차례:
비디오: Week 9 2024
SRX가 영역에 인터페이스를 할당하고 특정 서비스의 출입을 허용 할 수있는 경우 SRX는 그다지 중요하지 않습니다. 그러나 SRX는 훨씬 강력합니다. 영역과 인터페이스가 설정되면 SRX의 진정한 힘, 보안 정책 자체를 활용할 수 있습니다.
보안 정책이 없으면 SRX는 인터페이스 존을 만들고 특정 서비스를 차단할 수 있습니다. 보안 정책을 사용하면 SRX를 통해 허용되는 것과 허용되지 않는 것에 대한 세부 정보를 구성 할 수 있습니다.
여러 보안 정책
대규모 SRX는 수 백 또는 수천 개의 정책을 가질 수 있습니다. 정책이 너무 복잡해지기 때문입니다. 따라서 소스 및 대상 영역을 기반으로 트래픽에 적용되는 여러 정책을 가질 수 있습니다. 조치가 결정될 때까지 정책이 차례로 적용됩니다. 물론 최종 기본값은 트래픽을 거부하고 패킷을 버리는 것입니다.
모든 SRX 보안 정책은 IF-THEN-ELSE 알고리즘을 따릅니다. 트래픽 X가 일부 규칙과 일치하면 액션 Y가 수행되고 기본 거부 (드롭)가 적용됩니다.
검사 된 트래픽의 미리 정의되거나 구성된 소스 영역
미리 정의되거나 구성된 대상 영역. 트래픽이 향하는
-
트래픽의 소스 IP 주소 또는 주소록 내용
-
트래픽이 진행되는 목적지 주소 또는 주소록 내용
-
미리 정의되거나 구성된 응용 프로그램 또는 허용 서비스 또는 거부 된
-
들어오는 패킷이 정책의 IF 부분에있는 5 개의 기본 또는 구성된 매개 변수와 모두 일치하면 다음 작업 중 하나가 적용됩니다.
-
거부:
패킷이 자동으로 삭제됩니다.
-
거부: 패킷이 삭제되고 TCP-Rest가 송신자에게 전송됩니다.
-
허가: 패킷이 통과 할 수 있습니다.
-
Log: SRX는 패킷에 대한 로그 항목을 만듭니다.
-
개수: 패킷은 SRX 회계 프로세스의 일부로 계산됩니다.
-
액션이 패킷에 적용되면 정책 체인이 종료됩니다. 그래서 정책 명령 수! 일반적으로 체인의 맨 위에 가장 구체적인 규칙을 구성하고 맨 아래에는 더 일반적인 정책을 구성합니다.그렇지 않으면 하나의 정책이 다른 정책의 의도 된 효과를 가려 낼 수 있습니다. 이제, 이미 구성한 보안 영역에 예제 정책을 추가하십시오. 정책에서 수행 할 작업은 다음과 같습니다.
관리자 영역의 모든 호스트에서 트러스트되지 않은 영역의 모든 트래픽을 허용합니다.
관리자 영역의 모든 호스트에서 보낸 특정 트래픽을 같은 영역의 다른 호스트로 허용합니다.
-
비 신뢰 영역에서 관리자 영역으로의 모든 트래픽을 거부합니다.
