Inhoudsopgave:
Video: Meerdere doden door vulkaanuitbarsting Nieuw-Zeeland 2024
Als de SRX alleen interfaces aan zones kon toewijzen en bepaalde services in- en uit kon laten, zou er niet veel aan zijn. Maar de SRX is veel krachtiger. Nadat u zones en interfaces hebt ingesteld, kunt u profiteren van de echte kracht van de SRX: het beveiligingsbeleid zelf.
Zonder beveiligingsbeleid kan de SRX alleen interfacezones maken en bepaalde services uitschakelen. Met beveiligingsbeleid kunt u de details configureren van wat wel en niet is toegestaan via de SRX.
Meervoudig beveiligingsbeleid
Grote SRX's kunnen honderden of zelfs duizenden beleidsregels bevatten, omdat beleid steeds complexer wordt naarmate ze proberen te veel te doen. U kunt dus meerdere beleidsregels hebben die worden toegepast op verkeer, allemaal op basis van bron- en bestemmingszone. Het beleid wordt een voor een toegepast totdat een actie wordt bepaald. De laatste standaard is natuurlijk om het verkeer te weigeren en het pakket te verwijderen.
De uitzondering op de standaard deny-regel is verkeer op de fxp0-beheerinterface, waardoor beheer van de SRX te allen tijde mogelijk is (zelfs als configuraties in de war raken) en dit verkeer een klein risico toelaat omdat extern gebruikersverkeer nooit op deze interface verschijnt.
Alle SRX-beveiligingsbeleid volgen een IF-THEN-ELSE-algoritme. Als verkeer X overeenkomt met een bepaalde regel, DAN wordt actie Y uitgevoerd, ELKE wordt de standaard weigering (drop) toegepast.
Het IF-deel van het beleid onderzoekt vijf aspecten van pakketten om te testen op een overeenkomst:
-
De vooraf gedefinieerde of geconfigureerde bronzone van het geïnspecteerde verkeer
-
De vooraf gedefinieerde of geconfigureerde bestemmingszone waar het verkeer wordt geleid
-
Het bron-IP-adres of de inhoud van het adresboek, van het verkeer
-
Het bestemmingsadres of de inhoud van het adresboek, waar het verkeer naartoe gaat
-
De vooraf gedefinieerde of geconfigureerde toepassing of service die wordt toegestaan of geweigerd
Wanneer een inkomend pakket overeenkomt met alle vijf standaard of geconfigureerde parameters in het deel IF van het beleid, wordt een van deze acties toegepast:
-
Weigeren: Het pakket wordt stilgezet verwijderd.
-
Weigeren: Het pakket wordt verwijderd en er wordt een TCP-Rest verzonden naar de opsteller.
-
Permit: Het pakket mag passeren.
-
Log: De SRX maakt een logboekinvoer voor het pakket.
-
Aantal: Het pakket wordt geteld als onderdeel van het SRX-accountingproces.
Wanneer een actie op een pakket wordt toegepast, wordt de beleidsketen beëindigd. Dus de beleidsorde telt! Over het algemeen configureert u de meest specifieke regels boven in de keten en generieke beleidsregels onderaan.Anders kan het ene beleid het beoogde effect van een ander maskeren.
Voeg nu een voorbeeldbeleid toe aan de beveiligingszones die u al hebt geconfigureerd. Dit is wat u met het beleid wilt doen:
-
Verkeer toestaan van alle hosts in de beheerderszone naar elke bestemming in de niet-vertrouwde zone.
-
Sta bepaalde verkeer van hosts in de beheerderszone toe aan elke andere host in dezelfde zone.
-
Weiger verkeer van de niet-vertrouwde zone naar de beheerderszone.