 
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
Security [Security Zones, Security Policies]12.08.2014, 18:35. Показов 7573. Ответов 0
Базовая настройка безопасности SRX Juniper SRX - маршрутизатор с функциями межсетевого экрана. Да, именно так, я бы описал данное устройство. SRX имеет богатый функционал как в маршрутизации, так и в безопасности сетей. В качестве маршрутизатора: - MPLS(L3VPN/L2VPN/Psewdo-wired и т.п.) - BGP, OSPF, ISIS, RIP (наличие последнего очень необходимо в наш век развития инфокоммуникаций) - CoS, PIM В качестве межсетевого экрана: - Security Zone - Site-to-Site IPsec VPN, Dynamic VPN, Group VPN - Virtual Chassis - Antivirus, Antispam, Content-filtering И многое другое: Начнем с малого, настройка базовых вещей безопасности из коробки: Так как наше устройство работает в режиме flow-base mode, то мы оперирует не с пакетами, а с потоками (сессиями). Каждый раз когда пакет проходит через устройства он создает сессию, межсетевой экран проходя через устройство не будет выполнять все количество проверок, а при успешной проверке принадлежности пакета к сессии выполнит маршрутизацию (либо коммутацию пакета), опять же при определенных условиях. 1. Security zone. Зона безопасности, к ней привязываются интерфейсы. В зоне безопасности можно указать какой именно трафик будет разрешен, а какой нет. Данную проверку можно сделать как для всей зоны (все интерфейсов), так и для каждого интерфейса в отдельности, при этом применяться будут наиболее "узкие правила". В режиме конфига show conf security Кликните здесь для просмотра всего текста
zones {
security-zone trust { tcp-rst; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { http; https; ssh; telnet; dhcp; ping; all; } protocols { all; } } } } } security-zone untrust { screen untrust-screen; interfaces { ge-0/0/1.0 { host-inbound-traffic { system-services { ssh; } } } pp0.0 { host-inbound-traffic { system-services { ssh; } } } } } В режиме set: Кликните здесь для просмотра всего текста
set security zones security-zone trust tcp-rst
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services http set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services https set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services telnet set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services ssh set security zones security-zone untrust interfaces pp0.0 host-inbound-traffic system-services ssh Где trust и untrust названия зон безопасности. Важно. 1 Логический интерфейс (не путать с физическим) может быть только в 1 зоне. 2. Security policy. Политика безопасности. Используется для связывания зон безопасности с различными дополнениями типа screen, заворачивания трафика в ipsec-туннель, включении аутентификации при прохождении и т.д. Если В Sec zone присутствует 2 интерфейса, то общение между ними так же требуется разрешить с указанием разрешенного трафика с зона до зоны. В режиме конфига show conf security policies Кликните здесь для просмотра всего текста
from-zone trust to-zone untrust {
policy default-permit { match { source-address any; - c любого хоста destination-address any; - на любой хост application any; - любое приложение (протокол) } then { permit; - пропустить log { - логировать событие при закрытии сессии (Необязательно, дополнение) session-close; } } } В режиме set: Кликните здесь для просмотра всего текста
set security policies from-zone trust to-zone untrust policy default-permit match source-address any
set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone untrust policy default-permit then log session-close Политика между двумя зонами может регулироваться несколькими правилами, которые будут выполняться последовательно. Например: Разрешим доступ первому с любого хоста на хост 192.168.1.10 по протоколу rdp и запретим весь остальной трафик: В режиме конфига show conf security policies Кликните здесь для просмотра всего текста
from-zone untrust to-zone trust {
policy 1 { match { source-address any; destination-address 192.168.1.10; application ms-rdp; } then { permit; } } policy deny-all { match { source-address any; destination-address any; application any; } then { deny; } }
1
|
|
(| 12.08.2014, 18:35 | |
|
Ответы с готовыми решениями:
0
KGUARD Security NS401 как настроить удаленный доступ через интернет Replacing invalid security id with default security id for file и в результате черный экран Replacing invalid security id with default security id for file |
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
| 12.08.2014, 18:35 | |
|
Помогаю со студенческими работами здесь
1
Replacing invalid security id with default security id for file Asterisk security + Symfony 2 security security internet security Security и роли Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
| Опции темы | |
|
|
Новые блоги и статьи
|
|||
|
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++
8Observer8 10.03.2026
Содержание блога
Финальные проекты на Си и на C++:
hello-sdl3-c. zip
hello-sdl3-cpp. zip
Результат:
|
Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE
8Observer8 10.03.2026
Содержание блога
MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .
|
Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки
Neotwalker 08.03.2026
Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд.
Даже если у вас. . .
|
Модульная разработка через nuget packages
DevAlt 07.03.2026
Сложившийся в . Net-среде способ разработки чаще всего предполагает
монорепозиторий в котором находятся все исходники.
При создании нового решения, мы просто добавляем нужные проекты
и имеем. . .
|
|
Модульный подход на примере F#
DevAlt 06.03.2026
В блоге дяди Боба наткнулся на такое определение:
В этой книге («Подход, основанный на вариантах использования») Ивар утверждает,
что архитектура программного обеспечения — это
структуры,. . .
|
Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование
8Observer8 05.03.2026
Содержание блога
Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .
|
SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D
8Observer8 04.03.2026
Содержание блога
Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip
На первой гифке отладочные линии отключены, а на второй включены:. . .
|
SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий
8Observer8 02.03.2026
Содержание блога
Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем.
. . .
|
Наверх