目次:
ビデオ: Week 9 2024
SRXでアドレスとサービスを設定すると、セキュリティポリシー自体を設定します。アドレスとサービスを最初に設定すると、定義されたアドレスとサービスを多くのポリシーで使用できます。このようにして、1つのアドレスまたはサービスが変更された場合は、すべてのポリシーで変更するために、1つのアドレスまたはサービスを変更する必要があります。
SRXの観点からは、トラフィックは常に1つのゾーンから到着し、別のゾーンに向かいます。技術的には、これらのゾーン横断は コンテキスト と呼ばれます。コンテキストは、セキュリティポリシーが適用される場所です。
<! - 1 - >ゾーンには2つのゾーン(管理者と信頼できない)があるため、2つのゾーン内ポリシーのコンテキスト(管理者から管理者、および信頼できないもの)と2つのゾーン間ポリシーのコンテキスト管理者には信頼できない)。これらのすべてがここで設定されるわけではありません。
セキュリティポリシーを設定する
まず、adminsゾーンから発信されたトラフィックに、untrustゾーンに渡す権限を与えたいとします。
[edit] root#セキュリティポリシーをゾーンから編集します。セキュリティポリシーのゾーンからアントラストへのルート]#ルートポリシーの管理者とアントラストの一致元のアドレス任意のアプリケーションすべてのルート任意のルート#set policy管理者から信頼されていない場合はrootを許可するshow policy admins- untrust {match {ソースアドレスany;宛先アドレスany; application any;}次に{permit;}}
現実的には、ポリシーはパケットをカウントし、セッション開始を記録し、ゾーン間を閉じます。
<!管理対象ゾーン内のホスト間の特定のトラフィックを許可するセキュリティポリシーを作成することです。これは、サービスセットを使用して簡単に実行できます。[セキュリティポリシーの編集 - ゾーン管理者からゾーン管理者] root#set policyイントラゾーントラフィックと一致するすべての宛先アドレス任意のアプリケーションMYSERVICES root#set policyイントラゾーントラフィックから許可
2番目の要件が満たされました。第3のポイントでは、管理者への信頼できないアクセスからのトラフィックを拒否するための設定は不要です。 「拒否」がデフォルトのアクションであるため、SRXはすでにそれを処理しています。
<! - 3 - >
ポリシーを確認するポリシーが期待どおりに機能していることを確認する最も簡単な方法は、データトラフィックをテストすることです。また、SRXセッションテーブルを調べることもできます。
root#show security flow sessionセッションID:100001782、ポリシー名:admins-to-untrust / 4、タイムアウト:1796 In:192.1.2.2/4777→216 52. 233。201/443; tcp、if:ge-0/0/0。 0アウト:216. 52. 233. 201/443→192. 168. 2. 2/4777; tcp、If:ge-0/0/2。 0セッションID:100001790、ポリシー名:admins-to-untrust / 4、タイムアウト:1800 In:192.2.24781→216.239、112. 126/80; tcp、if:ge-0/0/0。 0アウト:216. 239. 112. 126/80→192. 168. 2. 2/4781; tcp、If:ge-0/0/2。 0 999実際の世界では、これらのポリシーはロギングとカウントを実行しますが、これは単なる例にすぎません。
