Como gerenciar várias políticas de segurança em Serviços SRX gateway

Se o SRX só poderia atribuir interfaces para zonas e permitir que determinados serviços dentro e fora, não haveria muito a ele. Mas o SRX é muito mais potente. Depois de ter zonas e interfaces de configuração, você pode explorar o poder real do SRX: as políticas de segurança próprios.

Sem políticas de segurança, todo o SRX poderia fazer é criar zonas de interface e filtrar determinados serviços. políticas de segurança permitem que você configure os detalhes do que é e não é permitido através do SRX.

políticas de segurança múltiplas

Grandes SRXs pode ter centenas ou mesmo milhares de políticas, porque as políticas tornam-se cada vez mais complexa à medida que tentar e fazer muito. Assim, você pode ter várias políticas que são aplicadas ao tráfego, todas baseadas em origem e zona de destino. As políticas são aplicadas uma após a outra até que uma ação é determinada. O padrão final, é claro, é para negar o tráfego e descartar o pacote.

A exceção para o padrão negar regra é o tráfego na fxp0 interface de gerenciamento, o que torna a gestão do SRX possível em todos os momentos (mesmo quando as configurações derem errado), e permitindo que este tráfego é um pequeno risco, porque o tráfego de usuários fora nunca aparece nesta interface.

image0.jpg

Todas as políticas de segurança SRX siga um algoritmo IF-THEN-ELSE. Se o tráfego X corresponde alguma regra, então a ação Y é realizado, então a negar por padrão (drop) é aplicada.

A parte SE da política examina cinco aspectos de pacotes para testar para uma partida:

  • A zona de origem pré-definido ou configurado do tráfego inspeccionado

  • A zona de destino pré-definido ou configurado onde o tráfego é dirigido

  • O endereço IP de origem ou de livro de endereços conteúdos, do tráfego

  • O endereço de destino ou endereço conteúdo do livro, onde o tráfego é dirigido

  • A aplicação ou serviço pré-definido ou configurado para ser permitido ou negado

Quando um pacote de entrada corresponde a todos os parâmetros de cinco padrão ou configurados na parte SE da política, uma dessas ações é aplicado:

  • Negar: O pacote é descartado silenciosamente.

  • Rejeitar: O pacote é descartado e um TCP-Rest é enviado para o remetente.

  • Permitir: O pacote é permitido passar.

  • Registro: O SRX cria uma entrada de registo para o pacote.

  • Contagem: O pacote é contado como parte do processo de contabilidade SRX.

Quando uma acção é aplicada a um pacote, a cadeia é terminada política. Assim, a contagem de ordem política! Geralmente, você configurar as regras mais específicas no topo da cadeia e políticas mais genéricas na parte inferior. Caso contrário, uma política pode mascarar o efeito pretendido de outro.

Agora, adicione uma política exemplo para as zonas de segurança que você já configurados. Aqui está o que você deseja que a política de fazer:

  • Permitir que qualquer tráfego de qualquer host no admins zona para qualquer destino no untrust zona.

  • Permitir determinado tráfego de quaisquer hosts na admins zona a qualquer outro host na mesma zona.

  • Negar qualquer tráfego do untrust zona para o admins zona.

Semelhante

menu