차례:
비디오: Week 9 2024
SRX에서 주소와 서비스를 구성하면 보안 정책 자체를 구성하십시오. 주소와 서비스를 먼저 구성하면 많은 정책에서 정의 된 주소와 서비스를 사용할 수 있습니다. 그런 식으로 하나의 주소 나 서비스가 변경되면 모든 정책에서 주소 나 서비스를 변경하기 위해 한 곳에서만 변경해야합니다.
SRX 관점에서 트래픽은 항상 한 영역에서 도착하여 다른 영역으로 이동합니다. 기술적으로 이러한 구역 교차는 컨텍스트 라고합니다. 컨텍스트는 보안 정책이 적용되는 곳입니다.
두 개의 영역 (관리자 및 트러스트 없음)이 있으므로 두 영역 내 정책 컨텍스트 (관리자 대 관리자 및 신뢰할 수없는 트러스트 없음)와 두 개의 영역 간 정책 컨텍스트 관리자에게 신뢰할 수 없음). 이들 모두가 여기에 구성되는 것은 아닙니다.
보안 정책 구성
먼저 관리자 영역에서 시작된 트래픽에 트러스트되지 않은 영역으로 전달할 수있는 권한을 부여하려는 경우
[편집] root # 보안 정책 편집 - 영역 관리자에서 영역 untrust [편집 보안 정책 - 영역 amdins - to-zone untrust] root # 정책 설정 admins-to-untrust 일치 원본 - 주소 모든 대상 - 모든 응용 프로그램의 주소 모든 루트 # set policy admins-to-untrust then allow root # show policy admins-to- untrust {match {소스 주소 any; 목적지 주소 any; application any;} {permit;}}
실제로 정책은 패킷 수를 계산하고 세션 시작을 기록하고 영역 간을 닫습니다.
관리자 영역의 호스트 간 트래픽을 허용하는 보안 정책을 만드는 두 번째 목표는 서비스 집합을 사용하여 수행하기 쉽습니다.
[보안 정책 편집 - 영역 관리자 - 대 - 영역 관리자] 루트 # 정책 설정 영역 내부 - 트래픽 일치 소스 - 주소 임의의 목적지 - 주소 응용 프로그램 MYSERVICES 루트 # 정책 설정 영역 내 트래픽 - 허가
이제 두 번째 요구 사항이 충족됩니다. 세 번째 포인트에는 구성이 필요하지 않으므로 관리자에 대한 신뢰할 수없는 액세스 트래픽을 거부합니다. "거부"가 기본 동작이기 때문에 SRX는 이미이를 처리했습니다.
정책 확인
정책이 예상대로 작동하는지 확인하는 가장 쉬운 방법은 데이터 트래픽을 테스트하는 것입니다. 또한 SRX 세션 테이블을 검사 할 수 있습니다.
root # show security flow session 세션 ID: 100001782, 정책 이름: admins-to-untrust / 4, 시간 초과: 1796 시간: 192. 168.2 2. 2/4777 → 216 52. 233.201/443; tcp, If: ge-0 / 0 / 0. 0 외: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, If: ge-0 / 0 / 2. 0 세션 ID: 100001790, 정책 이름: admins-to-untrust / 4, 시간 초과: 1800 시간: 192. 168.2 2. 4781 → 216. 239. 112. 126/80; tcp, If: ge-0 / 0 / 0. 0 외: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, If: ge-0 / 0 / 2. 0
현실 세계에서 이러한 정책은 로깅 및 계산을 수행하지만, 이는 단지 예일뿐입니다.
