Πίνακας περιεχομένων:
- Αρχικά, θέλετε να δώσετε την κυκλοφορία που προέρχεται από την άδεια ζώνης διαχειριστή για να περάσει στην μη αξιόπιστη ζώνη:
- root # εμφάνιση περιόδου λειτουργίας ασφαλείας Αναγνωριστικό περιόδου λειτουργίας: 100001782, Όνομα πολιτικής: admins to untrust / 4, Timeout: 1796 In: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, Αν: ge-0/0/0. 0 Out: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, Αν: ge-0/0/2. 0 Αναγνωριστικό περιόδου σύνδεσης: 100001790, Όνομα πολιτικής: admins-to-untrust / 4, Timeout: 1800 Σε: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, Αν: ge-0/0/0. 0 Out: 216. 239. 112. 126/80 - 192. 168. 2. 2/4781; tcp, Αν: ge-0/0/2. 0
Βίντεο: Επαλήθευση σε 2 βήματα σε λογαριασμό Google, Gmail κλπ για ασφάλεια 2024
Αφού ρυθμίσετε τις διευθύνσεις και τις υπηρεσίες στο SRX, είστε έτοιμοι να ρυθμίστε την ίδια την πολιτική ασφαλείας. Η διαμόρφωση των διευθύνσεων και των υπηρεσιών επιτρέπει πρώτα τη χρήση συγκεκριμένων διευθύνσεων και υπηρεσιών σε πολλές πολιτικές. Με αυτόν τον τρόπο, εάν αλλάξει μια διεύθυνση ή μια υπηρεσία, πρέπει να αλλάξει σε μία μόνο θέση για να την αλλάξει σε όλες τις πολιτικές.
Από την προοπτική SRX, η κυκλοφορία έρχεται πάντα από μια ζώνη και φτάνει σε άλλη ζώνη. Από τεχνική άποψη, αυτές οι διασταυρώσεις ζωνών καλούνται περιβάλλοντα . Το πλαίσιο είναι εκεί όπου εφαρμόζονται οι πολιτικές ασφάλειας.
Ρυθμίστε τις πολιτικές ασφαλείαςΑρχικά, θέλετε να δώσετε την κυκλοφορία που προέρχεται από την άδεια ζώνης διαχειριστή για να περάσει στην μη αξιόπιστη ζώνη:
ασφάλεια των πολιτικών από-ζώνη amdins σε-ζώνη απιστία] root # set πολιτικής διαχειριστές-προς-αλήθεια match-source-διεύθυνση οποιουδήποτε προορισμού-διεύθυνση οποιαδήποτε εφαρμογή οποιεσδήποτε ρίζες # set policy administrators-to-untrust τότε επιτρέπουν root # ανεπιθύμητο {match {source-address any? διεύθυνση προορισμού-οποιαδήποτε? εφαρμογή οποιουδήποτε ·} και στη συνέχεια {enable;}}
Ρεαλιστικά, η πολιτική πιθανώς θα μετρήσει τα πακέτα και θα καταγράψει τις εκκινήσεις της περιόδου σύνδεσης και θα κλείσει μεταξύ των ζωνών.
[επεξεργασία πολιτικών ασφαλείας από- ζώνη admins σε ζωντανά admins] root # πολιτική πολιτικής set-in-zone-traffic-match-διεύθυνση-διεύθυνση-διεύθυνση-στόχος-διεύθυνση οποιεσδήποτε εφαρμογές MYSERVICES root # set policy intra-zone traffic τότε επιτρέπουν
Δεν απαιτείται διαμόρφωση για το τρίτο σημείο, απορρίπτοντας την κυκλοφορία από την παράδοξη πρόσβαση στους διαχειριστές. Επειδή η "άρνηση" είναι η προεπιλεγμένη ενέργεια, το SRX έχει ήδη φροντίσει αυτό.
Επαληθεύστε τις πολιτικές
Ο ευκολότερος τρόπος να επαληθεύσετε ότι οι πολιτικές λειτουργούν όπως αναμένεται είναι να ελέγξετε την κυκλοφορία δεδομένων. Μπορείτε επίσης να επιθεωρήσετε τον πίνακα συνεδριών SRX:root # εμφάνιση περιόδου λειτουργίας ασφαλείας Αναγνωριστικό περιόδου λειτουργίας: 100001782, Όνομα πολιτικής: admins to untrust / 4, Timeout: 1796 In: 192. 168. 2. 2/4777 → 216 52. 233.201/443; tcp, Αν: ge-0/0/0. 0 Out: 216. 52. 233. 201/443 → 192. 168. 2. 2/4777; tcp, Αν: ge-0/0/2. 0 Αναγνωριστικό περιόδου σύνδεσης: 100001790, Όνομα πολιτικής: admins-to-untrust / 4, Timeout: 1800 Σε: 192. 168. 2. 2/4781 → 216. 239. 112. 126/80; tcp, Αν: ge-0/0/0. 0 Out: 216. 239. 112. 126/80 - 192. 168. 2. 2/4781; tcp, Αν: ge-0/0/2. 0
Στον πραγματικό κόσμο, αυτές οι πολιτικές θα πραγματοποιούν καταγραφή και καταμέτρηση, αλλά θυμηθείτε, αυτά είναι μόνο παραδείγματα.
