Differences

This shows you the differences between two versions of the page.

--- workbook:jno-332:332_policies [2017/05/16 16:18] – k
+++ workbook:jno-332:332_policies [2021/08/12 08:35] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
-===== 332 Security Policies =====
+===== JN0-332: Junos Security Policies =====
 ** Необходимые знания по Security Policies: **
   *Identify the concepts, benefits and operation of security policies
@@ Line 9: / Line 9: @@
     *Scheduling :!:
     *Rematching :!:
-    *ALGs
+    *ALGs :!:
     *Address books :!:
-    *Applications
+    *Applications :!:
   *Demonstrate knowledge of how to configure, monitor and troubleshoot security policies
     *Policies
@@ Line 38: / Line 38: @@
 === Действия политики ===
   * permit - разрешаем трафик и создаем сессии.
-    * Firewall authenication - прикручиваем авторизацию для доступа к какому-либо сервису ([[workbook:jno-332:332_fua]]).
+    * **firewall-authenication** - прикручиваем авторизацию для доступа к какому-либо сервису ([[workbook:jno-332:332_fua]]). <code>
-    * ipsec tunnel - заворачиваем попавший под политику трафик в ipsec туннель (policy based ipsec).
+[edit security policies from-zone TRUST to-zone UNTRUST]
-    * IDP - передаем трафик на анализ системе предотвращения вторжений.
+root@bluebox# set policy TR-TO-UNT-P-ALL then permit firewall-authentication ?
-    * UTM - заворачиваем трафик в антивирус, в системы филтрации контента и сайтов.
+Possible completions:
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+> pass-through         Pass-through firewall authentication settings
+> web-authentication   Web-authentication settings
+</code>
+    * **tunnel** - заворачиваем попавший под политику трафик в ipsec туннель (policy based ipsec).<code>
+[edit security policies from-zone TRUST to-zone UNTRUST]
+root@bluebox# set policy TR-TO-UNT-P-ALL then permit tunnel ?
+Possible completions:
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  ipsec-group-vpn      Enable dynamic IPSEC group with name
+  ipsec-vpn            Enable VPN with name
+  pair-policy          Policy in the reverse direction, to form a pair
+</code>
+    * **destination-address** <code>
+[edit security policies from-zone TRUST to-zone UNTRUST]
+root@bluebox# set policy TR-TO-UNT-P-ALL then permit destination-address ?
+Possible completions:
+  <[Enter]>            Execute this command
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  drop-translated      Drop the policy if NAT translated
+  drop-untranslated    Drop the policy if NAT untranslated
+  |                    Pipe through a command
+</code>
+    * **application-services** - передаем трафик на анализ системе предотвращения вторжений. Заворачиваем трафик в антивирус, в системы филтрации контента и сайтов. <code>
+[edit security policies from-zone TRUST to-zone UNTRUST]
+root@bluebox# set policy TR-TO-UNT-P-ALL then permit application-services ?
+Possible completions:
+> application-firewall  Application firewall services
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  gprs-gtp-profile     Specify GPRS Tunneling Protocol profile name
+  gprs-sctp-profile    Specify GPRS stream control protocol profile name
+  idp                  Intrusion detection and prevention
+  redirect-wx          Set WX redirection
+  reverse-redirect-wx  Set WX reverse redirection
+> uac-policy           Enable unified access control enforcement of policy
+  utm-policy           Specify utm policy name
+</code>
   * reject - дропаем трафик и отправляем icmp unrechable для UPD трафика и RST для TCP трафика.
   * deny - тихо дропаем трафик.
@@ Line 193: / Line 234: @@
   * DNS - dns alg в трафике ищет ответ от dns сервера и если ответ пришел, то сразу закрывает сессию и не ждет 60 секунд стандартного таймаута для udp.
-  * FTP - ftp alg в активном режиме (когда клиент говорит серверу к какому адресу и порту надо подключаться) разрешает на выход создание сессии с портом назначения который указал клиента сервера.
+  * FTP - ftp alg следит за командами PORT (переход в активный режим - клиент сообщает серверу к какому адресу и к какому порту надо подключаться) и PASV  (переход в пассивный режим - сервер говорит клиенту к какому адресу и порту надо подключаться, код ответа 227) и временными политиками безопасности разрешает создание сессии с адресами и портами которые передавались в командах. При работе через ipv6 alg ftp дополнительно следит за командами EPRT, EPSV и 229 ответом.
+  * H.323 - h323 alg просматривает сообщения протокола, ищет информацию о используемых адресах и портах и открывает дырки в политиках для обратного трафика. Если используется NAT, то alg правит сообщения и меняет в них приватные адреса на публичные.
+  * IKE - ike alg мониторит ike трафик между клиентом и сервером и разрешает только разовый обмер IKE Phase2 между каждой парой сервера и клиента. По дефолту ike alg отключено.
 ----
@@ Line 257: / Line 300: @@
 Важно помнить, что при включенном policy-rematch сессии перепрогоняются только через политики безопасности которые были изменены. Если перед какой-либо __разрешающей__ политикой, командой insert, вставить "уточняющую"  __запрещающую__  политику, то сессии, которые которые были ранее разрешены, продолжат работать. Новая __зарещающая__ политика будет применять только к вновь создаваемым сессиям.
+==== Applications ====
+Application это один из критериев политики безопасности с помощью которого описываются порты и протоколы по которым бегает трафик. Есть пачка предустановленных приложений, посмотреть их моно командой //show configuration groups junos-defaults applications//.
+Вывод:
+<code>
+admin@kem-01-srx2> show configuration groups junos-defaults applications
+#
+# File Transfer Protocol
+#
+application junos-ftp {
+    application-protocol ftp;
+    protocol tcp;
+    destination-port 21;
+}
+#
+# Trivial File Transfer Protocol
+#
+application junos-tftp {
+    application-protocol tftp;
+    protocol udp;
+    destination-port 69;
+}
+#
+# Real Time Streaming Protocol
+#
+application junos-rtsp {
+    application-protocol rtsp;
+    protocol tcp;
+    destination-port 554;
+}
+... etc ...
+</code>
+В таком же стиле можно писать свои application, объединять их в сеты и т.д.:
+<code>
+admin@kem-01-srx2> show configuration applications
+application VIPNET-PORT {
+    term t1 protocol udp destination-port 55777;
+}
+application TCP-6810-6820 {
+    term t1 protocol tcp destination-port 6810-6820;
+}
+application TCP-7000-7030 {
+    term t1 protocol tcp destination-port 7000-7030;
+}
+application junos-syslog inactivity-timeout 6;
+application TCP-9443 {
+    term t1 protocol tcp destination-port 9443;
+}
+application TCP-48999 {
+    protocol tcp;
+    destination-port 48999;
+}
+application-set SET-ZENIT-POS-PORTS {
+    application TCP-7000-7030;
+    application TCP-6810-6820;
+}
+</code>
 ----
-===== Список используемых материалов =====
+===== Полезные материалов =====
   * [[http://eax.me/ftp-descr/|Описание протокола FTP + примеры]]
+{{tag>juniper jn0-332 exam}}