Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de las políticas de seguridad

Para proteger su negocio, las organizaciones deben controlar el acceso a su LAN y sus recursos. Las políticas de seguridad se utilizan comúnmente para este propósito. Se requiere un acceso seguro tanto dentro de la empresa a través de la LAN como en sus interacciones con redes externas como Internet. Junos OS ofrece potentes funciones de seguridad de red a través de su firewall de estado, firewall de aplicaciones y firewall de identidad de usuario. Los tres tipos de aplicación de firewall se implementan mediante políticas de seguridad. La sintaxis de la directiva de firewall con estado se amplía para incluir tuplas adicionales para el firewall de aplicaciones y el firewall de identidad de usuario.

En un firewall de estado de Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben realizarse en el tráfico a medida que pasa a través del firewall. Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. Esta combinación de una zona de origen y una zona hacia se denomina contexto. Cada contexto contiene una lista ordenada de políticas. Cada política se procesa en el orden en que se define dentro de un contexto.

Una política de seguridad, que se puede configurar desde la interfaz de usuario, controla el flujo de tráfico de una zona a otra definiendo los tipos de tráfico permitidos desde orígenes IP especificados a destinos IP especificados a horas programadas.

Las políticas le permiten denegar, permitir, rechazar (denegar y enviar un mensaje TCP RST o ICMP inalcanzable al host de origen), cifrar y descifrar, autenticar, priorizar, programar, filtrar y supervisar el tráfico que intenta cruzar de una zona de seguridad a otra. Usted decide qué usuarios y qué datos pueden entrar y salir, y cuándo y dónde pueden ir.

Nota:

Para un firewall serie SRX que admite sistemas virtuales, las políticas establecidas en el sistema raíz no afectan a las políticas establecidas en sistemas virtuales.

Un firewall de la serie SRX protege una red inspeccionando, y luego permitiendo o rechazando, todos los intentos de conexión que requieren el paso de una zona de seguridad a otra.

La capacidad de registro también se puede habilitar con políticas de seguridad durante la inicialización de la sesión (session-init) o la etapa de cierre de sesión (session-close).

  • Para ver los registros de conexiones denegadas, habilite el inicio de sesión .session-init

  • Para registrar sesiones después de su conclusión o desmontaje, habilite el inicio de session-closesesión.

Nota:

El registro de sesión se habilita en tiempo real en el código de flujo, lo que afecta el rendimiento del usuario. Si ambos session-close y session-init están habilitados, el rendimiento se degrada aún más en comparación con la habilitación session-init solamente.

Para los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550M, se proporciona una política de seguridad predeterminada de fábrica que:

  • Permite todo el tráfico desde la zona de confianza a la zona que no es de confianza.

  • Permite todo el tráfico entre zonas de confianza, es decir, de la zona de confianza a las zonas de confianza dentro de la zona.

  • Deniega todo el tráfico desde la zona de no confianza a la zona de confianza.

Mediante la creación de directivas, puede controlar el flujo de tráfico de una zona a otra definiendo los tipos de tráfico que pueden pasar de orígenes especificados a destinos especificados a horas programadas.

En el nivel más amplio, puede permitir todo tipo de tráfico desde cualquier fuente en una zona a cualquier destino en todas las demás zonas sin restricciones de programación. En el nivel más restringido, puede crear una política que permita solo un tipo de tráfico entre un host especificado en una zona y otro host especificado en otra zona durante un intervalo de tiempo programado. Consulte la figura 1.

Figura 1: Política de Security Policy seguridad

Cada vez que un paquete intenta pasar de una zona a otra o entre dos interfaces enlazadas a la misma zona, el dispositivo comprueba si hay una política que permita dicho tráfico (consulte Descripción de las zonas de seguridad y Ejemplo: Configuración de aplicaciones y conjuntos de aplicaciones de directivas de seguridad). Para permitir que el tráfico pase de una zona de seguridad a otra (por ejemplo, de la zona A a la zona B), debe configurar una directiva que permita que la zona A envíe tráfico a la zona B. Para permitir que el tráfico fluya en sentido contrario, debe configurar otra directiva que permita el tráfico de la zona B a la zona A.

Para permitir que el tráfico de datos pase entre zonas, debe configurar directivas de firewall.