SRX Services Gateway'de Çoklu Güvenlik İlkelerini Yönetme - mankenler

SRX yalnızca bölgelere arayüz atayabilir ve belirli servislerin girip çıkmasına izin verebilirse, pek fazla şey olmazdı. Ancak SRX çok daha güçlüdür. Bölgeleri ve arayüzleri kurduktan sonra, SRX'in gerçek gücüne dokunabilirsiniz: güvenlik politikalarının kendileri.

Güvenlik ilkeleri olmadan, SRX'in yapabilecekleri arayüz bölgeleri oluşturmak ve bazı hizmetleri ekranlamaktır. Güvenlik ilkeleri, SRX aracılığıyla izin verilmeyen ve edilmeyen ayrıntıları yapılandırmanıza izin verir.

Büyük SRX'ler yüzlerce veya binlerce politikaya sahip olabilir, çünkü politikalar çok fazla çalıştıklarında ve gittikçe daha karmaşık hale gelirler. Böylece, trafiğe uygulanan, hepsi de kaynak ve hedef bölgeye dayalı birden çok politikaya sahip olabilirsiniz. Politikalar, bir eylem belirlenene kadar birbiri ardına uygulanır. Nihai varsayılan, tabii ki, trafiği reddetmek ve paketi atmaktır.

Varsayılan reddetme kuralının istisnası, fxp0 yönetim arabirimindeki trafiktir ve bu, SRX'in yönetimini her zaman mümkün kılar (yapılandırmalar sersemleştiğinde bile) ve bu trafiğe izin vermek küçük bir risktir çünkü dış kullanıcı trafiği asla bu arabirimde görünmez.

Tüm SRX güvenlik ilkeleri IF-THEN-ELSE algoritmasını takip eder. Trafik X, bazı kurallarla eşleşirse, THEN eylemi Y gerçekleştirilir, ELSE varsayılan reddetme (bırakma) uygulanır.

Politika IF bölümü, bir eşleşme için test etmek üzere paketlerin beş yönünü inceler:

İncelenen trafiğin önceden tanımlanmış veya yapılandırılmış kaynak bölgesi

• trafik başlığı

• Trafiğin kaynak IP adresi veya adres defteri içeriği

• Trafiğin gidildiği hedef adres veya adres defteri içeriği

• İzin verilmesi için önceden tanımlı veya yapılandırılmış uygulama veya hizmet veya engellendi

• Gelen bir paket, ilkedeki IF bölümündeki beş varsayılan veya yapılandırılmış parametre ile eşleştiğinde, bu eylemlerden biri uygulanır:

Reddet:

• Paket sessizce düşürülür. Reddet:

• Paket düşürüldü ve gönderene TCP-Rest gönderildi. İzin:

• Paketin geçmesine izin verilir. Günlük:

• SRX, paket için bir günlük girişi oluşturur. Sayı:

• Paket SRX hesap işleminin parçası olarak sayılır. Bir pakete bir eylem uygulandığında, poliçe zinciri sonlandırılır. Bu nedenle poliçe talebi sayılır! Genellikle zincirin en üstünde en belirgin kuralları, en altta da daha genel politikaları yapılandırırsınız.Aksi takdirde, bir politika başkasının tasarladığı etkiyi maskeleyebilir.

Şimdi, daha önce yapılandırdığınız güvenlik bölgelerine bir örnek politika ekleyin. Politikanın ne yapmasını istediğiniz:

Yöneticiler bölümündeki herhangi bir ana bilgisayardan, güvenilmeyen bölgedeki tüm hedeflere olan trafiği kabul et.

• Yöneticiler bölümündeki tüm ana makinelerden, aynı bölgedeki başka bir ana makineye belirli trafiğe izin verin.

• Güvenilmeyen bölgeden yönetici bölgesine herhangi bir trafiği reddetme.