Wie Multiple-Sicherheitsrichtlinien auf SRX-Services-Gateway zu verwalten

Wenn die SRX nur Schnittstellen zu den Zonen zuordnen konnte und damit bestimmte Dienste in und aus, würde es ihm nicht viel. Aber der SRX ist viel mächtiger. Nachdem Sie Zonen und Schnittstellen einrichten, können Sie die reale Macht des SRX anzapfen: die Sicherheitsrichtlinien selbst.

Ohne Sicherheitsrichtlinien, die alle die SRX tun können, ist Schnittstelle Zonen erstellen und bestimmte Dienste herauszufiltern. Sicherheitsrichtlinien können Sie die Details zu konfigurieren, was ist und nicht durch die SRX erlaubt.

Mehrere Sicherheitsrichtlinien

Große SRXs können Hunderte oder sogar Tausende von Politik haben, weil Politik immer komplexer geworden, da sie versuchen und zu tun zu viel. So können Sie mehrere Richtlinien haben, die für den Verkehr angewendet werden, basieren alle auf Quell- und Zielzone. Die Richtlinien werden nacheinander aufgetragen, bis eine Aktion bestimmt wird. Der endgültige Standard, natürlich, ist es, den Verkehr zu leugnen und das Paket verwerfen.

Die Ausnahme von der Standardregel verweigern ist Verkehr auf der fxp0 Management-Schnittstelle, die zu allen Zeiten Verwaltung des SRX möglich macht (auch wenn Konfigurationen gehen drunter und drüber), und ermöglicht diesen Verkehr ist ein kleines Risiko, weil außerhalb Benutzerverkehr auf dieser Schnittstelle nie angezeigt.

bild0.jpg

Alle SRX Sicherheitsrichtlinien folgen eine IF-THEN-ELSE-Algorithmus. Wenn der Verkehr X eine Regel übereinstimmt, wird dann auf Aktion Y durchgeführt wird, da sonst die Default Deny (drop) angewendet wird.

Der IF-Teil der Politik untersucht fünf Aspekte von Paketen für ein Spiel zu testen:

  • Die vordefinierte oder konfiguriert Source-Zone des Verkehrs kontrolliert

  • Die vordefinierte oder Zielzone konfiguriert, wo der Verkehr geleitet wird

  • Die Quell-IP-Adresse oder den Inhalt eines Adressbuchs, des Verkehrs

  • Die Zieladresse oder den Inhalt eines Adressbuchs, wo der Verkehr geleitet wird

  • Die vordefinierte oder konfiguriert Anwendung oder einen Dienst zu dürfen, oder verweigert

Wenn ein ankommendes Paket alle fünf voreingestellte oder projektierte Parameter im ZF-Teil der Richtlinie übereinstimmt, wird eine dieser Aktionen angewandt:

  • Verweigern: Das Paket wird stillschweigend verworfen.

  • Ablehnen: Das Paket wird fallen gelassen, und ein TCP-Rest wird an den Absender geschickt.

  • Erlauben: Das Paket wird durchgelassen.

  • Log: Der SRX erstellt ein Protokolleintrag für das Paket.

  • Graf: Das Paket wird als Teil des SRX Rechnungslegungsprozess gezählt.

Wenn eine Aktion auf ein Paket angewandt wird, wird die Richtlinie Kette beendet. So zählt Politik Ordnung! Im Allgemeinen konfigurieren Sie die meisten spezifischen Regeln an der Spitze der Kette und allgemeineren Politik an der Unterseite. Andernfalls eine Politik könnte die beabsichtigte Wirkung einer anderen Maske.

Nun wird ein Beispiel Politik zu den Sicherheitszonen hinzufügen Sie haben bereits konfiguriert. Hier ist, was Sie die Politik zu tun:

  • Erlauben Sie keinen Verkehr von beliebigen Hosts in der admins Zone zu jedem Ziel in der untrust Zone.

  • Erlauben Sie bestimmten Datenverkehr von beliebigen Hosts in der admins Zone zu irgendeinem anderen Host in der gleichen Zone.

  • Deny keinen Verkehr von der untrust Zone zum admins Zone.

Ähnliche

Menü