Table des matières:
Vidéo: Jordan Peterson en Francais (VOSTFR) - 2017 Les Cartes du Sens (Maps of Meaning) #1 2024
Si le SRX pouvait seulement assigner des interfaces aux zones et autoriser certains services dedans et dehors, il n'y aurait pas grand chose. Mais le SRX est beaucoup plus puissant. Après avoir configuré les zones et les interfaces, vous pouvez exploiter la puissance réelle du SRX: les politiques de sécurité elles-mêmes.
Sans les politiques de sécurité, tout ce que le SRX pourrait faire, c'est créer des zones d'interface et exclure certains services. Les stratégies de sécurité vous permettent de configurer les détails de ce qui est autorisé ou non via le SRX.
Stratégies de sécurité multiples
Les SRX de grande taille peuvent avoir des centaines, voire des milliers de stratégies, car les stratégies deviennent de plus en plus complexes à mesure qu'elles essaient d'en faire trop. Ainsi, vous pouvez avoir plusieurs stratégies appliquées au trafic, toutes basées sur la zone source et la zone de destination. Les stratégies sont appliquées l'une après l'autre jusqu'à ce qu'une action soit déterminée. Le dernier défaut, bien sûr, est de refuser le trafic et de rejeter le paquet.
L'exception à la règle de refus par défaut est le trafic sur l'interface de gestion fxp0, ce qui rend la gestion du SRX possible à tout moment (même lorsque les configurations ne fonctionnent pas) et autoriser ce trafic car le trafic d'utilisateurs externes n'apparaît jamais sur cette interface.
Toutes les stratégies de sécurité SRX suivent un algorithme IF-THEN-ELSE. Si le trafic X correspond à une règle, alors l'action Y est exécutée, ELSE le refus par défaut (drop) est appliqué.
La partie IF de la politique examine cinq aspects des paquets pour tester une correspondance:
-
La zone source prédéfinie ou configurée du trafic inspecté
-
La zone de destination prédéfinie ou configurée où le le trafic est
-
L'adresse IP source ou le contenu du carnet d'adresses du trafic
-
L'adresse de destination ou le contenu du carnet d'adresses où le trafic est
-
L'application ou le service prédéfini ou configuré à autoriser ou refusé
Lorsqu'un paquet entrant correspond aux cinq paramètres par défaut ou configurés dans la partie IF de la politique, l'une de ces actions est appliquée:
-
Deny: Le paquet est supprimé en mode silencieux.
-
Rejet: Le paquet est abandonné et un TCP-Rest est envoyé à l'expéditeur.
-
Permis: Le paquet est autorisé à passer.
-
Journal: Le SRX crée une entrée de journal pour le paquet.
-
Nombre: Le paquet est compté dans le cadre du processus de comptabilité SRX.
Lorsqu'une action est appliquée à un paquet, la chaîne de stratégie est terminée. Donc, l'ordre des politiques compte! Généralement, vous configurez les règles les plus spécifiques en haut de la chaîne et les stratégies les plus génériques en bas.Sinon, une politique peut masquer l'effet voulu d'une autre.
Ajoutez maintenant un exemple de stratégie aux zones de sécurité que vous avez déjà configurées. Voici ce que vous voulez que la politique fasse:
-
Permettre tout le trafic de n'importe quels hôtes dans la zone d'admins à n'importe quelle destination dans la zone non fiable.
-
Autoriser un certain trafic provenant de n'importe quel hôte de la zone des admins vers tout autre hôte de la même zone.
-
Refuser tout trafic de la zone non fiable à la zone des administrateurs.
