Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Sicherheitsrichtlinien

Um ihr Unternehmen zu sichern, müssen Unternehmen den Zugriff auf ihr LAN und ihre Ressourcen kontrollieren. Zu diesem Zweck werden häufig Sicherheitsrichtlinien verwendet. Sowohl innerhalb des Unternehmens über das LAN als auch für die Interaktionen mit externen Netzwerken wie dem Internet ist ein sicherer Zugriff erforderlich. Junos OS bietet leistungsstarke Netzwerksicherheitsfunktionen durch seine Stateful Firewall, Anwendungs-Firewall und Benutzeridentitäts-Firewall. Alle drei Arten der Firewall-Durchsetzung werden über Sicherheitsrichtlinien implementiert. Die Syntax der Stateful-Firewall-Richtlinien wird erweitert, um zusätzliche Tupel für die Anwendungs-Firewall und die Benutzeridentitäts-Firewall zu enthalten.

In einer Stateful Firewall von Junos OS setzen die Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, in Bezug darauf, welcher Datenverkehr die Firewall passieren kann, und die Aktionen, die auf dem Datenverkehr stattfinden müssen, wenn er die Firewall passiert. Aus Der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. Diese Kombination aus einer Zone und einer Zone wird als Kontext bezeichnet. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Jede Richtlinie wird in der Reihenfolge verarbeitet, in der sie in einem Kontext definiert ist.

Eine Sicherheitsrichtlinie, die über die Benutzeroberfläche konfiguriert werden kann, steuert den Datenverkehrsfluss von einer Zone zu einer anderen Zone, indem die Art des Datenverkehrs definiert wird, der von bestimmten IP-Quellen zu festgelegten IP-Adressen zu festgelegten Zeiten zulässig ist.

Mithilfe von Richtlinien können Sie eine nicht erreichbare TCP RST- oder ICMP-Portnachricht an den Quellhost ablehnen, zulassen, ablehnen (ablehnen und an den Quellhost senden), den Datenverkehr verschlüsseln und entschlüsseln, authentifizieren, priorisieren, planen, filtern und überwachen, der versucht, den Datenverkehr von einer Sicherheitszone zur anderen zu passieren. Sie entscheiden, welche Benutzer und welche Daten wann und wo ein- und austreten können.

Hinweis:

Bei Geräten der SRX-Serie, die virtuelle Systeme unterstützen, wirken sich die im Root-System festgelegten Richtlinien nicht auf die in virtuellen Systemen festgelegten Richtlinien aus.

Ein Gerät der SRX-Serie sichert ein Netzwerk, indem es alle Verbindungsversuche, die den Übergang von einer Sicherheitszone zur anderen erfordern, inspiziert und dann zulässt oder verweigert.

Die Protokollierungsfunktion kann auch mit Sicherheitsrichtlinien während der Sitzungs initialization (session-init) oder session close () phase aktiviertsession-close werden.

  • Um Protokolle von verweigerten Verbindungen anzuzeigen, aktivieren Sie die Anmeldung session-init.

  • Um Sitzungen nach abschluss/abreißen zu protokollieren, aktivieren Sie die Anmeldung session-close.

Hinweis:

Das Sitzungsprotokoll wird in Echtzeit im Datenstromcode aktiviert, was sich auf die Benutzerleistung auswirkt. Wenn beide session-close Geräte aktiviert session-init sind, verschlechtert sich die Leistung weiter im Vergleich zur Aktivierung session-init .

Für Die Geräte SRX300, SRX320, SRX340, SRX345, SRX380 und SRX550M wird eine werksseitig vorgegebene Sicherheitsrichtlinie bereitgestellt, die Folgendes ermöglicht:

  • Ermöglicht den gesamten Datenverkehr von der Vertrauenszone zur Nicht-vertrauenswürdigen Zone.

  • Ermöglicht den gesamten Datenverkehr zwischen vertrauenswürdigen Zonen, das heißt von der vertrauenswürdigen Zone zu vertrauenswürdigen Zonen innerhalb der Zone.

  • Verweigert den gesamten Datenverkehr von der Nicht-Vertrauenswürdig-Zone zur Trust-Zone.

Durch die Erstellung von Richtlinien können Sie den Datenverkehrsfluss von Zone zu Zone steuern, indem Sie die Arten von Datenverkehr definieren, der von bestimmten Quellen zu festgelegten Zielen zu festgelegten Zeiten weitergeleitet werden darf.

Auf einer breiteren Ebene können Sie alle Arten von Datenverkehr von jeder Quelle in einer Zone zu jedem Ziel in allen anderen Zonen ohne Planungsbeschränkungen zulassen. Auf der engsten Ebene können Sie eine Richtlinie erstellen, die in einem festgelegten Zeitintervall nur eine Art von Datenverkehr zwischen einem angegebenen Host in einer Zone und einem anderen angegebenen Host in einer anderen Zone zulässt. Siehe Abbildung 1.

Abbildung 1: Sicherheitsrichtlinie Security Policy

Jedes Mal, wenn ein Paket versucht, von einer Zone an eine andere oder zwischen zwei an dieselbe Zone gebundenen Schnittstellen zu übergeben, prüft das Gerät nach einer Richtlinie, die diesen Datenverkehr zulässt (siehe Understanding Security Zones and Example: Configuring Security Policy Applications and Application Sets). Damit der Datenverkehr von einer Sicherheitszone zu einer anderen (z. B. von Zone A zu Zone B) übertragen werden kann, müssen Sie eine Richtlinie konfigurieren, die es Zone A ermöglicht, Datenverkehr an Zone B zu senden. Damit der Datenverkehr anders übertragen wird, müssen Sie eine andere Richtlinie konfigurieren, die Datenverkehr von Zone B zu Zone A ermöglicht.

Damit der Datenverkehr zwischen Zonen übertragen werden kann, müssen Sie Firewall-Richtlinien konfigurieren.