Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全策略概述

为了保护其业务,组织必须控制对其 LAN 及其资源的访问。安全策略通常用于此目的。在公司内部,通过 LAN 以及与外部网络(如 Internet)的交互都需要安全访问。Junos OS 通过其状态防火墙、应用防火墙和用户身份防火墙提供强大的网络安全功能。所有三种类型的防火墙实施都是通过安全策略实施的。状态防火墙策略语法已扩展,以包括应用程序防火墙和用户标识防火墙的其他元组。

在 Junos OS 状态式防火墙中,安全策略会强制执行传输流量规则,包括哪些流量可以通过防火墙,以及流量通过防火墙时需要对其执行的作。从安全策略的角度来看,流量进入一个安全区域,离开另一个安全区域。 “从区域” “到区域 ”的这种组合称为 上下文。每个上下文都包含一个 有序的策略列表 。每个策略都按照在上下文中定义的顺序进行处理。

可从用户界面配置的安全策略通过定义在计划时间允许从指定 IP 源到指定 IP 目标的流量类型,控制从一个区域到另一个区域的流量。

策略允许您拒绝、允许、拒绝(拒绝并向源主机发送 TCP RST 或 ICMP 端口无法访问的消息)、加密和解密、身份验证、优先级、计划、过滤和监控尝试从一个安全区域穿越到另一个安全区域的流量。您可以决定哪些用户和哪些数据可以进入和退出,以及这些用户和数据可以在何时何地传输。

SRX 系列防火墙通过检查,然后允许或拒绝所有需要从一个安全区域通道到另一个安全区域的连接尝试来保护网络。

在会话初始化 (session-init) 或会话关闭 (session-close) 阶段,还可以通过安全策略启用日志记录功能。

  • 要查看来自被拒绝连接的日志,请启用 log on session-init

  • 要在会话结束/拆解后记录会话,请启用 log on session-close

注意:

会话日志在流代码中实时启用,这会影响用户性能。如果同时 session-close 启用和 session-init ,则与仅启用 session-init 相比,性能会进一步降低。

通过创建策略,您可以通过定义允许在计划时间从指定源传递到指定目标的流量类型来控制从一个区域到另一个区域的流量。

从最广泛的层面上,您可以允许从一个区域中的任何源到所有其他区域中的任何目标的各种流量,而不受任何调度限制。在最窄级别上,您可以创建一个策略,该策略只允许在计划的时间间隔内在一个区域中的指定主机和另一个区域中的另一个指定主机之间产生一种流量。请参阅 图 1

图 1:安全策略 Security Policy

每次数据包尝试从一个区域传递到另一个区域,或在绑定同一区域的两个接口之间传递时,设备都会检查是否允许此类流量的策略(请参阅 了解安全区域示例:配置安全策略应用和应用集)。要允许流量从一个安全区域传递到另一个安全区域(例如,从区域 A 传递到区域 B),您必须配置允许区域 A 将流量发送到区域 B 的策略。要允许流量反向流动,您必须配置另一个策略,允许流量从区域 B 流向区域 A。

要允许数据流量在区域之间传递,必须配置防火墙策略。

特定于平台的安全策略行为

使用 功能浏览器 确认平台和版本对特定功能的支持。

使用下表查看您的平台特定于平台的行为:

平台

差异

SRX 系列

SRX300、SRX320、SRX340、SRX345、SRX380 和支持出厂默认安全策略的 SRX550M 设备:

  • 允许从信任区域到不信任区域的所有流量。

  • 允许可信区域之间的所有流量,即从信任区域到区域内可信区域的所有流量。

  • 拒绝从不信任区域到信任区域的所有流量。

  • 在支持虚拟系统的 SRX 系列设备上,在根系统中设置的策略不会影响在虚拟系统中设置的策略。