Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de políticas de seguridad

Para proteger su negocio, las organizaciones deben controlar el acceso a su LAN y sus recursos. Las políticas de seguridad se utilizan comúnmente para este propósito. El acceso seguro se requiere tanto dentro de la empresa en toda la LAN como en sus interacciones con redes externas como Internet. Junos OS ofrece potentes funciones de seguridad de red a través de su firewall de estado, firewall de aplicaciones y firewall de identidad de usuario. Los tres tipos de cumplimiento de firewall se implementan mediante políticas de seguridad. La sintaxis de la política de firewall de estado se amplía para incluir tuplas adicionales para el firewall de la aplicación y el firewall de identidad de usuario.

En un firewall con estado junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben realizarse en el tráfico a medida que pasa por el firewall. Desde la perspectiva de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. Esta combinación de una zona y una zona a zona se denomina contexto. Cada contexto contiene una lista ordenada de políticas. Cada política se procesa en el orden en que se define dentro de un contexto.

Una política de seguridad, que se puede configurar desde la interfaz de usuario, controla el flujo de tráfico de una zona a otra zona definiendo los tipos de tráfico permitidos desde fuentes IP especificadas a destinos IP especificados en horarios programados.

Las políticas le permiten denegar, permitir, rechazar (denegar y enviar un mensaje de puerto TCP RST o ICMP al host de origen), cifrar y descifrar, autenticar, priorizar, programar, filtrar y supervisar el tráfico que intenta cruzar de una zona de seguridad a otra. Usted decide qué usuarios y qué datos pueden entrar y salir, y cuándo y a dónde pueden ir.

Nota:

En el caso de un dispositivo serie SRX compatible con sistemas virtuales, las políticas establecidas en el sistema raíz no afectan a las políticas establecidas en los sistemas virtuales.

Un dispositivo de la serie SRX protege una red mediante la inspección y, luego, la autorización o denegación de todos los intentos de conexión que requieren el paso de una zona de seguridad a otra.

La capacidad de registro también se puede habilitar con políticas de seguridad durante la fase de inicialización (session-init) o cierre de sesión (session-close).

  • Para ver los registros de conexiones denegadas, habilite el inicio de session-initsesión.

  • Para registrar las sesiones después de su conclusión o desprendición, habilite iniciar sesión session-close.

Nota:

El registro de sesión se habilita en tiempo real en el código de flujo que afecta el rendimiento del usuario. Si ambos session-close están session-init habilitados, el rendimiento se degrada aún más en comparación con habilitar session-init solo.

Para dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550M, se proporciona una política de seguridad predeterminada de fábrica que:

  • Permite todo el tráfico desde la zona de confianza hasta la zona de desconfianza.

  • Permite todo el tráfico entre zonas de confianza, es decir, desde la zona de confianza hasta las zonas de confianza intrazona.

  • Niega todo el tráfico desde la zona de desconfianza hasta la zona de confianza.

Mediante la creación de políticas, puede controlar el flujo de tráfico de zona a zona definiendo los tipos de tráfico que se permiten pasar de fuentes especificadas a destinos especificados en horas programadas.

En el nivel más amplio, puede permitir todo tipo de tráfico desde cualquier origen en una zona hasta cualquier destino en todas las demás zonas sin ninguna restricción de programación. En el nivel más restringido, puede crear una política que solo permita un tipo de tráfico entre un host especificado en una zona y otro host especificado en otra zona durante un intervalo de tiempo programado. Consulte la figura 1.

Figura 1: Política de Security Policy seguridad

Cada vez que un paquete intenta pasar de una zona a otra o entre dos interfaces enlazadas a la misma zona, el dispositivo busca una política que permita dicho tráfico (consulte Descripción de zonas de seguridad y ejemplo: Configurar aplicaciones de políticas de seguridad y conjuntos de aplicaciones). Para permitir que el tráfico pase de una zona de seguridad a otra (por ejemplo, de la zona A a la zona B), debe configurar una política que permita que la zona A envíe tráfico a la zona B. Para permitir que el tráfico fluya de la otra manera, debe configurar otra política que permita el tráfico de la zona B a la zona A.

Para permitir que el tráfico de datos pase entre zonas, debe configurar políticas de firewall.