Innholdsfortegnelse:
Video: Using 2-step verification 2024
Når du har konfigurert adresser og tjenester på SRX, er du klar til å konfigurer sikkerhetspolitikken selv. Konfigurering av adresser og tjenester gjør det mulig å bruke definerte adresser og tjenester i mange retningslinjer. På den måten, hvis en adresse eller tjeneste endres, må den endres på bare ett sted for å endre det i alle retningslinjer.
Fra SRX-perspektivet kommer trafikken alltid fra en sone og går vei til en annen sone. Teknisk kalles disse sonekryssene sammenhenger . Konteksten er der sikkerhetspolitikkene brukes.
Du har bare to soner (administratorer og usikkerhet), så det er to politikker for intrazone-soner (admins til admins og usikkerhet for å untrust) og to intersonepolitiske sammenhenger (admins for untrust and untrust til admins). Ikke alle av dem vil bli konfigurert her.
Konfigurer sikkerhetspolitikk
Først vil du gi trafikk som kommer fra adminsons-tillatelsen til å passere til untrust-sonen:
[rediger] rot # rediger sikkerhetspolicyer fra -son admins to-zone untrust sikkerhetspolitikk fra-zone amdins to-zone untrust] root # sett politikk admins-to-untrust matche kildeadresse en destinasjonsadresse en hvilken som helst søknad hvilken som helst rot # sett politikk admins-to-untrust da tillat root # vise policy admins-to- untrust {match {source-address any; destinasjonsadresse noen; søknad noen;} deretter {permit;}}
Realistisk vil politikken trolig telle pakkene og logge øktinitiasjonene og lukke mellom sonene.
Det andre målet, som er å bygge en sikkerhetspolicy for å tillate viss trafikk mellom verter i adminsonen, er lett nok til å gjøre, ved hjelp av ditt tjenestesett:
[rediger sikkerhetspolitikk fra- sone admins to-zone admins] root # sett politikk intra-zone-trafikk match kildeadresse en destinasjonsadresse en hvilken som helst applikasjon MYSERVICES root # set policy intra-zone trafikk så tillat
Det andre kravet er nå tilfredsstilt. Ingen konfigurasjon er nødvendig for det tredje punktet, og nekter trafikk fra utilgjengelig tilgang til admins. Fordi "nekte" er standardhandling, har SRX allerede tatt seg av det.
Verifiser retningslinjene
Den enkleste måten å kontrollere at retningslinjene fungerer som forventet, er å teste datatrafikk. Du kan også inspisere SRX-sesjonstabellen:
root # vis sikkerhetsflytssesjon Sessions-ID: 100001782, Policy navn: admins-to-untrust / 4, Timeout: 1796 I: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, hvis: ge-0/0/0. 0 ut: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, hvis: ge-0/0/2. 0 Session ID: 100001790, Policy navn: admins-to-untrust / 4, Timeout: 1800 I: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, hvis: ge-0/0/0. 0 Ut: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, hvis: ge-0/0/2. 0
I den virkelige verden vil disse retningslinjene utføre logging og telling, men husk, dette er bare eksempler.