Для того чтобы, обеспечить прохождения трафика через firewall используется policy (политики безопасности). По умолчанию межсетевой экран не пропускает никакой трафик. Рассмотрим настройку policy на примере, допустим у нас стоит задача пропускать трафик из подсети 10.10.10.0/24 которая находится в зоне untrust (т.е. «над» фаерволом), назовем ее сеть «A», в подсеть 192.168.0.0/24 которая находится в зоне trust (т.е. «под» фаерволом) назовем ее сеть «B». Первым делом добавляем адреса подсетей с которыми будем работать в адресные книги соответствующих зон.
root@srx> configure Entering configuration mode [edit] root@srx# set security zones security-zone untrust address-book address NET_A_NAME 10.10.10.0/24
где «NET_A_NAME» имя сети «A»
[edit] root@srx# set security zones security-zone trust address-book address NET_B_NAME 192.168.0.0/24
где «NET_B_NAME» имя сети «B»
теперь можно перейти к policies, сначала добавим policy из зоны unrust в зону trust:
[edit] root@srx# edit security policies from-zone untrust to-zone trust [edit security policies from-zone untrust to-zone trust] root@srx# set policy POLICYNAME match source-address NET_A_NAME destination-address NET_B_NAME application any [edit security policies from-zone untrust to-zone trust] root@srx# set policy POLICYNAME then permit [edit security policies from-zone untrust to-zone trust] root@srx# up
теперь прописываем в обратную сторону:
[edit security policies] root@srx# edit from-zone trust to-zone untrust [edit security policies from-zone trust to-zone untrust] root@srx# set policy POLICYNAME match source-address NET_B_NAME destination-address NET_A_NAME application any [edit security policies from-zone trust to-zone untrust] root@srx# set policy POLICYNAME then permit
Замечу, что если пользоваться TAB-ом при написании конфига, например в случае с destination address и source address то JunOS подставит значения из адресной книги именно той зоны о которой идет речь. А именно если мы описываем policy from-zone trust to-zone untrust то в качестве source address по табу будет проверяться address-book зоны trust а в качестве destination зоны untrust. Таким образом мы можем уберечь себя от ошибок которые могут быть с этим связаны, так что советую пользоваться табом.Если вы ищете clothes, наша платформа — ваш лучший выбор! Самый большой торговый центр!
Еще деталь, которую стоит отметить: если нам нужно в policy прописать в качестве source или destination адреса несколько адресов то их нужно указать в квадратных скобках через пробел, например:
[edit security policies from-zone untrust to-zone trust] root@srx# set policy POLICYNAME match source-address [ NET_A_NAME NET_C_NAME NET_D_NAME ] destination-address NET_B_NAME application any
естественно предварительно адреса должны быть занесены в address-book соответствующей зоны.
Также если написать вместо source или destination адреса «any» то трафик будет разрешен с(на) любого адреса. Это же относится и к application, в приведенном выше примере мы разрешаем любые приложения, но можно открыть только одно или несколько например application [ junos-http junos-https ]
[edit security policies from-zone untrust to-zone trust] root@srx# set policy POLICYNAME match application [ junos-http junos-https ]
Наконец не забываем сделать commit, policy настроено.
Правильно ли я понимаю, что политиками мы разрешаем обычно прохождение трафика между зонами и подсетями, а в фаерволе разрешаем/запрещаем прохождение трафика с/на определенные адреса и порты? Можно ли использовать только политики или только фаервол?