Настройка security policy на Juniper SRX

Для того чтобы, обеспечить прохождения трафика через firewall используется policy (политики безопасности). По умолчанию межсетевой экран не пропускает никакой трафик. Рассмотрим настройку policy на примере, допустим у нас стоит задача пропускать трафик из подсети 10.10.10.0/24 которая находится в зоне untrust (т.е. «над» фаерволом), назовем ее сеть «A», в подсеть 192.168.0.0/24 которая находится в зоне trust (т.е. «под» фаерволом) назовем ее сеть «B». Первым делом добавляем адреса подсетей с которыми будем работать в адресные книги соответствующих зон.

root@srx> configure
Entering configuration mode

[edit]
root@srx# set security zones security-zone untrust address-book address NET_A_NAME 10.10.10.0/24

где «NET_A_NAME» имя сети «A»

[edit]
root@srx# set security zones security-zone trust address-book address NET_B_NAME 192.168.0.0/24

где «NET_B_NAME» имя сети «B»
теперь можно перейти к policies, сначала добавим policy из зоны unrust в зону trust:

[edit]
root@srx# edit security policies from-zone untrust to-zone trust

[edit security policies from-zone untrust to-zone trust]
root@srx# set policy POLICYNAME match source-address NET_A_NAME destination-address NET_B_NAME application any

[edit security policies from-zone untrust to-zone trust]
root@srx# set policy POLICYNAME then permit

[edit security policies from-zone untrust to-zone trust]
root@srx# up

теперь прописываем в обратную сторону:

[edit security policies]
root@srx# edit from-zone trust to-zone untrust

[edit security policies from-zone trust to-zone untrust]
root@srx# set policy POLICYNAME match source-address NET_B_NAME destination-address NET_A_NAME application any

[edit security policies from-zone trust to-zone untrust]
root@srx# set policy POLICYNAME then permit

Замечу, что если пользоваться TAB-ом при написании конфига, например в случае с destination address и source address то JunOS подставит значения из адресной книги именно той зоны о которой идет речь. А именно если мы описываем policy from-zone trust to-zone untrust то в качестве source address по табу будет проверяться address-book зоны trust а в качестве destination зоны untrust. Таким образом мы можем уберечь себя от ошибок которые могут быть с этим связаны, так что советую пользоваться табом.




Еще деталь, которую стоит отметить: если нам нужно в policy прописать в качестве source или destination адреса несколько адресов то их нужно указать в квадратных скобках через пробел, например:

[edit security policies from-zone untrust to-zone trust]
root@srx# set policy POLICYNAME match source-address [ NET_A_NAME NET_C_NAME NET_D_NAME ] destination-address NET_B_NAME application any

 

естественно предварительно адреса должны быть занесены в address-book соответствующей зоны.

Также если написать вместо source или destination адреса «any» то трафик будет разрешен с(на) любого адреса. Это же относится и к application, в приведенном выше примере мы разрешаем любые приложения, но можно открыть только одно или несколько например application [ junos-http junos-https ]

[edit security policies from-zone untrust to-zone trust]
root@srx# set policy POLICYNAME match application [ junos-http junos-https ]

Наконец не забываем сделать commit, policy настроено.

Настройка security policy на Juniper SRX: 1 комментарий

  1. Правильно ли я понимаю, что политиками мы разрешаем обычно прохождение трафика между зонами и подсетями, а в фаерволе разрешаем/запрещаем прохождение трафика с/на определенные адреса и порты? Можно ли использовать только политики или только фаервол?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *