Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Sicherheitsrichtlinien

Um ihr Geschäft zu schützen, müssen Unternehmen den Zugriff auf ihr LAN und ihre Ressourcen kontrollieren. Zu diesem Zweck werden häufig Sicherheitsrichtlinien verwendet. Ein sicherer Zugriff ist sowohl innerhalb des Unternehmens über das LAN als auch bei der Interaktion mit externen Netzwerken wie dem Internet erforderlich. Junos OS bietet leistungsstarke Netzwerksicherheitsfunktionen durch seine Stateful Firewall, Application Firewall und User Identity Firewall. Alle drei Arten der Firewall-Durchsetzung werden durch Sicherheitsrichtlinien umgesetzt. Die Syntax der Stateful-Firewall-Richtlinie wurde erweitert und enthält nun zusätzliche Tupel für die Anwendungs-Firewall und die Benutzeridentitäts-Firewall.

In einer zustandsbehafteten Junos OS-Firewall erzwingen die Sicherheitsrichtlinien Regeln für den Transitdatenverkehr, d. h. welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen. Aus Sicht der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. Diese Kombination aus Von-Zone und Bis-Zone wird als Kontext bezeichnet. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Jede Richtlinie wird in der Reihenfolge verarbeitet, in der sie innerhalb eines Kontexts definiert ist.

Eine Sicherheitsrichtlinie, die über die Benutzeroberfläche konfiguriert werden kann, steuert den Datenverkehrsfluss von einer Zone in eine andere Zone, indem sie die Art des Datenverkehrs definiert, der von bestimmten IP-Quellen zu bestimmten IP-Zielen zu geplanten Zeiten zulässig ist.

Richtlinien ermöglichen es Ihnen, den Datenverkehr, der versucht, von einer Sicherheitszone in eine andere zu gelangen, zu verweigern, zuzulassen, abzulehnen (zu verweigern und eine TCP-RST- oder ICMP-Port-Meldung "nicht erreichbar" an den Quellhost zu senden), zu verschlüsseln und zu entschlüsseln, zu authentifizieren, zu priorisieren, zu planen, zu filtern und zu überwachen. Sie entscheiden, welche Benutzer und welche Daten wann und wohin ein- und ausgehen dürfen.

Hinweis:

Bei einer Firewall der SRX-Serie, die virtuelle Systeme unterstützt, wirken sich die im Stammsystem festgelegten Richtlinien nicht auf die in virtuellen Systemen festgelegten Richtlinien aus.

Eine Firewall der SRX-Serie sichert ein Netzwerk, indem sie alle Verbindungsversuche, die den Übergang von einer Sicherheitszone in eine andere erfordern, überprüft und dann zulässt oder verweigert.

Die Protokollierungsfunktion kann auch während der Sitzungsinitialisierungsphase (session-init) oder der Sitzungsschließphase (session-close) mit Sicherheitsrichtlinien aktiviert werden.

  • Um Protokolle von verweigerten Verbindungen anzuzeigen, aktivieren Sie die Anmeldung .session-init

  • Um Sitzungen nach ihrem Abschluss/Abbau zu protokollieren, aktivieren Sie die Option Anmelden session-close.

Hinweis:

Das Sitzungsprotokoll wird in Echtzeit im Flow-Code aktiviert, was sich auf die Benutzerleistung auswirkt. Wenn sowohl als session-init auch aktiviert sind, wird die session-close Leistung im Vergleich zur reinen Aktivierung session-init weiter beeinträchtigt.

Für SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550M-Geräte wird eine werkseitig standardmäßige Sicherheitsrichtlinie bereitgestellt, die:

  • Lässt den gesamten Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu.

  • Lässt den gesamten Datenverkehr zwischen vertrauenswürdigen Zonen zu, d. h. von der Vertrauenszone zu den vertrauenswürdigen Zonen innerhalb der Zone.

  • Verweigert jeglichen Datenverkehr von der nicht vertrauenswürdigen Zone zur vertrauenswürdigen Zone.

Durch die Erstellung von Richtlinien können Sie den Datenverkehrsfluss von Zone zu Zone steuern, indem Sie die Arten von Datenverkehr definieren, die zu geplanten Zeiten von bestimmten Quellen zu bestimmten Zielen übertragen werden dürfen.

Im weitesten Sinne können Sie alle Arten von Datenverkehr von jeder Quelle in einer Zone zu jedem Ziel in allen anderen Zonen ohne zeitliche Einschränkungen zulassen. Auf der engsten Ebene können Sie eine Richtlinie erstellen, die nur eine Art von Datenverkehr zwischen einem angegebenen Host in einer Zone und einem anderen angegebenen Host in einer anderen Zone während eines geplanten Intervalls zulässt. Siehe Abbildung 1.

Abbildung 1: Sicherheitsrichtlinie Security Policy

Jedes Mal, wenn ein Paket versucht, von einer Zone in eine andere oder zwischen zwei Schnittstellen zu gelangen, die an dieselbe Zone gebunden sind, prüft das Gerät, ob eine Richtlinie diesen Datenverkehr zulässt (siehe Grundlegendes zu Sicherheitszonen und Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen). Damit Datenverkehr von einer Sicherheitszone in eine andere übertragen werden kann, z. B. von Zone A zu Zone B, müssen Sie eine Richtlinie konfigurieren, die es Zone A erlaubt, Datenverkehr an Zone B zu senden. Damit der Datenverkehr in die andere Richtung fließen kann, müssen Sie eine andere Richtlinie konfigurieren, die Datenverkehr von Zone B zu Zone A zulässt.

Damit Datenverkehr zwischen Zonen passieren kann, müssen Sie Firewall-Richtlinien konfigurieren.

Zugehörige Dokumentation