Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des stratégies de sécurité

Pour sécuriser leur activité, les entreprises doivent contrôler l’accès à leur réseau local et à leurs ressources. Les politiques de sécurité sont couramment utilisées à cette fin. Un accès sécurisé est nécessaire à la fois au sein de l’entreprise via le réseau local et lors de ses interactions avec des réseaux externes tels qu’Internet. Junos OS offre de puissantes fonctionnalités de sécurité réseau via son pare-feu dynamique, son pare-feu d’application et son pare-feu d’identité utilisateur. Les trois types d’application de pare-feu sont mis en œuvre par le biais de politiques de sécurité. La syntaxe de la stratégie de pare-feu dynamique est élargie pour inclure des tuples supplémentaires pour le pare-feu d’application et le pare-feu d’identité de l’utilisateur.

Dans un pare-feu dynamique Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de trafic pouvant passer à travers le pare-feu et d’actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu. Dans l’optique des stratégies de sécurité, le trafic entre dans une zone de sécurité et en sort par une autre. Cette combinaison d’une zone de départ et d’une zone de destination s’appelle un contexte. Chaque contexte contient une liste ordonnée de stratégies. Chaque stratégie est traitée dans l’ordre dans lequel elle est définie dans un contexte.

Une stratégie de sécurité, qui peut être configurée à partir de l’interface utilisateur, contrôle le flux de trafic d’une zone à une autre en définissant le(s) type(s) de trafic autorisé(s) depuis des sources IP spécifiées vers des destinations IP spécifiées à des heures planifiées.

Les stratégies vous permettent de refuser, d’autoriser, de rejeter (refuser et d’envoyer un message d’injoignabilité de port TCP RST ou ICMP à l’hôte source), de chiffrer et de déchiffrer, d’authentifier, de hiérarchiser, de planifier, de filtrer et de surveiller le trafic qui tente de passer d’une zone de sécurité à une autre. C’est vous qui décidez quels utilisateurs et quelles données peuvent entrer et sortir, quand et où ils peuvent aller.

Note:

Pour un pare-feu SRX Series qui prend en charge des systèmes virtuels, les stratégies définies dans le système racine n’affectent pas les stratégies définies dans les systèmes virtuels.

Un pare-feu SRX Series sécurise un réseau en inspectant, puis en autorisant ou en refusant toutes les tentatives de connexion nécessitant le passage d’une zone de sécurité à une autre.

La fonctionnalité de journalisation peut également être activée avec des stratégies de sécurité lors de l’initialisation de la session (session-init) ou de la fermeture de session (session-close).

  • Pour afficher les journaux des connexions refusées, activez l’ouverture session-initde session .

  • Pour consigner les sessions après leur conclusion/interruption, activez l’option session-closeconnexion .

Note:

Le journal de session est activé en temps réel dans le code de flux, ce qui a un impact sur les performances de l’utilisateur. Si les deux session-close session-init et sont activés, les performances sont encore plus dégradées par rapport à l’activation session-init uniquement.

Pour les équipements SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550M, une politique de sécurité par défaut est fournie qui :

  • Autorise tout le trafic de la zone de confiance vers la zone de non-confiance.

  • Autorise tout le trafic entre les zones de confiance, c’est-à-dire de la zone de confiance vers les zones de confiance intrazone.

  • Refuse tout le trafic de la zone d’approbation vers la zone d’approbation.

Grâce à la création de stratégies, vous pouvez contrôler le flux de trafic d’une zone à l’autre en définissant les types de trafic autorisés à passer de sources spécifiées vers des destinations spécifiées à des heures planifiées.

Au niveau le plus large, vous pouvez autoriser tous les types de trafic de n’importe quelle source dans une zone vers n’importe quelle destination dans toutes les autres zones sans aucune restriction de planification. Au niveau le plus restreint, vous pouvez créer une stratégie qui n’autorise qu’un seul type de trafic entre un hôte spécifié dans une zone et un autre hôte spécifié dans une autre zone pendant un intervalle de temps planifié. Reportez-vous à la figure 1.

Figure 1 : stratégie Security Policy de sécurité

Chaque fois qu’un paquet tente de passer d’une zone à une autre ou entre deux interfaces liées à la même zone, l’équipement recherche une stratégie qui autorise ce trafic (voir Présentation des zones de sécurité et Exemple : configuration des applications et ensembles d’applications de stratégie de sécurité). Pour autoriser le trafic à passer d’une zone de sécurité à une autre (par exemple, de la zone A à la zone B), vous devez configurer une stratégie qui autorise la zone A à envoyer du trafic à la zone B. Pour permettre au trafic de circuler dans l’autre sens, vous devez configurer une autre stratégie autorisant le trafic de la zone B vers la zone A.

Pour autoriser le trafic de données à passer d’une zone à l’autre, vous devez configurer des stratégies de pare-feu.

Documentation connexe