Sicherheit Politik Grundlagen
Resolution
Sicherheit Politik Grundlagen
Inhaltsverzeichnis
- Übersicht
- Zwei Arten von Sicherheitsrichtlinien
- Sitzungen
- Topologie
- Service "Anwendung-Default"
- Schattierung von Regeln
- Sicherheits-Policies basierend auf Benutzer
- Sicherheitsrichtlinien mit koordinierten IP-Adressen
- URL-Kategorien in der Sicherheitspolitik
- Anwendungsabhängigkeiten und Anwendung Schichten
- Anwendung-Identifikation und Entschlüsselung
- Clean-Up-Regel
- Tipps zur Sicherheit
- Zugehörige Dokumente
Übersicht
Dieses Dokument beschreiben die Grundlagen von Sicherheitsrichtlinien auf der Palo Alto Networks Firewall.
Der gesamte Datenverkehr durchlaufen die Dataplane von Palo Alto Networks Firewall wird mit einer Sicherheitsrichtlinie abgeglichen. Dies beinhaltet nicht Datenverkehr aus dem Management-Interface der Firewall, weil standardmäßig dieser Verkehr nicht durch die Dataplane der Firewall geht. Sicherheitsrichtlinien auf der Firewall können anhand verschiedener Kriterien wie Zonen, Anwendungen, IP-Adressen, Ports, Benutzer und HIP-Profile definiert werden. Firewall-Administratoren können Sicherheitsrichtlinien zum zulassen oder verweigern Verkehr, definieren, beginnend mit der Zone als breite Kriterium, dann Feinabstimmung Richtlinien mit präziseren Optionen wie Häfen, Anwendungen und HIP-Profile.
Zwei Arten von Sicherheit policies
Die Firewall hat zwei Arten von Sicherheitsrichtlinien:
- Explizite Sicherheitsrichtlinien sind vom Benutzer definierte und sichtbar in CLI und Web-UI-Schnittstelle.
- Implizite Sicherheitsrichtlinien sind Regeln, die für den Benutzer per CLI-Schnittstelle oder Web-UI nicht sichtbar sind. Der folgende Abschnitt erläutert implizite Sicherheitsrichtlinien auf Palo Alto Networks Firewalls.
Implizite Sicherheitsrichtlinien
Standardmäßig die Firewall ermöglicht es implizit Intra-Zone (Ursprung und Ziel in der gleichen Zone) Verkehr und implizit bestreitet Inter-Zone (zwischen verschiedenen Zonen) Verkehr. Verkehr zugelassen oder verweigert durch implizite Richtlinien werden nicht auf der Firewall standardmäßig protokolliert, damit keine Protokolle für diesen Verkehr gefunden werden können. Von der Firewall protokolliert werden, muss der Verkehr eine explizit konfigurierten Sicherheitsrichtlinie auf die Firewall zu entsprechen. Für die Problembehandlung, kann jedoch das Standardverhalten geändert werden. Lesen Sie hier: wie Sie den Traffic von der Standard-Sicherheitspolitik in Traffic Logs sehen.
Sitzungen
Die Palo Alto Networks Firewall ist eine stattliche Firewall, was bedeutet, dass der gesamte Datenverkehr, der durch die Firewall geht, mit einer Sitzung abgestimmt wird und jede Sitzung dann mit einer Sicherheitsrichtlinie abgestimmt wird.
Eine Sitzung besteht aus zwei Bewegungen. Der Client Server Fluss (c2s Fluss) und dem Server Client fließen (s2c "Flow"). Der Endpunkt, wo Verkehr initiiert, ist immer der Kunde, und der Endpunkt, wo Daten bestimmt sind, ist der Server. Für die Definition von Sicherheitsrichtlinien, fließen nur die c2s Richtung muss betrachtet werden. Definieren Sie Richtlinien, die zulassen oder verweigern Verkehr aus der ursprünglichen Zone um die Zielzone, d. h. in Richtung c2s. Rücklauf, s2c, erfordert keine neue Regel. Die Sicherheitsevaluierung Politik auf der Firewall tritt nacheinander von oben nach unten in der Liste, so dass Verkehr passend die erste am nächsten Regel in der Liste für die Sitzung gilt.
Hier ist ein Beispiel wie man fließt in einer Sitzung von der CLI zu identifizieren:
> zeigen Sitzungs-Id 107224
Sitzung 107224
C2S Flow:
Quelle: 172.23.123.5 [Test]
DST: 172.23.123.1
Proto: 50
Sport: 37018 Dport: 37413
Status: aktive Typ: Jed
SRC-Benutzer: unbekannt
DST- User: unbekannt
S2C Flow:
Quelle: 172.23.123.1 [Test]
DST: 172.23.123.5
Proto: 50
Sport: 37750 Dport: 50073
Status: aktive Typ: Jed
SRC-Benutzer: unbekannt
DST- User: unbekannt
Topologie
In diesem Dokument gilt die folgende Topologie um Fälle von Sicherheitsrichtlinien zu verwenden:
Service "Anwendung-Default"
Im folgenden Beispiel Sicherheitsrichtlinien erlauben und verweigern von Datenverkehr, die den folgenden Kriterien entsprechen.
- Regel A: alle Anwendungen, die aus dem Vertrauen in IP-Subnetz 192.168.1.0/24 bestimmt das Sicherheitszertifikat Zone initiiert darf an einem beliebigen Quell- und Ziel-Port.
- Regel B: die Anwendungen, DNS, Web-browsing, FTP-Verkehr aus dem Trust Zone von IP 192.168.1.3 bestimmt das Sicherheitszertifikat Zone eingeleitet werden darf.
- Die Anwendungen sollten auf verwenden Sie nur an die "Anwendung-Standardports" beschränkt werden. Beispielsweise verwendet die DNS-Anwendung standardmäßig Zielport 53. So darf die DNS-Anwendung nur auf diesem Port. Mit dieser Anwendung auf die verbleibenden Zielports sollte verweigert werden.
- Regel C: alle anderen Anwendungen von 192.168.1.3 Sicherheitszertifikat Zone müssen blockiert werden.
- Regel D: sämtlicher Datenverkehr initiiert von der Unglaubwürdigkeit Zone Zonen sollten gesperrt werden.
Die Service-Spalte in der Sicherheitsrichtlinien definiert die Quell- und Zielports wo Datenverkehr zugelassen werden sollten. Die vier Optionen sind:
- Anwendung-Default: um den Datenverkehr auf den Standard-Zielports zu ermöglichen.
Weitere Informationen über die Suche nach Standard-Ziel-Ports, die von verschiedenen Anwendungen verwendet werden, finden Sie im folgenden Dokument:
Bitte sehen Sie: wie Sie Application -Standard-Ports für eine Anwendung anzeigen. - Any: um den Verkehr auf allen Quell-und Zielhäfen zu ermöglichen.
- Vordefinierte Dienste: Dienste, die bereits auf der Firewall definiert sind.
- KundenSpezifische Dienstleistungen: Admins können Dienstleistungen nach Ihren Anforderungen an die Anwendung des Ports definieren.
Das Beispiel zeigt die Regeln, die erstellt werden, um den oben genannten Kriterien entsprechen.
Wenn die oben genannten Änderungen an der Konfiguration zu begehen, werden die folgenden Schatten Warnungen angezeigt:
Als nächstes werden die Auswirkungen der Schatten Warnungen und Tipps zur Vermeidung von ihnen diskutiert.
Schattierung von Regeln
Im obigen Beispiel die IP-Adresse 192.168.1.3 gehört zur Zone Vertrauen und verliebt sich in Subnetz 192.168.1.0/24. Da die Firewall eine Sicherheit Politik Suche von oben nach unten der Fall ist, der gesamte Datenverkehr von IP 192.168.1.3 Regel A entspricht und auf der Sitzung angewendet werden. Obwohl der Verkehr auch die Kriterien der Regel B und C der Regel erfüllt, diese Regeln nicht diesen Verkehr gelten für denn Regel A Regel B und C. Regel shadowing ist
Um die Auswirkungen des shadowing zu vermeiden, sollten Regel B und Regel C Regel A voranstellen, wie unten dargestellt. Jetzt den Verkehr Spiele gegen die richtigen Regeln und "Schatten-Warnungen" während der Commit verhindert.
Sicherheits-Policies basierend auf Benutzer
Im obigen Beispiel werden Richtlinien basierend auf IP-Adressen geschrieben. Auf die gleiche Weise können LDAP-Benutzern, LDAP-Gruppen und lokal definierten Benutzer auf die Firewalls auch in den Sicherheitsrichtlinien verwendet werden. Beziehen sich auf die folgenden Dokumente für weitere Informationen zum Konfigurieren von Benutzer-ID und die Sicherheitsrichtlinien der Benutzer hinzufügen:
Hinzufügen von Gruppen zur Sicherheitspolitik
Sicherheitsrichtlinien mit NATed IP-Adressen
Dieser Abschnitt beschreibt, wie engagiert sich die Sicherheitsrichtlinien bei einer Übersetzung von IP-Adressen zu schreiben, und auch URL-Kategorien in der Sicherheitspolitik zu verwenden, um verschiedene Webseiten zu steuern.
Im folgenden Beispiel sind Sicherheitsrichtlinien definiert, um den folgenden Kriterien entsprechen:
Öffentliche IP-Adresse 192.0.2.1 im Bereich Sicherheitszertifikat ist auf private IP 10.1.1.2 von der Web-Server in der DMZ-Zone übersetzt.
- Eingehenden Datenverkehr aus dem Sicherheitszertifikat Zone an Web-Server in der DMZ-Zone 10.1.1.2 dürfen auf Port 25, 443 und 8080 nur.
- Alle Benutzer im Bereich Vertrauen müssen Zugriff auf "Erwachsenenpornographie und" Kategorie Websites in der Zone Sicherheitszertifikat verweigert werden.
- Jeder andere Datenverkehr aus dem Vertrauen der Unglaubwürdigkeit Zone dürfen.
Die folgenden Regeln zeigen die Konfiguration der oben genannten Kriterien zu erfüllen.
Alle Datenverkehr an den Webserver von der Unglaubwürdigkeit Zone haben eine Ziel öffentliche IP-Adresse des 192.0.2.1, die zur Unglaubwürdigkeit Zone gehört. Da der Verkehr aus dem Sicherheitszertifikat Zone stammt und dazu, eine IP-Adresse im Bereich Sicherheitszertifikat bestimmt, ist dieser Verkehr durch eine implizite Regel erlaubt, die gleiche Zone Datenverkehr zulässt. Nach Sicherheit Politik-Lookup die Firewall ist einen NAT-Politik-Lookup und feststellt, dass private IP 10.1.1.2, befindet sich im DMZ-Zone die öffentliche IP-Adresse des Webservers übersetzt bekommen sollte. In diesem Stadium die Firewall hat die endgültigen Bestimmungsort Zone (DMZ), aber die eigentliche Übersetzung des UZ von 192.0.2.1 10.1.1.2 noch passiert nicht. Nach der Ermittlung der Informationen über die endgültige Zielzone für den Post-NAT-Verkehr, macht die Firewall eine zweite sicherheitspolitische Suche, um eine Richtlinie zu finden, die den Verkehr, der für die endgültige Zielzone bestimmt ist, DMZ ermöglicht. So ist Regel X oben konfiguriert Post NAT Datenverkehr zulassen. Beachten Sie, dass Regel X DMZ (Post-NAT Zone) als die Zielzone und 192.0.2.1 (Pre-NAT IP) als die Ziel-IP-Adresse hat. Im obigen Beispiel ist ein Dienst "Web-Server_Ports" Ziel-Port 25, 443 und 8080 konfiguriert. Weitere Informationen finden Sie unter: wie Sie eine RichtLinie konfigurieren, um eine Reihe von Ports zu verwenden.
URL-Kategorien in der Sicherheitspolitik
Im obigen Beispiel ist Regel Y so konfiguriert, dass um Erwachsene Kategorie Webseiten mit der URL-Kategorie-Option vorhanden in den Sicherheitsrichtlinien zu blockieren. Surfen Anwendung muss in der Politik ausdrücklich erwähnt werden, bei Verwendung der Option "URL-Kategorie" in der Sicherheitsrichtlinien. Ansonsten irrelevant Verkehr mit dieser Regel zutrifft. Eine weitere Möglichkeit der Steuerung von Websites basierend auf URL-Kategorien soll URL-Filterung Profile verwenden.
Anwendungsabhängigkeiten und Anwendung Schichten
Dieser Abschnitt bespricht "Anwendung Abhängigkeit" und beschreibt, was passiert wenn die Anwendungs-Id ändert sich mitten in einer Sitzung mit der Sitzung.
Im folgenden Beispiel sind Sicherheitsrichtlinien definiert allow und deny Verkehr, die den folgenden Kriterien entsprechen.
- Anwendungen Gotomeeting darf Youtube aus dem Trust Zone Sicherheitszertifikat Zone.
- Anwendungen Facebook, Gmail-Base aus der Gast-Zone zur Unglaubwürdigkeit Zone dürfen.
- Anwendungen SSL und Web-Browsing für den Gastbenutzer Zone blockiert werden sollte.
Das Beispiel zeigt die Regeln, die erstellt werden, um den oben genannten Kriterien entsprechen.
Während begehen die Konfiguration ändert, können die folgende Anwendung Abhängigkeit Warnungen angezeigt werden.
Anwendungen wie Gotomeeting und YouTube als SSL, zunächst identifiziert werden Web-browsing und Citrix. Als weitere Pakete für diese Sitzungen die Firewall passieren, sind weitere Informationen zum Identifizieren der Anwendung zur Verfügung, um die Firewall. Die Firewall verschiebt dann die Anwendung auf die jeweiligen Anwendungen wie Gotomeeting und Youtube.
Wenn eine Anwendung Verschiebung passiert, ist die Firewall eine neue Sicherheit Politik-Suche um die nächste Regel passend die neue Anwendung zu finden. Also im obigen Fall, SSL und Web-browsing abhängige Anwendungen für Gotomeeting und YouTube aufgerufen werden, damit diese Anwendungen auch in die Sicherheitsrichtlinien dürfen. Wenn sich die Anwendung des Verkehrs in der Mitte der Sitzung ändert, dann passt ein zweiter sicherheitspolitischer Lookup dem Verkehr gegen die Sicherheitsrichtlinien, um die neue nächstgelegene Matching-Politik zu finden.
Im obigen Beispiel wird eine neue Sicherheitsrichtlinie "Abhängigkeit Apps in der Regel" erstellt, um die SSL- und Web-Surfen zu ermöglichen. YouTube-Datenverkehr zunächst entspricht dieser Regel und nach der Anwendung Wechsel stattfindet, ist eine zweite Sicherheit Politik Suche Spiele gegen Regel 10.
Seit PAN-OS 5,0 können Anwendungen für einige Protokolle erlaubt werden, ohne dass ihre Abhängigkeiten explizit erlaubt werden müssen (siehe: wie man prüft, ob eine Anwendung explizit Abhängigkeits-apps erlaubt haben muss). Im obigen Beispiel sind Facebook und Google Mail-Basis solche Anwendungen, die abhängig von SSL und Web-browsing und brauchen nicht ihre Abhängigkeit apps ausdrücklich erlaubt.
Anwendung-Identifikation und Entschlüsselung
Bestimmte Anwendungen wie Vimeo, die Verwendung von SSL und verschlüsselt sind, erkennen Sie an der Firewall ohne SSL-Entschlüsselung. Anwendungen wie YouTube, die SSL verwenden, müssen jedoch von der Firewall für ihre Identifikation entschlüsselt werden. Da SSL-Verbindungen verschlüsselt sind, muss die Firewall keinen Einblick in diesen Verkehr um ihn zu identifizieren. Die Firewall macht nutzt gemeinsame Namensfeld im Zertifikat vorhanden für Anwendung Identifikation. Dies ist im Klartext während der SSL-Handshake-Verfahren ausgetauscht.
Websites wie Vimeo der URL-Name der Website als einen gemeinsamen Namen zu verwenden und somit braucht nicht SSL-Entschlüsselung konfiguriert werden. Einige Websites wie YouTube verwenden Sie ein Zertifikat mit Platzhalter Namen als den gemeinsamen Namen. Im Fall von YouTube, es ist *. google.com. Also anhand dieser Informationen zur Identifizierung der Anwendung nicht möglich ist, und SSL-Entschlüsselung konfiguriert werden, muss um die Sichtbarkeit in der URL der Website zu erhalten. Lesen Sie das folgende Dokument zur Implementierung und Erprobung von SSL-Entschlüsselung
Aufräum Regel
Einige Umgebungen erfordern Protokollierung sämtlicher Datenverkehr verweigert und durch die Firewall erlaubt. Standardmäßig wird nur der Datenverkehr, die ausdrücklich von der Firewall zugelassen wird protokolliert. Um Verkehr zu protokollieren, die durch die Firewall impliziten Regeln zugelassen ist, finden Sie unter:
Jede/jeder/verweigern Sicherheit Regel Änderungen Standardverhalten
Gewusst wie: Verkehr von Standard Sicherheitsrichtlinien in Traffic-Logs zu sehen
Tipps zur Sicherheit
Die folgenden Kriterien wird durch die Firewall in der gleichen Reihenfolge den Verkehr gegen eine Sicherheitsrichtlinie entsprechend überprüft.
- Quell-und Zieladresse
- Quelle und Zielports
- Anwendungen
- User-ID
- URL-Kategorie
- Quell- und Zonen
Im obigen Konfigurationsbeispiel wenn die Firewall Anwendung "Surfen" auf TCP-Port 80 aus dem Vertrauen in die Unglaubwürdigkeit Zone durchläuft ein Sicherheit-Lookup in folgender Weise geschieht:
- Quelle/Ziel-Adresse - da Regel A, B und C haben "" Quelle und Ziel-Adressen, den Verkehr entspricht all diese Regeln.
- Quelle und Zielports - da Regel A, B und C haben "keine" Dienste, die Datenverkehr erfüllt all diese Regeln.
- Anwendungen - da Regel A und B "Surfen"-Anwendungen, hat der Verkehr entspricht diese Regeln.
- Benutzer-ID - entfällt hier.
- URL-Kategorie - entfällt hier.
- Quell- und Zonen - da der Verkehr zwischen Vertrauen und Sicherheitszertifikat, wird Regel A für diesen Verkehr gewählt.
Der optimale Weg Sicherheitsrichtlinien zu konfigurieren ist, minimieren Sie die Verwendung von "any" und spezifisch mit den Werten, wenn möglich. Dies reduziert unnötige Sicherheit Politik Lookups von Palo Alto Networks-Gerät durchgeführt.
Beiträge zu diesem Thema
Gibt es eine Begrenzung für die Anzahl der Sicherheitsprofile und Richtlinien pro Gerät?
Gewusst wie: ungenutzte Richtlinien auf einem Palo Alto Networks Gerät identifizieren
Wie wird Test die Sicherheitsrichtlinie für einen Verkehrsfluss gelten.
Warum sind Regeln zu leugnen Anwendungen erlauben einige Pakete?
Warum erscheint "Nicht anwendbar" in Verkehr Protokollen?
Gewusst wie: ungenutzte Richtlinien auf einem Palo Alto Networks Gerät identifizieren
Wie funktioniert Sitzung Rückkampf
Wie Anwendung-Standard in die Regelbasis Änderungen der Gegenverkehr abgestimmt ist
Gewusst wie: politische Maßnahmen planen
Verwaltung von Sicherheitsrichtlinien mit Panorama
Besitzer: Sdurga