Innehållsförteckning:
Video: Крутейший 5 осевой ЧПУ фрезер - Pocket NC V2-50 2024
När du har konfigurerat adresser och tjänster på SRX är du redo att konfigurera säkerhetspolitiken själv. Konfigurera adresser och tjänster först tillåter definierade adresser och tjänster att användas i många policyer. På så sätt, om en adress eller tjänst ändras, måste den ändras på bara en plats för att ändra den i alla policyer.
Från SRX-perspektivet kommer trafiken alltid från en zon och går till en annan zon. Tekniskt kallas dessa zonövergångar kontekster . Kontextet är där säkerhetspolitiken tillämpas.
Du har bara två zoner (administratörer och otillförlitliga), så det finns två politikområden inom insamlingsområdet (administratörer till administratörer och otillförlitliga för att inte tro) och två interna zonpolitiska sammanhang otillräckliga för administratörer). Inte alla kommer att konfigureras här.
Konfigurera säkerhetspolicyer
Först vill du ge trafik som härrör från administratörszonens tillstånd att skicka till otillräckliga zonen:
[redigera] root # redigera säkerhetspolicyer från -zon administratörer till-zon untrust säkerhetspolitik från -zon amdins to-zone untrust] root # set policy admins-to-untrust matcha källadress någon destinationsadress någon applikation någon root # set policy admins-to-untrust sedan tillåta root # visa policy admins-to- untrust {match {source-address any; destinationsadress någon; ansökan någon;} då {permit;}}
Realistiskt kommer policyn troligen att räkna paketen och logga in sessionsinitiationerna och stänga mellan zonerna.
Det andra målet, som är att bygga en säkerhetspolitik för att tillåta viss trafik mellan värdar i administratörszonen, är lätt att göra, med hjälp av din tjänstesats:
[redigera säkerhetspolicyer från- zone admins to-zone admins] root # set policy inom zonen-trafik matcha källadressen någon destinationsadress någon applikation MYSERVICES root # set policy inom zonen trafiken tillåter sedan
Det andra kravet är nu uppfyllt. Ingen konfiguration krävs för den tredje punkten, förnekar trafik från otillbörlig tillgång till administratörer. Eftersom "neka" är standardåtgärden har SRX redan tagit hand om det.
Verifiera policyerna
Det enklaste sättet att verifiera att policyn fungerar som förväntat är att testa datatrafik. Du kan också inspektera SRX-sessionstabellen:
root # visa säkerhetsflödesession Session ID: 100001782, Policy namn: admins-to-untrust / 4, Timeout: 1796 In: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, Om: ge-0/0/0. 0 Ut: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, If: ge-0/0/2. 0 Sessions-ID: 100001790, Policy namn: admins-to-untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, Om: ge-0/0/0. 0 Ut: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, If: ge-0/0/2. 0
I den verkliga världen kommer dessa policyer att utföra loggning och räkning, men kom ihåg att det här är bara exempel.