目次:
SRXがゾーンにインターフェイスを割り当て、特定のサービスの入出力を許可することができた場合、SRXにはそれほど大きな影響はありません。しかし、SRXははるかに強力です。ゾーンとインターフェイスがセットアップされたら、SRXの真のパワー、つまりセキュリティポリシー自体に触れることができます。
セキュリティポリシーがなければ、SRXはインターフェイスゾーンを作成して特定のサービスを除外することができます。セキュリティポリシーを使用すると、SRXを介して許可される内容と許可されない内容の詳細を設定できます。
<! - 1 - >複数のセキュリティポリシー
大規模なSRXは、数多くのポリシーを持つことができます。したがって、トラフィックに適用される複数のポリシーをすべてソースゾーンと宛先ゾーンに基づいて作成できます。アクションが決定されるまで、ポリシーは順番に適用されます。もちろん、最終的なデフォルトはトラフィックを拒否し、パケットを破棄することです。
<!デフォルトの拒否ルールの例外はfxp0管理インターフェイス上のトラフィックで、SRXの管理はいつでも可能です(設定が間違っている場合でも)。このトラフィックを許可することは小さなリスクです外部ユーザーのトラフィックがこのインターフェイスに表示されないためです。すべてのSRXセキュリティポリシーは、IF-THEN-ELSEアルゴリズムに従います。トラフィックXがルールに一致する場合、アクションYが実行され、ELSEではデフォルトの拒否(ドロップ)が適用されます。
検査されたトラフィックの事前定義済みまたは構成済みソースゾーン
-
トラフィックが進行中
-
トラフィックの送信元IPアドレスまたはアドレス帳の内容
-
トラフィックが進行している宛先アドレスまたはアドレス帳の内容
-
あらかじめ定義または構成されている許可されるアプリケーションまたはサービス拒否
-
受信パケットがポリシーのIF部分の5つのデフォルトまたは構成パラメータすべてに一致すると、次のいずれかのアクションが適用されます。
拒否:
-
拒否:
-
パケットが破棄され、TCP-Restが発信者に送信されます。 Permit:
-
パケットは通過できます。 ログ:
-
SRXはパケットのログエントリを作成します。 カウント:
-
パケットはSRXアカウンティングプロセスの一部としてカウントされます。 アクションがパケットに適用されると、ポリシーチェーンは終了する。だから、ポリシーの順序は重要です!一般的に、最も具体的なルールはチェーンの一番上に、より一般的なポリシーは最下部に設定します。さもなければ、1つの方針は別の方針の意図された効果を隠すかもしれません
ここで、既に設定したセキュリティゾーンにポリシーの例を追加します。ポリシーで実行する操作は次のとおりです。
adminsゾーンのホストからuntrustゾーンの任意の宛先へのすべてのトラフィックを許可します。
-
管理ゾーン内の任意のホストからの特定のトラフィックを、同じゾーン内の他のホストに許可します。
-
非信頼ゾーンから管理ゾーンへのトラフィックを拒否します。
