Innehållsförteckning:
Video: Kom igång med ditt underhållssystem 12: Lägga till nya användare till ditt system 2024
Om SRX bara skulle kunna tilldela gränssnitt till zoner och tillåta vissa tjänster in och ut, skulle det inte vara mycket för det. Men SRX är mycket kraftfullare. När du har upprättat zoner och gränssnitt kan du använda SRX: s riktiga kraft: säkerhetspolicyerna själva.
Utan säkerhetspolicy kan allt SRX göra är att skapa gränssnittszoner och skärpa vissa tjänster. Säkerhetspolicy gör att du kan konfigurera detaljerna för vad som är och inte tillåts via SRX.
Flera säkerhetspolicyer
Stora SRX kan ha hundratals eller till och med tusentals politik, eftersom politiken blir mer och mer komplex som de försöker göra för mycket. Så, du kan ha flera policyer som tillämpas på trafik, allt baserat på källa och destinationszon. Policyn tillämpas efter varandra tills en åtgärd är bestämd. Den slutliga standarden är förstås att neka trafiken och kasta paketet.
Undantaget till standardavvisningsregeln är trafik på fxp0-hanteringsgränssnittet, vilket gör det möjligt att hantera SRX hela tiden (även när konfigurationerna går till höger) och tillåter denna trafik en liten risk eftersom den externa användartrafiken aldrig visas på det här gränssnittet.
Alla SRX-säkerhetspolicyer följer en IF-THEN-ELSE-algoritm. Om trafiken X matchar någon regel, utförs ÅTGÄRD Y, ELSE används standardförneka (drop).
IF-delen av policyn granskar fem aspekter av paket för att testa för en match:
-
Den fördefinierade eller konfigurerade källzonen för trafiken inspekterad
-
Den fördefinierade eller konfigurerade destinationszonen där trafiken är på väg
-
Källans IP-adress eller adressbokens innehåll, av trafiken
-
Destinationsadressen eller adressbokens innehåll, där trafiken är på väg
-
Den fördefinierade eller konfigurerade applikationen eller tjänsten som ska tillåtas eller nekad
När ett inkommande paket matchar alla fem standard eller konfigurerade parametrar i IF-delen av policyen tillämpas en av följande åtgärder:
-
Förneka: Paketet tappas tyst.
-
Avvisa: Paketet tappas och en TCP-vila skickas till upphovsmannen.
-
Tillstånd: Paketet får passera.
-
Log: SRX skapar en loggpost för paketet.
-
Räkning: Paketet räknas som en del av SRX-bokföringsprocessen.
När en åtgärd tillämpas på ett paket, avslutas policykedjan. Så politisk ordning räknas! Vanligtvis konfigurerar du de mest specifika reglerna längst upp i kedjan och mer generella riktlinjer längst ner.Annars kan en policy maskera den avsedda effekten av en annan.
Lägg nu till en exempelpolitik i de säkerhetszoner du redan har konfigurerat. Här är vad du vill att politiken ska göra:
-
Tillåt all trafik från alla värdar i administratörszonen till någon destination i otillräckliga zonen.
-
Tillåt viss trafik från alla värdar i administratörszonen till någon annan värd i samma zon.
-
Förneka all trafik från otillbörlig zon till administratörszonen.