Como gerenciar várias políticas de segurança em gateway de serviços srx

Se o SRX só poderia atribuir interfaces para zonas e permitir que determinados serviços dentro e fora, não haveria muito a ele. Mas o SRX é muito mais poderoso. Depois de ter zonas e interfaces configurado, você pode explorar o poder real do SRX: as políticas de segurança próprios.

Sem políticas de segurança, todo o SRX poderia fazer é criar zonas de interface e filtrar determinados serviços. políticas de segurança permitem que você configure os detalhes do que é e não é permitido através do SRX.

políticas de segurança múltiplas

Grandes SRXs pode ter centenas ou mesmo milhares de políticas, porque as políticas tornam-se mais e mais complexo como eles tentam fazer muito. Assim, você pode ter várias políticas que são aplicadas ao tráfego, todos baseados na fonte e zona de destino. As políticas são aplicados um após outro, até uma acção é determinado. O padrão final, é claro, é negar o tráfego e descartar o pacote.

A exceção para o padrão negar regra é o tráfego na fxp0 interface de gerenciamento, o que torna a gestão do SRX possível em todos os momentos (mesmo quando as configurações derem errado), e permitindo que este tráfego é um pequeno risco, porque o tráfego de usuários fora nunca aparece nesta interface.

Todas as políticas de segurança SRX seguir um algoritmo IF-THEN-ELSE. Se o tráfego X corresponde alguma regra, então a ação Y é realizado, então a negação padrão (drop) é aplicada.

A parte SE da política examina cinco aspectos de pacotes para testar para uma partida:

  • A zona de fonte pré-definido ou configurado do tráfego inspeccionado

  • A zona de destino predefinido ou configurado em que o tráfego é dirigido

  • O endereço IP de origem ou de livro de endereços conteúdos, do tráfego

  • O endereço de destino ou endereço de conteúdo do livro, onde o tráfego é dirigido



  • A aplicação ou serviço predefinido ou configurado para ser autorizado ou negado

Quando um pacote de entrada corresponde a todos os parâmetros padrão de cinco ou configurados na parte SE da política, uma destas acções é aplicada:

  • Negar: O pacote é silenciosamente descartado.

  • Rejeitar: O pacote é descartado, e um TCP-Rest é enviado para o remetente.

  • Permitir: O pacote é permitido passar.

  • Registro: O SRX cria uma entrada de registo para o pacote.

    Video: Cómo el Estado lleva a la gente a su propia destrucción | Robert Higgs

  • Contagem: O pacote é contado como parte do processo de contabilidade SRX.

Quando uma acção é aplicada a um pacote, a cadeia é terminada política. Assim, as contagens de ordem política! Geralmente, você configurar as regras mais específicas no topo da cadeia e políticas mais genéricas na parte inferior. Caso contrário, uma política pode mascarar o efeito pretendido de outro.

Agora, adicione uma política exemplo para as zonas de segurança que você já configurados. Aqui está o que você deseja que a política de fazer:

  • Permitir que qualquer tráfego de qualquer host no admins zona para qualquer destino no untrust zona.

  • Permitir determinado tráfego de quaisquer hosts na admins zona com qualquer outro hospedeiro na mesma zona.

  • Negar qualquer tráfego do untrust zona para o admins zona.


Publicações relacionadas
As questões de segurança você deve saber sobre começar um trabalho em rede
Como personalizar as regras de firewall do servidor leão
Sua zona de resistência paisagismo
Ssh controle e acesso telnet para routers junos
Acções jogo políticas de roteamento padrão em junos
Como aplicar políticas de roteamento com um protocolo usando junos
Como aplicar uma política de roteamento para todo o tráfego usando junos
Como configurar os livros de endereços no gateway de serviços srx
Como configurar e verificar as políticas de segurança de gateway de serviços srx
Como configurar nat em um srx junos
Como projetar um filtro de firewall junos
Como excluir tráfego de nat em um srx junos
Como coincidir com o tráfego com base usando classificadores com diversos campos em junos
Por que você não pode criar políticas de importação de ospf
Protegendo uma rede cisco
Access control lists (acls) estendidas
Como configurar zonas de segurança srx com junos
Opções nat tradução de endereço de fonte em junos
Peças necessárias de uma configuração cos
Entenda serviços srx processamento de fluxo de passagem