Оглавление:
Видео: Ron Paul on Understanding Power: the Federal Reserve, Finance, Money, and the Economy 2025
Если SRX может назначать интерфейсы только для зон и разрешать доступ к определенным службам, их не будет много. Но SRX намного мощнее. После настройки зон и интерфейсов вы можете использовать реальную мощность SRX: сами политики безопасности.
Без политик безопасности все, что может сделать SRX, это создать зоны интерфейса и отобразить определенные службы. Политики безопасности позволяют вам настроить детали того, что есть и не разрешено через SRX.
Несколько политик безопасности
Большие SRX могут иметь сотни или даже тысячи политик, потому что политики становятся все более сложными, поскольку они стараются и делают слишком много. Таким образом, вы можете иметь несколько политик, применяемых к трафику, все они основаны на исходной и целевой зонах. Политики применяются один за другим до тех пор, пока не будет определено действие. Конечным дефолтом, конечно же, является отказ в трафике и отказ от пакета.
Исключение из правила deny по умолчанию - это трафик на интерфейсе управления fxp0, что позволяет управлять SRX в любое время (даже когда конфигурации идут с haywire), и разрешая этому трафику небольшой риск потому что внешний интерфейс пользователя никогда не появляется на этом интерфейсе.
Все политики безопасности SRX следуют алгоритму IF-THEN-ELSE. IF-трафик X соответствует некоторому правилу, THEN выполняется действие Y, ELSE применяется отрицательный отказ (drop) по умолчанию.
IF-часть политики рассматривает пять аспектов пакетов для проверки соответствия:
-
Предопределенная или настроенная исходная зона проверенного трафика
-
Предопределенная или сконфигурированная зона назначения, где трафик возглавляется
-
Исходный IP-адрес или содержимое адресной книги трафика
-
Адрес получателя или содержимое адресной книги, в котором загорается трафик
-
Предопределенное или настроенное приложение или услуга, которые должны быть разрешены или denied
Когда входящий пакет соответствует всем пяти параметрам по умолчанию или настройкам в IF-части политики, применяется одно из этих действий:
-
Запретить: Пакет тихо отбрасывается.
-
Отклонить: Пакет удаляется, а отправитель TCP-Rest отправляется отправителю.
-
Разрешение: Пакет разрешен.
-
Журнал: SRX создает запись журнала для пакета.
-
Count: Пакет считается частью процесса учета SRX.
Когда действие применяется к пакету, цепочка политики завершается. Итак, порядок полисов! Как правило, вы настраиваете наиболее конкретные правила в верхней части цепочки и более общие политики внизу.В противном случае одна политика может маскировать предполагаемый эффект другого.
Теперь добавьте пример политики в зоны безопасности, которые вы уже настроили. Вот то, что вы хотите, чтобы политика выполняла:
-
Разрешить любой трафик с любых хостов в зоне администраторов до любого адресата в ненадежной зоне.
-
Разрешить определенный трафик с любых хостов в зоне админов на любой другой хост в той же зоне.
-
Запретить любой трафик от ненадежной зоны до зоны админов.
