Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral das políticas de segurança

Para proteger seus negócios, as organizações precisam controlar o acesso à sua LAN e seus recursos. As políticas de segurança são comumente usadas para essa finalidade. O acesso seguro é necessário tanto dentro da empresa em toda a LAN quanto em suas interações com redes externas, como a Internet. O Junos OS oferece recursos poderosos de segurança de rede por meio de seu firewall stateful, firewall de aplicativos e firewall de identidade do usuário. Todos os três tipos de aplicação de firewall são implementados por meio de políticas de segurança. A sintaxe da política de firewall stateful é ampliada para incluir tuples adicionais para o firewall de aplicativos e o firewall de identidade do usuário.

Em um firewall stateful do Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego conforme ele passa pelo firewall. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Essa combinação de zona a zona é chamada de contexto. Cada contexto contém uma lista ordenada de políticas. Cada política é processada na ordem em que é definida em um contexto.

Uma política de segurança, que pode ser configurada a partir da interface do usuário, controla o fluxo de tráfego de uma zona para outra, definindo os tipos(s) de tráfego permitido de fontes IP especificadas para destinos IP especificados em horários programados.

As políticas permitem que você negue, permita, rejeite (negue e envie uma mensagem inalcançável de porta TCP RST ou ICMP para o host de origem), criptografar e descriptografar, autenticar, priorizar, agendar, filtrar e monitorar o tráfego que tenta atravessar de uma zona de segurança para outra. Você decide quais usuários e quais dados podem entrar e sair, e quando e para onde eles podem ir.

Nota:

Para um firewall da Série SRX que oferece suporte a sistemas virtuais, as políticas definidas no sistema raiz não afetam as políticas definidas em sistemas virtuais.

Um firewall da Série SRX protege uma rede inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem a passagem de uma zona de segurança para outra.

O recurso de registro também pode ser habilitado com políticas de segurança durante a inicialização de sessão (session-init) ou encerramento da sessão (session-close).

  • Para visualizar logs de conexões negadas, habilite o login.session-init

  • Para registrar sessões após a conclusão/demolição, habilite o log em session-close.

Nota:

O log de sessão é habilitado em tempo real no código de fluxo que afeta o desempenho do usuário. Se ambos session-close estiverem session-init habilitados, o desempenho será ainda mais degradado em comparação com apenas habilitação session-init .

Para os dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550M, é fornecida uma política de segurança padrão de fábrica que:

  • Permite todo o tráfego da zona de confiança até a zona não confiável.

  • Permite todo o tráfego entre zonas confiáveis, que é da zona de confiança até zonas confiáveis da intrazona.

  • Nega todo o tráfego da zona não confiável para a zona de confiança.

Através da criação de políticas, você pode controlar o fluxo de tráfego de zona a zona definindo os tipos de tráfego permitidos para passar de fontes especificadas para destinos especificados em horários programados.

No nível mais amplo, você pode permitir todos os tipos de tráfego de qualquer fonte em uma zona a qualquer destino em todas as outras zonas sem qualquer restrição de agendamento. No nível mais estreito, você pode criar uma política que permite apenas um tipo de tráfego entre um host especificado em uma zona e outro host especificado em outra zona durante um intervalo de tempo programado. Veja a Figura 1.

Figura 1: Política de segurança Security Policy

Toda vez que um pacote tenta passar de uma zona para outra ou entre duas interfaces vinculadas à mesma zona, o dispositivo verifica uma política que permite esse tráfego (veja Entendendo zonas de segurança e exemplo: configurando aplicativos de políticas de segurança e conjuntos de aplicativos). Para permitir que o tráfego passe de uma zona de segurança para outra — por exemplo, da zona A à zona B — você deve configurar uma política que permita que a zona A envie tráfego para a zona B. Para permitir que o tráfego flua para o outro lado, você deve configurar outra política que permita o tráfego da zona B à zona A.

Para permitir que o tráfego de dados passe entre zonas, você deve configurar políticas de firewall.