Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Sicherheitsrichtlinien – Übersicht

Um ihre Geschäfte zu sichern, müssen Unternehmen den Zugriff auf ihr LAN und ihre Ressourcen kontrollieren. Zu diesem Zweck werden in der Regel Sicherheitsrichtlinien verwendet. Ein sicherer Zugriff ist sowohl innerhalb des Unternehmens über das LAN als auch im Umgang mit externen Netzwerken wie dem Internet erforderlich. Junos OS bietet leistungsstarke Netzwerksicherheitsfunktionen durch seine Stateful-Firewall, die Anwendungs-Firewall und die Benutzeridentitäts-Firewall. Alle drei Arten der Firewall-Durchsetzung werden durch Sicherheitsrichtlinien umgesetzt. Die Richtliniensyntax für zustandsbehaftete Firewalls wurde erweitert und enthält nun zusätzliche Tupel für die Anwendungsfirewall und die Firewall für die Benutzeridentität.

In einer Junos OS Stateful-Firewall setzen die Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen. Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. Diese Kombination aus einer Von-Zone und einer Bis-Zone wird als Kontext bezeichnet. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Jede Richtlinie wird in der Reihenfolge verarbeitet, in der sie in einem Kontext definiert ist.

Eine Sicherheitsrichtlinie, die über die Benutzeroberfläche konfiguriert werden kann, steuert den Datenverkehrsfluss von einer Zone zu einer anderen Zone, indem sie die Art(en) des Datenverkehrs definiert, der von bestimmten IP-Quellen zu bestimmten IP-Zielen zu geplanten Zeiten zulässig ist.

Mit den Richtlinien können Sie den Datenverkehr, der versucht, von einer Sicherheitszone in eine andere zu gelangen, verweigern, zulassen, ablehnen (verweigern und eine nicht erreichbare Nachricht über einen TCP-RST- oder ICMP-Port an den Quellhost senden), verschlüsseln und entschlüsseln, authentifizieren, priorisieren, planen, filtern und überwachen. Sie entscheiden, welche Benutzer und welche Daten ein- und ausgehen können und wann und wohin sie gehen dürfen.

Eine Firewall der SRX-Serie schützt ein Netzwerk, indem sie alle Verbindungsversuche, die den Übergang von einer Sicherheitszone in eine andere erfordern, überprüft und dann zulässt oder verweigert.

Die Protokollierungsfunktion kann auch während der Sitzungsinitialisierung (session-init) oder des Schließens der Sitzung (session-close) mit Sicherheitsrichtlinien aktiviert werden.

  • Um Protokolle von verweigerten Verbindungen anzuzeigen, aktivieren Sie die Option Anmelden session-init.

  • Um Sitzungen nach ihrem Ende/Herunterfahren zu protokollieren, aktivieren Sie die Option Anmelden session-close.

Anmerkung:

Das Sitzungsprotokoll wird in Echtzeit im Flow-Code aktiviert, was sich auf die Benutzerleistung auswirkt. Wenn beide session-close und session-init aktiviert sind, wird die Leistung im Vergleich zur alleinigen Aktivierung session-init weiter verschlechtert.

Durch die Erstellung von Richtlinien können Sie den Datenverkehrsfluss von Zone zu Zone steuern, indem Sie die Arten von Datenverkehr definieren, die zu geplanten Zeiten von bestimmten Quellen zu bestimmten Zielen übertragen werden dürfen.

Im weitesten Sinne können Sie alle Arten von Datenverkehr von jeder Quelle in einer Zone zu jedem Ziel in allen anderen Zonen ohne Zeiteinschränkungen zulassen. Auf der schmalsten Ebene können Sie eine Richtlinie erstellen, die während eines geplanten Zeitintervalls nur eine Art von Datenverkehr zwischen einem bestimmten Host in einer Zone und einem anderen angegebenen Host in einer anderen Zone zulässt. Siehe Abbildung 1.

Abbildung 1: Sicherheitsrichtlinie Security Policy

Jedes Mal, wenn ein Paket versucht, von einer Zone in eine andere oder zwischen zwei Schnittstellen, die an dieselbe Zone gebunden sind, zu gelangen, prüft das Gerät, ob eine Richtlinie vorhanden ist, die diesen Datenverkehr zulässt (siehe Grundlegendes zu Sicherheitszonen und Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen). Damit Datenverkehr von einer Sicherheitszone in eine andere übertragen werden kann, z. B. von Zone A zu Zone B, müssen Sie eine Richtlinie konfigurieren, die es Zone A erlaubt, Datenverkehr an Zone B zu senden. Damit der Datenverkehr in die andere Richtung fließen kann, müssen Sie eine andere Richtlinie konfigurieren, die den Datenverkehr von Zone B zu Zone A zulässt.

Damit Datenverkehr zwischen Zonen übertragen werden kann, müssen Sie Firewall-Richtlinien konfigurieren.

Plattformspezifisches Verhalten der Sicherheitsrichtlinien

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:

Bahnsteig

Unterschied

SRX-Serie

SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550M-Geräte, die eine werkseitig voreingestellte Sicherheitsrichtlinie unterstützen:

  • Lässt den gesamten Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu.

  • Lässt den gesamten Datenverkehr zwischen vertrauenswürdigen Zonen zu, d. h. von der Vertrauenszone zu vertrauenswürdigen Zonen innerhalb der Zone.

  • Verweigert jeglichen Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone.

  • Auf Geräten der SRX-Serie, die virtuelle Systeme unterstützen, wirken sich die im Root-System festgelegten Richtlinien nicht auf die in virtuellen Systemen festgelegten Richtlinien aus.

Zugehörige Dokumentation