Comment tester les règles de sécurité, NAT et PBF via le CLI

Vue d’ensemble

Ce document explique comment valider si une session correspond à une stratégie attendue à l'Aide des règles de sécurité de test, de traduction d'adresses (NAT) et de transfert basé sur des stratégies (PBF) via CLI.

Les arguments suivants sont toujours requis pour exécuter la stratégie de sécurité de test, la stratégie NAT et la stratégie PBF:

• source-adresse IP source
• destination-adresse IP de destination
• port de destination-spécifiez le numéro de port de destination
• Protocole-spécifiez le numéro de protocole IP attendu pour le paquet entre 1 et 255 (TCP-6, UDP-17, ICMP-1, ESP-50)

Si la valeur de L'un des arguments ci-dessus est inconnue ou n'a pas d'importance comme dans le scénario où la règle qui est censé correspondre a "any" que la valeur des champs, puis une fausse ou une valeur factice peut être entré. En outre, les zones'application', 'category', 'from'et'to'peuvent être spécifiées.

Remarque: afin de correspondre à la stratégie de sécurité attendue Lorsqu'il existe de nombreuses stratégies de sécurité configurées avec les mêmes zones source et de destination, il est recommandé de spécifier les zones source et de destination. Si les zones ne sont pas spécifiées, la commande test retourne les résultats pour les règles basées sur les zones dans lesquelles les adresses IP source et de destination n'appartiennent pas.

Détails

Test des règles de sécurité

test de sécurité-stratégie-match

+ nom de l'application

+ catégorie nom de catégorie

+ adresse IP de destination de destination

+ destination-port de destination

+ de partir de

+ protocole IP valeur du protocole

afficher toutes les règles de match potentielles

+ source source adresse IP

+ source-utilisateur source utilisateur

+ à à

  <Enter>Entrée de finition</Enter>

Exemple 1: (lorsque les valeurs des arguments requis sont connues)

test de sécurité-stratégie-match Protocol 6 de L3-Trust à L3-Untrust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application Gmail-base

Trust_Untrust {

        de L3-Trust;

        source 192.168.52.1;

        source-région any;

        à L3-Untrust;

        destination 74.125.225.69;

        Destination-région any;

        l’utilisateur y a lieu ;

        catégorie tout ;

        application/service [Gmail-base/TCP/any/80 gmail-base/TCP/any/8080 Web-navigation/TCP/any/80 Web-navigation/TCP/any/8080 Gmail-chat/TCP/any/80 Gmail-chat/TCP/any/8080 gmail-Enterprise/TCP/any/80 gmail-Enterprise/TCP/any/8080 Gmail-appel-téléphone/TCP/any/80 gmail-Call-affûter/TCP/any/8080 gmail-vidéo-chat/TCP/any/80 gmail-vidéo-chat/TCP/any/8080];        action autoriser;

}

Exemple 2: (lorsque les valeurs des arguments requis sont inconnues comme dans le scénario où la règle a «any» comme valeur de champs)

test de sécurité-stratégie-match Protocol 1 de L3-Trust à L3-Untrust source 192.168.52.1 destination 4.4.4.4 destination-port 80

Confiance. Untrust {

        de L3-Trust;

        source de tout ;

        source-région any;

        à L3-Untrust;

        destination tout ;

        Destination-région any;

        l’utilisateur y a lieu ;

        catégorie tout ;

        application/service any/any/any/any;

        action le permettent ;

}

Exemple 3: (aucun match de règle)

test de sécurité-stratégie-match Protocol 6 de L3-Trust à L3-Untrust source 192.168.52.1 destination 69.171.242.11 Destination-port 80 application Facebook-base

Aucune règle assortie

Test des règles NAT

test NAT-Policy-match

+ adresse IP de destination de destination

+ destination-port de destination

+ de partir de

+ ha-Device-ID HA active-ID de périphérique actif

+ protocole IP valeur du protocole

+ source source adresse IP

source-port source-port

+ à à

interface d'évacuation + à-interface à utiliser

  <Enter>Entrée de finition</Enter>

Exemple 1: (lorsque les valeurs des arguments requis sont connues)

test NAT-Policy-match Protocol 6 de L3-Trust à L3-Untrust source 192.168.52.1 destination 171.161.148.173 destination-port 443

Source-NAT: règle appariée: Src_NAT

192.168.52.1:0 = > 10.30.6.52:15473 (6),

Exemple 2: (lorsque les valeurs des arguments requis sont inconnues comme dans le scénario où la règle a «any» comme valeur de champs)

test NAT-Policy-match Protocol 17 de L3-Trust à L3-Untrust source 192.168.52.1 destination 69.171.242.11 Destination-port 80

Source-NAT: règle appariée: Source_NAT

192.168.52.1:0 = > 10.30.6.52:47927 (17),

Exemple 3: (aucun match de règle)

test NAT-Policy-match Protocol 6 de L3-Trust à L3-Untrust source 192.168.52.1 destination 212.58.241.131 destination-port 443

Erreur du serveur:

Test des règles PBF

test PBF-Policy-match

+ nom de l'application

+ adresse IP de destination de destination

+ destination-port de destination

+ de la zone

+ de-interface depuis l'interface

+ ha-Device-ID HA active-ID de périphérique actif

+ protocole IP valeur du protocole

+ source source adresse IP

+ source-utilisateur source utilisateur

  <Enter>Entrée de finition</Enter>

Exemple 1: (lorsque les valeurs des arguments requis sont connues)

test PBF-Policy-match Protocol 6 de L3-Trust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application Web-navigation

PBF

        de L3-Trust;

        source 192.168.52.1;

        destination 74.125.225.69;

        l’utilisateur y a lieu ;

        application/service Web-navigation/any/any/any;

        action vers l’avant ;

        transfert-évacuation-IF/VSYS ethernet1/3 ;

        saut suivant 0.0.0.0.

}

Exemple 2: (lorsque les valeurs des arguments requis sont inconnues comme dans le scénario où la règle a «any» comme valeur de champs)

test PBF-Policy-match Protocol 6 de L3-Trust source 192.168.52.1 destination 171.161.148.173 destination-port 80

"PBF any" {

        de L3-Trust;

        source de tout ;

        destination tout ;

        l’utilisateur y a lieu ;

        application/service any/any/any/any;

        action vers l’avant ;

        transfert-évacuation-IF/VSYS ethernet1/3 ;

        saut suivant 0.0.0.0.

}

Exemple 3: (aucun match de règle)

test PBF-Policy-match Protocol 17 de L3-Trust source 192.168.52.1 destination 69.171.242.11 Destination-port 80

Erreur du serveur: erreur d'exécution de la recherche de stratégie

Environnement multi-VSys

Pour tester les commandes ci-dessus dans un environnement multi-VSys, changez d'abord le contexte de ce VSys particulier à l'Aide de la commande Set System Setting Target-VSys <vsys>sur le CLI.</vsys> Ensuite, exécutez le test:

admin @ PA-5050 vsys2 (passive) > test de sécurité-Policy-match de vsys2_trust à vsys2_untrust destination-port 80 Protocol 6 source 1.1.1.1 destination 2.2.2.2

Temp

        de n’importe lequel ;

        source de tout ;

        source-région aucune ;

        à tout ;

        destination tout ;

        Destination-région aucune ;

        l’utilisateur y a lieu ;

        catégorie tout ;

        application/service tout/tout/toute/toutes ;

        action le permettent ;

        Oui terminal ;

}

Pour revenir au paramètre par défaut, exécutez la commande Set System Setting Target-VSys None .

propriétaire : gchandrasekaran