Cómo probar las reglas de seguridad, NAT y PBF a través de la CLI
Resolution
Resumen
Este documento explica cómo validar si una sesión coincide con una directiva esperada utilizando las reglas de seguridad de prueba, traducción de direcciones (NAT) y reenvío basado en políticas (PBF) mediante CLI.
Siempre se necesitan los siguientes argumentos para ejecutar la Directiva de seguridad de prueba, la Directiva NAT y la Directiva PBF:
- Dirección IP de origen
- Dirección IP de destino-destino
- Puerto de destino: especifique el número de puerto de destino
- Protocolo: especifique el número de protocolo IP esperado para el paquete entre 1 y 255 (TCP-6, UDP-17, ICMP-1, ESP-50)
Si el valor de cualquiera de los argumentos anteriores es desconocido o no importa como en el escenario donde la regla que se espera que coincida tiene "any" como el valor de los campos, entonces se puede introducir un valor falso o ficticio. También se pueden especificar las zonas ' Application ', ' Category ', ' from ' y ' to '.
Nota: para que coincida con la Directiva de seguridad prevista cuando hay muchas directivas de seguridad configuradas con las mismas zonas de origen y destino, se recomienda especificar las zonas de origen y de destino. Si no se especifican las zonas, el comando Test devolverá los resultados de las reglas en función de las zonas en las que no pertenezcan las direcciones IP de origen y destino.
Detalles
Pruebas de reglas de seguridad
seguridad de prueba-política-coincidencia
+ nombre de aplicación de aplicación
+ nombre de categoría de categoría
+ Dirección IP de destino de destino
+ destino-puerto de destino portuario
+ desde desde
+ protocolo IP valor del Protocolo
+ Mostrar-todos muestran todas las reglas de coincidencia potenciales
+ Dirección IP de origen
+ Usuario fuente-usuario
+ a
<Enter>Entrada del final</Enter>
Ejemplo 1: (cuando se conocen los valores de los argumentos requeridos)
seguridad de la prueba-política-empareje el protocolo 6 de L3-confianza a L3-desconfianza fuente 192.168.52.1 destino 74.125.225.69 destino-puerto 80 aplicación gmail-base
Trust_Untrust {
de L3-Trust;
fuente 192.168.52.1;
fuente-región cualquiera;
a L3-Untrust;
destino 74.125.225.69;
destino-región cualquiera;
usuario cualquier;
Categoría;
aplicación/servicio [gmail-base/TCP/any/80 gmail-base/TCP/any/8080 web-navegación/TCP/any/80 Web-navegación/TCP/any/8080 gmail-chat/TCP/any/80 gmail-chat/TCP/cualquier/8080 gmail-Enterprise/TCP/any/80 gmail-Enterprise/TCP/any/8080 gmail-Call-Phone/TCP/any/80 gmail-Call-piedra de afilar/TCP/any/8080 gmail-vídeo-chat/TCP/any/80 gmail-vídeo-chat/TCP/any/8080]; la acción permite;
}
Ejemplo 2: (cuando los valores de los argumentos requeridos son desconocidos como en el escenario donde la regla tiene "any" como el valor Fields)
prueba de seguridad-política-coincidencia de protocolo 1 de L3-Trust a L3-desconfianza fuente 192.168.52.1 destino 4.4.4.4 destino-puerto 80
Confianza. Untrust {
de L3-Trust;
de la fuente
fuente-región cualquiera;
a L3-Untrust;
destino;
destino-región cualquiera;
usuario cualquier;
Categoría;
uso/cualquie/cualesquiera/cualesquiera/cualesquiera;
acción permite;
}
Ejemplo 3: (no hay coincidencia de reglas)
seguridad de la prueba-política-empareje el protocolo 6 de L3-confianza a L3-desconfianza fuente 192.168.52.1 destino 69.171.242.11 destino-puerto 80 aplicación Facebook-base
No se compara la regla
Pruebas de reglas NAT
prueba NAT-Policy-Match
+ Dirección IP de destino de destino
+ destino-puerto de destino portuario
+ desde desde
+ ha-Device-ID HA Active-ID de dispositivo activo
+ protocolo IP valor del Protocolo
+ Dirección IP de origen
Puerto de fuente de + Source-Port
+ a
interfaz de la salida de + to-interface a utilizar
<Enter>Entrada del final</Enter>
Ejemplo 1: (cuando se conocen los valores de los argumentos requeridos)
prueba de NAT-Policy-coincidir Protocolo 6 de L3-Trust a L3-desconfianza fuente 192.168.52.1 destino 171.161.148.173 destino-puerto 443
Source-NAT: regla igualada: Src_NAT
192.168.52.1:0 = > 10.30.6.52:15473 (6),
Ejemplo 2: (cuando los valores de los argumentos requeridos son desconocidos como en el escenario donde la regla tiene "any" como el valor Fields)
prueba de NAT-Policy-coincidir Protocolo 17 de L3-Trust a L3-Untrust fuente 192.168.52.1 destino 69.171.242.11 destino-puerto 80
Source-NAT: regla igualada: Source_NAT
192.168.52.1:0 = > 10.30.6.52:47927 (17),
Ejemplo 3: (no hay coincidencia de reglas)
prueba de NAT-Policy-coincidir Protocolo 6 de L3-Trust a L3-desconfianza fuente 192.168.52.1 destino 212.58.241.131 destino-puerto 443
Error del servidor:
Probar las reglas de PBF
Test PBF-Policy-Match
+ nombre de aplicación de aplicación
+ Dirección IP de destino de destino
+ destino-puerto de destino portuario
+ desde la zona
+ de-interfaz de interfaz
+ ha-Device-ID HA Active-ID de dispositivo activo
+ protocolo IP valor del Protocolo
+ Dirección IP de origen
+ Usuario fuente-usuario
<Enter>Entrada del final</Enter>
Ejemplo 1: (cuando se conocen los valores de los argumentos requeridos)
Test PBF-Policy-Match Protocolo 6 de L3-Trust Source 192.168.52.1 destino 74.125.225.69 destino-puerto 80 aplicación web-navegación
PBF
de L3-Trust;
fuente 192.168.52.1;
destino 74.125.225.69;
usuario cualquier;
Web-OJEADA de la aplicación/del servicio/cualesquiera/cualesquiera/cualesquiera;
acción hacia adelante;
reenvío-salida-IF/VSYS ethernet1/3;
salto siguiente 0.0.0.0;
}
Ejemplo 2: (cuando los valores de los argumentos requeridos son desconocidos como en el escenario donde la regla tiene "any" como el valor Fields)
Test PBF-Policy-Match Protocol 6 de L3-Trust Source 192.168.52.1 destino 171.161.148.173 Destination-Port 80
"PBF any" {
de L3-Trust;
de la fuente
destino;
usuario cualquier;
uso/cualquie/cualesquiera/cualesquiera/cualesquiera;
acción hacia adelante;
reenvío-salida-IF/VSYS ethernet1/3;
salto siguiente 0.0.0.0;
}
Ejemplo 3: (no hay coincidencia de reglas)
Test PBF-Policy-coincidencia de protocolo 17 de L3-fuente de confianza 192.168.52.1 destino 69.171.242.11 destino-puerto 80
Error del servidor: error al ejecutar la búsqueda de directivas
Ambiente multi-vsys
Para probar los comandos anteriores en un entorno vsys, cambie primero el contexto a ese vsys en particular mediante el comando set sistema Setting-vsys <vsys>de destino en la CLI.</vsys> A continuación, ejecute la prueba:
admin @ PA-5050 vsys2 (pasivo) > prueba de seguridad-política-coincidencia de vsys2_trust a vsys2_untrust destino-puerto 80 Protocolo 6 fuente 1.1.1.1 destino 2.2.2.2
Temp
de cualquiera;
de la fuente
región de origen.
a cualquiera;
destino;
región de destino.
usuario cualquier;
Categoría;
servicio de aplicación cualquier/cualquiera/cualquier/cualquiera;
acción permite;
terminal sí;
}
Para volver a la configuración predeterminada, ejecute el comando definir sistema de configuración de destino-vsys ninguno.
Propietario: gchandrasekaran