Security policies: Default Security Policies

• System-default security policy: Если для данного трафика не подходит ни одна политика, по умолчанию будет выполнено Deny ALL transit traffic.
  Вообще это поведение можно изменить:

  set security policies default-policy permit-all

• Factory-default template security policies: Это политики, выставленные по умолчанию на SRX:
  - Trust to Trust: Permit all
  - Trust to Untrust: Permit all
  - Untrust to Trust: deny all

Все эти правила являются лишь начальным шаблоном, и могут быть полностью изменены.

Security policies: ALG

ALG (Apllication Layer Gateway) - это процесс, позволяющий создавать multiple connections, необходимые для нормальной работы приложения.
LAG module работает на уровне Application-Layer-aware processing:
- Инспектирование пакетов, и выявление встроенных IP-адресов и портов внутри пакета.
- Динамическое открытие дополнительных портов, необходимых для нормальной работы приложения.
- При необходимости выполнение NAT

Security policies: ALG commands

ALG позволяет создать лишь одну Policy, по которой она уже открывает все необходимые порты.
Например в данном случае мы опубликовали сервер FTP. Изначально подключение идет по 21 порту.
Затем, при необходимости ALG открывает 20 порт, необходимый для передачи данных.

[edit security policies from-zone untrust to-zone trust policy ftp-server-access]
root@jun100_obn36a# show 
match {
    source-address any;
    destination-address ftp-server;
    application junos-ftp;
}
then {
    permit;
}

• Смотрим сессии:
  show security flow session

  root@jun100_obn36a> show security flow session
  Session ID: 1926, Policy name: ftp-server-access/7, Timeout: 1792, Valid
  Resource information : FTP ALG, 5, 0
    In: 195.209.104.27/26657 --> 195.112.100.134/21;tcp, If: fe-0/0/0.0, Pkts: 23, Bytes: 1097
    Out: 192.168.254.35/21 --> 195.209.104.27/26657;tcp, If: vlan.0, Pkts: 13, Bytes: 985
  
  Session ID: 1973, Policy name: ftp-server-access/7, Timeout: 300, Valid
  Resource information : FTP ALG, 5, 5
    In: 192.168.254.35/20 --> 195.209.104.27/8963;tcp, If: vlan.0, Pkts: 3579, Bytes: 4650188
    Out: 195.209.104.27/8963 --> 195.112.100.134/20;tcp, If: fe-0/0/0.0, Pkts: 1835, Bytes: 74688
  
  

• Смотрим enabled ALG:
  show security alg status

  root@jun100_obn36a> show security alg status 
  ALG Status :
    DNS      : Enabled
    FTP      : Enabled
    H323     : Enabled
    MGCP     : Enabled
    MSRPC    : Enabled
    PPTP     : Enabled
    RSH      : Disabled
    RTSP     : Enabled
    SCCP     : Enabled
    SIP      : Enabled
    SQL      : Disabled
    SUNRPC   : Enabled
    TALK     : Enabled
    TFTP     : Enabled
    IKE-ESP  : Disabled

• Смотрим ALG configuration:
  show security alg configuration