Зона безопасности — Энциклопедия пожарной безопасности
Пожарно-техническая выставка
- Главная страница
- Энциклопедия
А
Б
В
Г
Д
Е
Ж
З
И
К
Л
М
Н
О
П
Р
С
Т
У
Ф
Х
Ц
Ч
Ш
Щ
Э
Ю
Я
Зона безопасности – территория, объекты которой защищены от пожаров (см. Пожарная безопасность). Система пожарной безопасности должна включать в себя меры пожарной безопасности (см. Профилактика пожаров) и обеспечиваться мерами активной противопожарной защиты (пожаротушения).
Литература: ГОСТ 12.1.004-91. ССБТ. Пожарная безопасность. Общие требования;
Системный анализ и проблемы пожарной безопасности народного хозяйства /Брушлинский Н.Н., Кафидов В.В., Козлачков В.И. и др. Под ред. Н.Н. Брушлинского. М., 1988.
Поделиться:
Предыдущая статья Зона бедствия Зона бедствия – часть территории или отдельная местность в зоне чрезвычайной ситуации, сильно пострадавшая и требующая дополнительной и немедленно представляемой помощи и материальных ресурсов для ликвидации чрезвычайной ситуации.
Следующая статья Зона биологического заражения Зона биологического заражения – территория или акватория, в пределах которой распространены или куда привнесены опасные биологические вещества, биологические средства поражения людей и животных или патогенные микроорганизмы, создающие опасность для жизни и здоровья людей, сельскохозяйственных животных и растений, а также для окружающей среды.
Другие разделы портала
Учебный центр
Учебный центр
В Российской Федерации в области пожарной безопасности выполняют работы (оказывают услуги) только в рамках лицензируемых видов деятельности порядка 50 тысяч организаций. Кроме этого, на предприятиях различных форм собственности свою деятельность осуществляют работники, на которых возложены обязанности по организации соблюдения требований пожарной безопасности и профилактики пожаров.
Читать полностью
Зоны безопасности и политики безопасности на устройствах безопасности
О зонах безопасности уровня 2
Зоной безопасность на уровне 2 является зона, в которую находятся интерфейсы уровня 2. Зона безопасности может быть зоной уровня 2 или уровня 3; он может содержать либо все интерфейсы уровня 2, либо все интерфейсы уровня 3, но не может содержать сочетания интерфейсов 2-го и 3-го уровней.
Тип зоны безопасности (уровень 2 или уровень 3) неявно устанавливается из первого интерфейса, настроенного для зоны безопасности. Последующие интерфейсы, настроенные для той же зоны безопасности, должны иметь тот же тип, что и первый интерфейс.
Прим.:
Нельзя настроить устройство с зонами безопасности уровня 2 и 3.
Можно настроить следующие свойства для безопасность на уровне 2 зон:
Interfaces — список интерфейсов зоны.
Политики — активные политики безопасности, которые применяют правила для транзитного трафика, то есть, какой трафик может проходить через межсетевой экран, и действия, которые должны выполняться для трафика по мере его передачи через межсетевой экран.
Экраны — Juniper Networks межсетевой экран с проверкой состояния, проверяя и разрешая или отсеивая все попытки подключения, требующие перехода из одной зоны безопасности в другую. Для каждой зоны безопасности и зоны MGT можно включить набор предварительно задамых параметров экрана, которые определяют и блокируют различные виды трафика, которые устройство определяет как потенциально вредные.
Можно настроить те же параметры экрана для безопасность на уровне 2, что и для зоны безопасности уровня 3.
Адресные книги — IP-адреса и наборы адресов, из которых составляют адресную книгу для идентификации ее членов, чтобы можно было применить к ним политики.
TCP-RST — когда эта функция включена, система отправляет сегмент TCP с установленным флагом сброса, когда поступает трафик, который не соответствует существующему сеансу и не имеет установленного флага синхронизации.
Кроме того, можно настроить зону уровня 2 для в исходящего трафика хоста. Это позволяет указать виды трафика, который может достигать устройства из систем, напрямую подключенных к интерфейсам зоны. Необходимо указать весь ожидаемый входящий трафик хоста, поскольку входящий трафик с устройств, непосредственно подключенных к интерфейсам устройства, по умолчанию отброшен.
Обзор коммутации Ethernet и прозрачного режима уровня 2
Понимание интерфейсов уровня 2 на устройствах безопасности
Примере: Настройка зон безопасности уровня 2
Примере: Настройка логических интерфейсов уровня 2 на устройствах безопасности
Примере: Настройка зон безопасности уровня 2
В этом примере показана настройка безопасность на уровне 2 зон.
- Требования
- Обзор
- Конфигурации
- Проверки
Требования
Перед началом работы определите свойства, которые необходимо настроить для безопасность на уровне 2 зоне. См. «О зонах безопасности уровня 2».
Обзор
В данном примере для зоны безопасности l2-zone1 настраивается логический интерфейс уровня 2 под названием ge-3/0/0.0 и зоны безопасности l2-zone2, чтобы включать логический интерфейс уровня 2, называемый ge-3/0/1.0. Затем необходимо настроить l2-zone2 так, чтобы все поддерживаемые службы приложений (например, SSH, Telnet и SNMP) разрешались как входящие хост-трафики.
Конфигурации
- интерфейс командной строки быстрой конфигурации
- Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима commit
конфигурации.
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Процедуры
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в «Использование редактора интерфейс командной строки в режиме конфигурации» в руководстве интерфейс командной строки пользователя.
Для настройки безопасность на уровне 2 зон:
Создайте безопасность на уровне 2 зону и назначьте для нее интерфейсы.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Настройте одну из безопасность на уровне 2 зон.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
После настройки устройства сфиксировать конфигурацию.
[edit] user@host# commit
Проверки
Чтобы проверить правильность работы конфигурации, введите show security zones
команду.
Понимание политик безопасности в прозрачном режиме
Кроме прозрачный режим, политики безопасности могут быть настроены только между зонами уровня 2. Когда пакеты проходят через VLAN, политики безопасности применяются между зонами безопасности. Политика безопасности для прозрачный режим аналогична политике, настроенной для зон уровня 3 с следующими исключениями:
NAT не поддерживается.
VPN IPsec не поддерживается.
Приложение ANY не поддерживается.
При переадрегировании уровня 2 трафик между зонами не разрешается, если на устройстве не имеется явно настроенной политики. По умолчанию, при переад сутках на уровне 2 выполняются следующие действия:
Разрешает или отказано в трафике, указанном в настроенной политике.
Разрешение протокола разрешения адресов (ARP) и нестандартного и широковещательного трафика уровня многоадресная передача по протоколу IP 2.
Продолжает блокировать весь не-IP-и не-ARP однонастный трафик.
Это поведение по умолчанию может быть изменено для коммутации Ethernet поток пакетов с помощью редактора конфигурации J-Web или интерфейс командной строки конфигурации:
Настройте возможность блокировать весь трафик уровня 2 без IP и без ARP, включая многовещательный
block-non-ip-all
и широковещательный трафик.Настройте параметр
bypass-non-ip-unicast
так, чтобы весь не IP-трафик уровня 2 проходил через устройство.
Прим.:
Нельзя одновременно настроить оба варианта.
Начиная с Junos OS и 12.3X48-D10 Junos OS release 17.3R1, можно создать отдельную зону безопасности в смешанном режиме (режим по умолчанию) для интерфейсов 2-го и 3-го уровней. Однако маршруты между интерфейсами IRB и интерфейсами IRB и интерфейсами 3-го уровня не существует. Поэтому нельзя настраивать политики безопасности между зонами уровня 2 и 3. Политики безопасности можно настроить только между зонами уровня 2 или между зонами уровня 3.
Примере: Настройка политик безопасности в прозрачном режиме
Примере: Настройка зон безопасности уровня 2
Понимание смешанного (прозрачного и маршрутного) режима на устройствах безопасности
Примере: Настройка политик безопасности в прозрачном режиме
В данном примере показано, как настраивать политики безопасности в прозрачный режим между зонами уровня 2.
- Требования
- Обзор
- Конфигурации
- Проверки
Требования
Прежде чем начать, определите поведение политики, которое вы хотите включить в безопасность на уровне 2 зоне. См. «Правила безопасности в прозрачном режиме».
Обзор
В данном примере настроена политика безопасности, позволяющая HTTP-трафику из подсети 192.0.2.0/24 в зоне безопасности l2-zone1 быть сервером с 192.0.2.1/24 в зоне безопасности l2-zone2.
Конфигурации
Процедуры
- интерфейс командной строки быстрой конфигурации
- Пошаговая процедура
- Результаты
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в «Использование редактора интерфейс командной строки в режиме конфигурации» в руководстве интерфейс командной строки пользователя.
Конфигурировать политики безопасности в прозрачный режим:
Создание политик и назначение адресов интерфейсам зон.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192. 0.2.1/24
Установите политики для приложения.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show security policies
команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
После настройки устройства войдите в commit
режим конфигурации.
Проверки
Проверка политик безопасности уровня 2
- Цель
- Действий
Цель
Убедитесь безопасность на уровне 2 что политики настроены правильно.
Действий
В режиме конфигурации введите show security policies
команду.
Понимание аутентификации пользователя брандмауэра в прозрачном режиме
Пользователь межсетевых экранов – это сетевой пользователь, которому необходимо вводить имя пользователя и пароль для аутентификации при инициации соединения через брандмауэр. Аутентификация пользователя межсетевых экранов позволяет администраторам ограничивать и разрешая пользователям доступ к защищенным ресурсам за межсетевой экраном на основе их IP-адреса источника и других учетных данных. Junos OS поддерживает следующие типы аутентификации пользователей межсетевых экранов для прозрачный режим на устройстве серия SRX:
Сквозная аутентификация — хост или пользователь из одной зоны пытается получить доступ к ресурсам в другой зоне. Для доступа к IP-адресу защищенного ресурса и аутентификации с помощью межсетевых экранов необходимо использовать FTP-клиент, Telnet или HTTP-клиент. Устройство использует FTP, Telnet или HTTP для сбора данных об имени пользователя и пароле, а последующий трафик от пользователя или хоста разрешается или отказано в результате этой аутентификации.
Веб-аутентификация – пользователи пытаются подключиться с помощью HTTP к IP-адресу интерфейса IRB, включенного для веб-аутентификации. Будет предложено вводить имя пользователя и пароль, которые проверяются устройством. В результате этой аутентификации последующий трафик от пользователя или хоста к защищенму ресурсу либо разрешается, либо отказано.
Таблица истории выпусков
Версия
Описание
12.3X48-D10
Начиная с Junos OS и 12.3X48-D10 Junos OS release 17.3R1, можно создать отдельную зону безопасности в смешанном режиме (режим по умолчанию) для интерфейсов 2-го и 3-го уровней.
зон безопасности | ОС Junos
Зона безопасности представляет собой совокупность одного или нескольких сегментов сети, требующих регулирования входящих и исходящих трафик через политики. Зоны безопасности — это логические объекты, к которым один или несколько интерфейсов привязаны. Вы можете определить несколько зоны, точное количество которых вы определяете исходя из вашей сети потребности.
Обзор зон безопасности
Интерфейсы действуют как проход через какой трафик входит и выходит из устройства Juniper Networks. Много интерфейсов могут иметь одни и те же требования безопасности; однако разные интерфейсы также могут иметь разные требования безопасности для входящего трафика. исходящие пакеты данных. Интерфейсы с одинаковыми требованиями безопасности могут быть объединены в единую зону безопасности.
Охранная зона представляет собой совокупность одного или нескольких сегментов сети, требующих регулирования входящих и исходящих трафик через политики.
Охранные зоны являются логическими объектами, к которым или несколько интерфейсов связаны. Со многими типами Juniper Networks устройства, вы можете определить несколько зон безопасности, точное количество из которых вы определяете на основе потребностей вашей сети.
На одном устройстве можно настроить несколько зоны безопасности, разделяющие сеть на сегменты, на которые можно применять различные параметры безопасности для удовлетворения потребностей каждого сегмента. Как минимум, вы должны определить две зоны безопасности, в основном для защиты одной области сети от другой. На некоторых платформах безопасности вы можете определить множество зон безопасности, обеспечивая более точную детализацию ваш проект сетевой безопасности — и без развертывания нескольких средства безопасности для этого.
С точки зрения политик безопасности трафик
входит в одну зону безопасности и выходит в другую зону безопасности.
Эта комбинация из зоны
и в зону
определяется как контекст . Каждый контекст содержит
упорядоченный список политик. Дополнительные сведения о политиках см. в разделе Обзор политик безопасности.
Этот раздел включает следующие разделы:
- Общие сведения об интерфейсах зон безопасности
- Понимание функциональных зон
- Понимание зон безопасности
Понимание интерфейсов зоны безопасности
Можно представить себе интерфейс зоны безопасности в качестве дверного проема, через который трафик TCP/IP может проходить между этим Зона и любая другая зона.
С помощью определяемых вами политик вы можете разрешать трафик между зонами должен течь в одном направлении или в обоих. С маршруты, которые вы определяете, вы указываете интерфейсы, через которые проходит трафик одной зоны в другую должны использовать. Потому что вы можете связать несколько интерфейсов к зоне, маршруты, которые вы прокладываете, важны для направления движения к интерфейсам по вашему выбору.
Для интерфейса можно настроить адрес IPv4, адрес IPv6, или оба.
Понимание функциональных зон
Функциональная зона используется для специальных целей, как интерфейсы управления. В настоящее время только зона управления (MGT) поддерживается. Зоны управления имеют следующие свойства:
Интерфейсы управления узлами зон управления.
Трафик, поступающий в зоны управления, не соответствует политикам; следовательно, трафик не может проходить через какой-либо другой интерфейс, если он было получено в интерфейсе управления.
Зоны управления могут использоваться только для выделенного управления интерфейсы.
Общие сведения о зонах безопасности
Зоны безопасности являются строительными блоками для политик; они являются логическими объектами, к которым привязаны один или несколько интерфейсов. Зоны безопасности позволяют различать группы хостов (пользователей). системы и другие хосты, такие как серверы) и их ресурсы из друг друга для применения к ним различных мер безопасности.
Зоны безопасности имеют следующие свойства:
Политики — активные политики безопасности, обеспечивающие соблюдение правил. для транзитного трафика, с точки зрения того, какой трафик может пройти через брандмауэр и действия, которые необходимо выполнить с трафиком при прохождении через брандмауэр. Дополнительные сведения см. в разделе Обзор политик безопасности.
Экраны — брандмауэр Juniper Networks с отслеживанием состояния защищает сеть, проверяя, а затем разрешая или запрещая все соединения попытки, требующие перехода из одной зоны безопасности в другую. За каждой зоне безопасности вы можете включить набор предопределенных параметров экрана которые обнаруживают и блокируют различные виды трафика, которые определяет устройство как потенциально вредные. Для получения дополнительной информации см. Обзор разведывательного сдерживания.
Адресные книги — IP-адреса и наборы адресов, составить адресную книгу для идентификации ее участников, чтобы вы могли подать заявку политики к ним. Записи адресной книги могут включать любую комбинацию адресов IPv4, адресов IPv6 и имен системы доменных имен (DNS). Дополнительные сведения см. в разделе Пример: настройка адресных книг и наборов адресов.
TCP-RST — если эта функция включена, система отправляет TCP-сегмент с установленным флагом RESET, когда приходит трафик, который не соответствует существующему сеансу и не имеет параметра SYNchronize набор флагов.
Интерфейсы — список интерфейсов в зоне.
Зоны безопасности имеют следующие предварительно настроенные zone:
Пример: создание зон безопасности
В этом примере показано, как настроить зоны и назначьте им интерфейсы. При настройке зоны безопасности вы может указывать множество своих параметров одновременно.
- Требования
- Обзор
- Конфигурация
- Проверка
Обзор
Интерфейс зоны безопасности можно рассматривать как дверной проем через который может проходить трафик TCP/IP между этой зоной и любым другим зона.
Примечание:
По умолчанию интерфейсы находятся в нулевой зоне. Интерфейсы не будут пропускать трафик, пока они не будут назначены зоне.
Примечание:
Вы можете настроить 2000 интерфейсов в пределах зоны безопасности на устройствах SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 или SRX5800, в зависимости от выпуска ОС Junos в вашей установке.
Конфигурация
Процедура
- Быстрая настройка интерфейса командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка интерфейса командной строки
Чтобы быстро настроить этот пример, скопируйте
следующие команды, вставьте их в текстовый файл, удалите все разрывы строк,
изменить любые данные, необходимые для соответствия конфигурации вашей сети,
скопируйте и вставьте команды в CLI в иерархии [править]
уровень, а затем введите commit
из режима конфигурации.
набор интерфейсов ge-0/0/1 блок 0 семейный адрес inet 203.0.113.1/24 набор интерфейсов ge-0/0/1 блок 0 семейство inet6 адрес 2001:db8:1::1/64 установить зоны безопасности зоны безопасности ABC интерфейсы ge-0/0/1.0
Пошаговая процедура
В следующем примере вам потребуется перемещаться по различным уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Для создания зон и назначения им интерфейсов:
Настройка интерфейса Ethernet и назначение IPv4-адреса к этому.
[править] user@host# set interfaces ge-0/0/1 unit 0 family адрес inet 203.0.113.1/24
Настройка интерфейса Ethernet и назначение адреса IPv6 к этому.
[править] user@host# set interfaces ge-0/0/1 unit 0 family адрес inet6 2001:db8::1/32
Настройте зону безопасности и назначьте ее для Ethernet интерфейс.
[править] user@host# установить зоны безопасности security-zone ABC interfaces ge-0/0/1.0
Результаты
В режиме конфигурации подтвердите свою конфигурацию
введя команды show security zone security-zone ABC
и
show interfaces ge-0/0/1
. Если вывод не отображается
предполагаемой конфигурации, повторите инструкции по настройке
в этом примере, чтобы исправить это.
Для краткости этот вывод show
включает только конфигурацию
что имеет отношение к этому примеру. Любая другая конфигурация в системе
был заменен многоточием (...).
[править] user@host# показать зоны безопасности security-zone ABC ... интерфейсы { ge-0/0/1.0 { ... } } [редактировать] user@host# показать интерфейсы ge-0/0/1 ... единица 0 { семья инет { адрес 203.0.113.1/24; } семья инет6 { адрес 2001:db8:1::1/64; } }
Если вы закончили настройку устройства, введите commit
из режима настройки.
Проверка
Поиск и устранение неисправностей с помощью журналов
- Назначение
- Действие
Назначение
Используйте эти журналы для выявления любых проблем.
Действие
В рабочем режиме введите команду show log messages
и команду show log dcd
.
Поддерживаемые системные службы для входящего трафика хоста
В этом разделе описываются поддерживаемые системные службы для входящего трафика хоста в указанной зоне или интерфейсе.
Например, предположим, что пользователь, чья система была подключена
к интерфейсу 203.0.113.4
в зоне ABC
требуется
подключиться по телнету к интерфейсу 198.51.100.4
в зоне ABC
. Чтобы это действие было разрешено, приложение Telnet должно быть настроено
в качестве разрешенной входящей службы на обоих интерфейсах, и политика должна
разрешить передачу трафика.
См. раздел «Параметры » в системных службах (Безопасность). Zones Host Inbound Traffic) для просмотра системных служб который можно использовать для входящего трафика хоста.
Примечание.
В шлюзах служб серии SRX поле xnm-clear-text
включено в заводской конфигурации по умолчанию. Эта настройка
включает входящий трафик протокола Junos XML в зоне доверия для
устройство, когда устройство работает с заводскими настройками по умолчанию.
Мы рекомендуем заменить заводские настройки на
определяемая пользователем конфигурация, обеспечивающая дополнительную безопасность после
коробка настроена. Вы должны удалить xnm-clear-text
поле вручную с помощью команды CLI удалить системные службы
xnm-открытый текст
.
См. раздел Параметры в протоколах (Зоны безопасности). Интерфейсы) для просмотра поддерживаемых протоколов, которые можно используется для входящего трафика хоста.
Примечание:
Все службы (кроме DHCP и BOOTP) могут быть настроены либо на зону, либо на интерфейс. DHCP-сервер настроен только для каждого интерфейса, потому что входящий интерфейс должен быть известен сервер, чтобы иметь возможность отправлять ответы DHCP.
Примечание:
Вам не нужно настраивать протокол обнаружения соседей. (NDP) для входящего трафика хоста, так как NDP включен по умолчанию.
Параметр конфигурации для протокола обнаружения соседей IPv6 (NDP)
доступен. Параметр конфигурации: установить обнаружение соседей по протоколу.
команда onlink-subnet-only
. Эта опция предотвратит
от ответа на Neighbor Solicitation (NS) от префикса, который
не был включен в качестве одного из префиксов интерфейса устройства.
Примечание:
Механизм маршрутизации необходимо перезагрузить после настройки эта опция, чтобы удалить любую возможность предыдущей записи IPv6 из оставшиеся в таблице переадресации.
Понимание того, как управлять входящим трафиком на основе трафика Типы
В этом разделе описывается, как настроить зоны для укажите виды трафика, который может достигать устройства из систем которые напрямую связаны с его интерфейсами.
Обратите внимание на следующее:
Вы можете настроить эти параметры на уровне зоны, в этом случае они влияют на все интерфейсы зоны или на интерфейс уровень. (Конфигурация интерфейса имеет приоритет над конфигурацией зоны.)
Необходимо включить весь ожидаемый входящий трафик хоста. Входящий трафик, предназначенный для этого устройства, по умолчанию отбрасывается.
Вы также можете настроить интерфейсы зоны, чтобы разрешить использование протоколами динамической маршрутизации.
Эта функция позволяет защитить устройство от атаки, запущенные из систем, которые прямо или косвенно связаны к любому из его интерфейсов. Он также позволяет выборочно настроить устройство, чтобы администраторы могли управлять им с помощью определенных приложений на определенных интерфейсах. Вы можете запретить использование других приложений на одном и том же или разных интерфейсах зоны. Например, скорее всего вы хотели бы убедиться, что посторонние не используют приложение Telnet из Интернета, чтобы войти в устройство, потому что вы не хотели бы их подключения к вашей системе.
Пример: управление входящим трафиком на основе типов трафика
В этом примере показано, как настроить входящий трафик в зависимости от типа трафика.
- Требования
- Обзор
- Конфигурация
- Проверка
Требования
Перед началом:
Настройте сетевые интерфейсы. См. Руководство пользователя интерфейсов для устройств безопасности.
Понимание типов входящего трафика. См. Понимание того, как контролировать входящий трафик на основе по типам трафика.
Обзор
Разрешив запуск системных служб, вы можете настроить зоны чтобы указать различные типы трафика, который может достичь устройства из системы, напрямую подключенные к его интерфейсам. Вы можете настроить различные системные службы на уровне зоны, и в этом случае они влияют на все интерфейсы зоны или на уровне интерфейса. (Интерфейс конфигурация переопределяет конфигурацию зоны.)
Необходимо включить весь ожидаемый входящий трафик хоста. Входящий трафик с устройств, напрямую подключенных к интерфейсам устройства, сбрасывается по умолчанию.
Конфигурация
Процедура
- Быстрая конфигурация интерфейса командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка интерфейса командной строки
Чтобы быстро настроить этот пример, скопируйте
следующие команды, вставьте их в текстовый файл, удалите все разрывы строк,
изменить любые данные, необходимые для соответствия конфигурации вашей сети,
скопируйте и вставьте команды в CLI в иерархии [править]
уровень, а затем введите commit
из режима конфигурации.
установить зоны безопасности зона безопасности ABC host-inbound-traffic system-services все установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.3 host-inbound-traffic system-services telnet установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1. 3 host-inbound-traffic system-services ftp установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.3 host-inbound-traffic system-services snmp набор зон безопасности security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all установить зоны безопасности зоны безопасности ABC интерфейсы ge-0/0/1.0 host-inbound-traffic system-services ftp за исключением установить зоны безопасности security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http кроме
Пошаговая процедура
В следующем примере вам потребуется перемещаться по различным уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Чтобы настроить входящий трафик на основе типов трафика:
Настройте зону безопасности.
[править] user@host# редактировать зоны безопасности security-zone ABC
Настройте зону безопасности для поддержки входящего трафика для всех системных служб.
[редактировать зоны безопасности зоны безопасности ABC] user@host# установить системные службы host-inbound-traffic all
Настройте системные службы Telnet, FTP и SNMP по адресу уровень интерфейса (не уровень зоны) для первого интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Настройте зону безопасности для поддержки входящего трафика для всех системных служб для второго интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] пользователь@хост# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Исключить системные службы FTP и HTTP из второго интерфейс.
[редактировать зоны безопасности зоны безопасности ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp кроме user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http кроме
Результаты
В режиме конфигурации подтвердите свою конфигурацию
введя показать зоны безопасности security-zone ABC
.
Если выходные данные не отображают предполагаемую конфигурацию, повторите
инструкции по настройке в этом примере, чтобы исправить это.
[править] user@host# показать зоны безопасности security-zone ABC хост-входящий-трафик { системные службы { все; } } интерфейсы { гэ-0/0/1.3 { хост-входящий-трафик { системные службы { фтп; телнет; СНМП; } } } ge-0/0/1.0 { хост-входящий-трафик { системные службы { все; FTP { кроме; } http { кроме; } } } } }
Если вы завершили настройку устройства, введите commit
из режима настройки.
Проверка
Поиск и устранение неисправностей с помощью журналов
- Цель
- Действие
Назначение
Используйте эти журналы для выявления любых проблем.
Действие
В рабочем режиме введите команду show log messages
и команду show log dcd
.
Понимание того, как управлять входящим трафиком на основе протоколов
В этом разделе описываются входящие системные протоколы в указанной зоне или интерфейсе.
Любой входящий трафик хоста, соответствующий
разрешен протокол, указанный в параметре входящего трафика хоста.
Например, если где-то в конфигурации вы сопоставляете протокол
к номеру порта, отличному от значения по умолчанию, вы можете указать протокол
в опции входящего трафика хоста, и новый номер порта будет
использовал. В таблице 1 перечислены поддерживаемые протоколы.
Значение all
указывает, что трафик со всех следующих
протоколов разрешен входящий трафик на указанные интерфейсы (зоны,
или один указанный интерфейс).
Поддерживаемые системные службы | |||
---|---|---|---|
все | IGMP | пм | сок |
бфд | лдп | разрыв | вррп |
БГП | MSDP | разрыв | нрп |
маршрутизатор-обнаружение | двмрп | ОСПФ | ответ на запрос |
пгм | ospf3 |
Примечание:
Если DVMRP или PIM включены для интерфейса, IGMP и Входящий трафик хоста MLD включается автоматически. Поскольку IS-IS использует адресации OSI и не должны генерировать IP-трафик, параметр входящего трафика хоста для протокола IS-IS.
Примечание:
Вам не нужно настраивать протокол обнаружения соседей. (NDP) для входящего трафика хоста, так как NDP включен по умолчанию.
Параметр конфигурации для протокола обнаружения соседей IPv6 (NDP)
доступен. Параметр конфигурации: установить обнаружение соседей по протоколу.
команда onlink-subnet-only
. Эта опция предотвратит
от ответа на Neighbor Solicitation (NS) от префикса, который
не был включен в качестве одного из префиксов интерфейса устройства.
Примечание:
Механизм маршрутизации необходимо перезагрузить после настройки эта опция, чтобы удалить любую возможность сохранения предыдущей записи IPv6 в таблице переадресации.
Пример: управление входящим трафиком на основе протоколов
В этом примере показано, как включить входящий трафик для интерфейса.
- Требования
- Обзор
- Конфигурация
- Проверка
Требования
Прежде чем начать:
Настройка зон безопасности. См. пример: Создание зон безопасности.
Настройка сетевых интерфейсов. См. Руководство пользователя интерфейсов для устройств безопасности.
Обзор
Любой входящий трафик хоста, соответствующий указанному протоколу в опции host-inbound traffic разрешено. Например, если в любом месте конфигурации вы сопоставляете протокол с номером порта кроме протокола по умолчанию, вы можете указать протокол в host-inbound трафик, и будет использоваться новый номер порта.
Значение все
указывает, что трафик со всех
протоколы разрешены входящие на указанные интерфейсы (из
зону или один указанный интерфейс).
Конфигурация
Процедура
- Быстрая конфигурация интерфейса командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка интерфейса командной строки
Чтобы быстро настроить этот пример, скопируйте
следующие команды, вставьте их в текстовый файл, удалите все разрывы строк,
изменить любые данные, необходимые для соответствия конфигурации вашей сети,
скопируйте и вставьте команды в CLI на [править]
иерархия
level, а затем введите commit
из режима конфигурации.
установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.0 host-inbound-traffic protocols ospf установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.0 host-inbound-traffic protocols ospf3
Пошаговая процедура
В следующем примере вам потребуется перемещаться по различным уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Для настройки входящего трафика на основе протоколов:
Настройте зону безопасности.
[править] user@host# редактировать зоны безопасности security-zone ABC
Настройте зону безопасности для поддержки входящего трафика на основе протокола ospf для интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Настройте зону безопасности для поддержки входящего трафика на основе протокола ospf3 для интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] user@host# набор интерфейсов ge-0/0/1.0 host-inbound-traffic protocols ospf3
Результаты
В режиме конфигурации подтвердите свою конфигурацию
введя зон безопасности шоу зоны безопасности ABC
.
Если выходные данные не отображают предполагаемую конфигурацию, повторите
инструкции по настройке в этом примере, чтобы исправить это.
[править] user@host# показать зоны безопасности security-zone ABC интерфейсы { ge-0/0/1.0 { хост-входящий-трафик { протоколы { ОСПД; ospf3; } } } }
Если вы закончили настройку устройства, введите commit
из режима настройки.
Проверка
Поиск и устранение неисправностей с помощью журналов
- Цель
- Действие
Назначение
Используйте эти журналы для выявления любых проблем.
Действие
В рабочем режиме введите 9Команда 0015 show log messages и команда show log dcd
.
Пример: настройка параметра TCP-Reset
В этом примере показано, как настроить TCP-Reset параметр для зоны.
- Требования
- Обзор
- Конфигурация
- Проверка
Требования
Прежде чем начать, настройте зоны безопасности. См. пример: Создание зон безопасности.
Обзор
Когда функция параметра TCP-Reset включена, система отправляет TCP-сегмент с установленным флагом RESET, когда приходит трафик, который не соответствует существующему сеансу и не имеет флага SYN поставил.
Конфигурация
Процедура
Пошаговая процедура
уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Чтобы настроить параметр TCP-Reset для зоны:
Настройте зону безопасности.
[править] user@host# редактировать зоны безопасности security-zone ABC
Настройте параметр TCP-Reset для зоны.
[редактировать зоны безопасности зоны безопасности ABC] user@host# установить tcp-rst
Если вы завершили настройку устройства, подтвердите настройку.
[править] пользователь@хост# зафиксировать
Проверка
Чтобы убедиться, что конфигурация работает правильно,
введите команду show security zone
.
Обзор зон безопасности
Зоны безопасностипозволяют вам быть уверенными в том, что ваши ресурсы в Oracle Cloud Infrastructure, включая вычислительные ресурсы, сетевые ресурсы, хранилище объектов, блочные тома и ресурсы базы данных, соответствуют вашим политикам безопасности.
Зона безопасности связана с одним или несколькими отсеками и рецептом зоны безопасности. Когда вы создаете и обновляете ресурсы в зоне безопасности, Oracle Cloud Infrastructure проверяет эти операции на соответствие списку политик, определенных в рецепте зоны безопасности. Если какая-либо политика зоны безопасности нарушена, то в операции будет отказано. По умолчанию отсек и любые подотсеки находятся в одной и той же зоне безопасности, но вы также можете создать другую зону безопасности для подотсека.
Например, политика зоны безопасности запрещает создание общедоступных сегментов в хранилище объектов. Если вы попытаетесь создать общедоступную корзину в зоне безопасности с этой политикой или попытаетесь изменить существующую корзину хранилища и сделать ее общедоступной, вы получите сообщение об ошибке. Точно так же вы не можете переместить существующий ресурс в отсек в зоне безопасности, если существующий ресурс не соответствует всем политикам в зоне безопасности.
В вашей аренде есть предопределенный рецепт под названием «Максимальный рецепт безопасности», который включает в себя несколько тщательно отобранных политик зон безопасности. Oracle управляет этим рецептом, и вы не можете его изменить. Однако вы можете создавать свои собственные рецепты, отвечающие вашим конкретным требованиям безопасности.
Перед созданием зон безопасности необходимо включить Oracle Cloud Guard. Cloud Guard помогает обнаруживать нарушения политики в существующих ресурсах, которые были созданы до зоны безопасности.
Совет
Посмотрите ознакомительное видео об услуге.
Концепции зон безопасности
Понимание ключевых концепций и компонентов, связанных с зонами безопасности.
На следующей диаграмме представлен общий обзор зон безопасности.
- Охранная зона
- Связь между отсеком (и нулем или более подотсеков) и рецептом зоны безопасности. Операции с ресурсами в зоне безопасности проверяются на соответствие всем политикам рецепта.
- Охранная зона включает в себя отсек и все его подотсеки, если только вы явно не удалите подотсек из зоны безопасности или не создадите отдельную зону для подотсека.
- Отсек не может быть связан более чем с одной зоной безопасности.
- Рецепт зоны безопасности
- Набор политик зон безопасности, которые Oracle Cloud Infrastructure применяет к зонам безопасности, использующим рецепт.
- Политика зоны безопасности
- Требование безопасности для ресурсов в зоне безопасности. Если зона безопасности включает политику, то любое действие, которое пытается нарушение этой политики запрещено.
- Целевая зона безопасности (Cloud Guard)
- Отсек, в котором Cloud Guard периодически проверяет ресурсы на наличие нарушений политики зоны безопасности.
- Целевой объект включает все подотделы, если вы не создали отдельный целевой объект для подотсека.
- Цель связана с одним или несколькими рецептами детектора. Каждый рецепт детектора определяет список потенциальных проблем безопасности.
Политика зоны безопасности отличается от политики IAM следующим образом:
- Администраторы создают политики IAM, чтобы предоставить пользователям возможность управлять определенными ресурсами в отделении.
- Политика зоны безопасности гарантирует, что эти операции управления соответствуют архитектуре максимальной безопасности Oracle и лучшим практики.
- Политика зоны безопасности проверяется независимо от того, какой пользователь выполняет операцию.
- Политика зоны безопасности запрещает определенные действия; он не дает возможности.
Принципы безопасности
В целом политики зон безопасности соответствуют следующим основным принципам безопасности.
Зоны безопасностии Cloud Guard
Понять отношения между отсеками, зонами безопасности, рецептами и целями.
После создания зоны безопасности для отсека она автоматически предотвращает такие операции, как создание или изменение ресурсов, которые нарушают политики зоны безопасности. Однако существующие ресурсы, созданные до зоны безопасности, также могут нарушать политики. Зоны безопасности интегрируются с Cloud Guard для выявления нарушений политики в существующих ресурсах.
Cloud Guard — это служба Oracle Cloud Infrastructure, предоставляющая центральную панель инструментов для мониторинга всех ваших облачных ресурсов на наличие уязвимостей безопасности в конфигурации, метриках и журналах. При обнаружении проблемы он может предложить, помочь или предпринять корректирующие действия в зависимости от конфигурации Cloud Guard.
Вот некоторые ключевые концепции Cloud Guard:
- Рецепт детектора
- Определяет типы облачных ресурсов и проблемы безопасности, которые вы хотите отслеживать с помощью Cloud Guard.
- Cloud Guard предоставляет несколько рецептов детекторов, управляемых Oracle, по умолчанию, и вы также можете создавать собственные рецепты.
- Цель
- Отсек, за которым нужно следить Cloud Guard и который связан с рецептом Cloud Guard.
- Цель может быть связана с несколькими рецептами детектора, но только по одному для каждого типа (конфигурация, активность и т. д.).
- Цель зоны безопасности
- Тип цели Cloud Guard, который также связан с зоной безопасности. Цель отслеживает ресурсы в отсеке на предмет нарушений политики зоны безопасности.
При создании зоны безопасности для отсека Cloud Guard выполняет следующие задачи:
- Удаляет любую существующую цель Cloud Guard для отсека и всех дочерних отсеков
- Создает цель зоны безопасности для отсека
- Добавляет рецепты обнаружения, управляемые Oracle, по умолчанию в цель зоны безопасности .
На следующей диаграмме показана конфигурация Cloud Guard для новой зоны безопасности:
При создании зоны безопасности для подотсека, родительский отсек которого уже находится в зоне безопасности, Cloud Guard выполняет следующие задачи:
- Создает отдельную целевую зону безопасности для подотсека
- Добавляет рецепты обнаружения, управляемые Oracle, по умолчанию в новую цель зоны безопасности .
В существующую цель Cloud Guard для родительского отсека не вносятся изменения.
На следующей диаграмме показана конфигурация Cloud Guard для новой зоны безопасности в подразделении:
Один отсек не может находиться в нескольких зонах безопасности, а также не может находиться в нескольких целях Cloud Guard.
Дополнительные сведения о Cloud Guard см. в разделе Основные понятия Cloud Guard.
Способы доступа к зонам безопасности
Вы можете получить доступ к зонам безопасности с помощью консоли (интерфейс на основе браузера), REST API, командной строки Интерфейс (CLI) или SDK.
Инструкции для консоли, API и интерфейса командной строки включены в разделы данного руководства. Список доступных SDK см. в разделе Комплекты для разработки программного обеспечения и интерфейс командной строки.
Примечание
API зон безопасности доступны на конечных точках Cloud Guard.
Для доступа к консоли необходимо использовать поддерживаемый браузер. Чтобы перейти на страницу входа в консоль, откройте панель навигации в верхней части этой страницы и щелкните Консоль инфраструктуры. Вам будет предложено ввести своего облачного клиента, имя пользователя и пароль.
Аутентификация и авторизация
Каждая служба в Oracle Cloud Infrastructure интегрируется с IAM для аутентификации и авторизации для всех интерфейсов (консоли, SDK или CLI и REST API).
Администратору вашей организации необходимо настроить группы, разделы и политики , которые контролируют, какие пользователи могут получить доступ к тем или иным службам, какие ресурсы и тип доступа. Например, политики контролируют, кто может создавать пользователей, создавать и управлять VCN (виртуальной облачной сетью) , запускать экземпляры и создавать сегменты .
- Если вы новый администратор, см. раздел Начало работы с политиками.
- Дополнительные сведения о написании политик для этой службы см. в разделе Политики Cloud Guard. Отдельные типы ресурсов для зон безопасности включены в совокупный тип
cloud-guard-family
. - Подробные сведения о написании политик для других служб см. в Справочнике по политикам.
Безопасность
В дополнение к созданию политик IAM следуйте другим рекомендациям по обеспечению безопасности для зон безопасности.
См. Защита зон безопасности.
Ограничения
Когда вы подписываетесь на Oracle Cloud Infrastructure, для вашей аренды настраивается набор лимитов обслуживания. Эти ограничения ограничивают общее количество ресурсов зон безопасности, которые вы можете создать.
- Ограничения Cloud Guard
Инструкции по запросу увеличения лимита см. в разделе Лимиты услуг.
Идентификаторы ресурсов
Ресурсы зоны безопасности, как и большинство типов ресурсов в Oracle Cloud Infrastructure, имеют уникальный, назначенный Oracle идентификатор, называемый Oracle Cloud ID (OCID).
Сведения о формате OCID и других способах идентификации ресурсов см. Идентификаторы ресурсов.
Мониторинг
Security Zones интегрируется с другими службами мониторинга в Oracle Cloud Infrastructure.
- Служба аудита автоматически записывает вызовы ко всем общедоступным конечным точкам API Cloud Guard в виде записей журнала. Эти конечные точки включают все операции зон безопасности. См. Обзор аудита.
- Служба событий позволяет вашим командам разработчиков автоматически реагировать на изменение состояния ресурса Security Zones.