Como configurar e verificar as políticas de segurança de gateway de serviços srx

Depois você tem endereços e serviços configurados no SRX, você está pronto para configurar a própria política de segurança. Configurando os endereços e serviços de primeira permite endereços e serviços definidos para ser usado em muitas políticas. Dessa forma, se um endereço ou serviço alterações, deve ser alterado em apenas um local, a fim de mudá-lo em todas as políticas.

Do ponto de vista SRX, o tráfego é sempre chegando de uma zona e fazendo o seu caminho para outra zona. Tecnicamente, estes cruzamentos da zona são chamados contextos. O contexto é onde as políticas de segurança são aplicadas.

Você tem apenas duas zonas (admins e untrust), Por isso há dois contextos de política intra-zona (admins para admins e untrust para untrust) e dois contextos de política inter-zona (admins para untrust e untrust para admins). Nem todos eles serão configurados aqui.

Video: Suspense: The Brighton Strangler / A Thing of Beauty / I Had an Alibi

Configurar políticas de segurança

Primeiro, você quer dar tráfego originado na admins permissão zona para passar para o untrust zona:

[Editar] políticas root # edição de segurança da zona untrust admins a zona [editar políticas de segurança da zona amdins-a zona untrust] admins-to-untrust jogo fonte endereço de política root # set qualquer destino-endereço qualquer anyroot aplicação # definir admins-a-untrust política seguida permitroot # admins-a-untrust showpolicy {match {source-address any-destino-endereço de qualquer aplicação qualquer-} depois {permit-}}

Realisticamente, a política provavelmente vai contar os pacotes e log as iniciações de sessão e fecha entre as zonas.



O segundo objetivo, que é a construção de uma política de segurança para permitir determinado tráfego entre hosts no admins zona é bastante fácil de fazer, usando o seu conjunto de serviços:

[políticas de segurança editar admins de-zone-a zona administradores] política root # set intra-zona de tráfego de jogo fonte endereço qualquer destino-addressany política MYSERVICESroot aplicação # set intra-zona de tráfego, em seguida, permitem

O segundo requisito é agora satisfeito. Nenhuma configuração é necessária para o terceiro ponto, negando o tráfego de untrust aceder a admins. Porque “negar” é a ação padrão, o SRX já cuidou disso.

Verifique as políticas

A maneira mais fácil de verificar se as políticas estão funcionando como esperado é testar o tráfego de dados. Você também pode inspecionar tabela de sessão SRX:

root # mostrar segurança sessionSession fluxo ID: 100001782, Política nome: admins-a-untrust / 4, Timeout: 1796In: 192.168.2.2/4777 → 216.52.233.201/443-tcp, Se: ge-0/0 / 0.0Out: 216.52.233.201/443 → 192.168.2.2/4777-tcp, Se: ge-0/0 / 2.0Session ID: 100001790, política de nomes: admins-a-untrust / 4, Timeout: 1800In: 192.168.2.2/4781 → 216,239 .112.126 / 80-TCP, Se: ge-0/0 / 0.0Out: 216.239.112.126/80 → 192.168.2.2/4781-tcp, Se: ge-0/0 / 2.0

No mundo real, estas políticas irão executar o log e de contagem, mas lembre-se, estes são apenas alguns exemplos.


Publicações relacionadas