目录:
- [编辑] root#编辑安全策略从区域管理员到区域untrust [编辑]安全策略从区域amdins到区域untrust root#设置策略admins-to-untrust匹配源地址任何目标地址任何应用程序任何root#设置策略admins-to-untrust然后允许root#show policy admins-to- untrust {match {source-address any; destination-address any;应用程序任何;然后{允许;}}
- 在现实世界中,这些策略将执行日志记录和计数,但请记住,这些仅仅是示例。
在SRX上配置了地址和服务之后,即可准备好配置安全策略本身。首先配置地址和服务允许定义的地址和服务在许多策略中使用。这样,如果一个地址或服务发生了变化,则只能在一个地方进行更改,以便在所有策略中进行更改。从SRX的角度来看,流量总是从一个区域到达另一个区域。从技术上讲,这些区域跨越被称为
上下文 。上下文是应用安全策略的地方。 <!你只有两个区域(管理员和不信任),所以有两个区域内策略上下文(管理员对管理员和不信任到不信任)和两个区域间策略上下文(管理员不信任和不信任管理员)。不是所有的人都会在这里配置。
配置安全策略首先,您要将源自管理员区域的流量传递给untrust区域:
[编辑] root#编辑安全策略从区域管理员到区域untrust [编辑]安全策略从区域amdins到区域untrust root#设置策略admins-to-untrust匹配源地址任何目标地址任何应用程序任何root#设置策略admins-to-untrust然后允许root#show policy admins-to- untrust {match {source-address any; destination-address any;应用程序任何;然后{允许;}}
实际上,策略可能会计数数据包并记录会话启动,并关闭区域之间。
<!第二个目标是建立一个安全策略来允许管理员区域内的主机之间有一定的流量,这很容易做到,使用你的服务集:
[编辑安全策略从 - 区域管理员到区域管理员] root#设置策略区域内流量匹配源地址任何目的地址任何应用程序MYSERVICES根目录#设置策略内部区域 - 流量然后允许
现在满足第二个要求。第三点不需要配置,拒绝来自不信任访问管理员的流量。因为“拒绝”是默认行为,所以SRX已经考虑到了这一点。
验证策略
验证策略是否按预期工作的最简单方法是测试数据流量。您还可以检查SRX会话表:
root#show security flow session会话ID:100001782,策略名称:admins-to-untrust / 4,Timeout:1796 In:192。168. 2. 2/4777→216 52. 233。四百四十三分之二百〇一; tcp,如果:ge-0/0/0。 0 Out:216。52. 233. 201/443→192. 168. 2. 2/4777; tcp,如果:ge-0/0/2。 0会话ID:100001790,策略名称:admins-to-untrust / 4,Timeout:1800 In:192.268.82.24781→216.293.112.126/80; tcp,如果:ge-0/0/0。 0 Out:216. 239. 112. 126/80→192. 168. 2. 2/4781; tcp,如果:ge-0/0/2。 0在现实世界中,这些策略将执行日志记录和计数,但请记住,这些仅仅是示例。
