So konfigurieren und Sicherheitsrichtlinien auf SRX Services Gateway Stellen Sie sicher,
Nachdem Sie konfigurierten Adressen und Dienste auf dem SRX haben, sind Sie bereit, die Sicherheitspolitik selbst zu konfigurieren. Konfigurieren der Adressen und Dienste zunächst erlaubt definierten Adressen und Dienstleistungen in vielen Richtlinien verwendet werden. Auf diese Weise, wenn eine Adresse oder eine Dienstleistung ändert, muss es nur an einem Ort, um es zu ändern, in allen Politikbereichen geändert werden.
Aus der SRX Perspektive wird der Verkehr immer von einer Zone ankommen und seinen Weg in eine andere Zone. Technisch sind diese Zone Kreuzungen genannt Kontexte. Der Kontext ist, wo die Sicherheitsrichtlinien angewendet werden.
Sie haben nur zwei Zonen (admins und untrust), So gibt es zwei zoneninterne politischen Kontexten (admins nach admins und untrust nach untrust) Und zwei Interzonen politischen Kontexten (admins nach untrust und untrust nach admins). Nicht alle von ihnen werden hier konfiguriert werden.
Konfigurieren von Sicherheitsrichtlinien
Erstens wollen Sie den Verkehr mit Ursprung auf das zu geben, admins Zone die Erlaubnis, die passieren untrust Zone:
[Edit] root # bearbeiten Sicherheitsrichtlinien von Zone Admins-Zone untrust [Bearbeiten Sicherheitsrichtlinien von Zone amdins to-Zone untrust] root # Set Politik admins-to-untrust Spiel Quelle-Adresse jedes Ziel-Adresse für jede Anwendung anyroot # Politik admins-to-untrust dann permitroot # showpolicy admins-to-untrust gesetzt {Spiel {source-Adresse any-Ziel-Adresse any-Anwendung Anywhere-} dann {zuläs-}}Realistisch betrachtet, wird die Politik wahrscheinlich die Pakete zu zählen und die Session-Einweihungen anmelden und schließt zwischen den Zonen.
Das zweite Ziel, das ist eine Sicherheitsrichtlinie zu bauen bestimmten Datenverkehr zwischen Hosts in zu ermöglichen, admins Zone ist einfach genug zu tun, mit Ihrem Service-Set:
[Bearbeiten Sicherheitsrichtlinien von Zone Admins-Zone Admins] root # set Politik intra-zone-Verkehr Spiel Quelle-Adresse jedes Ziel-addressany Anwendung MYSERVICESroot # set Politik intra-Zone-Verkehr dann erlauben
Die zweite Voraussetzung ist jetzt zufrieden. Es ist keine Konfiguration für den dritten Punkt erforderlich ist, zu leugnen, Verkehr von untrust Zugriff auf admins. weil # 147-verweigern # 148- ist die Standardaktion hat die SRX bereits Sorge, dass genommen.
Überprüfen Sie die Richtlinien
Der einfachste Weg, um sicherzustellen, dass die Politik, wie erwartet arbeiten, ist Datenverkehr zu testen. Sie können auch die SRX Sitzungstabelle überprüfen:
root # zeigen Sicherheitsfluss sessionSession ID: 100001782, Name der Richtlinie: admins-to-untrust / 4, Timeout: 1796In: 192.168.2.2/4777 - 216.52.233.201/443-tcp, If: ge-0/0 / 0.0Out: 216.52.233.201/443 - 192.168.2.2/4777-tcp, If: ge-0/0 / 2.0Session ID: 100001790, Name der Richtlinie: admins-to-untrust / 4, Timeout: 1800In: 192.168.2.2/4781 - 216,239 .112.126 / 80-tcp, If: ge-0/0 / 0.0Out: 216.239.112.126/80 - 192.168.2.2/4781-tcp, If: ge-0/0 / 2.0
In der realen Welt wird führen diese Richtlinien Protokollierung und Zählen, aber denken Sie daran, dies sind nur einige Beispiele.