安全策略概述
为了保护业务安全,组织必须控制对 LAN 及其资源的访问。安全策略通常用于此目的。在公司内部,无论是通过 LAN 还是在与外部网络(如互联网)的交互中,都需要安全访问。Junos OS 通过其状态防火墙、应用程序防火墙和用户身份防火墙提供强大的网络安全功能。所有三种类型的防火墙实施均通过安全策略实施。状态防火墙策略语法已扩大,以包括应用程序防火墙和用户身份防火墙的附加元块。
在 Junos OS 有状态防火墙中,安全策略针对传输流量实施规则、信息流可通过防火墙的内容以及信息流通过防火墙时需要执行的操作。从安全策略的角度来看,流量进入一个安全区域并退出另一个安全区域。 这种从区域 到 区域 的组合称为 上下文。每个上下文都包含一个有序的策略 列表 。每个策略按在上下文中定义的顺序进行处理。
可从用户界面配置的安全策略可定义指定 IP 源允许到指定 IP 目标的流量类型,从而控制从一个区域到另一个区域的流量。
策略允许您拒绝、允许、拒绝(拒绝并将 TCP RST 或 ICMP 端口无法访问的消息发送至源主机),对试图从一个安全区域到另一个安全区域的流量进行加密和解密、身份验证、优先级排序、计划、过滤和监控。您可以决定哪些用户以及可以进出哪些数据,以及数据可以进入的时间和位置。
对于支持虚拟系统的 SRX 系列设备,根系统中设置的策略不会影响在虚拟系统中设置的策略。
SRX 系列设备通过检查,然后允许或拒绝所有需要从一个安全区域进入另一个安全区域的连接尝试来保护网络。
日志记录功能还可在会话初始化 () 或会话关闭 (session-initsession-close) 阶段使用安全策略启用。
要查看被拒绝连接的日志,请启用登录
session-init。要在会话结束/中断之后记录会话,请启用登录
session-close。
会话日志在影响用户性能的流代码中实时启用。如果两者同时session-closesession-init启用,则与仅启用session-init相比,性能进一步下降。
对于 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550M 设备,提供出厂默认安全策略:
允许从信任区域到不信任区域的所有流量。
允许信任区域(从信任区域到区域内可信区域)之间的所有流量。
拒绝从不信任区域到信任区域的所有流量。
通过创建策略,您可以通过定义允许在计划时间从指定来源传递至指定目标的流量类型来控制从区域到区域的流量。
在最广泛的层面上,您可以允许从一个区域中的任何来源到所有其他区域中的任何目标的所有流量,而没有任何调度限制。在最窄的层级,您可以创建一个策略,允许在一个区域中的指定主机与另一个区域中另一个指定主机之间,在计划的时间间隔内仅允许一种流量。请参阅 图 1。
每当数据包尝试从一个区域传递到另一个区域或绑定到同一区域的两个接口之间时,设备都会检查允许此类流量的策略(请参阅 了解安全区域 和 示例:配置安全策略应用程序和应用程序集)。要允许流量从一个安全区域传递到另一个安全区域(例如从 A 区到 B 区段),您必须配置允许区段 A 将流量发送至 B 区段的策略。要允许流量以其他方式流动,必须配置另一个策略,允许从 B 区段到 A 区段的流量。
要允许数据流量在区域之间传递,必须配置防火墙策略。