Cómo gestionar múltiples políticas de seguridad en la puerta de enlace de servicios SRX
Si el SRX sólo pudo asignar interfaces a zonas y permitir ciertos servicios dentro y fuera, no habría mucho a ella. Pero el SRX es mucho más potente. Después de tener zonas e interfaces creados, puede aprovechar el poder real de la SRX: las propias políticas de seguridad.
Sin políticas de seguridad, todo el SRX podría hacer es crear zonas de interfaz y la pantalla a cabo determinados servicios. Las políticas de seguridad le permiten configurar los detalles de lo que está y no está permitido por la SRX.
Políticas de seguridad Múltiples
Grandes SRXs pueden tener cientos o incluso miles de políticas, porque las políticas se vuelven más y más complejo ya que tratar de hacer demasiado. Por lo tanto, usted puede tener varias políticas que se aplican al tráfico, todos ellos basados en la fuente y la zona de destino. Las políticas se aplican una tras otra hasta que se determine una acción. El valor predeterminado final, por supuesto, es negar el tráfico y descartar el paquete.
La excepción a la regla de denegación predeterminada es el tráfico en la fxp0 interfaz de gestión, lo que hace que la gestión del SRX posible en todo momento (incluso cuando configuraciones se descontrolan), y permitir que este tráfico es un pequeño riesgo debido a tráfico de usuarios fuera nunca aparece en esta interfaz.
Todas las políticas de seguridad SRX siguen un algoritmo IF-THEN-ELSE. Si el tráfico X coincide con alguna regla, entonces se realiza la acción Y, ELSE la denegación predeterminada (caída) se aplica.
La parte SI de la política examina cinco aspectos de paquetes para poner a prueba para un partido:
La zona de origen predefinido o configurado del tráfico inspeccionado
La zona de destino predefinido o configurar dónde se dirige el tráfico
La dirección IP de origen, o de la libreta de direcciones de contenidos, el tráfico
La dirección de destino, o la dirección de contenidos del libro, donde se dirige el tráfico
La aplicación o servicio predefinido o configurados para ser permitidos o denegados
Cuando un paquete entrante coincide con todos los parámetros de cinco predeterminados o configurados en la parte SI de la política, una de estas acciones se aplica:
Denegar: El paquete se cayó en silencio.
Rechazar: El paquete se descarta, y TCP-Rest se envía al remitente.
Permiso: Se permite que el paquete a pasar.
Log: El SRX crea una entrada de registro para el paquete.
Incluido: El paquete se contará como parte del proceso de contabilidad SRX.
Cuando se aplica una acción a un paquete, se termina la cadena de política. Así que los recuentos de orden política! En general, se configuran las reglas más específicas en la parte superior de la cadena y las políticas más generales en la parte inferior. De lo contrario, una política podría enmascarar el efecto previsto de otro.
Ahora, agregue una política de ejemplo para las zonas de seguridad que ya ha configurado. Esto es lo que quiere la política que debe hacer:
Permitir todo el tráfico desde cualquier host en el administradores zona a cualquier destino en el untrust zona.
Permitir cierto tráfico desde cualquier host en el administradores zona a cualquier otro host en la misma zona.
Denegar todo el tráfico de la untrust zona a la administradores zona.
-
Acciones de los partidos políticos de enrutamiento por defecto en Junos - Una brecha se-es la red en áreas
- Cómo aplicar una política de enrutamiento a todo el tráfico usando Junos
- Cómo aplicar políticas de enrutamiento con un protocolo utilizando Junos
-
¿Cómo clasificar el tráfico entrante usando cos en los routers Junos - Cómo configurar y verificar las políticas de seguridad en la puerta de enlace de servicios SRX
Cómo configurar las libretas de direcciones de puerta de enlace de servicios SRX Si el SRX sólo pudo asignar interfaces a zonas y permitir ciertos servicios dentro y fuera, no habría mucho a ella. Pero el SRX es mucho más potente. Después de tener zonas e interfaces creados, puede aprovechar el poder real de la SRX: las…
Cómo configurar nat en una srx Junos NAT puede traducir direcciones de diferentes maneras. Puede configurar reglas para aplicar al tráfico para ver qué tipo de NAT se debe utilizar en un caso particular. Puede configurar el SRX para realizar los siguientes servicios NAT:Utilice la…
Cómo configurar políticas de enrutamiento que anuncian rutas de Junos En el sistema operativo Junos, consiguiendo rutas BGP en la tabla de enrutamiento es una cuestión de publicidad. El comportamiento predeterminado de BGP es aceptar todas las rutas sin bucles aprendido a través de BGP. Debe configurar políticas de…
Cómo configurar el enrutamiento condiciones de coincidencia política en Junos El objetivo de las políticas de enrutamiento es tomar una ruta en particular (y sus atributos correspondientes) y el partido contra algunos valores esperados. En este contexto, se forman las condiciones de los partidos de la si parte de una…
Cómo configurar el enrutamiento términos de política de Junos Los componentes básicos que conforman las políticas de enrutamiento se llaman términos. Cada término contiene las condiciones de los partidos, una serie de " si " declaraciones que se comparan con las rutas en estudio. Las condiciones de los…
Cómo configurar zonas de seguridad SRX con Junos No se puede gestionar la puerta de enlace de servicios SRX como lo haría un router. El SRX es un dispositivo de bloqueo. Ni siquiera se puede hacer ping a una interfaz en el SRX inicialmente, incluso si no tiene una dirección IP válida. El SRX…
Cómo excluir el tráfico procedente de nat en una srx Junos Después de haber configurado los servicios NAT SRX utilizando la interfaz de salida o el método de la piscina, se puede crear una regla para excluir cierta tráfico desde el proceso de NAT. Esta configuración se puede hacer para permitir que…
Cómo limitar el tráfico en las interfaces del router Junos Con el fin de impedir un tipo de denegación de servicio (DoS) en el router Junos, puede utilizar policers Junos para decirle al enrutador qué hacer para limitar el impacto de un ataque de ese tipo.Algunos ataques DoS en los routers funcionan…
Cómo hacer coincidir el tráfico en función utilizando clasificadores multicampo en Junos Multicampo (MF) clasificadores examinar la cabecera del paquete y en base a los contenidos del mismo, asignar el paquete a una clase de reenvío. A diferencia agregada comportamiento (BA) clasificadores, clasificadores MF examinan más que sólo los…
Cómo evitar el hambre de colas en los routers Junos Para evitar el hambre de sus otras colas, es posible que desee configurar un controlador de políticas de salida que define un límite para la cantidad de tráfico de la cola puede dar servicio.Con puesta en cola configurado prioridad estricta, sus…
Cómo configurar la administración remota en banda en dispositivos Junos Para la gestión remota en banda, primero debe decidir qué interfaz que desea como su interfaz de gestión. En general, el tráfico de administración no es excesivo, o incluso sustancial, así que escoger cualquiera de las interfaces más lentas…
Opciones de traducción de direcciones de origen Nat en Junos Los servicios de seguridad no son los únicos servicios suministrados por el SRX (aunque los servicios de seguridad son los más vitales). Puede configurar otros servicios, tales como NAT traducción de direcciones de origen, también. En esencia,…