Mục lục:
Video: Thương Vụ Vũ Khí Tỷ Đô Mỹ-Đài | Trung Quốc Không Kiểm Duyệt 2025
Nếu SRX chỉ có thể chỉ định các giao diện cho các khu vực và cho phép một số dịch vụ nhất định vào và ra, sẽ không có gì nhiều. Nhưng SRX mạnh hơn nhiều. Sau khi đã thiết lập các khu và giao diện, bạn có thể nhấn mạnh vào sức mạnh thực của SRX: chính sách an ninh.
Nếu không có chính sách bảo mật, tất cả SRX có thể làm là tạo ra các vùng giao diện và kiểm tra các dịch vụ nhất định. Chính sách bảo mật cho phép bạn định cấu hình chi tiết về những gì và không được phép qua SRX.
Nhiều chính sách bảo mật
Các SRX lớn có thể có hàng trăm hoặc thậm chí hàng ngàn chính sách vì các chính sách trở nên phức tạp hơn khi họ cố gắng làm quá nhiều. Vì vậy, bạn có thể có nhiều chính sách được áp dụng cho lưu lượng truy cập, tất cả dựa trên nguồn và đích. Các chính sách được áp dụng lần lượt cho đến khi một hành động được xác định. Dĩ nhiên, mặc định cuối cùng là từ chối lưu lượng truy cập và loại bỏ gói tin.
Tất cả các chính sách bảo mật SRX tuân theo thuật toán IF-THEN-ELSE. NẾU giao thông X khớp với một số quy tắc, THEN hành động Y được thực hiện, ELSE mặc định từ chối (thả) được áp dụng.
Khu vực nguồn được xác định trước hoặc được định cấu hình của lưu lượng truy cập được kiểm tra Khu đích đích đã được xác định trước hoặc được cấu hình lưu lượng truy cập
-
Địa chỉ IP nguồn, hoặc nội dung sổ địa chỉ, của lưu lượng truy cập
-
Địa chỉ đích hoặc nội dung của sổ địa chỉ, nơi lưu lượng truy cập được bắt đầu
-
Ứng dụng hoặc dịch vụ được xác định trước hoặc được phép hoặc bị từ chối
-
Khi một gói tin gửi đi phù hợp với tất cả 5 tham số mặc định hoặc được cấu hình trong phần IF của chính sách, một trong những hành động này được áp dụng:
-
Từ chối:
Gói tin bị âm thầm.
-
Từ chối: Gói này bị bỏ và một phần còn lại TCP được gửi tới người khởi tạo.
-
Giấy phép: Gói tin này được phép vượt qua.
-
Nhật ký: SRX tạo một mục nhật ký cho gói.
-
Số lượng: Gói này được tính là một phần của quá trình kế toán SRX.
-
Khi một hành động được áp dụng cho một gói tin, chuỗi chính sách sẽ bị chấm dứt. Vì vậy, chính sách đếm! Nói chung, bạn cấu hình các quy tắc cụ thể nhất ở đầu chuỗi và các chính sách chung chung ở cuối.Nếu không, một chính sách có thể che giấu hiệu quả dự định của người khác. Bây giờ, thêm một chính sách ví dụ vào các khu vực an ninh bạn đã cấu hình. Đây là những gì bạn muốn chính sách thực hiện:
Cho phép bất kỳ lưu lượng truy cập nào từ bất kỳ máy chủ nào trong khu vực quản trị viên đến bất kỳ điểm đến nào trong vùng không tin cậy.
Cho phép lưu lượng truy cập nhất định từ bất kỳ máy nào trong khu vực quản trị viên đến bất kỳ máy chủ lưu trữ khác trong cùng khu vực.
-
Từ chối mọi lưu lượng truy cập từ vùng không đáng tin đến khu vực quản trị viên.
