RTFM && WTFN - backup

Необходимые знания:

• Identify concepts, benefits and operation of zones
  • Zone types
  • Dependencies
  • Host inbound packet behavior
  • Transit packet behavior
• Demonstrate knowledge of how to configure, monitor and troubleshoot zones
  • Zone configuration steps
  • Hierarchy priority (Inheritance)
  • Monitoring and troubleshooting

Зона безопасности это сущность в которую объединяются интерфейс и сети со схожими\одинаковыми настройками безопасности. Объединяем в зону несколько интерфейсов и разрешаем на ней одни и те же протоколы или пишем политики безопасности сразу для нескольких сетей. Так же зонами определяются направления действий политик безопасности.

Тезисно:

• В зоны безопасности можно определить только логический интерфейс, не физику.
• Один логический интерфейс может принадлежать только одной зоне безопасности.
• Один логический интерфейс может принадлежать только одному роутинг инстансу.
• В одну зону безопасности можно назначать несколько логических интерфейсов.
• Все логические интерфейсы, принадлежащие одной из зоны, должны принадлежать одному и тому же роутинг инстансу.

Вставить картинку с отношением

• System defined - встроенная зона безопасности.
  1. Null zone - зона в которой находятся все интерфейсы до того как их определят в функциональную зону или к какой-либо зоне безопасности. SRX дропает весь трафик от\к интерфейсам находящимся в null зоне.
• User defined - зоны которые задает администратор, соответственно зоны можно настраивать.
  1. Functionsl zone - в функциональную зону (она может быть только одна) определяется out-of-bound managment интерфейс. Через функциональную зону не может пройти транзитный трафик.
     Функциональная зона всегда называется managenment.

     [edit security zones]
     admin@nsk-01-srx2# set ?
     Possible completions:
     + apply-groups         Groups from which to inherit configuration data
     + apply-groups-except  Don't inherit configuration data from these groups
     > functional-zone      Functional zone
     > security-zone        Security zones
     [edit security zones]
     admin@nsk-01-srx2# set functional-zone ?
     Possible completions:
     > management           Host for out of band management interfaces
     [edit security zones]
     admin@nsk-01-srx2# set functional-zone management ?
     Possible completions:
       <[Enter]>            Execute this command
     + apply-groups         Groups from which to inherit configuration data
     + apply-groups-except  Don't inherit configuration data from these groups
       description          Text description of zone
     > host-inbound-traffic  Allowed system services & protocols
     > interfaces           Interfaces that are part of this zone
       screen               Name of ids option object applied to the zone
       |                    Pipe through a command

  2. Secutity zone - в зоны безопасности определяем интерфейсы между которыми ходит транзитный трафик. Тут же определяем по каким сервисам и протоколам можно обратиться к самому srx через интерфейсы находящиеся в зоне.
     Зоны можно называть как угодно. <code>

[edit security zones] admin@nsk-01-srx2# set security-zone ? Possible completions:

<name>               Name of the zone
ATM                  Name of the zone
INTERNAL             Name of the zone
MGMT                 Name of the zone
PAYSYS               Name of the zone
TRUST                Name of the zone
UNTRUST              Name of the zone
VPN                  Name of the zone

[edit security zones] <code>