İçindekiler:
- Güvenlik ilkelerini yapılandırma
- İlkelerin beklendiği gibi çalıştığını doğrulamanın en kolay yolu, veri trafiğini test etmektir. Ayrıca, SRX oturum tablosunu inceleyebilirsiniz:
Video: Internet Technologies - Computer Science for Business Leaders 2016 2024
SRX'de adresleri ve hizmetleri yapılandırdıktan sonra, güvenlik politikasını kendisi yapılandırın. Adresleri ve hizmetleri ilk olarak yapılandırmak, birçok ilkede tanımlı adreslerin ve hizmetlerin kullanılmasına olanak tanır. Bu yolla, bir adres veya hizmet değişirse, tüm politikalarda değiştirmek için tek bir yerde değiştirilmesi gerekir.
SRX perspektifinden trafik her zaman bir bölgeden gelip başka bir bölgeye gidiyor. Teknik olarak, bu bölge geçişleri bağlamları olarak adlandırılır. Bağlam, güvenlik politikalarının uygulandığı yerdir.
Sadece iki bölgeniz (yönetici ve güvenilmez) olduğunuzdan, iki bölge içi politika bağlamı (yöneticilere ve güvenmediğine güvenmiyor) ve iki bölge arası politika bağlamı (güvenliği ortadan kaldıracak ve yöneticilere güvenmiyor). Hepsi burada yapılandırılacak değil.
Güvenlik ilkelerini yapılandırma
İlk olarak, yöneticiler bölgesine gönderilen trafiği, güvenilmeyen bölgeye geçme izni vermek istiyorsunuz:
[edit] root # güvenlik ilkelerini bölge yöneticilerinden bölgeye değiştirme untrust [değiştir] güvenlik politikaları için bölge amdins to-zone untrust] kök # set politika yöneticileri-güvenilmez eşleşme kaynağı-adresi herhangi bir varış yeri-adresi herhangi bir uygulamanın herhangi bir kök # set politika yöneticileri-to-untrust sonra root izinleri # show policy admins-to- güvenilmez {match {kaynak-adres any; varış yeri adresi; Gerçekten, politika muhtemelen paketleri sayar ve oturum başlatmalarını günlüğe kaydeder ve bölgeler arasında kapanır.
[güvenlik ilkelerini düzenle - bölge yöneticileri için bölge yöneticileri] kök # belirleme ilkesi bölge içi trafik eşleme kaynak-adres herhangi bir hedef-adres herhangi bir uygulama MYSERVICES kök # belirleme ilkesi bölge içi trafik sonra izin
İkinci gereklilik artık yerine getirildi. Üçüncü nokta için hiçbir yapılandırma gerekmiyor ve yöneticilere olan güvenilmeyen erişimden kaynaklanan trafiği inkar ediyor. Varsayılan eylem "deny" olduğu için, SRX bunu zaten halletti.
İlkelerin beklendiği gibi çalıştığını doğrulamanın en kolay yolu, veri trafiğini test etmektir. Ayrıca, SRX oturum tablosunu inceleyebilirsiniz:
root # show security flow session Oturum Kimliği: 100001782, İlke adı: yöneticilerden güvenmediğine / 4, Zamanaşımı: 1796 İçinde: 192. 168. 2. 168. 2. 2.477 → 216 52. 233.201/443; tcp, If: ge-0/0/0. 0 Çık: 216.52 233. 201/443 → 192. 168. 2. 2/4777; tcp, If: ge-0/0/2. 0 Session ID: 100001790, İlke adı: yetkilendiricilere-güvenilmez / 4, Zamanaşımı: 1800 In: 192. 168. 2. 2.471 → 216. 239. 112. 126/80; tcp, If: ge-0/0/0. 0 Çık: 216.239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, If: ge-0/0/2. 0
Gerçek dünyada, bu politikalar günlüğe yazma ve sayma yapacak, ancak unutmayın ki bunlar yalnızca örneklerdir.
