Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral das políticas de segurança

Para proteger seus negócios, as organizações precisam controlar o acesso à LAN e seus recursos. As políticas de segurança geralmente são usadas para essa finalidade. O acesso seguro é necessário tanto dentro da empresa em toda a LAN quanto em suas interações com redes externas, como a Internet. O Junos OS oferece recursos poderosos de segurança de rede por meio de seu firewall stateful, firewall de aplicativos e firewall de identidade do usuário. Todos os três tipos de aplicação de firewall são implementados por meio de políticas de segurança. A sintaxe da política de firewall stateful é ampliada para incluir tuples adicionais para o firewall de aplicativos e o firewall de identidade do usuário.

Em um firewall stateful junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego à medida que passa pelo firewall. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Essa combinação de uma zona e de zona é chamada de contexto. Cada contexto contém uma lista ordenada de políticas. Cada política é processada para que seja definida em um contexto.

Uma política de segurança, que pode ser configurada a partir da interface do usuário, controla o fluxo de tráfego de uma zona para outra, definindo o tipo(s) de tráfego permitido de fontes de IP especificadas para destinos IP especificados em horários programados.

As políticas permitem que você negue, permita, rejeite (negue e envie uma mensagem de porta TCP RST ou ICMP inalcançável para o host de origem), criptografar e descriptografar, autenticar, priorizar, agendar, filtrar e monitorar o tráfego que tenta atravessar de uma zona de segurança para outra. Você decide quais usuários e quais dados podem entrar e sair, e quando e para onde eles podem ir.

Nota:

Para um dispositivo da Série SRX que oferece suporte a sistemas virtuais, as políticas definidas no sistema raiz não afetam as políticas definidas em sistemas virtuais.

Um dispositivo da Série SRX protege uma rede inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem passagem de uma zona de segurança para outra.

O recurso de registro também pode ser habilitado com políticas de segurança durante a inicialização da sessão (session-init) ou encerramento da sessão (session-close).

  • Para visualizar logs de conexões negadas, habilite o logon session-init.

  • Para registrar sessões após a conclusão/derrubada, habilite o logon session-close.

Nota:

O log de sessão é ativado em tempo real no código de fluxo que afeta o desempenho do usuário. Se ambos session-close estiverem session-init habilitados, o desempenho será ainda mais degradado em comparação apenas com a habilitação session-init .

Para dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550M, uma política de segurança padrão de fábrica é fornecida para:

  • Permite que todo o tráfego da zona de confiança até a zona não confiável.

  • Permite todo o tráfego entre zonas confiáveis, que é da zona de confiança até zonas de confiança intrazone.

  • Nega todo o tráfego da zona não confiável para a zona de confiança.

Através da criação de políticas, você pode controlar o fluxo de tráfego de zona em zona definindo os tipos de tráfego permitidos para passar de fontes especificadas para destinos especificados em horários programados.

No nível mais amplo, você pode permitir que todos os tipos de tráfego de qualquer fonte em uma zona até qualquer destino em todas as outras zonas sem quaisquer restrições de agendamento. No nível mais estreito, você pode criar uma política que permite apenas um tipo de tráfego entre um host especificado em uma zona e outro host especificado em outra zona durante um intervalo de tempo programado. Veja a Figura 1.

Figura 1: Política de segurança Security Policy

Toda vez que um pacote tenta passar de uma zona para outra ou entre duas interfaces ligadas à mesma zona, o dispositivo verifica uma política que permite esse tráfego (veja Entender zonas de segurança e exemplo: configurar aplicativos de políticas de segurança e conjuntos de aplicativos). Para permitir que o tráfego passe de uma zona de segurança para outra — por exemplo, da zona A à zona B — você deve configurar uma política que permita que a zona A envie o tráfego para a zona B. Para permitir que o tráfego flua para o outro lado, você deve configurar outra política que permita o tráfego da zona B até a zona A.

Para permitir que o tráfego de dados passe entre zonas, você deve configurar políticas de firewall.