보안 정책 개요

비즈니스 보안을 위해 조직은 LAN 및 리소스에 대한 액세스를 제어해야 합니다. 이를 위해 일반적으로 보안 정책이 사용됩니다. LAN을 통해 회사 내에서 그리고 인터넷과 같은 외부 네트워크와의 상호 작용 모두에서 보안 액세스가 필요합니다. Junos OS는 스테이트풀 방화벽, 애플리케이션 방화벽, 사용자 ID 방화벽을 통해 강력한 네트워크 보안 기능을 제공합니다. 세 가지 유형의 방화벽 적용은 모두 보안 정책을 통해 구현됩니다. 상태 저장 방화벽 정책 구문은 응용 프로그램 방화벽 및 사용자 ID 방화벽에 대한 추가 튜플을 포함하도록 확장됩니다.

Junos OS 스테이트풀 방화벽에서 보안 정책은 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역에 진입하고 다른 보안 영역을 빠져나갑니다. 이러한 시작 영역 과 종료 영역 의 조합을 컨텍스트라고 합니다. 각 컨텍스트에는 정렬된 정책 목록이 포함되어 있습니다. 각 정책은 컨텍스트 내에서 정의된 순서대로 처리됩니다.

사용자 인터페이스에서 구성할 수 있는 보안 정책은 예약된 시간에 지정된 IP 소스에서 지정된 IP 대상으로 허용되는 트래픽 종류를 정의하여 한 영역에서 다른 영역으로의 트래픽 플로우를 제어합니다.

정책을 통해 거부, 허용, 거부(거부 및 소스 호스트에 TCP RST 또는 ICMP 포트 도달 불가 메시지 전송), 암호화 및 암호 해독, 인증, 우선 순위 지정, 예약, 필터링 및 모니터링을 수행할 수 있습니다. 어떤 사용자와 어떤 데이터가 들어오고 나갈 수 있는지, 언제 어디로 이동할 수 있는지 결정합니다.

SRX 시리즈 방화벽은 하나의 보안 영역에서 다른 보안 영역으로 통과해야 하는 모든 연결 시도를 검사한 다음 허용하거나 거부하여 네트워크를 보호합니다.

로깅 기능은 세션 초기화() 또는 세션 닫기(session-initsession-close) 단계 중에 보안 정책과 함께 활성화할 수도 있습니다.

• 거부된 연결의 로그를 보려면 로그온을 활성화합니다 session-init.

• 종료/해제 후 세션을 기록하려면 로그온을 활성화합니다 session-close.

메모:

세션 로그는 플로우 코드에서 실시간으로 활성화되어 사용자 성능에 영향을 줍니다. 및 을(를session-init) 모두 session-close 사용하도록 설정하면 만 사용하도록 설정할 session-init 때보다 성능이 더욱 저하됩니다.

정책 생성을 통해 예약된 시간에 지정된 소스에서 지정된 대상으로 통과할 수 있는 트래픽 종류를 정의하여 영역 간 트래픽 흐름을 제어할 수 있습니다.

가장 광범위한 수준에서 일정 제한 없이 한 영역의 모든 소스에서 다른 모든 영역의 모든 대상으로 모든 종류의 트래픽을 허용할 수 있습니다. 가장 좁은 수준에서는 스케줄링된 시간 간격 동안 한 영역의 지정된 호스트와 다른 영역의 다른 지정된 호스트 간에 한 종류의 트래픽만 허용하는 정책을 만들 수 있습니다. 그림 1을 참조하십시오.

패킷이 한 영역에서 다른 영역으로 또는 동일한 영역에 바인딩된 두 인터페이스 사이를 통과하려고 할 때마다 디바이스는 이러한 트래픽을 허용하는 정책을 확인합니다( 보안 영역 이해 및 예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성 참조). 트래픽이 하나의 보안 영역에서 다른 보안 영역으로(예: 영역 A에서 영역 B로) 전달되도록 허용하려면 영역 A가 영역 B로 트래픽을 보낼 수 있도록 정책을 구성해야 합니다. 트래픽이 다른 방향으로 흐르도록 허용하려면 영역 B에서 영역 A로 트래픽을 허용하는 다른 정책을 구성해야 합니다.

데이터 트래픽이 영역 사이를 통과하도록 허용하려면 방화벽 정책을 구성해야 합니다.