Isi kandungan:
Video: Cara Mengaktifkan Pembatas Usia Pada Video Youtube | khusus 17+ 2024
Setelah anda mengkonfigurasi alamat dan perkhidmatan pada SRX, anda sudah bersedia untuk mengkonfigurasi dasar keselamatan itu sendiri. Mengkonfigurasi alamat dan perkhidmatan terlebih dahulu membenarkan alamat dan perkhidmatan yang ditentukan untuk digunakan dalam banyak dasar. Dengan cara itu, jika satu alamat atau perkhidmatan berubah, ia mesti diubah hanya dalam satu tempat untuk mengubahnya dalam semua dasar.
Dari perspektif SRX, lalu lintas sentiasa datang dari satu zon dan menuju ke zon lain. Secara teknikal, lintasan zon ini dipanggil konteks . Konteksnya adalah di mana dasar keselamatan digunakan.
Anda hanya mempunyai dua zon (pentadbir dan tidak percaya), jadi terdapat dua konteks dasar intra-zon (pentadbir kepada pentadbir dan tidak dipercayai) dan dua konteks dasar antara zon (pentadbir tidak mempercayai dan tidak percaya kepada pentadbir). Tidak semua mereka akan dikonfigurasikan di sini.
Konfigurasikan dasar keselamatan
Pertama, anda ingin memberikan lalu lintas yang berasal dari kebenaran zon admin untuk lulus ke zona yang tidak dipercayai:
[edit] root # sunting dasar keselamatan dari admin zona ke zon tidak peduli [sunting dasar keselamatan dari zon amdin ke zon tidak dipercaya] root # dasar set admins-to-untrust match source-address mana-mana tujuan alamat mana-mana aplikasi yang mana pun root # menetapkan privasi admin-to-untrust kemudian membenarkan root # show policy admins- untrust {match {source-address any; destinasi alamat mana-mana; permohonan mana-mana;} maka {permit;}}
Secara realistik, dasar itu mungkin mengira paket-paket dan log memulakan sesi dan menutup antara zon.
Matlamat kedua, iaitu untuk membina dasar keselamatan untuk membenarkan trafik tertentu di antara tuan rumah di zon admin adalah cukup mudah dilakukan, menggunakan set perkhidmatan anda:
[sunting dasar keselamatan dari- zon admin kepada zon admin] root # dasar menetapkan intra-zone-match match source-address any destination-address any application MYSERVICES root # set policy intra-zone-traffic then permit
Requirement second now satisfied. Tiada konfigurasi yang diperlukan untuk titik ketiga, menafikan trafik daripada akses tidak benar kepada pentadbir. Kerana "menafikan" adalah tindakan lalai, SRX telah mengambil perhatian terhadapnya.
Sahkan dasar
Cara paling mudah untuk mengesahkan bahawa dasar berfungsi seperti yang diharapkan adalah menguji lalu lintas data. Anda juga boleh memeriksa jadual sesi SRX:
root # menunjukkan sesi aliran keselamatan Sesi ID: 100001782, Nama polis: admins-to-untrust / 4, Timeout: 1796 Dalam: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, Jika: ge-0/0/0. 0 Keluar: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, Jika: ge-0/0/2. 0 Sesi ID: 100001790, Nama polis: admins-to-untrust / 4, Timeout: 1800 Dalam: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, Jika: ge-0/0/0. 0 Keluar: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, Jika: ge-0/0/2. 0
Di dunia nyata, dasar ini akan melakukan penebangan dan penghitungan, tetapi ingat, ini hanyalah contoh.
