Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios srx
Video: Can we build AI without losing control over it? | Sam Harris
Una vez que haya direcciones y servicios configurados en el SRX, estará listo para configurar la política de seguridad en sí. Configuración de las direcciones y servicios de primera permite direcciones y servicios definidos para ser utilizados en muchas de las políticas. De esa manera, si uno de direcciones o servicios cambios, se debe cambiar en un solo lugar con el fin de cambiarlo en todas las políticas.
Desde la perspectiva SRX, el tráfico siempre está llegando de una zona y haciendo su camino a otra zona. Técnicamente, estos cruces de zona se denominan contextos. El contexto es donde se aplican las políticas de seguridad.
Sólo tiene dos zonas (administradores y untrust), Por lo que hay dos contextos de política intra-zona (administradores a administradores y untrust a untrust) y dos contextos de política inter-zona (administradores a untrust y untrust a administradores). No todos ellos se configurará aquí.
Configurar las políticas de seguridad
En primer lugar, se quiere dar tráfico que se origina en el administradores el permiso de zona para pasar a la untrust zona:
[Editar] políticas root # edición de seguridad de la zona a los administradores a la zona Untrust [Editar políticas de seguridad de la zona amdins a la zona Untrust] administradores-a-Untrust comparación del origen Dirección de política raíz # coloca en cualquier destino de direcciones cualquier aplicación anyroot # set-administradores-Untrust a la política luego permitroot # showpolicy administradores-a-Untrust {{partido de dirección de origen cualquier destino-Any-dirección de cualquier aplicación} {continuación}} permit-Siendo realistas, la política será probablemente contar los paquetes y registrar las iniciaciones de la sesión y se cierra entre las zonas.
Video: Свободной энергии и космической программы секретно
El segundo objetivo, que es la construcción de una política de seguridad para permitir cierto tráfico entre los hosts de la administradores la zona es bastante fácil de hacer, usar el conjunto de servicios:
[editar las políticas de seguridad Administradores de zona a zona de los administradores] política de raíz # coloca dentro de la zona de tráfico partido de dirección de origen a cualquier destino-addressany directiva de la aplicación MYSERVICESroot # coloca dentro de la zona de tráfico a continuación, permiten
El segundo requisito es ahora satisfecho. No se requiere ninguna configuración para el tercer punto, negando tráfico desde untrust el acceso a los administradores. Debido a que “negar” es la acción por defecto, el SRX ya se ha ocupado de eso.
Verificar las políticas
La forma más fácil de verificar que las políticas están funcionando como se esperaba es poner a prueba el tráfico de datos. También puede inspeccionar la tabla de sesiones SRX:
root # demuestran la seguridad sessionSession flujo ID: 100001782, política de nombres: los administradores-a-Untrust / 4, Tiempo de espera: 1796In: 192.168.2.2/4777 → 216.52.233.201/443-tcp, Si: ge-0/0 / 0.0Out: 216.52.233.201/443 → 192.168.2.2/4777-tcp, Si: ge-0/0 / 2.0Session ID: 100001790, nombre de la política: los administradores-a-Untrust / 4, Tiempo de espera: 1800In: 216.239 192.168.2.2/4781 → .112.126 / 80-tcp, Si: ge-0/0 / 0.0Out: 216.239.112.126/80 → 192.168.2.2/4781-tcp, Si: ge-0/0 / 2.0
En el mundo real, estas políticas se llevan a cabo el registro y conteo, pero recuerde, estos son sólo ejemplos.