Acerca de la Precedencia de las Políticas
La precedencia es la secuencia en la que el Firebox examina el tráfico de red y aplica una regla de política. El Firebox automáticamente ordena las políticas desde la más detallada a la más general. Compara la información en el paquete con la lista de reglas en la primera política. La primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete. Si el nivel de detalle en dos políticas es equivalente, una política de proxy siempre tiene prioridad sobre una Política de filtrado de paquetes.
Orden de políticas automático
El Firebox otorga automáticamente la precedencia más alta a las políticas más específicas, y la más baja a las menos específicas. El Firebox examina la especificidad de los criterios en la política. Si no puede determinar la precedencia con el primer criterio, pasa al siguiente y así sucesivamente. Los criterios de precedencia se examinan en el siguiente orden:
- Especificidad de la política
- Protocolos configurados para el tipo de política
- Reglas de tráfico de la lista Hasta
- Reglas de tráfico de la lista Desde
- Acción de firewall (Permitida, Negada o Negada (enviar restablecer)) aplicada a las políticas
- Cronogramas aplicados a las políticas
- Secuencia alfanumérica basada en el tipo de política
- Secuencia alfanumérica basada en el nombre de la política
Especificidad de la política y protocolos
El Firebox utiliza estos criterios en secuencia para comparar dos políticas hasta que determina que las políticas son equivalentes o que una es más detallada que la otra.
- Una política "Cualquier política" siempre tiene la precedencia más baja.
- Verificación del número de protocolos TCP 0 (cualquiera) o UDP 0 (cualquiera). La política con el menor número tiene mayor precedencia.
- Verificación del número de puertos únicos para los protocolos TCP y UDP. La política con el menor número tiene mayor precedencia.
- Suma la cantidad de puertos TCP y UDP únicos. La política con el menor número tiene mayor precedencia.
- Calificación de los protocolos según el valor del protocolo IP. La política con la menor calificación tiene mayor precedencia.
Si el Firebox no puede establecer la precedencia cuando compara la especificidad de la política y los protocolos, examina las reglas de tráfico.
Reglas de tráfico
El Firebox utiliza estos criterios en secuencia para comparar la regla de tráfico más general de una política con la regla de tráfico más general de una segunda política. Asigna mayor precedencia a la política con la regla de tráfico más detallada.
- Dirección host
- Rango de direcciones IP (menor al de la subnet con la que se compara)
- Subred
- Rango de direcciones IP (mayor al de la subnet con la que se compara)
- Nombre de usuario de autenticación
- Grupo de autenticación
- Interfaz, Firebox
- Cualquiera Externa, Cualquiera-De Confianza, Cualquiera-Opcional
- Any (Cualquiera)
Por ejemplo, compare estas dos políticas:
(HTTP-1) Desde: De confianza, user1
(HTTP-2) Desde: 10.0.0.1, Cualquiera-De Confianza
De confianza es la entrada más generalizada para HTTP-1. Cualquiera-De confianza es la entrada más generalizada para HTTP-2. Debido a que De confianza se incluye en el alias Cualquiera-De confianza, HTTP-1 es la regla de tráfico más detallada. Esto es correcto a pesar de que HTTP-2 incluye una dirección IP, porque el Firebox compara la regla de tráfico más general de una política con la regla de tráfico más general de la segunda política para establecer la precedencia.
Si el Firebox no puede establecer la precedencia cuando compara las reglas de tráfico, examina las acciones de firewall.
Acciones de firewall
El Firebox compara las acciones de firewall de dos políticas para establecer la precedencia. La precedencia de acciones de firewall de mayor a menor es:
- Negada o Negada (enviar restablecer)
- Política de proxy permitida
- Política de filtrado de paquetes permitida
Si el Firebox no puede establecer la precedencia al comparar las acciones de firewall, examina los cronogramas.
Cronogramas
El Firebox compara los cronogramas de dos políticas para establecer la precedencia. La precedencia de cronogramas de mayor a menor es:
- Siempre desactivado
- A veces activo
- Siempre activo
Si el Firebox no puede establecer la precedencia cuando compara los cronogramas, examina los tipos de políticas y los nombres.
Nombres y tipos de políticas
Si las dos políticas no coinciden en ningún otro criterio de precedencia, el Firebox ordena las políticas en secuencia alfanumérica. Primero, utiliza el tipo de política. Luego, utiliza el nombre de la política. Dado que dos políticas no pueden ser del mismo tipo y tener el mismo nombre, éste es el último criterio de precedencia.
Establecer Precedencia Manualmente
Puede cambiar al modo de orden manual y establecer la precedencia de políticas para Firebox.
Recomendamos que utilice el modo de pedido automático para establecer la precedencia de la política. Si cambia al modo de orden manual, asegúrese de probar cuidadosamente el orden de las políticas.
- Seleccione Firewall > Políticas de Firewall.
Aparece la página Políticas de Firewall. - Debajo de la lista de políticas, haga clic en Deshabilitar el modo de orden automático de la política.
Aparece un mensaje de confirmación. - Haga clic en Sí.
- Para cambiar el orden de una política, marque la casilla de selección de una política y haga clic en Mover Hacia Arriba o Mover Hacia Abajo para desplazarla hacia arriba o abajo o arrastrarla a una nueva ubicación en la Lista de Políticas.
- Haga clic en Guardar Orden de Política
Para cambiar al modo de orden manual, desde Policy Manager:
- Seleccione Ver > Modo de Orden Automático.
La marca de comprobación desaparece y se muestra un mensaje de confirmación. - Haga clic en Sí para confirmar si desea cambiar al modo de orden maula.
Cuando cambia al modo de orden manual, la ventana Policy Manager cambia a la vista Detalles. No puede cambiar el orden de políticas si se encuentra en la vista Iconos grandes. - Para cambiar el orden de una política, use uno de estos métodos:
- Seleccione una política y arrástrela a una nueva ubicación.
- Seleccione el número de orden de la política e ingrese el número de la nueva ubicación.
- Seleccione una política y haga clic en las flechas Arriba y Abajo en la barra de herramientas Orden de Política.