10.30.6.52:15473 (6),
Beispiel 2: (wenn die Werte für die geforderten Argumente unbekannt sind wie in dem Szenario, in dem die Regel "irgendwelche" als die Felder Wert hat)
Test NAT-Policy-Match Protokoll 17 von L3-Trust zu L3-Untrust Source 192.168.52.1 Ziel 69.171.242.11 Destination-Port 80
Quelle-NAT: Regel: Source_NAT
192.168.52.1:0 = > 10.30.6.52:47927 (17),
Beispiel 3: (kein regelspiel)
Test NAT-Policy-Match Protokoll 6 von L3-Trust zu L3-Untrust Source 192.168.52.1 Ziel 212.58.241.131 Destination-Port 443
Server Fehler:
PBF-Regeln testen
Test PBF-Policy-Match
+ Bewerbungs Name
+ Zielziel IP-Adresse
+ Reiseziel-Port Destination Port
+ aus der Zone
+ von-Interface von Interface
+ ha-Gerät-ID HA Active-aktive Geräte-ID
+ Protokoll IP-Protokoll Wert
+ Quell Quelle IP-Adresse
+ Source-User Source User
<Enter>Finish Input</Enter>
Beispiel 1: (wenn die Werte für die geforderten Argumente bekannt sind)
Test PBF-Policy-Match Protokoll 6 von L3-Trust Source 192.168.52.1 Ziel 74.125.225.69 Destination-Port 80 Anwendung Web-Browsing
PBF
von L3-Trust;
Quelle 192.168.52.1;
Destination 74.125.225.69;
Benutzer;
Anwendung/Service Web-Browsing/Any/Any/any;
Aktion nach vorne;
Spedition-Ausstieg-IF/VSYS ethernet1/3;
Next-Hop 0.0.0.0;
}
Beispiel 2: (wenn die Werte für die geforderten Argumente unbekannt sind wie in dem Szenario, in dem die Regel "irgendwelche" als die Felder Wert hat)
Test PBF-Policy-Match Protokoll 6 von L3-Trust Source 192.168.52.1 Ziel 171.161.148.173 Destination-Port 80
"PBF any" {
von L3-Trust;
jede Quelle;
Ziel jeder;
Benutzer;
Anwendung/Service alle/alle/irgendwelche/any;
Aktion nach vorne;
Spedition-Ausstieg-IF/VSYS ethernet1/3;
Next-Hop 0.0.0.0;
}
Beispiel 3: (kein regelspiel)
Test PBF-Policy-Match Protokoll 17 von L3-Trust Source 192.168.52.1 Ziel 69.171.242.11 Destination-Port 80
Server-Fehler: Fehler laufende Policy-Suche
Multi-Vsys-Umgebung
Um die obigen Befehle in einer Multi-Vsys-Umgebung zu testen, ändern Sie zuerst den Kontext zu diesem speziellen Vsys mit dem Set-System-Einstell Ziel-Vsys- <vsys>Befehl auf dem CLI.</vsys> Dann den Test ausführen:
admin @ PA-5050 vsys2 (passiv) > Sicherheits-Policy-Match von vsys2_trust bis vsys2_untrust Ziel-Port 80 Protokoll 6 Quelle 1.1.1.1 Ziel 2.2.2.2
Temp
von jedem;
jede Quelle;
Quelle-Region keine;
für alle;
Ziel jeder;
Ziel-Region keine;
Benutzer;
Kategorie alle;
Anwendungsdienst/jeder/jede/jeder/jede;
Aktion ermöglichen;
Terminal ja;
}
Um auf die Standardeinstellung zurückzugreifen, führen Sie das Set-System-Einstellungs Ziel aus-Vsys None- Befehl.
Besitzer: Gchandrasekaran