Cómo probar las reglas de seguridad, NAT y PBF a través de la CLI

Resumen

Este documento explica cómo validar si una sesión coincide con una directiva esperada utilizando las reglas de seguridad de prueba, traducción de direcciones (NAT) y reenvío basado en políticas (PBF) mediante CLI.

Siempre se necesitan los siguientes argumentos para ejecutar la Directiva de seguridad de prueba, la Directiva NAT y la Directiva PBF:

• Dirección IP de origen
• Dirección IP de destino-destino
• Puerto de destino: especifique el número de puerto de destino
• Protocolo: especifique el número de protocolo IP esperado para el paquete entre 1 y 255 (TCP-6, UDP-17, ICMP-1, ESP-50)

Si el valor de cualquiera de los argumentos anteriores es desconocido o no importa como en el escenario donde la regla que se espera que coincida tiene "any" como el valor de los campos, entonces se puede introducir un valor falso o ficticio. También se pueden especificar las zonas ' Application ', ' Category ', ' from ' y ' to '.

Nota: para que coincida con la Directiva de seguridad prevista cuando hay muchas directivas de seguridad configuradas con las mismas zonas de origen y destino, se recomienda especificar las zonas de origen y de destino. Si no se especifican las zonas, el comando Test devolverá los resultados de las reglas en función de las zonas en las que no pertenezcan las direcciones IP de origen y destino.

Detalles

Pruebas de reglas de seguridad

seguridad de prueba-política-coincidencia

+ nombre de aplicación de aplicación

+ nombre de categoría de categoría

+ Dirección IP de destino de destino

+ destino-puerto de destino portuario

+ desde desde

+ protocolo IP valor del Protocolo

+ Mostrar-todos muestran todas las reglas de coincidencia potenciales

+ Dirección IP de origen

+ Usuario fuente-usuario

+ a

  <Enter>Entrada del final</Enter>

Ejemplo 1: (cuando se conocen los valores de los argumentos requeridos)

seguridad de la prueba-política-empareje el protocolo 6 de L3-confianza a L3-desconfianza fuente 192.168.52.1 destino 74.125.225.69 destino-puerto 80 aplicación gmail-base

Trust_Untrust {

        de L3-Trust;

        fuente 192.168.52.1;

        fuente-región cualquiera;

        a L3-Untrust;

        destino 74.125.225.69;

        destino-región cualquiera;

        usuario cualquier;

        Categoría;

        aplicación/servicio [gmail-base/TCP/any/80 gmail-base/TCP/any/8080 web-navegación/TCP/any/80 Web-navegación/TCP/any/8080 gmail-chat/TCP/any/80 gmail-chat/TCP/cualquier/8080 gmail-Enterprise/TCP/any/80 gmail-Enterprise/TCP/any/8080 gmail-Call-Phone/TCP/any/80 gmail-Call-piedra de afilar/TCP/any/8080 gmail-vídeo-chat/TCP/any/80 gmail-vídeo-chat/TCP/any/8080];        la acción permite;

}

Ejemplo 2: (cuando los valores de los argumentos requeridos son desconocidos como en el escenario donde la regla tiene "any" como el valor Fields)

prueba de seguridad-política-coincidencia de protocolo 1 de L3-Trust a L3-desconfianza fuente 192.168.52.1 destino 4.4.4.4 destino-puerto 80

Confianza. Untrust {

        de L3-Trust;

        de la fuente

        fuente-región cualquiera;

        a L3-Untrust;

        destino;

        destino-región cualquiera;

        usuario cualquier;

        Categoría;

        uso/cualquie/cualesquiera/cualesquiera/cualesquiera;

        acción permite;

}

Ejemplo 3: (no hay coincidencia de reglas)

seguridad de la prueba-política-empareje el protocolo 6 de L3-confianza a L3-desconfianza fuente 192.168.52.1 destino 69.171.242.11 destino-puerto 80 aplicación Facebook-base

No se compara la regla

Pruebas de reglas NAT

prueba NAT-Policy-Match

+ Dirección IP de destino de destino

+ destino-puerto de destino portuario

+ desde desde

+ ha-Device-ID HA Active-ID de dispositivo activo

+ protocolo IP valor del Protocolo

+ Dirección IP de origen

Puerto de fuente de + Source-Port

+ a

interfaz de la salida de + to-interface a utilizar

  <Enter>Entrada del final</Enter>

Ejemplo 1: (cuando se conocen los valores de los argumentos requeridos)

prueba de NAT-Policy-coincidir Protocolo 6 de L3-Trust a L3-desconfianza fuente 192.168.52.1 destino 171.161.148.173 destino-puerto 443

Source-NAT: regla igualada: Src_NAT

192.168.52.1:0 = > 10.30.6.52:15473 (6),

Ejemplo 2: (cuando los valores de los argumentos requeridos son desconocidos como en el escenario donde la regla tiene "any" como el valor Fields)

prueba de NAT-Policy-coincidir Protocolo 17 de L3-Trust a L3-Untrust fuente 192.168.52.1 destino 69.171.242.11 destino-puerto 80

Source-NAT: regla igualada: Source_NAT

192.168.52.1:0 = > 10.30.6.52:47927 (17),

Ejemplo 3: (no hay coincidencia de reglas)

prueba de NAT-Policy-coincidir Protocolo 6 de L3-Trust a L3-desconfianza fuente 192.168.52.1 destino 212.58.241.131 destino-puerto 443

Error del servidor:

Probar las reglas de PBF

Test PBF-Policy-Match

+ nombre de aplicación de aplicación

+ Dirección IP de destino de destino

+ destino-puerto de destino portuario

+ desde la zona

+ de-interfaz de interfaz

+ ha-Device-ID HA Active-ID de dispositivo activo

+ protocolo IP valor del Protocolo

+ Dirección IP de origen

+ Usuario fuente-usuario

  <Enter>Entrada del final</Enter>

Ejemplo 1: (cuando se conocen los valores de los argumentos requeridos)

Test PBF-Policy-Match Protocolo 6 de L3-Trust Source 192.168.52.1 destino 74.125.225.69 destino-puerto 80 aplicación web-navegación

PBF

        de L3-Trust;

        fuente 192.168.52.1;

        destino 74.125.225.69;

        usuario cualquier;

        Web-OJEADA de la aplicación/del servicio/cualesquiera/cualesquiera/cualesquiera;

        acción hacia adelante;

        reenvío-salida-IF/VSYS ethernet1/3;

        salto siguiente 0.0.0.0;

}

Ejemplo 2: (cuando los valores de los argumentos requeridos son desconocidos como en el escenario donde la regla tiene "any" como el valor Fields)

Test PBF-Policy-Match Protocol 6 de L3-Trust Source 192.168.52.1 destino 171.161.148.173 Destination-Port 80

"PBF any" {

        de L3-Trust;

        de la fuente

        destino;

        usuario cualquier;

        uso/cualquie/cualesquiera/cualesquiera/cualesquiera;

        acción hacia adelante;

        reenvío-salida-IF/VSYS ethernet1/3;

        salto siguiente 0.0.0.0;

}

Ejemplo 3: (no hay coincidencia de reglas)

Test PBF-Policy-coincidencia de protocolo 17 de L3-fuente de confianza 192.168.52.1 destino 69.171.242.11 destino-puerto 80

Error del servidor: error al ejecutar la búsqueda de directivas

Ambiente multi-vsys

Para probar los comandos anteriores en un entorno vsys, cambie primero el contexto a ese vsys en particular mediante el comando set sistema Setting-vsys <vsys>de destino en la CLI.</vsys> A continuación, ejecute la prueba:

admin @ PA-5050 vsys2 (pasivo) > prueba de seguridad-política-coincidencia de vsys2_trust a vsys2_untrust destino-puerto 80 Protocolo 6 fuente 1.1.1.1 destino 2.2.2.2

Temp

        de cualquiera;

        de la fuente

        región de origen.

        a cualquiera;

        destino;

        región de destino.

        usuario cualquier;

        Categoría;

        servicio de aplicación cualquier/cualquiera/cualquier/cualquiera;

        acción permite;

        terminal sí;

}

Para volver a la configuración predeterminada, ejecute el comando definir sistema de configuración de destino-vsys ninguno.

Propietario: gchandrasekaran