Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 정책 개요

비즈니스를 보호하려면 조직은 LAN과 리소스에 대한 액세스를 제어해야 합니다. 보안 정책은 일반적으로 이러한 목적으로 사용됩니다. LAN 전반에서 기업 내에서 그리고 인터넷과 같은 외부 네트워크와의 상호 작용 모두에서 안전한 액세스가 필요합니다. Junos OS는 stateful 방화벽, 애플리케이션 방화벽 및 사용자 ID 방화벽을 통해 강력한 네트워크 보안 기능을 제공합니다. 3가지 유형의 방화벽 적용은 모두 보안 정책을 통해 구현됩니다. 스테이트풀 방화벽 정책 구문이 애플리케이션 방화벽 및 사용자 ID 방화벽에 대한 추가 튜플을 포함하도록 확대됩니다.

Junos OS 스테이트풀 방화벽에서 보안 정책은 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 한 보안 존으로 들어가고 다른 보안 존을 빠져나갑니다. 이러한 존(from-zone) 대 존(to-zone) 조합은 컨텍스트라고 합니다. 각 컨텍스트에는 주문된 정책 목록이 포함되어 있습니다. 각 정책은 컨텍스트 내에서 정의된 순서대로 처리됩니다.

사용자 인터페이스에서 구성될 수 있는 보안 정책은 지정된 시간에 지정된 IP 소스에서 지정된 IP 대상에 대해 허용되는 트래픽의 종류를 정의함으로써 한 존에서 다른 존으로 트래픽 흐름을 제어합니다.

정책을 통해 거부, 허용, 거부(TCP RST 또는 ICMP 포트에 연결할 수 없는 메시지를 소스 호스트로 거부 및 전송), 보안 존 간 교차를 시도하는 트래픽을 암호화 및 복호화, 인증, 우선 순위 지정, 필터링, 모니터링할 수 있습니다. 어떤 사용자와 어떤 데이터가 들어오고 나갈 수 있는지, 언제 어디로 갈 수 있는지 결정합니다.

참고:

가상 시스템을 지원하는 SRX 시리즈 디바이스의 경우, 루트 시스템에서 설정된 정책은 가상 시스템에서 설정된 정책에 영향을 미치지 않습니다.

SRX 시리즈 디바이스는 한 보안 존에서 다른 영역으로의 통과가 필요한 모든 연결 시도를 검사한 다음 허용 또는 거부함으로써 네트워크를 보호합니다.

로깅 기능은 세션 초기화() 또는 세션 종료(session-initsession-close) 단계 동안 보안 정책을 통해 실행될 수도 있습니다.

  • 거부된 연결에서 로그를 보려면 로그온을 활성화합니다 session-init.

  • 결론/종료 후 세션을 기록하려면 로그온을 활성화합니다 session-close.

참고:

세션 로그는 사용자 성능에 영향을 미치는 플로우 코드에서 실시간으로 활성화됩니다. 두 가지 모두 session-close session-init 활성화되면 활성화 session-init 에 비해 성능이 더욱 저하됩니다.

SRX300, SRX320, SRX340, SRX345, SRX380 및 SRX550M 디바이스의 경우 기본 설정 보안 정책이 제공됩니다.

  • 트러스트 존에서 신뢰할 수 없는 영역으로의 모든 트래픽을 허용합니다.

  • 트러스트 존(trust zone)에서 intrazone 트러스트 존(intrazone trusted zone) 사이의 모든 트래픽을 허용합니다.

  • 신뢰할 수 없는 존에서 트러스트 존으로의 모든 트래픽을 거부합니다.

정책을 작성할 경우 지정된 시간에 지정된 소스에서 특정 대상으로 전달하도록 허용되는 트래픽 종류를 정의하여 존에서 존으로의 트래픽 흐름을 제어할 수 있습니다.

가장 넓은 수준에서 일정 제한 없이 한 존의 모든 소스에서 다른 존의 목적지로 모든 유형의 트래픽을 허용할 수 있습니다. 가장 좁은 수준에서는 예약된 시간 간격 동안 한 존의 지정된 호스트와 다른 존의 다른 지정된 호스트 간에만 한 유형의 트래픽만 허용하는 정책을 생성할 수 있습니다. 그림 1을 참조하십시오.

그림 1: 보안 정책 Security Policy

패킷이 한 존에서 다른 존으로 또는 동일한 존에 바인딩된 두 인터페이스 사이를 통과하려고 시도할 때마다 디바이스는 이러한 트래픽을 허용하는 정책을 검사합니다(예: 보안 존 이해: 보안 정책 애플리케이션 및 애플리케이션 세트 구성 참조). 트래픽이 한 보안 존에서 다른 존으로 전달되도록 허용하려면(예: 존 A에서 존 B로) 존 A가 트래픽을 존 B로 보낼 수 있도록 허용하는 정책을 구성해야 합니다. 트래픽이 다른 방향으로 흐르도록 허용하려면 존 B에서 존 A로 트래픽을 허용하는 또 다른 정책을 구성해야 합니다.

데이터 트래픽이 존 사이를 통과할 수 있도록 허용하려면 방화벽 정책을 구성해야 합니다.

관련 설명서