Table des matières:
Vidéo: 86th Annual Meeting: Civic I/O Plenary Session 2024
Après avoir configuré les adresses et les services sur le SRX, vous êtes prêt à configurer la politique de sécurité elle-même. La configuration des adresses et des services permet d'abord d'utiliser des adresses et des services définis dans de nombreuses stratégies. De cette façon, si une adresse ou un service change, il doit être changé dans un seul endroit afin de le changer dans toutes les politiques.
Du point de vue SRX, le trafic arrive toujours d'une zone et se dirige vers une autre zone. Techniquement, ces traversées de zone sont appelées contextes . Le contexte est l'endroit où les politiques de sécurité sont appliquées.
Vous n'avez que deux zones (admins et non-fiables), donc il y a deux contextes de politique intra-zone (admins aux admins et non-fiables) et deux contextes politiques inter-zone (admins totrust et méfiance envers les administrateurs). Tous ne seront pas configurés ici.
Configurer les politiques de sécurité
Tout d'abord, vous voulez donner au trafic provenant de la zone admins la permission de passer à la zone non fiable:
[edit] root # éditer les politiques de sécurité de-zone admins to-zone untrust root security-from-zone amdins to-zone non fiable] root # définir la politique admins-to-untrust match source-address toute destination-address n'importe quelle application root # définir la politique admins-to-untrust puis autoriser root # show admins-to- non fiable {match {adresse-source any; destination-adresse any; application any;} then {permit;}}
De façon réaliste, la politique va probablement compter les paquets et consigner les initiations de session et les fermer entre les zones.
Le deuxième objectif, qui consiste à créer une stratégie de sécurité pour autoriser certains échanges entre les hôtes dans la zone des administrateurs, est assez simple, en utilisant votre jeu de services:
[éditer les politiques de sécurité de … Admins zone to Admins zone] root # Définir la politique intra-zone-trafic match source-adresse toute destination-adresse toute application MYSERVICES root # définir la politique intra-zone-trafic puis autoriser
La deuxième exigence est maintenant satisfaite. Aucune configuration n'est requise pour le troisième point, refusant le trafic d'un accès non fiable aux administrateurs. Parce que "deny" est l'action par défaut, le SRX a déjà pris soin de cela.
Vérification des règles
Le moyen le plus simple de vérifier que les stratégies fonctionnent comme prévu est de tester le trafic de données. Vous pouvez également inspecter la table de session SRX:
root # afficher la session de flux de sécurité ID de session: 100001782, nom de la stratégie: admins-to-untrust / 4, timeout: 1796 dans: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, Si: ge-0/0/0. 0 Sortant: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, Si: ge-0/0/2. 0 ID de session: 100001790, Nom de la stratégie: admins-to-untrust / 4, Timeout: 1800 Dans: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, Si: ge-0/0/0. 0 Sortant: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, Si: ge-0/0/2. 0
Dans le monde réel, ces politiques effectueront la journalisation et le comptage, mais rappelez-vous, ce ne sont que des exemples.
