Зоны безопасности и политики безопасности на устройствах безопасности
О зонах безопасности уровня 2
Зоной безопасность на уровне 2 является зона, в которую находятся интерфейсы уровня 2. Зона безопасности может быть зоной уровня 2 или уровня 3; он может содержать либо все интерфейсы уровня 2, либо все интерфейсы уровня 3, но не может содержать сочетания интерфейсов 2-го и 3-го уровней.
Тип зоны безопасности (уровень 2 или уровень 3) неявно устанавливается из первого интерфейса, настроенного для зоны безопасности. Последующие интерфейсы, настроенные для той же зоны безопасности, должны иметь тот же тип, что и первый интерфейс.
Прим.:Нельзя настроить устройство с зонами безопасности уровня 2 и 3.
Можно настроить следующие свойства для безопасность на уровне 2 зон:
Interfaces — список интерфейсов зоны.
Политики — активные политики безопасности, которые применяют правила для транзитного трафика, то есть, какой трафик может проходить через межсетевой экран, и действия, которые должны выполняться для трафика по мере его передачи через межсетевой экран.
Экраны — Juniper Networks межсетевой экран с проверкой состояния, проверяя и разрешая или отсеивая все попытки подключения, требующие перехода из одной зоны безопасности в другую. Для каждой зоны безопасности и зоны MGT можно включить набор предварительно задамых параметров экрана, которые определяют и блокируют различные виды трафика, которые устройство определяет как потенциально вредные.
Прим.:Можно настроить те же параметры экрана для безопасность на уровне 2, что и для зоны безопасности уровня 3.
Адресные книги — IP-адреса и наборы адресов, из которых составляют адресную книгу для идентификации ее членов, чтобы можно было применить к ним политики.
TCP-RST — когда эта функция включена, система отправляет сегмент TCP с установленным флагом сброса, когда поступает трафик, который не соответствует существующему сеансу и не имеет установленного флага синхронизации.
Кроме того, можно настроить зону уровня 2 для в исходящего трафика хоста. Это позволяет указать виды трафика, который может достигать устройства из систем, напрямую подключенных к интерфейсам зоны. Необходимо указать весь ожидаемый входящий трафик хоста, поскольку входящий трафик с устройств, непосредственно подключенных к интерфейсам устройства, по умолчанию отброшен.
Обзор коммутации Ethernet и прозрачного режима уровня 2
Понимание интерфейсов уровня 2 на устройствах безопасности
Примере: Настройка зон безопасности уровня 2
Примере: Настройка логических интерфейсов уровня 2 на устройствах безопасности
Примере: Настройка зон безопасности уровня 2
В этом примере показана настройка безопасность на уровне 2 зон.
- Требования
- Обзор
- Конфигурации
- Проверки
Требования
Перед началом работы определите свойства, которые необходимо настроить для безопасность на уровне 2 зоне. См. «О зонах безопасности уровня 2».
Обзор
В данном примере для зоны безопасности l2-zone1 настраивается логический интерфейс уровня 2 под названием ge-3/0/0. 0 и зоны безопасности l2-zone2, чтобы включать логический интерфейс уровня 2, называемый ge-3/0/1.0. Затем необходимо настроить l2-zone2 так, чтобы все поддерживаемые службы приложений (например, SSH, Telnet и SNMP) разрешались как входящие хост-трафики.
Конфигурации
- интерфейс командной строки быстрой конфигурации
- Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Процедуры
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в «Использование редактора интерфейс командной строки в режиме конфигурации» в руководстве интерфейс командной строки пользователя.
Для настройки безопасность на уровне 2 зон:
Создайте безопасность на уровне 2 зону и назначьте для нее интерфейсы.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Настройте одну из безопасность на уровне 2 зон.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
После настройки устройства сфиксировать конфигурацию.
[edit] user@host# commit
Проверки
Чтобы проверить правильность работы конфигурации, введите show security zones
команду.
Понимание политик безопасности в прозрачном режиме
Кроме прозрачный режим, политики безопасности могут быть настроены только между зонами уровня 2. Когда пакеты проходят через VLAN, политики безопасности применяются между зонами безопасности. Политика безопасности для прозрачный режим аналогична политике, настроенной для зон уровня 3 с следующими исключениями:
NAT не поддерживается.
VPN IPsec не поддерживается.
Приложение ANY не поддерживается.
При переадрегировании уровня 2 трафик между зонами не разрешается, если на устройстве не имеется явно настроенной политики. По умолчанию, при переад сутках на уровне 2 выполняются следующие действия:
Разрешает или отказано в трафике, указанном в настроенной политике.
Разрешение протокола разрешения адресов (ARP) и нестандартного и широковещательного трафика уровня многоадресная передача по протоколу IP 2.
Продолжает блокировать весь не-IP-и не-ARP однонастный трафик.
Это поведение по умолчанию может быть изменено для коммутации Ethernet поток пакетов с помощью редактора конфигурации J-Web или интерфейс командной строки конфигурации:
-
Настройте возможность блокировать весь трафик уровня 2 без IP и без ARP, включая многовещательный
block-non-ip-all
и широковещательный трафик. Настройте параметр
bypass-non-ip-unicast
так, чтобы весь не IP-трафик уровня 2 проходил через устройство.
Нельзя одновременно настроить оба варианта.
Начиная с Junos OS и 12.3X48-D10 Junos OS release 17.3R1, можно создать отдельную зону безопасности в смешанном режиме (режим по умолчанию) для интерфейсов 2-го и 3-го уровней. Однако маршруты между интерфейсами IRB и интерфейсами IRB и интерфейсами 3-го уровня не существует. Поэтому нельзя настраивать политики безопасности между зонами уровня 2 и 3. Политики безопасности можно настроить только между зонами уровня 2 или между зонами уровня 3.
Примере: Настройка политик безопасности в прозрачном режиме
Примере: Настройка зон безопасности уровня 2
Понимание смешанного (прозрачного и маршрутного) режима на устройствах безопасности
Примере: Настройка политик безопасности в прозрачном режиме
В данном примере показано, как настраивать политики безопасности в прозрачный режим между зонами уровня 2.
- Требования
- Обзор
- Конфигурации
- Проверки
Требования
Прежде чем начать, определите поведение политики, которое вы хотите включить в безопасность на уровне 2 зоне. См. «Правила безопасности в прозрачном режиме».
Обзор
В данном примере настроена политика безопасности, позволяющая HTTP-трафику из подсети 192.0.2.0/24 в зоне безопасности l2-zone1 быть сервером с 192.0.2.1/24 в зоне безопасности l2-zone2.
Конфигурации
Процедуры
- интерфейс командной строки быстрой конфигурации
- Пошаговая процедура
- Результаты
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]
commit
конфигурации.
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в «Использование редактора интерфейс командной строки в режиме конфигурации» в руководстве интерфейс командной строки пользователя.
Конфигурировать политики безопасности в прозрачный режим:
Создание политик и назначение адресов интерфейсам зон.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24
Установите политики для приложения.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show security policies
команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
После настройки устройства войдите в commit
режим конфигурации.
Проверки
Проверка политик безопасности уровня 2
- Цель
- Действий
Цель
Убедитесь безопасность на уровне 2 что политики настроены правильно.
Действий
В режиме конфигурации введите show security policies
команду.
Понимание аутентификации пользователя брандмауэра в прозрачном режиме
Пользователь межсетевых экранов – это сетевой пользователь, которому необходимо вводить имя пользователя и пароль для аутентификации при инициации соединения через брандмауэр. Аутентификация пользователя межсетевых экранов позволяет администраторам ограничивать и разрешая пользователям доступ к защищенным ресурсам за межсетевой экраном на основе их IP-адреса источника и других учетных данных. Junos OS поддерживает следующие типы аутентификации пользователей межсетевых экранов для прозрачный режим на устройстве серия SRX:
Сквозная аутентификация — хост или пользователь из одной зоны пытается получить доступ к ресурсам в другой зоне. Для доступа к IP-адресу защищенного ресурса и аутентификации с помощью межсетевых экранов необходимо использовать FTP-клиент, Telnet или HTTP-клиент. Устройство использует FTP, Telnet или HTTP для сбора данных об имени пользователя и пароле, а последующий трафик от пользователя или хоста разрешается или отказано в результате этой аутентификации.
Веб-аутентификация – пользователи пытаются подключиться с помощью HTTP к IP-адресу интерфейса IRB, включенного для веб-аутентификации. Будет предложено вводить имя пользователя и пароль, которые проверяются устройством. В результате этой аутентификации последующий трафик от пользователя или хоста к защищенму ресурсу либо разрешается, либо отказано.
Таблица истории выпусков
Версия
Описание
12.3X48-D10
Начиная с Junos OS и 12.3X48-D10 Junos OS release 17.3R1, можно создать отдельную зону безопасности в смешанном режиме (режим по умолчанию) для интерфейсов 2-го и 3-го уровней.
Зоны безопасности | | ОС Junos Juniper Networks
Зона безопасности представляет собой набор из одного или нескольких сегментов сети, требующих регулирования входящего и исходящего трафика с помощью политик. Зоны безопасности — это логические сущности, к которым привязан один или несколько интерфейсов. Вы можете определить несколько зон безопасности, точное число которых вы определяете на основе потребностей вашей сети.
Обзор зон безопасности
Интерфейсы действуют как дверной проем, через который трафик проникает и выходит из устройства Juniper Networks. Во многих интерфейсах могут быть одинаковые требования к безопасности; однако различные интерфейсы могут также иметь разные требования к безопасности для входящих и исходящих пакетов данных. Интерфейсы с идентичными требованиями безопасности можно сгруппировать в единую зону безопасности.
Зона безопасности представляет собой набор из одного или нескольких сегментов сети, требующих регулирования входящего и исходящего трафика с помощью политик.
Зоны безопасности — это логические сущности, к которым привязан один или несколько интерфейсов. Благодаря множеству типов устройств Juniper Networks вы можете определять несколько зон безопасности, точное количество которых вы определяете в зависимости от потребностей вашей сети.
На одном устройстве можно настроить несколько зон безопасности, разделяя сеть на сегменты, к которым можно применять различные варианты безопасности для удовлетворения потребностей каждого сегмента. Как минимум, необходимо определить две зоны безопасности, в основном для защиты одной области сети от другой. На некоторых платформах безопасности вы можете определять множество зон безопасности, обеспечивая более точный уровень проектирования безопасности сети и не развертывая для этого несколько устройств безопасности.
С точки зрения политик безопасности трафик входит в одну зону безопасности и переходит в другую зону безопасности. Такое сочетание a from-zone
и a to-zone
определяется как контекст. В каждом контексте содержится упорядоченный список политик. Подробнее о политике см. обзор политик безопасности.
Эта тема включает в себя следующие разделы:
- Понимание интерфейсов зон безопасности
- Понимание функциональных зон
- Понимание зон безопасности
Понимание интерфейсов зон безопасности
Интерфейс для зоны безопасности можно рассматривать как дверной проем, через который трафик TCP/IP может проходить между этой зоной и любой другой зоной.
Благодаря политикам, которые вы определяете, вы можете разрешить поток трафика между зонами в одном направлении или в обоих направлениях. Определя маршруты, вы указываете интерфейсы, которые должен использовать трафик из одной зоны в другую. Поскольку вы можете связать несколько интерфейсов с зоной, диаграммы маршрутов важны для направления трафика к интерфейсам по вашему выбору.
Интерфейс можно настроить с помощью адреса IPv4, IPv6 или обоих вариантов.
Понимание функциональных зон
Функциональные зоны используются для особых целей, таких как интерфейсы управления. В настоящее время поддерживается только зона управления (MGT). Зоны управления имеют следующие свойства:
Зоны управления размещают интерфейсы управления.
Входя в зоны управления трафик не соответствует политикам; поэтому трафик не может перемещаются из другого интерфейса, если он был получен в интерфейсе управления.
Зоны управления можно использовать только для выделенных интерфейсов управления.
Понимание зон безопасности
Зоны безопасности являются структурными блоками политик; они представляют собой логические сущности, к которым привязан один или несколько интерфейсов. Зоны безопасности обеспечивают средство различия между группами хостов (системами пользователей и другими хостами, такими как серверы) и их ресурсами друг от друга для применения к ним различных мер безопасности.
Зоны безопасности имеют следующие свойства:
Политики — активные политики безопасности, которые применяют правила для транзитного трафика с точки зрения того, что трафик может пройти через межсетевой экран, и действия, которые должны быть предприняты в трафике по мере его прохождения через межсетевой экран. Для получения дополнительной информации см. обзор политик безопасности.
Экраны: межсетевой экран с функцией ведения базы данных компании Juniper Networks защищает сеть, проверяя, а затем допуская или отрицая все попытки подключения, требующие прохода из одной зоны безопасности в другую. Для каждой зоны безопасности можно включить набор предопределенных вариантов экрана, которые обнаруживают и блокируют различные виды трафика, который устройство определяет как потенциально вредный. Для получения дополнительной информации см. обзор средств предотвращения рекогносцировки.
Адресные книги — IP-адреса и наборы адресов, которые составляют адресную книгу для идентификации ее участников, чтобы вы могли применять к ним политики. Записи адресной книги могут включать в себя любое сочетание адресов IPv4, адресов IPv6 и имен системы доменных имен (DNS). Для получения дополнительной информации см. пример: настройка адресных книг и наборов адресов.
TCP-RST: когда эта функция включена, система отправляет сегмент TCP с набором флага RESET при прибытии трафика, который не соответствует существующей сессии и не имеет набора флагов SYNchronize.
Интерфейсы — список интерфейсов в зоне.
Зоны безопасности имеют следующую предварительно настроенные зоны:
Пример: создание зон безопасности
На этом примере показано, как настраивать зоны и назначать им интерфейсы. При настройке зоны безопасности можно одновременно указать множество ее параметров.
- Требования
- Обзор
- Конфигурации
- Проверки
Обзор
Интерфейс для зоны безопасности можно рассматривать как дверной проем, через который трафик TCP/IP может проходить между этой зоной и любой другой зоной.
Примечание:По умолчанию интерфейсы находятся в нулевой зоне. Интерфейсы не будут передавать трафик до тех пор, пока они не будут назначены в зону.
Примечание:Вы можете настроить 2000 интерфейсов в зоне безопасности на устройствах SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 или SRX5800 в зависимости от версии ОС Junos при установке.
Конфигурации
Процедуры
- Быстрая настройка командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка командной строки
Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit]
уровне иерархии, а затем введите commit
из режима конфигурации.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Пошаговая процедура
Следующий пример требует навигации по различным уровням в иерархии конфигурации. Для получения инструкций о том, как это сделать, см. Руководство по интерфейсу пользователя с помощью редактора командной строки в режиме конфигурации .
Создать зоны и назначить им интерфейсы:
Настраивайте Ethernet-интерфейс и назначайте ему адрес IPv4.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Настраивайте Ethernet-интерфейс и назначайте ему адрес IPv6.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Настраивайте зону безопасности и присваивайте ее Ethernet-интерфейсу.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Результаты
Из режима конфигурации подтвердите конфигурацию, введя show security zones security-zone ABC
и show interfaces ge-0/0/1
команды. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.
Для краткости этот show
выход включает в себя только конфигурацию, которая актуальна для этого примера. Любая другая конфигурация системы была заменена эллипсами (…).
[edit] user@host# show security zones security-zone ABC ... interfaces { ge-0/0/1.0 { ... } } [edit] user@host# show interfaces ge-0/0/1 ... unit 0 { family inet { address 203.0.113.1/24; } family inet6 { address 2001:db8:1::1/64; } }
Если настройка устройства завершена, введите commit
его из режима конфигурации.
Проверки
Устранение неполадок с помощью журналов
- Цель
- Действий
Цель
Используйте эти журналы для выявления любых проблем.
Действий
Из эксплуатационного режима введите show log messages
командование и show log dcd
команду.
Поддерживаемые системные сервисы для входящего трафика хостов
Эта тема описывает поддерживаемые системные сервисы для входящего трафика хоста в заданной зоне или интерфейсе.
Например, предположим, пользователь, чья система была подключена к интерфейсу 203.0.113.4
в зоне ABC
, хотел подключить телекоммуникационную сеть к интерфейсу 198.51.100.4
в зоне ABC
. Для того чтобы это действие было разрешено, приложение Telnet должно быть настроено в качестве разрешенного входящего сервиса как на интерфейсах, так и в политике, которое должно разрешить передачу трафика.
Для просмотра системных сервисов , которые могут использоваться для входящего трафика хоста, см. раздел Options в системных сервисах (Security Zones Host Inbound Traffic ).
Примечание:На шлюзах сервисов xnm-clear-text
серии SRX поле включено в конфигурацию по умолчанию завода. Эта настройка обеспечивает входящий трафик протокола Junos XML в пределах целевой зоны устройства, когда устройство работает с настройками фабрики по умолчанию. Мы рекомендуем заменить настройки фабрики по умолчанию на конфигурацию, определяемую пользователем, которая обеспечивает дополнительную безопасность после настройки окна. Вы должны удалить xnm-clear-text
поле вручную с помощью команды delete system services xnm-clear-text
КОМАНДНОЙ строки.
См. раздел Options в протоколах (интерфейсы зон безопасности) для просмотра поддерживаемых протоколов, которые могут быть использованы для входящего трафика хоста.
Примечание:Все сервисы (за исключением DHCP и BOOTP) могут быть настроены либо в каждой зоне, либо в каждом интерфейсе. Сервер DHCP настраивается только на интерфейс, поскольку входящий интерфейс должен быть известен серверу, чтобы иметь возможность отправлять ответы DHCP.
Примечание:Вам не нужно настраивать протокол Соседа Discovery (NDP) на трафик, входящий в хост, потому что НДП включен по умолчанию.
Возможность настройки для протокола IPv6 Neighbor Discovery (NDP) доступна. Вариант конфигурации — командная set protocol neighbor-discovery onlink-subnet-only
. Этот вариант не позволит устройству реагировать на запрос соседа (NS) из префикса, который не был включен в качестве префиксов интерфейса устройства.
Модуль маршрутизации необходимо перезагрузить после настройки этой опции, чтобы удалить любую возможность предыдущего входа IPv6 из оставшихся в таблице переадресации.
Понимание того, как контролировать входящий трафик на основе типов трафика
В этой теме описывается, как настроить зоны для указания видов трафика, который может достигать устройство из систем, которые непосредственно подключены к его интерфейсам.
Обратите внимание на следующее:
Эти параметры можно настроить на уровне зоны, и в этом случае они повлияют на все интерфейсы зоны или на уровне интерфейса. (Конфигурация интерфейса переопределяет зону.)
Вы должны обеспечить доступ к ожидаемому трафику входящего хоста. Входящий трафик, предназначенный для этого устройства, по умолчанию сбрасывается.
Вы также можете настроить интерфейсы зоны, чтобы они могли использоваться с помощью протоколов динамической маршрутизации.
Эта функция позволяет защитить устройство от атак, запущенных с систем, которые прямо или косвенно подключены к любому из его интерфейсов. Она также позволяет выборочно настраивать устройство, чтобы администраторы могли управлять им с помощью определенных приложений на определенных интерфейсах. Вы можете запретить использование других приложений в одних и том же или разных интерфейсах зоны. Например, скорее всего, вы хотели бы убедиться, что посторонние не будут использовать приложение Telnet из Интернета, чтобы войти в устройство, потому что вы не хотите, чтобы они подключаются к вашей системе.
Пример: управление входным трафиком на основе типов трафика
На этом примере показан способы настройки входящего трафика на основе типов трафика.
- Требования
- Обзор
- Конфигурации
- Проверки
Обзор
Позволяя запускать системные сервисы, вы можете настраивать зоны для указания различных типов трафика, который может достигать устройство из систем, которые непосредственно подключены к его интерфейсам. Вы можете настроить различные системные сервисы на уровне зоны, и в этом случае они повлияют на все интерфейсы зоны или на уровне интерфейса. (Конфигурация интерфейса переопределяет зону.)
Вы должны обеспечить доступ к ожидаемому трафику входящего хоста. Входящий трафик с устройств, непосредственно подключенных к интерфейсам устройства, по умолчанию опускаясь.
Конфигурации
Процедуры
- Быстрая настройка командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка командной строки
Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit]
уровне иерархии, а затем введите commit
из режима конфигурации.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Пошаговая процедура
Следующий пример требует навигации по различным уровням в иерархии конфигурации. Для получения инструкций о том, как это сделать, см. Руководство по интерфейсу пользователя с помощью редактора командной строки в режиме конфигурации .
Для настройки входящего трафика на основе типов трафика:
Настройка зоны безопасности.
[edit] user@host# edit security zones security-zone ABC
Настраивайте зону безопасности для поддержки входящего трафика для всех системных сервисов.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Настраивайте сервисы системы Telnet, FTP и SNMP на уровне интерфейса (не уровня зоны) для первого интерфейса.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Настраивайте зону безопасности для поддержки входящего трафика для всех системных сервисов для второго интерфейса.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Исключите сервисы FTP и HTTP из второго интерфейса.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Результаты
Из режима конфигурации подтверждайте конфигурацию, вступив в show security zones security-zone ABC
режим . Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.
[edit] user@host# show security zones security-zone ABC host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1. 3 { host-inbound-traffic { system-services { ftp; telnet; snmp; } } } ge-0/0/1.0 { host-inbound-traffic { system-services { all; ftp { except; } http { except; } } } } }
Если настройка устройства завершена, введите commit
его из режима конфигурации.
Проверки
Устранение неполадок с помощью журналов
- Цель
- Действий
Цель
Используйте эти журналы для выявления любых проблем.
Действий
Из эксплуатационного режима введите show log messages
командование и show log dcd
команду.
Понимание того, как контролировать входящий трафик на основе протоколов
В этой теме описываются протоколы входящего системы в заданной зоне или интерфейсе.
Разрешен любой входящий трафик хоста, соответствующий протоколу, перечисленным в варианте входящего трафика хоста. Например, если в любой точке конфигурации вы сопоставим протокол с номером порта, кроме по умолчанию, вы можете указать протокол в варианте трафика входящего хоста, и будет использоваться новый номер порта. В таблице 1 перечислены поддерживаемые протоколы. Ценность all
указывает на то, что трафик из всех следующих протоколов разрешен входящего на указанные интерфейсы (зона или один указанный интерфейс).
Поддерживаемые системные сервисы | |||
---|---|---|---|
Все | Igmp | Pim | Sap |
bfd | Ldp | Rip | vrrp |
Bgp | msdp | сдирать | nhrp |
обнаружение маршрутизатора | dvmrp | Ospf | Rsvp |
Pgm | ospf3 |
Если для интерфейса включен DVMRP или PIM, трафик IGMP и MLD, входящий в сеть, автоматически включен. Поскольку IS-IS использует адресы OSI и не должен генерировать IP-трафик, для протокола IS-IS нет варианта трафика входящего хоста.
Примечание:Вам не нужно настраивать протокол Соседа Discovery (NDP) на трафик, входящий в хост, потому что НДП включен по умолчанию.
Возможность настройки для протокола IPv6 Neighbor Discovery (NDP) доступна. Вариант конфигурации — командная set protocol neighbor-discovery onlink-subnet-only
. Этот вариант не позволит устройству реагировать на запрос соседа (NS) из префикса, который не был включен в качестве префиксов интерфейса устройства.
Модуль маршрутизации необходимо перезагрузить после настройки этой опции, чтобы удалить любую возможность предыдущего входа IPv6, остающегося в таблице переадресации.
Пример: управление входным трафиком на основе протоколов
На этом примере показано, как обеспечить входящий трафик для интерфейса.
- Требования
- Обзор
- Конфигурации
- Проверки
Обзор
Разрешен любой входящий трафик хоста, соответствующий протоколу, перечисленным в варианте входящего трафика хоста. Например, если в любой точке конфигурации вы сопоставим протокол с номером порта, кроме по умолчанию, вы можете указать протокол в варианте трафика входящего хоста, а также использовать новый номер порта.
Ценность all
указывает на то, что трафик из всех протоколов разрешен входящего на указанные интерфейсы (зона или один указанный интерфейс).
Конфигурации
Процедуры
- Быстрая настройка командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка командной строки
Чтобы быстро настроить этот пример, скопируйте следующие команды, вставьте их в текстовый файл, удалите любые перерывы на строку, измените любые детали, необходимые для соответствия конфигурации сети, скопируйте и вставьте команды в командную строку на [edit]
уровне иерархии, а затем введите commit
из режима конфигурации.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Пошаговая процедура
Следующий пример требует навигации по различным уровням в иерархии конфигурации. Для получения инструкций о том, как это сделать, см. Руководство по интерфейсу пользователя с помощью редактора командной строки в режиме конфигурации .
Для настройки входящего трафика на основе протоколов:
Настройка зоны безопасности.
[edit] user@host# edit security zones security-zone ABC
Настраивайте зону безопасности для поддержки входящего трафика на основе протокола ospf для интерфейса.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Настраивайте зону безопасности для поддержки входящего трафика на основе протокола ospf3 для интерфейса.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Результаты
Из режима конфигурации подтверждайте конфигурацию, вступив в show security zones security-zone ABC
режим . Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции конфигурации в этом примере, чтобы исправить ее.
[edit] user@host# show security zones security-zone ABC interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { ospf; ospf3; } } } }
Если настройка устройства завершена, введите commit
его из режима конфигурации.
Проверки
Устранение неполадок с помощью журналов
- Цель
- Действий
Цель
Используйте эти журналы для выявления любых проблем.
Действий
Из эксплуатационного режима введите show log messages
командование и show log dcd
команду.
Пример: настройка параметра TCP-Reset
На этом примере показано, как настроить параметр TCP-Reset для зоны.
- Требования
- Обзор
- Конфигурации
- Проверки
Требования
Прежде чем начать, настройте зоны безопасности. См . пример: создание зон безопасности.
Обзор
Когда функция параметра TCP-Reset включена, система отправляет сегмент TCP с набором флага RESET по прибытии трафика, который не соответствует существующей сессии и не имеет набора флагов SYN.
Конфигурации
Процедуры
Пошаговая процедура
Следующий пример требует навигации по различным уровням в иерархии конфигурации. Для получения инструкций о том, как это сделать, см. Руководство по интерфейсу пользователя с помощью редактора командной строки в режиме конфигурации .
Для настройки параметра TCP-Reset для зоны:
Настройка зоны безопасности.
[edit] user@host# edit security zones security-zone ABC
Настройка параметра TCP-Reset для зоны.
[edit security zones security-zone ABC] user@host# set tcp-rst
Если настройка устройства завершена, зафиксировать конфигурацию.
[edit] user@host# commit
Проверки
Чтобы проверить правильность работы конфигурации, введите show security zones
команду.
Обзор зон безопасности
Зоны безопасностипозволяют вам быть уверенными в том, что ваши ресурсы в Oracle Cloud Infrastructure, включая вычислительные ресурсы, сетевые ресурсы, хранилище объектов, блочные тома и ресурсы базы данных, соответствуют вашим политикам безопасности.
Зона безопасности связана с одним или несколькими отсеками и рецептом зоны безопасности. Когда вы создаете и обновляете ресурсы в зоне безопасности, Oracle Cloud Infrastructure проверяет эти операции на соответствие списку политик, определенных в рецепте зоны безопасности. Если какая-либо политика зоны безопасности нарушена, то в операции будет отказано. По умолчанию отсек и любые подотсеки находятся в одной и той же зоне безопасности, но вы также можете создать другую зону безопасности для подотсека.
Например, политика зоны безопасности запрещает создание общедоступных сегментов в хранилище объектов. Если вы попытаетесь создать общедоступную корзину в зоне безопасности с этой политикой или попытаетесь изменить существующую корзину хранилища и сделать ее общедоступной, вы получите сообщение об ошибке. Точно так же вы не можете переместить существующий ресурс в отсек в зоне безопасности, если существующий ресурс не соответствует всем политикам в зоне безопасности.
В вашем аренде есть предопределенный рецепт под названием «Максимальный рецепт безопасности», который включает в себя ряд тщательно отобранных политик зон безопасности. Oracle управляет этим рецептом, и вы не можете его изменить. Однако вы можете создавать свои собственные рецепты, отвечающие вашим конкретным требованиям безопасности.
Перед созданием зон безопасности необходимо включить Oracle Cloud Guard. Cloud Guard помогает обнаруживать нарушения политики в существующих ресурсах, которые были созданы до зоны безопасности.
СоветПосмотрите ознакомительное видео об услуге.
Концепции зон безопасности
Понимание ключевых концепций и компонентов, связанных с зонами безопасности.
На следующей диаграмме представлен общий обзор зон безопасности.
- Зона безопасности
- Связь между отсеком (и нулем или более подотсеков) и рецептом зоны безопасности. Операции с ресурсами в зоне безопасности проверяются на соответствие всем политикам рецепта.
- Охранная зона включает отсек и все его подотсеки, если вы явно не удалите подотсек из зоны безопасности или не создадите отдельную зону для подотсека.
- Отделение не может быть связано более чем с одной зоной безопасности.
- Рецепт зоны безопасности
- Набор политик зон безопасности, которые Oracle Cloud Infrastructure применяет к зонам безопасности, использующим рецепт.
- Политика зоны безопасности
- Требование безопасности для ресурсов в зоне безопасности. Если зона безопасности включает политику, то любое действие, которое пытается нарушение этой политики запрещено.
- Целевая зона безопасности (Cloud Guard)
- Отсек, в котором Cloud Guard периодически проверяет ресурсы на наличие нарушений политики зоны безопасности.
- Целевой объект включает все подотделы, если вы не создадите отдельный целевой объект для подотсека.
- Цель связана с одним или несколькими рецептами детектора. Каждый рецепт детектора определяет список потенциальных проблем безопасности.
Политика зоны безопасности отличается от политики IAM следующим образом:
- Администраторы создают политики IAM, чтобы предоставить пользователям возможность управлять определенными ресурсами в отделении.
- Политика зоны безопасности гарантирует, что эти операции управления соответствуют архитектуре максимальной безопасности Oracle и лучшим практики.
- Политика зоны безопасности проверяется независимо от того, какой пользователь выполняет операцию.
- Политика зоны безопасности запрещает определенные действия; он не дает возможности.
Принципы безопасности
В целом политики зон безопасности соответствуют следующим основным принципам безопасности.
Зоны безопасностии Cloud Guard
Понять отношения между отсеками, зонами безопасности, рецептами и целями.
После создания зоны безопасности для отсека она автоматически предотвращает такие операции, как создание или изменение ресурсов, которые нарушают политики зоны безопасности. Однако существующие ресурсы, созданные до зоны безопасности, также могут нарушать политики. Зоны безопасности интегрируются с Cloud Guard для выявления нарушений политики в существующих ресурсах.
Cloud Guard — это служба Oracle Cloud Infrastructure, предоставляющая центральную панель инструментов для мониторинга всех ваших облачных ресурсов на наличие уязвимостей безопасности в конфигурации, метриках и журналах. При обнаружении проблемы он может предложить, помочь или предпринять корректирующие действия в зависимости от конфигурации Cloud Guard.
Вот некоторые ключевые концепции Cloud Guard:
- Рецепт детектора
- Определяет типы облачных ресурсов и проблем безопасности, которые вы хотите отслеживать с помощью Cloud Guard.
- Cloud Guard предоставляет несколько рецептов детекторов, управляемых Oracle, по умолчанию, и вы также можете создавать собственные рецепты.
- Цель
- Отсек, за которым нужно следить Cloud Guard и который связан с заданием Cloud Guard.
- Цель может быть связана с несколькими рецептами детектора, но только по одному для каждого типа (конфигурация, активность и т. д.).
- Цель зоны безопасности
- Тип цели Cloud Guard, который также связан с зоной безопасности. Цель отслеживает ресурсы в отсеке на предмет нарушений политики зоны безопасности.
- Удаляет любую существующую цель Cloud Guard для отсека и всех дочерних отсеков
- Создает цель зоны безопасности для отсека
- Добавляет рецепты обнаружения, управляемые Oracle, по умолчанию в цель зоны безопасности .
На следующей схеме показана конфигурация Cloud Guard для новой зоны безопасности:
При создании зоны безопасности для подотсека, родительский отсек которого уже находится в зоне безопасности, Cloud Guard выполняет следующие задачи:
- Создает отдельную целевую зону безопасности для подотсека
- Добавляет рецепты обнаружения, управляемые Oracle, по умолчанию в новую цель зоны безопасности .
В существующую цель Cloud Guard для родительского отсека не вносятся изменения.
На следующей диаграмме показана конфигурация Cloud Guard для новой зоны безопасности в подразделении:
Один отсек не может находиться в нескольких зонах безопасности, а также не может находиться в нескольких целях Cloud Guard.
Дополнительные сведения о Cloud Guard см. в разделе Основные понятия Cloud Guard.
Способы доступа к зонам безопасности
Вы можете получить доступ к зонам безопасности с помощью консоли (интерфейс на основе браузера), REST API, командной строки Интерфейс (CLI) или SDK.
Инструкции для консоли, API и интерфейса командной строки включены в разделы данного руководства. Список доступных SDK см. в разделе Комплекты для разработки программного обеспечения и интерфейс командной строки.
ПримечаниеAPI зон безопасности доступны на конечных точках Cloud Guard.
Для доступа к консоли необходимо использовать поддерживаемый браузер. Чтобы перейти на страницу входа в консоль, откройте панель навигации вверху этой страницы и щелкните Консоль инфраструктуры . Вам будет предложено ввести своего облачного клиента, имя пользователя и пароль.
Аутентификация и авторизация
Каждая служба в Oracle Cloud Infrastructure интегрируется с IAM для аутентификации и авторизации для всех интерфейсов (консоли, SDK или CLI и REST API).
Администратору вашей организации необходимо настроить группы, разделы и «> политики , которые контролируют, какие пользователи могут получить доступ к тем или иным службам, какие ресурсы и тип доступа. Например, политики контролируют, кто может создавать пользователей, создавать и управлять VCN (виртуальной облачной сетью) , запускать экземпляры и создавать сегменты .
- Если вы новый администратор, см. раздел Начало работы с политиками.
- Дополнительные сведения о написании политик для этой службы см. в разделе Политики Cloud Guard. Отдельные типы ресурсов для зон безопасности включены в совокупный тип
cloud-guard-family
. - Подробные сведения о написании политик для других служб см. в Справочнике по политикам.
Безопасность
В дополнение к созданию политик IAM следуйте другим рекомендациям по обеспечению безопасности для зон безопасности.
См. Защита зон безопасности.
Ограничения
Когда вы подписываетесь на Oracle Cloud Infrastructure, для вашей аренды настраивается набор лимитов обслуживания. Эти ограничения ограничивают общее количество ресурсов зон безопасности, которые вы можете создать.
- Ограничения Cloud Guard
Инструкции по запросу увеличения лимита см. в разделе Лимиты услуг.
Идентификаторы ресурсов
Ресурсы зоны безопасности, как и большинство типов ресурсов в Oracle Cloud Infrastructure, имеют уникальный, назначенный Oracle идентификатор, называемый Oracle Cloud ID (OCID).
Сведения о формате OCID и других способах идентификации ресурсов см. Идентификаторы ресурсов.
Мониторинг
Security Zones интегрируется с другими службами мониторинга в Oracle Cloud Infrastructure.
- Служба аудита автоматически записывает вызовы ко всем общедоступным конечным точкам API Cloud Guard в виде записей журнала. Эти конечные точки включают все операции зон безопасности. См. Обзор аудита.
- Служба событий позволяет вашим командам разработчиков автоматически реагировать на изменение состояния ресурса Security Zones. См. События зон безопасности.
Начало работы
Для начала создайте зону безопасности для существующего отсека, используя либо управляемый Oracle, либо пользовательский рецепт, а затем проверьте наличие нарушений политики.
См. Начало работы с зонами безопасности.
зон безопасности | ОС Junos
Зона безопасности представляет собой совокупность одного или нескольких сегментов сети, требующих регулирования входящих и исходящих трафик через политики. Зоны безопасности — это логические объекты, к которым один или несколько интерфейсов привязаны. Вы можете определить несколько зоны, точное количество которых вы определяете исходя из вашей сети потребности.
Обзор зон безопасности
Интерфейсы действуют как дверной проем через какой трафик входит и выходит из устройства Juniper Networks. Много интерфейсов могут иметь одни и те же требования безопасности; однако разные интерфейсы также могут иметь разные требования безопасности для входящего трафика. исходящие пакеты данных. Интерфейсы с одинаковыми требованиями безопасности могут быть объединены в единую зону безопасности.
Охранная зона представляет собой совокупность одного или нескольких сегментов сети, требующих регулирования входящих и исходящих трафик через политики.
Охранные зоны — это логические объекты, к которым или несколько интерфейсов связаны. Со многими типами Juniper Networks устройства, вы можете определить несколько зон безопасности, точное количество из которых вы определяете на основе потребностей вашей сети.
На одном устройстве можно настроить несколько зоны безопасности, разделяющие сеть на сегменты, на которые можно применять различные параметры безопасности для удовлетворения потребностей каждого сегмента. Как минимум, вы должны определить две зоны безопасности, в основном для защиты одной области сети от другой. На некоторых платформах безопасности вы можете определить множество зон безопасности, обеспечивая более точную детализацию ваш проект сетевой безопасности — и без развертывания нескольких средства безопасности для этого.
С точки зрения политик безопасности трафик
входит в одну зону безопасности и выходит в другую зону безопасности.
Эта комбинация из зоны
и в зону
определяется как контекст . Каждый контекст содержит
упорядоченный список политик. Дополнительные сведения о политиках см. в разделе Обзор политик безопасности.
Этот раздел включает следующие разделы:
- Общие сведения об интерфейсах зоны безопасности
- Понимание функциональных зон
- Понимание зон безопасности
Понимание интерфейсов зоны безопасности
Можно представить себе интерфейс зоны безопасности в качестве дверного проема, через который трафик TCP/IP может проходить между этим Зона и любая другая зона.
С помощью определяемых вами политик вы можете разрешать трафик между зонами должен течь в одном направлении или в обоих. С маршруты, которые вы определяете, вы указываете интерфейсы, через которые проходит трафик одну зону в другую должны использовать. Потому что вы можете связать несколько интерфейсов к зоне, маршруты, которые вы прокладываете, важны для направления движения к интерфейсам по вашему выбору.
Для интерфейса можно настроить адрес IPv4, адрес IPv6, или оба.
Понимание функциональных зон
Функциональная зона используется для специальных целей, как интерфейсы управления. В настоящее время только зона управления (MGT) поддерживается. Зоны управления имеют следующие свойства:
Интерфейсы управления узлами зон управления.
Трафик, поступающий в зоны управления, не соответствует политикам; следовательно, трафик не может проходить через какой-либо другой интерфейс, если он было получено в интерфейсе управления.
Зоны управления могут использоваться только для выделенного управления интерфейсы.
Общие сведения о зонах безопасности
Зоны безопасности являются строительными блоками для политик; они являются логическими объектами, к которым привязаны один или несколько интерфейсов. Зоны безопасности позволяют различать группы хостов (пользователей). системы и другие хосты, такие как серверы) и их ресурсы из друг друга для применения к ним различных мер безопасности.
Зоны безопасности имеют следующие свойства:
Политики — активные политики безопасности, обеспечивающие соблюдение правил. для транзитного трафика, с точки зрения того, какой трафик может пройти через брандмауэр и действия, которые необходимо выполнить с трафиком при прохождении через брандмауэр. Дополнительные сведения см. в разделе Обзор политик безопасности.
Экраны — брандмауэр Juniper Networks с отслеживанием состояния защищает сеть, проверяя, а затем разрешая или запрещая все соединения попытки, требующие перехода из одной зоны безопасности в другую. Для каждой зоне безопасности вы можете включить набор предопределенных параметров экрана которые обнаруживают и блокируют различные виды трафика, которые определяет устройство как потенциально вредные. Для получения дополнительной информации см. Обзор разведывательного сдерживания.
Адресные книги — IP-адреса и наборы адресов, составить адресную книгу для идентификации ее участников, чтобы вы могли подать заявку политики к ним. Записи адресной книги могут включать любую комбинацию адресов IPv4, адресов IPv6 и имен системы доменных имен (DNS). Дополнительные сведения см. в разделе Пример: настройка адресных книг и наборов адресов.
TCP-RST — если эта функция включена, система отправляет TCP-сегмент с установленным флагом RESET, когда приходит трафик, который не соответствует существующему сеансу и не имеет параметра SYNchronize набор флагов.
Интерфейсы — список интерфейсов в зоне.
Зоны безопасности имеют следующие предварительно настроенные zone:
Пример: Создание зон безопасности
В этом примере показано, как настроить зоны и назначьте им интерфейсы. При настройке зоны безопасности вы может указывать множество своих параметров одновременно.
- Требования
- Обзор
- Конфигурация
- Проверка
Обзор
Интерфейс зоны безопасности можно рассматривать как дверной проем через который может проходить трафик TCP/IP между этой зоной и любым другим зона.
Примечание:По умолчанию интерфейсы находятся в нулевой зоне. Интерфейсы не будут пропускать трафик, пока они не будут назначены зоне.
Примечание:Вы можете настроить 2000 интерфейсов в пределах зоны безопасности на устройствах SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 или SRX5800, в зависимости от выпуска ОС Junos в вашей установке.
Конфигурация
Процедура
- Быстрая настройка интерфейса командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка интерфейса командной строки
Чтобы быстро настроить этот пример, скопируйте
следующие команды, вставьте их в текстовый файл, удалите все разрывы строк,
изменить любые данные, необходимые для соответствия конфигурации вашей сети,
скопируйте и вставьте команды в CLI в иерархии [править]
уровень, а затем введите commit
из режима конфигурации.
набор интерфейсов ge-0/0/1 блок 0 семейный адрес inet 203.0.113.1/24 набор интерфейсов ge-0/0/1 блок 0 семейство inet6 адрес 2001:db8:1::1/64 установить зоны безопасности зоны безопасности ABC интерфейсы ge-0/0/1.0
Пошаговая процедура
В следующем примере вам потребуется перемещаться по различным уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Для создания зон и назначения им интерфейсов:
Настройка интерфейса Ethernet и назначение IPv4-адреса к этому.
[править] user@host# set interfaces ge-0/0/1 unit 0 family адрес inet 203.0.113.1/24
Настройка интерфейса Ethernet и назначение адреса IPv6 к этому.
[править] user@host# set interfaces ge-0/0/1 unit 0 family адрес inet6 2001:db8::1/32
Настройте зону безопасности и назначьте ее для Ethernet интерфейс.
[править] user@host# установить зоны безопасности security-zone ABC interfaces ge-0/0/1.0
Результаты
В режиме конфигурации подтвердите свою конфигурацию
введя команды show security zone security-zone ABC
и
show interfaces ge-0/0/1
. Если вывод не отображается
предполагаемой конфигурации, повторите инструкции по настройке
в этом примере, чтобы исправить это.
Для краткости этот вывод show
включает только конфигурацию
что имеет отношение к этому примеру. Любая другая конфигурация в системе
был заменен многоточием (...).
[править] user@host# показать зоны безопасности security-zone ABC ... интерфейсы { ge-0/0/1.0 { ... } } [редактировать] user@host# показать интерфейсы ge-0/0/1 ... единица 0 { семья инет { адрес 203.0.113.1/24; } семья инет6 { адрес 2001:db8:1::1/64; } }
Если вы закончили настройку устройства, введите commit
из режима настройки.
Проверка
Поиск и устранение неисправностей с помощью журналов
- Цель
- Действие
Назначение
Используйте эти журналы для выявления любых проблем.
Действие
В рабочем режиме введите команду show log messages
и команду show log dcd
.
Поддерживаемые системные службы для входящего трафика хоста
В этом разделе описываются поддерживаемые системные службы для входящего трафика хоста в указанной зоне или интерфейсе.
Например, предположим, что пользователь, чья система была подключена
к интерфейсу 203.0.113.4
в зоне ABC
требуется
подключиться по телнету к интерфейсу 198.51.100.4
в зоне ABC
. Чтобы это действие было разрешено, приложение Telnet должно быть настроено
в качестве разрешенной входящей службы на обоих интерфейсах, и политика должна
разрешить передачу трафика.
См. раздел Параметры в системных службах (Безопасность). Zones Host Inbound Traffic) для просмотра системных служб который можно использовать для входящего трафика хоста.
Примечание. В шлюзах служб серии SRX поле xnm-clear-text
включено в заводской конфигурации по умолчанию. Эта настройка
включает входящий трафик протокола Junos XML в зоне доверия для
устройство, когда устройство работает с заводскими настройками по умолчанию.
Мы рекомендуем заменить заводские настройки на
определяемая пользователем конфигурация, обеспечивающая дополнительную безопасность после
коробка настроена. Вы должны удалить xnm-clear-text
поле вручную с помощью команды CLI удалить системные службы
xnm-открытый текст
.
См. раздел Параметры в протоколах (Зоны безопасности). Интерфейсы) для просмотра поддерживаемых протоколов, которые можно используется для входящего трафика хоста.
Примечание:Все службы (кроме DHCP и BOOTP) могут быть настроены либо на зону, либо на интерфейс. DHCP-сервер настроен только для каждого интерфейса, потому что входящий интерфейс должен быть известен сервер, чтобы иметь возможность отправлять ответы DHCP.
Примечание:Вам не нужно настраивать протокол обнаружения соседей. (NDP) для входящего трафика хоста, так как NDP включен по умолчанию.
Параметр конфигурации для протокола обнаружения соседей IPv6 (NDP)
доступен. Параметр конфигурации: установить обнаружение соседей по протоколу.
команда onlink-subnet-only
. Эта опция предотвратит
от ответа на Neighbor Solicitation (NS) от префикса, который
не был включен в качестве одного из префиксов интерфейса устройства.
Механизм маршрутизации необходимо перезагрузить после настройки эта опция, чтобы удалить любую возможность предыдущей записи IPv6 из оставшиеся в таблице переадресации.
Понимание того, как управлять входящим трафиком на основе трафика Типы
В этом разделе описывается, как настроить зоны для укажите виды трафика, который может достигать устройства из систем которые напрямую связаны с его интерфейсами.
Обратите внимание на следующее:
Вы можете настроить эти параметры на уровне зоны, в этом случае они влияют на все интерфейсы зоны или на интерфейс уровень. (Конфигурация интерфейса имеет приоритет над конфигурацией зоны.)
Необходимо включить весь ожидаемый входящий трафик хоста. Входящий трафик, предназначенный для этого устройства, по умолчанию отбрасывается.
Вы также можете настроить интерфейсы зоны, чтобы разрешить использование протоколами динамической маршрутизации.
Эта функция позволяет защитить устройство от атаки, запущенные из систем, которые прямо или косвенно связаны к любому из его интерфейсов. Он также позволяет выборочно настроить устройство, чтобы администраторы могли управлять им с помощью определенных приложений на определенных интерфейсах. Вы можете запретить использование других приложений на одном и том же или разных интерфейсах зоны. Например, скорее всего вы хотели бы убедиться, что посторонние не используют приложение Telnet из Интернета, чтобы войти в устройство, потому что вы не хотели бы их подключения к вашей системе.
Пример: управление входящим трафиком на основе типов трафика
В этом примере показано, как настроить входящий трафик в зависимости от типа трафика.
- Требования
- Обзор
- Конфигурация
- Проверка
Требования
Перед началом:
Настройте сетевые интерфейсы. См. Руководство пользователя интерфейсов для устройств безопасности.
Понимание типов входящего трафика. См. Понимание того, как контролировать входящий трафик на основе по типам трафика.
Обзор
Разрешив запуск системных служб, вы можете настроить зоны чтобы указать различные типы трафика, который может достичь устройства из системы, напрямую подключенные к его интерфейсам. Вы можете настроить различные системные службы на уровне зоны, и в этом случае они влияют на все интерфейсы зоны или на уровне интерфейса. (Интерфейс конфигурация переопределяет конфигурацию зоны.)
Необходимо включить весь ожидаемый входящий трафик хоста. Входящий трафик с устройств, напрямую подключенных к интерфейсам устройства, сбрасывается по умолчанию.
Конфигурация
Процедура
- Быстрая конфигурация интерфейса командной строки
- Пошаговая процедура
- Результаты
Быстрая настройка интерфейса командной строки
Чтобы быстро настроить этот пример, скопируйте
следующие команды, вставьте их в текстовый файл, удалите все разрывы строк,
изменить любые данные, необходимые для соответствия конфигурации вашей сети,
скопируйте и вставьте команды в CLI в иерархии [править]
уровень, а затем введите commit
из режима конфигурации.
установить зоны безопасности безопасность-зона ABC host-inbound-traffic system-services все установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.3 host-inbound-traffic system-services telnet установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1. 3 host-inbound-traffic system-services ftp установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.3 host-inbound-traffic system-services snmp набор зон безопасности security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.0 host-inbound-traffic system-services ftp за исключением установить зоны безопасности security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http кроме
Пошаговая процедура
В следующем примере вам потребуется перемещаться по различным уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Чтобы настроить входящий трафик на основе типов трафика:
Настройте зону безопасности.
[править] user@host# редактировать зоны безопасности security-zone ABC
Настройте зону безопасности для поддержки входящего трафика для всех системных служб.
[редактировать зоны безопасности зоны безопасности ABC] user@host# установить системные службы host-inbound-traffic all
Настройте системные службы Telnet, FTP и SNMP на уровень интерфейса (не уровень зоны) для первого интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Настройте зону безопасности для поддержки входящего трафика для всех системных служб для второго интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] пользователь@хост# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Исключить системные службы FTP и HTTP из второго интерфейс.
[редактировать зоны безопасности зоны безопасности ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp кроме user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http кроме
Результаты
В режиме конфигурации подтвердите свою конфигурацию
введя показать зоны безопасности зоны безопасности ABC
.
Если выходные данные не отображают предполагаемую конфигурацию, повторите
инструкции по настройке в этом примере, чтобы исправить это.
[править] user@host# показать зоны безопасности security-zone ABC хост-входящий-трафик { системные службы { все; } } интерфейсы { гэ-0/0/1.3 { хост-входящий-трафик { системные службы { фтп; телнет; СНМП; } } } ge-0/0/1.0 { хост-входящий-трафик { системные службы { все; FTP { кроме; } http { кроме; } } } } }
Если вы завершили настройку устройства, введите commit
из режима настройки.
Проверка
Устранение неполадок с помощью журналов
- Цель
- Действие
Назначение
Используйте эти журналы для выявления любых проблем.
Действие
В рабочем режиме введите команду show log messages
и команду show log dcd
.
Понимание того, как управлять входящим трафиком на основе протоколов
В этом разделе описываются входящие системные протоколы. в указанной зоне или интерфейсе.
Любой входящий трафик хоста, соответствующий
разрешен протокол, указанный в параметре входящего трафика хоста.
Например, если где-то в конфигурации вы сопоставляете протокол
к номеру порта, отличному от значения по умолчанию, вы можете указать протокол
в опции входящего трафика хоста, и новый номер порта будет
использовал. В таблице 1 перечислены поддерживаемые протоколы.
Значение all
указывает, что трафик со всех следующих
протоколов разрешен входящий трафик на указанные интерфейсы (зоны,
или один указанный интерфейс).
Поддерживаемые системные службы | |||
---|---|---|---|
все | IGMP | пм | сок |
бфд | лдп | разрыв | вррп |
БГП | MSDP | разрыв | нхрп |
маршрутизатор-обнаружение | двмрп | ОСПФ | ответ на запрос |
пгм | ospf3 |
Если DVMRP или PIM включены для интерфейса, IGMP и Входящий трафик хоста MLD включается автоматически. Поскольку IS-IS использует адресации OSI и не должны генерировать IP-трафик, параметр входящего трафика хоста для протокола IS-IS.
Примечание:Вам не нужно настраивать протокол обнаружения соседей. (NDP) для входящего трафика хоста, так как NDP включен по умолчанию.
Параметр конфигурации для протокола обнаружения соседей IPv6 (NDP)
доступен. Параметр конфигурации: установить обнаружение соседей по протоколу.
команда onlink-subnet-only
. Эта опция предотвратит
от ответа на Neighbor Solicitation (NS) от префикса, который
не был включен в качестве одного из префиксов интерфейса устройства.
Механизм маршрутизации необходимо перезагрузить после настройки эта опция, чтобы удалить любую возможность сохранения предыдущей записи IPv6 в таблице переадресации.
Пример: управление входящим трафиком на основе протоколов
В этом примере показано, как включить входящий трафик для интерфейса.
- Требования
- Обзор
- Конфигурация
- Проверка
Требования
Прежде чем начать:
Настройка зон безопасности. См. пример: Создание зон безопасности.
Настройка сетевых интерфейсов. См. Руководство пользователя интерфейсов для устройств безопасности.
Обзор
Любой входящий трафик хоста, соответствующий указанному протоколу в опции host-inbound traffic разрешено. Например, если в любом месте конфигурации вы сопоставляете протокол с номером порта кроме протокола по умолчанию, вы можете указать протокол в host-inbound трафик, и будет использоваться новый номер порта.
Значение все
указывает, что трафик со всех
протоколы разрешены входящие на указанные интерфейсы (из
зону или один указанный интерфейс).
Конфигурация
Процедура
- CLI Quick Configuration
- Пошаговая процедура
- Результаты
Быстрая настройка интерфейса командной строки
Чтобы быстро настроить этот пример, скопируйте
следующие команды, вставьте их в текстовый файл, удалите все разрывы строк,
изменить любые данные, необходимые для соответствия конфигурации вашей сети,
скопируйте и вставьте команды в CLI на [править]
иерархия
level, а затем введите commit
из режима конфигурации.
установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.0 host-inbound-traffic protocols ospf установить зоны безопасности зоны безопасности интерфейсы ABC ge-0/0/1.0 host-inbound-traffic protocols ospf3
Пошаговая процедура
В следующем примере вам потребуется перемещаться по различным уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Для настройки входящего трафика на основе протоколов:
Настройте зону безопасности.
[править] user@host# редактировать зоны безопасности security-zone ABC
Настройте зону безопасности для поддержки входящего трафика на основе протокола ospf для интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Настройте зону безопасности для поддержки входящего трафика на основе протокола ospf3 для интерфейса.
[редактировать зоны безопасности зоны безопасности ABC] user@host# набор интерфейсов ge-0/0/1.0 host-inbound-traffic protocols ospf3
Результаты
В режиме конфигурации подтвердите свою конфигурацию
введя зоны безопасности шоу зоны безопасности ABC
.
Если выходные данные не отображают предполагаемую конфигурацию, повторите
инструкции по настройке в этом примере, чтобы исправить это.
[править] user@host# показать зоны безопасности security-zone ABC интерфейсы { ge-0/0/1.0 { хост-входящий-трафик { протоколы { ОСПД; ospf3; } } } }
Если вы закончили настройку устройства, введите commit
из режима настройки.
Проверка
Устранение неполадок с помощью журналов
- Цель
- Действие
Назначение
Используйте эти журналы для выявления любых проблем.
Действие
В рабочем режиме введите 9Команда 0162 show log messages и команда show log dcd
.
Пример: настройка параметра TCP-Reset
В этом примере показано, как настроить TCP-Reset параметр для зоны.
- Требования
- Обзор
- Конфигурация
- Проверка
Требования
Прежде чем начать, настройте зоны безопасности. См. пример: Создание зон безопасности.
Обзор
Когда функция параметра TCP-Reset включена, система отправляет TCP-сегмент с установленным флагом RESET, когда приходит трафик, который не соответствует существующему сеансу и не имеет флага SYN набор.
Конфигурация
Процедура
Пошаговая процедура
уровней в иерархии конфигурации. Для получения инструкций о том, как сделать это, см. Использование редактора CLI в конфигурации Mode в руководстве пользователя CLI.
Чтобы настроить параметр TCP-Reset для зоны:
Настройте зону безопасности.