Benutzer-Werkzeuge

Webseiten-Werkzeuge


policiesmitov

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

policiesmitov [2017/08/14 10:15]
michael-neesen angelegt
policiesmitov [2017/08/14 10:30] (aktuell)
michael-neesen
Zeile 12: Zeile 12:
 Zusätzlich kann bei OmniVista noch Logging für die Policies konfiguriert werden. Dies gibt einen Überblick, wann die Policy greift und welcher Traffic von dieser Policy betroffen ist. Zusätzlich kann bei OmniVista noch Logging für die Policies konfiguriert werden. Dies gibt einen Überblick, wann die Policy greift und welcher Traffic von dieser Policy betroffen ist.
  
-<WRAP center round tip 60%> +<WRAP center round important ​60%> 
-Wichtig: Policies müssen ​ bei bidirektionalem Verkehr auch bidirektional angegeben werden. Soll eine HTTPS-Anfrage von A nach B erlaubt werden, muss auch der HTTPS-Port von B nach A freigegeben werden.+Wichtig: ​OmniVista unterstützt keine Stateful-Policies. ​Policies müssen ​ bei bidirektionalem Verkehr auch bidirektional angegeben werden. Soll eine HTTPS-Anfrage von A nach B erlaubt werden, muss auch der HTTPS-Port von B nach A freigegeben werden.
 </​WRAP>​ </​WRAP>​
  
 +Ein Beispiel wird im folgenden erklärt:
 +Das Menü für Policies befindet sich unter '​Unified Access -> Unified Policy'​
 +Als erstes ist der Name für die Policy zu setzen. Unter 'Show Advanced Options'​ kann das Logging eingeschaltet werden.
 +Im nächsten Schritt wird die Policy Condition festgelegt. Alle Eigenschaften der Policy Condition müssen erfüllt sein. Andernfalls wird die Policy nicht aktiviert.
  
 +Für eine HTTPS-Kommunikation müssen also zwei Polices angelegt werden:
 +  * Eine für den Weg zum Server
  
 +{{ :​https1.png?​direct |}}
  
 +Hier ist der Ziel-Port der HTTPS-Port und die Ziel-IP-Adresse der Server.
 +  * Eine für den Weg vom Server zurück
 +
 +{{:​https2.png?​direct | }}
 +
 +Hier ist der Quell-Port der HTTPS-Port und die Quell-IP-Adresse der Server.
 +
 +Die Policy Acction ist in diesem Fall '​ACCEPT'​.
 +
 +In der Configuration findet sich nun nach dem Ausrollen der Policy folgende Konfiguration:​
 +
 +<​code>​
 +
 +-> show configuration snapshot qos
 +
 +! QOS:
 +qos log level 8
 +
 +policy condition LAN1-to-LAN2-https-2Condition from ldap source ip 192.168.200.0 mask 255.255.255.0 destination ip 192.168.2.0 mask 255.255.255.0 ip-protocol 6 destination ip-port 443-443
 +policy condition LAN1-to-LAN2-httpsCondition from ldap source ip 192.168.200.0 mask 255.255.255.0 destination ip 192.168.2.0 mask 255.255.255.0 ip-protocol 6 source ip-port 443-443
 +
 +policy action LAN1-to-LAN2-https-2Action from ldap
 +policy action LAN1-to-LAN2-httpsAction from ldap
 +
 +policy validity-period AllTheTime from ldap days sunday monday tuesday wednesday thursday friday saturday months january february march april may june july august september october november december
 +
 +policy rule LAN1-to-LAN2-https-2 from ldap precedence 30008 condition LAN1-to-LAN2-https-2Condition action LAN1-to-LAN2-https-2Action validity-period AllTheTime
 +
 +policy rule LAN1-to-LAN2-https from ldap precedence 30002 condition LAN1-to-LAN2-httpsCondition action LAN1-to-LAN2-httpsAction validity-period AllTheTime
 +
 +qos apply
 +</​code>​
 +
 +<WRAP center round tip 60%>
 +
 +Aus der Konfiguration ist durch den Zusatz 'from ldap' ersichtlich,​ dass die Konfiguration über OmniVista durchgeführt wurde. Diese Policies sind NICHT über die Konsole zu ändern. Dies muss vom OmniVista aus passieren.
 +</​WRAP>​
policiesmitov.txt · Zuletzt geändert: 2017/08/14 10:30 von michael-neesen