prucommercialre.com


Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios SRX

Una vez que haya direcciones y servicios configurados en el SRX, usted está listo para configurar la política de seguridad en sí mismo. Configuración de las direcciones y servicios de primera permite direcciones y servicios definidos para ser utilizados en muchas políticas. De esa manera, si una dirección de servicio o cambios, debe ser cambiado en un solo lugar con el fin de cambiarlo en todas las políticas.

Desde la perspectiva SRX, el tráfico siempre está llegando de una zona y haciendo su camino a otra zona. Técnicamente, estos cruces de zona se denominan contextos. El contexto es donde se aplican las políticas de seguridad.

Sólo tiene dos zonas (admins y Untrust), por lo que hay dos contextos intrazona políticas (admins a los administradores y Untrust a untrust) y dos contextos políticos inter-zona (administradores para Untrust y untrust a los administradores). No todos ellos se configurará aquí.

Configurar las políticas de seguridad

En primer lugar, usted quiere dar el tráfico originado en la zona de permiso a los administradores para pasar a la zona Untrust:

[Editar]
políticas de seguridad root # edición de zona admins a la zona Untrust
[Editar las políticas de seguridad de la zona amdins untrust-a la zona]
raíz administradores-a-untrust política # conjunto fuente-dirección-partido cualquier dirección de destino cualquier aplicación cualquiera
raíz administradores-a-untrust política # set luego permitan
root # show
administradores-a-untrust política {
partido {
fuente-aborda ninguno;
destino Dirección hubiere;
solicitud hubiere;
}
entonces {
permitir;
}
}

Siendo realistas, la política será probablemente contar los paquetes y registrar las iniciaciones de sesión y cierra entre las zonas.

El segundo objetivo, que es la construcción de una política de seguridad para permitir cierto tráfico entre hosts de la zona administradores es bastante fácil de hacer, usando su conjunto de servicios:

[Editar administradores de las políticas de seguridad de la zona a los administradores a zona]
root # partido fuente-dirección de fijar la política intra-zona peatonal cualquier dirección de destino
cualquier MyServices aplicación
root # establecen políticas intra-zona peatonal a continuación permiten

El segundo requisito es ahora satisfecho. No se requiere ninguna configuración para el tercer punto, negando el tráfico de acceso untrust a los administradores. Debido a que "niega" es la acción predeterminada, el SRX ya se ha encargado de eso.

Verifique las políticas

La forma más fácil de verificar que las políticas están funcionando como se esperaba es poner a prueba el tráfico de datos. También puede inspeccionar la tabla de sesiones SRX:

root # demuestran sesión de flujo de seguridad
ID de sesión: 100001782, nombre de la política: los administradores-a-untrust / 4, Tiempo de espera: 1.796
En: 192.168.2.2/4777 → 216.52.233.201/443;tcp, Si: ge-0/0 / 0.0
Salida: 216.52.233.201/443 → 192.168.2.2/4777;tcp, Si: ge-0/0 / 2.0
ID de sesión: 100001790, nombre de la política: los administradores-a-untrust / 4, Tiempo de espera: 1.800
En: 192.168.2.2/4781 → 216.239.112.126/80;tcp, Si: ge-0/0 / 0.0
Salida: 216.239.112.126/80 → 192.168.2.2/4781;tcp, Si: ge-0/0 / 2.0

En el mundo real, estas políticas se llevan a cabo el registro y conteo, pero recuerde, estos son sólo ejemplos.