Comment gérer les politiques de sécurité sur plusieurs srx passerelle de services
Si le SRX ne pouvait assigner des interfaces vers les zones et permettre à certains services dans et hors, il n'y aurait pas beaucoup à elle. Mais le SRX est beaucoup plus puissant. Après vous avez les zones et les interfaces mis en place, vous pouvez puiser dans la puissance réelle de la SRX: les politiques de sécurité eux-mêmes.
Sans les politiques de sécurité, tout le SRX pourrait faire est de créer des zones d'interface et l'écran de certains services. Les politiques de sécurité vous permettent de configurer les détails de ce qui est et ne sont pas autorisés par la SRX.
Plusieurs stratégies de sécurité
Grandes SRXs peuvent avoir des centaines ou même des milliers de politiques, parce que les politiques deviennent de plus en plus complexe, car ils essaient de faire trop. Ainsi, vous pouvez avoir plusieurs stratégies qui sont appliquées à la circulation, le tout basé sur la source et la zone de destination. Les politiques sont appliquées un après l'autre jusqu'à ce qu'une action est déterminée. La valeur par défaut finale, bien sûr, est de nier le trafic et jeter le paquet.
L'exception à la règle de refus par défaut est le trafic sur le fxp0 interface de gestion, ce qui rend la gestion de la SRX possible à tout moment (même lorsque configurations se détraquer), et permettant ce trafic est un faible risque parce que le trafic utilisateur en dehors jamais apparaît sur cette interface.
Toutes les politiques de sécurité de SRX suivent un algorithme IF-THEN-ELSE. Si le trafic X correspond à une règle, alors l'action Y est effectuée, sinon le refus par défaut (baisse) est appliquée.
La partie SI de la politique examine cinq aspects de paquets pour tester un match:
La zone source prédéfinie ou configurée du trafic inspecté
La zone de destination prédéfinie ou configurée où le trafic est dirigé
Les adresses IP source, ou le carnet d'adresses, le contenu du trafic
L'adresse de destination, ou l'adresse contenu du livre, où le trafic est dirigé
L'application ou service prédéfini ou configuré pour être autorisés ou refusés
Quand un paquet entrant correspond à tous les paramètres de cinq par défaut ou configurés dans la partie SI de la politique, l'une de ces actions est appliquée:
Refuser: Le paquet est détruit.
Rejeter: Le paquet est abandonné, et un réseau TCP-Rest est envoyé à l'expéditeur.
Permis: Le paquet est autorisé à passer.
Connectez-vous: Le SRX crée une entrée de journal pour le paquet.
Count: Le paquet est considéré comme faisant partie du processus de la comptabilité de SRX.
Lorsqu'une action est appliquée à un paquet, la chaîne de politique est interrompue. Alors commandez politique compte! Généralement, vous configurez les règles les plus spécifiques en haut de la chaîne et des politiques plus génériques au fond. Sinon, on peut masquer la politique l'effet escompté d'une autre.
Maintenant, ajouter un exemple de politique pour les zones de sécurité que vous avez déjà configuré. Voici ce que vous voulez faire de la politique:
Permettre à tout le trafic de tous les hôtes dans le admins zone à toute destination dans le untrust zone.
Permettre un certain trafic de tous les hôtes dans le admins zone à un autre hôte dans la même zone.
Refuser tout le trafic de la untrust à la zone admins zone.
-
Configurer les interfaces de gestion et de bouclage - Ssh de contrôle et l'accès Telnet aux routeurs Junos
- Actions match de la politique de routage par défaut dans junos
- Diviser un réseau est-est dans des zones
- Comment appliquer une politique de routage à toute circulation en utilisant Junos
- Comment appliquer des politiques de routage à un protocole utilisant Junos
Comment classer le trafic entrant sur les routeurs utilisant cos Junos Si votre routeur va examiner les paquets pour savoir si ils sont passagers de première classe ou de passagers en classe économique régulière, vous devez savoir où dans le paquet cette information est stockée. Il ya deux façons fondamentales…
Comment configurer et vérifier les politiques de sécurité sur srx passerelle de services Après vous avez les adresses et les services configurés sur le SRX, vous êtes prêt à configurer la politique de sécurité lui-même. Configuration des adresses et des services permet d'abord les adresses et les services définis à être…
Comment configurer des carnets d'adresses sur srx passerelle de services Si le SRX ne pouvait assigner des interfaces vers les zones et permettre à certains services dans et hors, il n'y aurait pas beaucoup à elle. Mais le SRX est beaucoup plus puissant. Après vous avez les zones et les interfaces mis en place, vous…
Comment configurer NAT sur un srx junos NAT peut traduire les adresses de différentes manières. Vous pouvez configurer des règles à appliquer à la circulation pour voir quel genre de NAT doit être utilisé dans un cas particulier. Vous pouvez configurer le SRX pour effectuer les…
Comment configurer le routage termes de politique dans junos Les blocs de construction qui composent politiques de routage sont appelés Conditions. Chaque terme contient conditions de match, une série de “ si ” déclarations qui sont comparés aux lignes considérées. Les conditions de match sont…
Comment configurer des zones de sécurité SRX avec junos Vous ne pouvez pas gérer la passerelle de services SRX comme vous le feriez un routeur. Le SRX est un dispositif verrouillé. Vous pouvez même pas cingler une interface sur le SRX d'abord, même si elle dispose d'une adresse IP valide. Le SRX…
Comment exclure le trafic provenant nat sur une srx junos Après avoir configuré les services SRX NAT en utilisant soit l'interface de sortie ou de la méthode de la piscine, vous pouvez créer une règle pour exclure certains trafics du processus NAT. Cette configuration peut être fait pour permettre à…
Comment faire correspondre le trafic en fonction en utilisant des classificateurs multichamps dans junos Multifield (MF) classificateurs examiner l'en-tête du paquet et sur la base des contenus qui y sont, attribuer le paquet à une classe de transfert. Contrairement comportement global (BA) classificateurs, classificateurs MF examinent plus que les…
Comment mettre en place dans la bande de gestion à distance sur les appareils Junos Pour la gestion à distance dans la bande, vous devez d'abord décider quelle interface vous voulez que votre interface de gestion. Généralement, le trafic de gestion ne soit pas excessive, ou même substantielle, donc choisir l'une des interfaces…
Comment mettre en place la gestion à distance out-of-band sur les appareils Junos Out-of-band est géré grâce à des interfaces de gestion spéciales sur les dispositifs Juniper Networks. Ces interfaces sont des interfaces Fast Ethernet situés à l'avant de tous les dispositifs de Juniper Networks. Ils sont conçus afin que le…
Nat adresse source options de traduction dans junos Les services de sécurité ne sont pas les seuls services fournis par le SRX (bien que les services de sécurité sont les plus vitale). Vous pouvez configurer d'autres services, tels que la traduction d'adresse source NAT, aussi bien. En substance,…
Pièces nécessaires d'une configuration cos Classe de service (CoS) est de savoir comment vous contrôlez la gigue et le retard dans votre réseau. L'idée de base derrière CoS est que vous examinez le trafic entrant dans votre réseau pour déterminer quel type de trafic, il est. Une fois…
Examen du processus de routage Procédé de calcul d'itinéraire commence par un ordinateur source qui rend la première décision dans les étapes de routage, qui est illustré ci-dessous. Non représenté sur la figure est la voie implicite que chaque routeur aurait pour tous…
Comment personnaliser les règles de pare-feu de serveur de lion Si vous voulez entrer dans le territoire profond pare-feu configuration, vous pouvez utiliser l'onglet Avancé des réglages du pare-feu dans Lion Server pour créer vos propres règles qui décrivent ce qu'il faut faire avec le trafic réseau…