Indholdsfortegnelse:
Video: Forskningens Døgn 2015 - Storpolitikkens Teater og Talehandlinger 2025
Hvis SRX kun kunne tildele grænseflader til zoner og tillade visse tjenester ind og ud, ville der ikke være meget for det. Men SRX er meget kraftigere. Når du har oprettet zoner og grænseflader, kan du klare den rigtige strøm af SRX: sikkerhedspolitikkerne selv.
Uden sikkerhedspolitikker kan alt SRX gøre, er at oprette grænseflade zoner og skærm ud visse tjenester. Sikkerhedspolitikker giver dig mulighed for at konfigurere detaljerne for, hvad der er og ikke er tilladt via SRX.
Flere sikkerhedspolitikker
Store SRX'er kan have hundreder eller endog tusindvis af politikker, fordi politikker bliver mere og mere komplekse, da de forsøger at gøre for meget. Så du kan have flere politikker, der anvendes til trafik, alt baseret på kilde og destinationszone. Politikkerne anvendes efter hinanden, indtil en handling er fastlagt. Den endelige standard er selvfølgelig at nægte trafikken og kassere pakken.
Undtagelsen fra standardfornægningsreglen er trafik på fxp0-styringsgrænsefladen, hvilket gør det muligt at administrere SRX'en til enhver tid (selv når konfigurationerne går haywire) og giver denne trafik en lille risiko fordi udenfor bruger trafik aldrig vises på denne grænseflade.
Alle SRX-sikkerhedspolitikker følger en IF-THEN-ELSE-algoritme. Hvis trafikken X matcher nogle regler, udføres Y-handling Y, ELSE bliver standard-nægtet (drop) anvendt.
Den foruddefinerede eller konfigurerede kildezone for den inspicerede trafik-
Den foruddefinerede eller konfigurerede destinationszone, hvor trafik er overskriften
-
Kildens IP-adresse eller adressebogens indhold af trafikken
-
Destinationsadressen eller adressebogens indhold, hvor trafikken er på vej
-
Den foruddefinerede eller konfigurerede applikation eller tjeneste, der skal tillades eller nægtet
-
Når en indgående pakke matcher alle fem standard eller konfigurerede parametre i IF-delen af politikken, anvendes en af disse handlinger:
Afvis:
-
Pakken tappes lydløst. Afvis:
-
Pakken er droppet, og en TCP-Rest sendes til originatoren. Tilladelse:
-
Pakken må passere. Log:
-
SRX opretter en logbog for pakken. Count:
-
Pakken tælles som en del af SRX regnskabsprocessen. Når en handling anvendes på en pakke, opsiges politikkæden. Så politik ordre tæller! Generelt konfigurerer du de mest specifikke regler øverst i kæden og mere generiske politikker nederst.Ellers kan en politik maske den tilsigtede virkning af en anden.
Tilføj nu en eksempelpolitik til de sikkerhedszoner, du allerede har konfigureret. Her er hvad du vil have politikken til at gøre:
Tillad enhver trafik fra alle værter i admins-zonen til enhver destination i den uberettigede zone.
-
Tillad bestemt trafik fra alle værter i admins-zonen til en anden vært i samme zone.
-
Næg trafik fra den ubetydelige zone til admins zone.
