Inhaltsverzeichnis:
Video: Huawei P20 / P20 Pro - 11 Tipps und Tricks (EMUI 8.1) - Teil 1 [Deutsch/German] 2024
Wenn der SRX nur Zonen Zonen zuweisen und bestimmte Dienste ein- und ausschalten könnte, gäbe es nicht viel. Aber der SRX ist viel mächtiger. Nachdem Sie Zonen und Schnittstellen eingerichtet haben, können Sie die tatsächliche Leistung des SRX nutzen: die Sicherheitsrichtlinien selbst.
Ohne Sicherheitsrichtlinien kann SRX nur Schnittstellenbereiche erstellen und bestimmte Dienste aussondern. Sicherheitsrichtlinien ermöglichen es Ihnen, die Details dessen zu konfigurieren, was über den SRX erlaubt ist und nicht.
Mehrere Sicherheitsrichtlinien
Große SRXs können Hunderte oder sogar Tausende von Richtlinien enthalten, da Richtlinien immer komplexer werden, wenn sie versuchen, zu viel zu tun. Sie können also mehrere Richtlinien für den Datenverkehr verwenden, die alle auf der Quell- und Zielzone basieren. Die Richtlinien werden nacheinander angewendet, bis eine Aktion festgelegt wird. Der endgültige Standard ist natürlich, den Verkehr zu verweigern und das Paket zu verwerfen.
Die Ausnahme von der Standard-Verweigerungsregel ist der Datenverkehr auf der fxp0-Verwaltungsschnittstelle, wodurch die Verwaltung des SRX jederzeit möglich ist (selbst wenn die Konfigurationen verrückt werden), und dass dieser Datenverkehr ein kleines Risiko darstellt. weil fremder Benutzerverkehr nie auf dieser Schnittstelle erscheint.
Alle SRX-Sicherheitsrichtlinien folgen einem IF-THEN-ELSE-Algorithmus. Wenn der Datenverkehr X einer Regel entspricht, wird THEN-Aktion Y ausgeführt, ELSE der Standardwert deny (drop).
Der IF-Teil der Richtlinie untersucht fünf Aspekte von Paketen, die auf Übereinstimmung geprüft werden:
-
Die vordefinierte oder konfigurierte Quellenzone des untersuchten Datenverkehrs
-
Die vordefinierte oder konfigurierte Zielzone, in der die Datenverkehr
-
Die Quell-IP-Adresse oder der Adressbuchinhalt des Datenverkehrs
-
Die Zieladresse oder der Adressbuchinhalt, auf den der Datenverkehr zusteuert
-
Die vordefinierte oder konfigurierte Anwendung oder der zuzulassende Dienst oder denied
Wenn ein eingehendes Paket alle fünf Standard- oder konfigurierten Parameter im IF-Abschnitt der Richtlinie erfüllt, wird eine der folgenden Aktionen angewendet:
-
Verweigern: Das Paket wird still ignoriert.
-
Ablehnen: Das Paket wird gelöscht und ein TCP-Rest wird an den Absender gesendet.
-
Zulassen: Das Paket darf passieren.
-
Log: Der SRX erstellt einen Log-Eintrag für das Paket.
-
Count: Das Paket wird als Teil des SRX-Abrechnungsprozesses gezählt.
Wenn eine Aktion auf ein Paket angewendet wird, wird die Richtlinienkette beendet. Also zählt die politische Reihenfolge! Im Allgemeinen konfigurieren Sie die spezifischsten Regeln am Anfang der Kette und allgemeinere Richtlinien am Ende.Andernfalls könnte eine Richtlinie die beabsichtigte Wirkung einer anderen maskieren.
Fügen Sie nun den bereits konfigurierten Sicherheitszonen eine Beispielrichtlinie hinzu. Hier ist, was Sie mit der Richtlinie machen wollen:
-
Erlaube jeglichen Datenverkehr von beliebigen Hosts in der Admins-Zone zu einem beliebigen Ziel in der Nicht-Trust-Zone.
-
Erlauben Sie bestimmten Datenverkehr von Hosts in der Admins-Zone zu anderen Hosts in der gleichen Zone.
-
Verweigern Sie jeglichen Datenverkehr von der nicht vertrauenswürdigen Zone in die Administrationszone.