Como configurar e verificar políticas de segurança em Serviços SRX gateway
Depois você tem endereços e serviços configurados no SRX, você está pronto para configurar a própria política de segurança. Configurando os endereços e serviços de primeira permite endereços e serviços definidos para ser usado em muitas políticas. Dessa forma, se um endereço ou serviço alterações, deve ser alterado em apenas um local, a fim de mudá-lo em todas as políticas.
Do ponto de vista SRX, o tráfego é sempre chegando de uma zona e fazendo o seu caminho para outra zona. Tecnicamente, estes cruzamentos da zona são chamados contextos. O contexto é o lugar onde as políticas de segurança são aplicadas.
Você tem apenas duas zonas (admins e untrust), Por isso há dois contextos de política intra-zona (admins para admins e untrust para untrust) e dois contextos políticos inter-zona (admins para untrust e untrust para admins). Nem todos eles serão configurados aqui.
Configurar políticas de segurança
Em primeiro lugar, você quer dar tráfego originado na admins permissão zona para passar para o untrust zona:
[Editar] políticas root # edição de segurança a partir da zona do Untrust admins a zona [editar políticas de segurança da zona amdins-to zona untrust] admins-to-untrust jogo fonte endereço de política root # set qualquer destino-endereço qualquer anyroot aplicação # definir admins-a-untrust política seguida permitroot # admins-a-untrust showpolicy {match {source-address any-destino-endereço de qualquer aplicação any-}, em seguida, {permit-}}
Realisticamente, a política provavelmente vai contar os pacotes e log as iniciações de sessão e fecha entre as zonas.
O segundo objetivo, que é a construção de uma política de segurança para permitir determinado tráfego entre hosts no admins zona é bastante fácil de fazer, usando o seu conjunto de serviços:
[políticas de segurança editar admins de-zone-a zona administradores] política de root # set intra-zona de tráfego jogo fonte endereço qualquer destino-addressany política MYSERVICESroot aplicação # set intra-zona de tráfego, em seguida, permitem
O segundo requisito é agora satisfeito. Nenhuma configuração é necessária para o terceiro ponto, negando o tráfego de untrust aceder a admins. Porque # 147 negar # 148- é a ação padrão, o SRX já cuidou disso.
Verifique as políticas
A maneira mais fácil de verificar se as políticas estão funcionando como esperado é testar o tráfego de dados. Você também pode inspecionar a tabela de sessão SRX:
root # mostrar segurança sessionSession fluxo ID: 100001782, Política nome: admins-a-Untrust / 4, Limite: 1796In: 192.168.2.2/4777~~number=plural - 216.52.233.201/443-tcp, Se: ge-0/0 / 0.0Out: 216.52.233.201/443 - 192.168.2.2/4777-tcp, Se: ge-0/0 / 2.0Session ID: 100001790, Política nome: admins-a-untrust / 4, Limite: 1800In: 192.168.2.2/4781 - 216,239 .112.126 / 80-tcp, Se: ge-0/0 / 0.0Out: 216.239.112.126/80 - 192.168.2.2/4781-tcp, Se: ge-0/0 / 2,0
No mundo real, estas políticas irão realizar o registro e contagem, mas lembre-se, estes são apenas alguns exemplos.