Cómo administrar múltiples políticas de seguridad en la puerta de enlace de servicios srx

Si el SRX sólo pudo asignar interfaces a zonas y permitir ciertos servicios dentro y fuera, no habría mucho a ella. Pero el SRX es mucho más potente. Después de tener zonas e interfaces establecieron, se puede aprovechar el poder real de la SRX: las políticas de seguridad propios.

Sin políticas de seguridad, todo el SRX podría hacer es crear zonas de interfaz y la pantalla a cabo ciertos servicios. Las políticas de seguridad le permiten configurar los detalles de lo que está y no está permitido a través de la SRX.

políticas de seguridad múltiples

SRXs grandes pueden tener cientos o incluso miles de políticas, porque las políticas se vuelven más y más compleja, ya que tratar de hacer demasiado. Por lo tanto, se pueden tener varias políticas que se aplican al tráfico, todos ellos basados ​​en la fuente y la zona de destino. Las políticas se aplican uno tras otro hasta que se determine una acción. El valor por defecto final, por supuesto, es negar el tráfico y descartar el paquete.

La excepción a la regla de denegación predeterminada es el tráfico en la fxp0 interfaz de gestión, lo que hace que la gestión de la SRX posible en todo momento (incluso cuando se descontrolan configuraciones), y permitiendo que este tráfico es un pequeño riesgo porque el tráfico de usuario fuera nunca aparece en esta interfaz.

Todas las políticas de seguridad SRX siguen un algoritmo IF-THEN-ELSE. Si el tráfico X coincide con alguna regla, entonces la acción Y se lleva a cabo, de lo contrario la denegación predeterminada (caída) se aplica.

SI la parte de la política examina cinco aspectos de los paquetes de prueba para un partido:

Video: Zeitgeist: Addendum (2008) (Subs 26 Languages)

  • La zona de origen predefinido o configurado del tráfico inspeccionado

  • La zona de destino predefinido o configurado hacia dónde se dirige el tráfico

  • La dirección IP de origen o la libreta de direcciones de contenidos, el tráfico

  • La dirección de destino o dirección contenido del libro, hacia dónde se dirige el tráfico

  • La aplicación o servicio predefinido o configurados para ser permitidos o denegados

Cuando un paquete entrante coincide con todos los parámetros predeterminados o cinco configurados en la parte SI de la política, una de estas acciones se aplica:

  • Negar: El paquete se descarta en silencio.

  • Rechazar: El paquete se descarta, y una red TCP-Rest se envía al remitente.

  • Permiso: Se deja que el paquete a pasar.

  • Iniciar sesión: El SRX crea una entrada de registro para el paquete.

  • Contar: El paquete se cuenta como parte del proceso de contabilidad SRX.

Cuando se aplica una acción a un paquete, la cadena de política se termina. Por lo que el recuento de orden política! En general, se configuran las reglas más específicas en la parte superior de la cadena y políticas más generales en la parte inferior. De lo contrario, una política podría enmascarar el efecto deseado de otro.

Ahora, agregue una política de ejemplo para las zonas de seguridad que ya ha configurado. Esto es lo que desea que la directiva debe hacer:

  • Permitir todo el tráfico desde cualquier host en el administradores zona a cualquier destino en el untrust zona.

  • Permitir cierto tráfico de los hosts en la administradores zona a cualquier otro host en la misma zona.

  • Denegar todo el tráfico de la untrust zona a la administradores zona.

Artículos Relacionados
Las cuestiones de seguridad que usted debe saber acerca de conseguir un trabajo en red
Cómo personalizar las reglas del cortafuegos del servidor león
Definir aws permisos y políticas
Ssh control y el acceso a telnet a los routers junos
Configurar las interfaces de gestión y de bucle
Cómo aplicar políticas de enrutamiento con un protocolo utilizando junos
Cómo configurar las libretas de direcciones de puerta de enlace de servicios srx
Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios srx
Cómo configurar el nat en una srx junos
Cómo excluir el tráfico de nat en una srx junos
Cómo limitar el tráfico en las interfaces del router junos
Cómo evitar el hambre de colas en los routers junos
Cómo hacer coincidir el tráfico basado en el uso de clasificadores multicampo en junos
¿Por qué no se puede crear políticas de importación para ospf
¿Cómo clasificar el tráfico entrante usando cos en los routers junos
Cómo configurar el enrutamiento términos de política en junos
Cómo configurar zonas de seguridad srx con junos
Opciones de traducción de direcciones nat de origen en junos
Comprender servicios srx de procesamiento de flujo de puerta de enlace
Visión general de las políticas de seguridad de dispositivos móviles