Isi kandungan:
Video: Week 8, continued 2024
Jika SRX hanya dapat menyerahkan antara muka ke zon dan membolehkan perkhidmatan tertentu masuk dan keluar, tidak akan banyak. Tetapi SRX jauh lebih berkuasa. Selepas anda mempunyai zon dan antara muka, anda boleh memanfaatkan kuasa sebenar SRX: dasar keselamatan itu sendiri.
Tanpa dasar keselamatan, semua yang SRX boleh lakukan ialah membuat zon antara muka dan menyaring perkhidmatan tertentu. Dasar keselamatan membenarkan anda mengkonfigurasi butiran tentang apa dan tidak dibenarkan melalui SRX.
Pelbagai dasar keselamatan
SRX besar boleh mempunyai beratus-ratus atau bahkan beribu-ribu dasar, kerana dasar menjadi semakin kompleks apabila mereka mencuba dan melakukan terlalu banyak. Oleh itu, anda boleh mempunyai berbilang dasar yang digunakan untuk lalu lintas, semuanya berdasarkan zon sumber dan destinasi. Dasar digunakan satu demi satu sehingga tindakan ditentukan. Tentu mungkir terakhir, tentu saja, adalah untuk menafikan lalu lintas dan membuang paket itu.
Pengecualian kepada peraturan menafikan lalai adalah trafik pada antara muka pengurusan fxp0, yang menjadikan pengurusan SRX mungkin sepanjang masa (walaupun konfigurasi berjalan lambat), dan membenarkan lalu lintas ini menjadi risiko kecil kerana trafik pengguna di luar tidak muncul di antara muka ini.
Semua dasar keselamatan SRX mengikuti algoritma IF-THEN-ELSE. JIKA lalu lintas X sepadan dengan beberapa aturan, THEN action Y dilakukan, ELSE default denied (drop) diterapkan.
JIKA bahagian dasar mengkaji lima aspek paket untuk menguji untuk perlawanan:
-
Zon sumber yang telah ditetapkan atau dikonfigurasikan lalu lintas yang diperiksa
-
Zon destinasi yang dipratentukan atau dikonfigurasikan di mana lalu lintas diketepikan
-
Sumber alamat IP, atau kandungan buku alamat, lalu lintas
-
Alamat destinasi, atau kandungan buku alamat, di mana lalu lintas diketepikan
-
Aplikasi atau perkhidmatan yang telah ditetapkan atau dikonfigurasi untuk dibenarkan atau ditolak
Apabila paket yang masuk sepadan dengan semua lima parameter lalai atau dikonfigurasi di bahagian IF dari dasar, salah satu daripada tindakan ini diterapkan:
-
Deny: Paket dijatuhkan secara senyap.
-
Tolak: Paket dibuang, dan TCP-Rest dihantar kepada pemula.
-
Permit: Bungkusan dibenarkan untuk diluluskan.
-
Log: SRX mencipta entri log untuk paket itu.
-
Count: Paket ini dikira sebagai sebahagian daripada proses perakaunan SRX.
Apabila tindakan diterapkan pada satu paket, rantai dasar ditamatkan. Oleh itu, tatal pesanan polisi! Pada umumnya, anda mengkonfigurasi peraturan yang paling spesifik di bahagian atas rantai dan lebih banyak dasar generik di bahagian bawah.Jika tidak, satu dasar boleh menutup kesan yang dimaksudkan oleh yang lain.
Sekarang, tambahkan dasar contoh ke zon keselamatan yang telah anda konfigurasikan. Inilah yang anda mahu polisi lakukan:
-
Permit sebarang trafik dari mana-mana tuan rumah di zon admin ke mana-mana destinasi dalam zon tidak bertanggungjawab.
-
Permit trafik tertentu dari mana-mana tuan rumah di zon admin kepada mana-mana tuan rumah lain di zon yang sama.
-
Tolak mana-mana lalu lintas dari zon tidak bertanggungjawab ke zon admin.