Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 정책 개요

비즈니스를 보호하기 위해 조직은 LAN 및 리소스에 대한 액세스를 제어해야 합니다. 보안 정책은 일반적으로 이러한 목적으로 사용됩니다. 회사 내에서 LAN을 통해 그리고 인터넷과 같은 외부 네트워크와 상호 작용할 때 보안 액세스가 필요합니다. Junos OS는 스테이트풀 방화벽, 애플리케이션 방화벽 및 사용자 ID 방화벽을 통해 강력한 네트워크 보안 기능을 제공합니다. 세 가지 유형의 방화벽 적용은 모두 보안 정책을 통해 구현됩니다. 상태 저장 방화벽 정책 구문은 애플리케이션 방화벽 및 사용자 ID 방화벽에 대한 추가 튜플을 포함하도록 확장됩니다.

Junos OS 스테이트풀 방화벽에서 보안 정책은 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역에 들어가고 다른 보안 영역을 나갑니다. 이러한 from-zone to-zone 의 조합을 컨텍스트라고 합니다. 각 컨텍스트에는 정렬된 정책 목록이 포함되어 있습니다. 각 정책은 컨텍스트 내에서 정의된 순서대로 처리됩니다.

사용자 인터페이스에서 구성할 수 있는 보안 정책은 예약된 시간에 지정된 IP 소스에서 지정된 IP 대상으로 허용되는 트래픽 종류를 정의하여 한 영역에서 다른 영역으로 트래픽 흐름을 제어합니다.

정책을 사용하면 거부, 허용, 거부(거부하고 TCP RST 또는 ICMP 포트 도달 불가 메시지를 소스 호스트로 전송), 암호화 및 복호화, 인증, 우선 순위 지정, 스케줄링, 필터링 및 모니터링을 수행할 수 있습니다. 어떤 사용자와 어떤 데이터가 들어오고 나갈 수 있는지, 언제 어디로 갈 수 있는지 결정합니다.

참고:

가상 시스템을 지원하는 SRX 시리즈 방화벽의 경우, 루트 시스템에 설정된 정책은 가상 시스템에 설정된 정책에 영향을 주지 않습니다.

SRX 시리즈 방화벽은 한 보안 영역에서 다른 보안 영역으로 통과해야 하는 모든 연결 시도를 검사한 다음 허용 또는 거부하여 네트워크를 보호합니다.

로깅 기능은 세션 초기화() 또는 세션 닫기(session-initsession-close) 단계 중에 보안 정책을 통해 활성화할 수도 있습니다.

  • 거부된 연결의 로그를 보려면 로그온 session-init을 사용하도록 설정합니다.

  • 종료/해제 후 세션을 기록하려면 로그온을 session-close활성화합니다.

참고:

세션 로그는 사용자 성능에 영향을 미치는 플로우 코드에서 실시간으로 활성화됩니다. 및 session-init 둘 다 session-close 사용하도록 설정하면 하나만 사용하도록 설정하는 session-init 경우에 비해 성능이 더 저하됩니다.

SRX300, SRX320, SRX340, SRX345, SRX380 및 SRX550M 디바이스의 경우 다음과 같은 공장 기본 보안 정책이 제공됩니다.

  • 트러스트 영역에서 언트러스트 영역으로 가는 모든 트래픽을 허용합니다.

  • 신뢰할 수 있는 영역 간, 즉 트러스트 영역에서 영역 내 트러스트 영역으로의 모든 트래픽을 허용합니다.

  • 언트러스트 영역에서 트러스트 영역으로 가는 모든 트래픽을 거부합니다.

정책 생성을 통해 지정된 소스에서 지정된 대상으로 예약된 시간에 전달하도록 허용되는 트래픽 종류를 정의하여 영역 간 트래픽 흐름을 제어할 수 있습니다.

가장 넓은 수준에서는 스케줄링 제한 없이 한 영역의 모든 소스에서 다른 모든 영역의 모든 대상으로 모든 종류의 트래픽을 허용할 수 있습니다. 가장 좁은 수준에서 예약된 시간 간격 동안 한 영역의 지정된 호스트와 다른 영역의 다른 지정된 호스트 간에 한 종류의 트래픽만 허용하는 정책을 만들 수 있습니다. 그림 1을 참조하십시오.

그림 1: 보안 정책 Security Policy

패킷이 한 영역에서 다른 영역으로 또는 동일한 영역에 바인딩된 두 인터페이스 사이를 전달하려고 시도할 때마다 디바이스는 이러한 트래픽을 허용하는 정책을 확인합니다( 보안 영역 이해예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성 참조). 트래픽이 한 보안 영역에서 다른 보안 영역으로 전달되도록 허용하려면(예: 영역 A에서 영역 B로) 영역 A가 영역 B로 트래픽을 전송하도록 허용하는 정책을 구성해야 합니다. 트래픽이 반대 방향으로 흐르도록 하려면 영역 B에서 영역 A로의 트래픽을 허용하는 다른 정책을 구성해야 합니다.

영역 간에 데이터 트래픽이 통과할 수 있도록 하려면 방화벽 정책을 구성해야 합니다.