安全策略概述
为了保护其业务,组织必须控制对其 LAN 和资源的访问。安全策略通常用于此目的。无论是在公司内部通过 LAN 进行安全访问,还是在与外部网络(如 Internet)的交互中,都需要安全访问。Junos OS 通过其状态防火墙、应用程序防火墙和用户身份防火墙提供强大的网络安全功能。所有这三种类型的防火墙实施都是通过安全策略实现的。状态防火墙策略语法将扩大,以包括应用程序防火墙和用户身份防火墙的其他元组。
在 Junos OS 有状态防火墙中,安全策略根据哪些流量可以通过防火墙以及流量通过防火墙时需要对流量执行的操作来强制执行传输流量规则。从安全策略的角度来看,流量进入一个安全区域并退出另一个安全区域。 这种从区域 和 目标区域 的组合称为 上下文。每个上下文都包含一个 有序的策略列表 。每个策略都按照其在上下文中定义的顺序进行处理。
可以从用户界面配置的安全策略通过定义在计划时间允许从指定 IP 源到指定 IP 目标的流量类型,控制从一个区域到另一个区域的流量流。
通过策略,可以拒绝、允许、拒绝(拒绝并将 TCP RST 或 ICMP 端口无法访问的消息发送到源主机)、加密和解密、进行身份验证、确定优先级、安排、过滤和监控试图从一个安全区域跨越到另一个安全区域的流量。您可以决定哪些用户和哪些数据可以进入和退出,以及他们可以在何时何地访问。
对于支持虚拟系统的 SRX 系列防火墙,根系统中设置的策略不会影响虚拟系统中设置的策略。
SRX 系列防火墙通过检查然后允许或拒绝所有需要从一个安全区域传递到另一个安全区域的连接尝试来保护网络。
还可以在会话初始化 (session-init) 或会话关闭 (session-close) 阶段使用安全策略启用日志记录功能。
要查看被拒绝连接的日志,请启用 登录
session-init。要在会话结束/拆除后记录会话,请启用登录
session-close。
会话日志在流代码中实时启用,这会影响用户性能。如果同时 session-close 启用和 session-init ,则与仅启用 session-init 相比,性能会进一步下降。
对于 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550M 设备,提供了出厂默认安全策略:
允许从信任区域到不信任区域的所有流量。
允许受信任区域之间的所有流量,即从信任区域到区域内受信任区域的所有流量。
拒绝从不信任区域到信任区域的所有流量。
通过创建策略,您可以通过定义允许在计划时间从指定源传递到指定目标的流量类型来控制区域之间的流量。
在最广泛的层面上,您可以允许从一个区域中的任何源到所有其他区域中任何目标的各种流量,而没有任何计划限制。在最窄的级别上,您可以创建一个策略,在计划的时间间隔内,只允许一个区域中的指定主机与另一个区域中的另一个指定主机之间的一种流量。参见 图 1。
每次数据包尝试从一个区域传递到另一个区域或在绑定到同一区域的两个接口之间传递时,设备都会检查允许此类流量的策略(请参阅 了解安全区域 和 示例:配置安全策略应用程序和应用程序集)。若要允许流量从一个安全区域传递到另一个安全区域(例如,从区域 A 传递到区域 B),必须配置允许区域 A 将流量发送到区域 B 的策略。要允许流量以其他方式流动,您必须配置另一个策略,以允许从区域 B 到区域 A 的流量。
要允许数据流量在区域之间传递,必须配置防火墙策略。