Inhoudsopgave:
Video: MFA: 2 staps verificatie voor office 365 voor bedrijven 2024
Nadat u adressen en services op de SRX hebt geconfigureerd, bent u klaar om configureer het beveiligingsbeleid zelf. Door eerst de adressen en services te configureren, kunnen gedefinieerde adressen en services in veel beleidsregels worden gebruikt. Als één adres of service verandert, moet het op die manier op slechts één plaats worden gewijzigd om het in alle beleidsregels te kunnen wijzigen.
Vanuit het perspectief van SRX komt het verkeer altijd uit de ene zone en komt het op weg naar een andere zone. Technisch gesproken worden deze zonekruisingen contexten genoemd. In de context wordt het beveiligingsbeleid toegepast.
Je hebt maar twee zones (admins en untrust), dus er zijn twee intra-zone beleidscontexten (admins to admins en untrust to untrust) en twee inter-zone beleidscontexten (admins to untrust en untrust to admins). Niet alle worden hier geconfigureerd.
Beveiligingsbeleid configureren
Ten eerste wilt u verkeer dat afkomstig is van de admins-zone toestemming geven om door te gaan naar de untrust-zone:
[edit] root # bewerk beveiligingsbeleid van -zone admins to-zone untrust [bewerken beveiligingsbeleid from-zone amdins to-zone untrust] root # ingesteld beleid beheerders-to-untrust overeenkomen met bron-adres elk doel-adres elke applicatie root # stel beleid admins-to-untrust in en laat root # show policy admins-to- toe untrust {match {source-address any; bestemmingsadres willekeurig; application any;} then {permit;}}
Realistisch gezien zal het beleid waarschijnlijk de pakketten tellen en de sessie-initiaties loggen en sluiten tussen de zones.
Het tweede doel, namelijk het bouwen van een beveiligingsbeleid om bepaald verkeer tussen hosts in de admins-zone mogelijk te maken, is eenvoudig genoeg om te doen, gebruikmakend van uw serviceset:
[bewerk beveiligingsbeleid van- zone admins to-zone admins] root # ingesteld beleid intra-zone-verkeer match bron-adres elk bestemmingsadres elke toepassing MYSERVICES root # stel beleid in binnenzonetraject in en geef toestemming
De tweede vereiste is nu vervuld. Voor het derde punt is geen configuratie vereist, verkeer van onbetrouwbare toegang tot beheerders wordt geweigerd. Omdat "weigeren" de standaardactie is, heeft de SRX daar al voor gezorgd.
Verifieer het beleid
De eenvoudigste manier om te controleren of het beleid werkt zoals verwacht, is om gegevensverkeer te testen. U kunt ook de SRX-sessietabel inspecteren:
root # show security flow session Sessie-ID: 100001782, Beleidsnaam: admins-to-untrust / 4, Timeout: 1796 In: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, If: ge-0/0/0. 0 Out: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, als: ge-0/0/2. 0 Sessie-ID: 100001790, Beleidsnaam: admins-to-untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, If: ge-0/0/0. 0 Out: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, als: ge-0/0/2. 0
In de praktijk zal dit beleid het loggen en tellen uitvoeren, maar onthoud dat dit slechts voorbeelden zijn.