Inhaltsverzeichnis:
Video: AWS Tutorial For Beginners | AWS Full Course - Learn AWS In 10 Hours | AWS Training | Edureka 2024
Nachdem Sie Adressen und Dienste auf dem SRX konfiguriert haben, können Sie Konfigurieren Sie die Sicherheitsrichtlinie selbst. Die Konfiguration der Adressen und Dienste ermöglicht es zunächst, definierte Adressen und Dienste in vielen Richtlinien zu verwenden. Auf diese Weise muss, wenn sich eine Adresse oder ein Dienst ändert, diese nur an einer Stelle geändert werden, um sie in allen Richtlinien zu ändern.
In der SRX-Perspektive kommt der Verkehr immer von einer Zone an und gelangt in eine andere Zone. Technisch werden diese Zonenübergänge Kontexte genannt. In diesem Kontext werden die Sicherheitsrichtlinien angewendet.
Sie haben nur zwei Zonen (Admins und Untrust), daher gibt es zwei Intra-Zonen-Richtlinienkontexte (Admins für Admins und Untrust für Untrust) und zwei Inter-Zonen-Policy-Kontexte (Admins für Unvertrauen und nicht zu Admins). Nicht alle werden hier konfiguriert.
Sicherheitsrichtlinien konfigurieren
Zuerst möchten Sie den Datenverkehr, der von der Administratorzone ausgeht, an die nicht vertrauenswürdige Zone weitergeben:
[Bearbeiten] root # Sicherheitsrichtlinien von -Zone-Admins zu Zonenzustand bearbeiten [Bearbeiten] Sicherheitsrichtlinien von -Zone bis -Zone nicht-vertrauenswürdig] root # Richtlinie festlegen admins-to-untrust Übereinstimmung Quelle-Adresse jede Zieladresse jede Anwendung jede root # set-Richtlinie admins-to-untrust dann root # show policy admins-to- nicht zutreffend {match {source-address any; Zieladresse beliebig; application any;} then {permit;}}
Realistisch zählt die Richtlinie wahrscheinlich die Pakete und protokolliert die Sitzungsinitialisierungen und schließt zwischen den Zonen.
Das zweite Ziel, eine Sicherheitsrichtlinie zu erstellen, um bestimmten Datenverkehr zwischen Hosts in der admins-Zone zuzulassen, ist mit Ihrem Service-Set einfach genug:
[Sicherheitsrichtlinien bearbeiten aus] zone admins to-zone admins] root # set-Richtlinie intra-zone-traffic match Quelladresse jede Zieladresse jede Anwendung MYSERVICES root # set policy intra-zone-traffic dann permit
Die zweite Anforderung ist nun erfüllt. Für den dritten Punkt ist keine Konfiguration erforderlich, wodurch der Verkehr von nicht vertrauenswürdigen Administratoren ausgeschlossen wird. Da "Verweigern" die Standardaktion ist, hat sich der SRX bereits darum gekümmert.
Überprüfen der Richtlinien
Der einfachste Weg, um zu überprüfen, ob die Richtlinien wie erwartet funktionieren, besteht darin, den Datenverkehr zu testen. Sie können auch die SRX-Sitzungstabelle einsehen:
root # show security flow session Sitzungs-ID: 100001782, Richtlinienname: admins-to-untrust / 4, Timeout: 1796 In: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, wenn: ge-0/0/0. 0 Out: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, wenn: ge-0/0/2. 0 Sitzungs-ID: 100001790, Richtlinienname: admins-to-untrust / 4, Timeout: 1800 In: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, wenn: ge-0/0/0. 0 Out: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, wenn: ge-0/0/2. 0
In der realen Welt werden diese Richtlinien die Protokollierung und Zählung durchführen, aber denken Sie daran, dies sind nur Beispiele.
