Mục lục:
- Cấu hình các chính sách bảo mật
- root # show security flow session Session ID: 100001782, Tên chính sách: admins-to-untrust / 4, Timeout: 1796 Trong: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, Nếu: ge-0/0/0. 0 Đuôi: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, Nếu: ge-0/0/2. 0 Session ID: 100001790, Tên chính sách: admins-to-untrust / 4, Timeout: 1800 Trong: 192. 168. 2. 2.4781 → 216. 239. 112. 126/80; tcp, Nếu: ge-0/0/0. 0 Đô: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, Nếu: ge-0/0/2. 0
Video: SCP-093 Red Sea Object | euclid | portal / extradimensional scp 2025
Sau khi bạn đã định cấu hình các địa chỉ và dịch vụ trên SRX, bạn đã sẵn sàng cấu hình chính sách an ninh chính nó. Cấu hình các địa chỉ và dịch vụ đầu tiên cho phép sử dụng địa chỉ và dịch vụ được xác định trong nhiều chính sách. Theo cách đó, nếu một địa chỉ hoặc dịch vụ thay đổi, nó chỉ cần được thay đổi ở một nơi để thay đổi nó trong tất cả các chính sách.
Từ quan điểm của SRX, lưu lượng truy cập luôn luôn đến từ một vùng và đi đến khu vực khác. Về mặt kỹ thuật, các khu vực giao cắt này được gọi là ngữ cảnh . Bối cảnh là nơi mà các chính sách an ninh được áp dụng.
Bạn chỉ có hai khu vực (quản trị viên và không tin cậy), do đó, có hai bối cảnh chính sách trong khu vực (quản trị viên đến quản trị viên và không tin tưởng vào không đáng tin cậy) và hai bối cảnh chính sách liên khu vực (quản trị viên không tin cậy và không tin tưởng vào quản trị viên). Không phải tất cả chúng sẽ được định cấu hình ở đây.
Cấu hình các chính sách bảo mật
Trước tiên, bạn muốn cung cấp cho lưu lượng truy cập có nguồn gốc từ khu vực quản trị viên được phép vượt qua vùng không tin cậy:
[sửa] root # chỉnh sửa các chính sách bảo mật từ quản trị viên khu vực đến khu vực không đáng tin cậy các chính sách bảo mật từ vùng amdins đến-zone không tin cậy] root # thiết lập chính sách admins-to-untrust match source-address bất kỳ destination-address nào bất kỳ ứng dụng nào root # set policy admins-to-untrust sau đó cho phép root # show policy admins- không đáng tin cậy {match {source-address any; đích đến-địa chỉ nào; Thực tế, chính sách có thể sẽ tính các gói tin và đăng nhập các phiên làm việc và đóng cửa giữa các khu vực.
[edit security policies from- quản trị viên khu vực để quản trị viên khu vực] root # thiết lập chính sách nội vùng-giao thông phù hợp với nguồn-địa chỉ bất kỳ đích đến-địa chỉ nào ứng dụng MYSERVICES root # thiết lập chính sách intra-zone-traffic sau đó cho phép
Yêu cầu thứ hai bây giờ đã được thỏa mãn. Không có cấu hình là cần thiết cho điểm thứ ba, từ chối lưu lượng truy cập từ không tin cậy truy cập vào quản trị viên. Bởi vì "từ chối" là hành động mặc định, SRX đã thực hiện việc đó.
Xác minh các chính sách
Cách dễ nhất để xác minh rằng các chính sách đang hoạt động như mong đợi là kiểm tra lưu lượng dữ liệu. Bạn cũng có thể kiểm tra bảng phiên SRX:root # show security flow session Session ID: 100001782, Tên chính sách: admins-to-untrust / 4, Timeout: 1796 Trong: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, Nếu: ge-0/0/0. 0 Đuôi: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, Nếu: ge-0/0/2. 0 Session ID: 100001790, Tên chính sách: admins-to-untrust / 4, Timeout: 1800 Trong: 192. 168. 2. 2.4781 → 216. 239. 112. 126/80; tcp, Nếu: ge-0/0/0. 0 Đô: 216. 239. 112. 126/80 → 192. 168. 2. 2/4781; tcp, Nếu: ge-0/0/2. 0
Trong thế giới thực, các chính sách này sẽ thực hiện khai thác gỗ và đếm, nhưng hãy nhớ, đây chỉ là ví dụ.
