Indholdsfortegnelse:
Video: iCloud Sleutelhanger (Keychain) 2025
Når du har konfigureret adresser og tjenester på SRX, er du klar til at konfigurer sikkerhedspolitikken selv. Konfiguration af adresser og tjenester gør det muligt at definere bestemte adresser og tjenester i mange politikker. På den måde, hvis en adresse eller tjeneste ændres, skal den ændres på kun ét sted for at ændre den i alle politikker.
Fra SRX-perspektivet kommer der altid trafik fra en zone og vejen til en anden zone. Teknisk kaldes disse zoneovergange sammenhænge . Konteksten er, hvor sikkerhedspolitikkerne anvendes.
Du har kun to zoner (admins og untrust), så der er to politikområder inden for zoneområdet (admins til admins og untrust for at fortryde) og to interzones politiske sammenhænge (admins for at fortryde og untrust til admins). Ikke alle af dem vil blive konfigureret her.
Konfigurer sikkerhedspolitikker
For det første vil du give trafik med oprindelse i tilladelseszonen tilladelse til at videregive til den uberettigede zone:
[rediger] rod # rediger sikkerhedspolitikker fra zone admins to zone untrust sikkerhedspolitikker fra-zone amdins to-zone untrust] root # sætte politikker admins-to-untrust matche kildeadresse enhver destination-adresse enhver applikation nogen root # set politik admins-to-untrust derefter tillade root # vis politik admins-to- untrust {match {source-address any; destination-adresse nogen; ansøgning nogen;} derefter {permit;}}
Realistisk vil politikken sandsynligvis tælle pakkerne og logge sessionsinitiativerne og lukke mellem zoner.
Det andet mål, der er at opbygge en sikkerhedspolitik for at tillade bestemt trafik mellem værter i admins-zonen, er let nok at gøre ved hjælp af dit servicesæt:
[Rediger sikkerhedspolitikker fra- zone admins to-zone admins] root # set politik inden for zone-trafik match kildeadresse enhver destinationsadresse en hvilken som helst applikation MYSERVICES root # set politik intra-zone-trafik tillader derefter
Det andet krav er nu opfyldt. Ingen konfiguration er nødvendig for det tredje punkt, nægte trafik fra utilstrækkelig adgang til admins. Fordi "nægte" er standardhandlingen, har SRX allerede taget sig af det.
Bekræft politikkerne
Den nemmeste måde at kontrollere, at politikkerne fungerer som forventet, er at teste datatrafik. Du kan også inspicere SRX-sessionstabellen:
root # vis sikkerhedsflowsession Session ID: 100001782, Politik navn: admins-to-untrust / 4, Timeout: 1796 I: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, hvis: ge-0/0/0. 0 ud: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, hvis: ge-0/0/2. 0 Session ID: 100001790, Policy navn: admins-to-untrust / 4, Timeout: 1800 I: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, hvis: ge-0/0/0. 0 ud: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, hvis: ge-0/0/2. 0
I den virkelige verden vil disse politikker udføre logføring og tælling, men husk, det er bare eksempler.
