Configure a conectividade de filial local segura
Agora que você confirmou a conectividade LAN/WAN, você está pronto para usar o Junos CLI para implantar VLANs e políticas relacionadas para proteger a conectividade LAN e WAN.
As plataformas SRX são uma questão de segurança. É o que eles fazem. Proteger a conectividade local e internet nesta era moderna é extremamente importante. Mostraremos como configurar o SRX para atender às suas necessidades de segurança.
Configure VLANs e políticas de segurança
Metas de conectividade de filiais locais
A Figura 1 detalha as metas de conectividade da filial local usadas nesses procedimentos.
![Secure Local Branch Connectivity](/documentation/us/en/software/guided-setup/branch-srx-gs/topics/images/jn-000263.png)
Veja como alcançaremos essas metas:
- Coloque os funcionários na zona trust VLAN (vlan-trust)/trust zone. Permita-lhes acesso completo à Internet e a capacidade de iniciar conectividade específica aos dispositivos da contractors zona.
- A filial lida com as vendas no varejo e oferece Wi-Fi gratuito aos clientes. Coloque o guests VLAN na guests zona e permita acesso limitado à Internet.
- Os contratados estão trabalhando em um novo aplicativo de negócios baseado na web na filial local. Coloque os contratados na contractors VLAN/zona e não lhes permita acesso à Internet. Os contratados não podem iniciar comunicações para as zonas ou guests zonastrust.
A tabela a seguir resume os requisitos de conectividade VLAN:
VLAN ID | Name/Zone | Subnet | Internet Access? | Política de segurança |
---|---|---|---|---|
3 * | vlan-trust/trust * | 192.168.2.0/24 * | Cheio* |
|
20 | Os hóspedes | 192.168.20.0/24 | Somente HTTP e HTTPS |
|
30 | Contratantes | 192.168.30.0/24 | Não |
|
As entradas na tabela marcadas com um "*" já vlan-trust estão em vigor por meio da configuração padrão de fábrica. Dissemos que seria fácil! Tudo o que é necessário para a zona padrão trust de fábrica é adicionar uma política de segurança que permita que os protocolos especificados da trust zona até a contractors zona.
Permitir a confiança para o tráfego da zona de contratantes
Para atender às metas de conectividade declaradas, crie uma política de segurança para permitir tráfego específico (HTTP/HTTPS e ping) da trust zona até a contractors zona. Como um dispositivo de segurança, o SRX tem uma política de negação padrão para o tráfego entre zonas. Na configuração padrão de fábrica, o tráfego é permitido apenas das trust zonas para untrust zonas.
set security policies from-zone trust to-zone contractors policy trust-to-contractors match source-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match destination-address any set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-http set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-https set security policies from-zone trust to-zone contractors policy trust-to-contractors match application junos-ping set security policies from-zone trust to-zone contractors policy trust-to-contractors then permit
Neste exemplo, mantemos a simplez e combinamos com qualquer endereço IP de origem ou destino. Aqui, nós simplesmente combinamos a origem e a zona de destino para o controle de políticas. Para uma melhor segurança, considere definir as entradas do livro de endereços para a trust sub-rede contractors , que são 192.168.2.2.0/24 e 192.168.30.0/24 prefixos nesta filial. Com uma entrada de livro de endereços, você pode combinar source-address trust
e destination-address contractors
.
Além disso, você pode adicionar entradas de livros de endereços específicos para o host para controlar os endereços IP específicos que podem se comunicar entre zonas. Se você usar um endereço IP específico do host em sua política, certifique-se de atribuir um endereço IP estático a hosts relacionados. Se você se lembra, usamos o DHCP neste exemplo. Portanto, se um tempo de locação ou uma máquina do cliente for reiniciado, as máquinas do cliente serão automaticamente atribuídas a um novo endereço IP, a menos que você tenha atribuído endereços IP estáticos aos hosts relacionados.
Configure uma VLAN para convidados, zona de segurança e políticas de segurança
Vamos colocar esses convidados em funcionamento. Afinal, eles têm compras na web para fazer! Em alto nível, essa tarefa envolve essas partes-chave:
- Definir o guest VLAN e associá-lo a uma ou mais interfaces LAN
- Defina a interface de roteamento e ponte integrada (IRB) do VLAN
- Configure um servidor DHCP para atribuir endereços IP aos membros da VLAN
- Definir uma zona de segurança e uma política de acordo com as necessidades de conectividade para o VLAN
- Faça login como raiz do dispositivo SRX. Você pode usar o acesso para console ou SSH. Inicie o CLI e insira o modo de configuração.
login: branch_SRX (ttyu0) root@branch_SRX% cli root@branch_SRX> configure Entering configuration mode [edit] root@branch_SRX#
- Definir o guests VLAN e associá-lo a uma interface IRB. Esta interface IRB serve como o gateway padrão para os dispositivos no VLAN.
[edit] root@branch_SRX# set vlans guests vlan-id 20 root@branch_SRX# set vlans guests l3-interface irb.20
- Coloque a interface ge-0/0/1 no guests VLAN. Na configuração padrão, essa interface, como a maioria, pertence ao trust VLAN. Você começa excluindo a associação VLAN atual da interface para que você possa substituí-la pelo VLAN atualizado guests .
[edit] root@branch_SRX# delete interfaces ge-0/0/1 unit 0 root@branch_SRX# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members guests
- Configure a interface IRB para o guests VLAN. Esta etapa atribui uma sub-rede IP ao VLAN. Neste exemplo, você combina o ID de VLAN com o número da unidade IRB para tornar as coisas mais fáceis de lembrar. Esta associação é apenas para conveniência. Você pode usar qualquer número de unidade não utilizado nesta etapa.
[edit] root@branch_SRX# set interfaces irb unit 20 family inet address 192.168.20.1/24
- Configure o servidor DHCP para o guests VLAN. Observe que a interface IRB da VLAN está configurada como a interface do servidor DHCP. Essa configuração atribui endereços IP da faixa especificada e também atribui ao cliente uma rota padrão e um endereço de servidor DNS público. A rota padrão aponta o IRB da VLAN como o próximo salto para todo o tráfego não local (inter-VLAN e LAN para WAN).
[edit] root@branch_SRX# set system services dhcp-local-server group GUEST-POOL interface irb.20 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet network 192.168.20.0/24 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet range GUEST-POOL-IP-RANGE low 192.168.20.10 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet range GUEST-POOL-IP-RANGE high 192.168.20.100 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet dhcp-attributes domain-name srx-branch.com root@branch_SRX# set access address-assignment pool GUEST-POOL family inet dhcp-attributes name-server 8.8.8.8 root@branch_SRX# set access address-assignment pool GUEST-POOL family inet dhcp-attributes router 192.168.20.1
- Os membros da guests VLAN têm acesso à Internet. Como a filial local está usando apenas endereços IP RFC-1918 de uso local, o acesso à Internet exige que o SRX realize NAT de origem para o endereço IP da interface WAN. Apenas endereços IP roteáveis globalmente podem ser usados pela Internet. Veja como definir uma política de NAT de origem para o guests VLAN:
[edit] root@branch_SRX# set security nat source rule-set guests-to-untrust from zone guests root@branch_SRX# set security nat source rule-set guests-to-untrust to zone untrust root@branch_SRX# set security nat source rule-set guests-to-untrust rule guest-nat-rule match source-address 0.0.0.0/0 root@branch_SRX# set security nat source rule-set guests-to-untrust rule guest-nat-rule then source-nat interface
- Quase pronto. Em seguida, você cria a guests zona de segurança. Como parte desse processo, você coloca a IRB da VLAN relacionada na nova zona. Parte da definição de uma zona é especificar os protocolos e serviços que podem fluir dessa zona para o plano de controle do dispositivo SRX.
Por exemplo, você permite que usuários no VLAN iniciem o guests DHCP e o tráfego de ping para o plano de controle local. Isso permite que o convidado solicite um endereço IP usando DHCP e faça o ping do IRB de seu VLAN para fins de depuração, ao mesmo tempo em que bloqueia todos os outros serviços e protocolos para o host local. Como resultado, os usuários da guest zona estão impedidos de iniciar a Telnet ou SSH para a filial SRX. Por outro lado, os usuários da trust zona podem iniciar conexões SSH ao SRX.
[edit] root@branch_SRX# set security zones security-zone guests interfaces irb.20 root@branch_SRX# set security zones security-zone guests host-inbound-traffic system-services dhcp root@branch_SRX# set security zones security-zone guests host-inbound-traffic system-services ping
- A última etapa é definir as políticas de segurança para o guests VLAN. Para manter as declarações de configuração mais curtas, nós nos "estacionamos" na
[edit security policies]
hierarquia. Para limitar o acesso à Internet, sua política oferece suporte apenas para HTTP, HTTPS, DNS e ping.[edit security policies ] root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match source-address any root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match destination-address any root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-http root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-https root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-ping root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust match application junos-dns-udp root@branch_SRX# set from-zone guests to-zone untrust policy guests-to-untrust then permit
Configurações rápidas
Configuração rápida do VLAN para convidados
Aqui está a configuração completa para definir o guests VLAN e suas políticas de segurança em formato de conjunto. Para começar a funcionar rapidamente, basta editar as declarações de configuração conforme necessário para o seu ambiente e cole-as em seu SRX.
set vlans guests vlan-id 20 set vlans guests l3-interface irb.20 delete interfaces ge-0/0/1 unit 0 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members guests set interfaces irb unit 20 family inet address 192.168.20.1/24 set system services dhcp-local-server group GUEST-POOL interface irb.20 set access address-assignment pool GUEST-POOL family inet network 192.168.20.0/24 set access address-assignment pool GUEST-POOL family inet range GUEST-POOL---IP-RANGE low 192.168.20.10 set access address-assignment pool GUEST-POOL family inet range GUEST-POOL---IP-RANGE high 192.168.20.100 set access address-assignment pool GUEST-POOL family inet dhcp-attributes domain-name srx-branch.com set access address-assignment pool GUEST-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool GUEST-POOL family inet dhcp-attributes router 192.168.20.1 set security nat source rule-set guests-to-untrust from zone guests set security nat source rule-set guests-to-untrust to zone untrust set security nat source rule-set guests-to-untrust rule guest-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set guests-to-untrust rule guest-nat-rule then source-nat interface set security zones security-zone guests interfaces irb.20 set security zones security-zone guests host-inbound-traffic system-services dhcp set security zones security-zone guests host-inbound-traffic system-services ping set security policies from-zone guests to-zone untrust policy guests-to-untrust match source-address any set security policies from-zone guests to-zone untrust policy guests-to-untrust match destination-address any set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-http set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-https set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-ping set security policies from-zone guests to-zone untrust policy guests-to-untrust match application junos-dns-udp set security policies from-zone guests to-zone untrust policy guests-to-untrust then permit
Configuração rápida de VLAN para contratados
O contractors VLAN e a zona de segurança relacionada são semelhantes aos detalhados acima para o guests VLAN. Economizamos alguns papéis pulando diretamente para a Configuração Rápida para o contractors VLAN.
A falta de definição de política de segurança para a contractors zona é significativa. Com uma política explícita, a negação padrão de toda a política está em pleno vigor para qualquer tráfego inter-zona iniciado a partir desta zona! O resultado é que todo o contractors tráfego que inicia na zona está impedido de entrar em todas as outras zonas.
set vlans contractors vlan-id 30 set vlans contractors l3-interface irb.30 delete interfaces ge-0/0/3 unit 0 set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members contractors set interfaces irb unit 30 family inet address 192.168.30.1/24 set system services dhcp-local-server group CONTRACTORS-POOL interface irb.30 set access address-assignment pool CONTRACTORS-POOL family inet network 192.168.30.0/24 set access address-assignment pool CONTRACTORS-POOL family inet range CONTRACTORS-POOL-IP-RANGE low 192.168.30.10 set access address-assignment pool CONTRACTORS-POOL family inet range CONTRACTORS-POOL-IP-RANGE high 192.168.30.100 set access address-assignment pool CONTRACTORS-POOL family inet dhcp-attributes domain-name srx-branch.com set access address-assignment pool CONTRACTORS-POOL family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool CONTRACTORS-POOL family inet dhcp-attributes router 192.168.30.1 set security zones security-zone contractors interfaces irb.30 set security zones security-zone contractors host-inbound-traffic system-services dhcp set security zones security-zone contractors host-inbound-traffic system-services ping
Certifique-se de comprometer sua configuração para ativar as mudanças no dispositivo SRX.
Resultados
Os resultados de sua configuração VLAN segura são exibidos no formato junos curly brace. Nós omitimos a configuração padrão de fábrica a partir de baixo para brevidade.
root@branch_SRX# [edit] root@branch-srx# show interfaces irb . . . unit 20 { family inet { address 192.168.20.1/24; } } unit 30 { family inet { address 192.168.30.1/24; } } [edit] root@branch-srx# show vlans contractors { vlan-id 30; l3-interface irb.30; } guests { vlan-id 20; l3-interface irb.20; } . . . group CONTRACTORS-POOL { interface irb.30; } group GUEST-POOL { interface irb.20; } [edit] root@branch-srx# show access address-assignment . . . pool CONTRACTORS-POOL { family inet { network 192.168.30.0/24; range CONTRACTORS-POOL-IP-RANGE { low 192.168.30.10; high 192.168.30.100; } dhcp-attributes { domain-name srx-branch.com; name-server { 8.8.8.8; } router { 192.168.30.1; } } } } pool GUEST-POOL { family inet { network 192.168.20.0/24; range GUEST-POOL---IP-RANGE { low 192.168.20.10; high 192.168.20.100; } dhcp-attributes { domain-name srx-branch.com; name-server { 8.8.8.8; } router { 192.168.20.1; } } } } . . . nat { source { rule-set guests-to-untrust { from zone guests; to zone untrust; rule guest-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { . . . from-zone guests to-zone untrust { policy guests-to-untrust { match { source-address any; destination-address any; application [ junos-http junos-https junos-ping junos-dns-udp ]; } then { permit; } } } } zones { . . . security-zone contractors { host-inbound-traffic { system-services { dhcp; ping; } } interfaces { irb.30; } } security-zone guests { host-inbound-traffic { system-services { dhcp; ping; } } interfaces { irb.20; } } }
Em seguida, mostraremos como verificar se sua configuração está funcionando conforme esperado para proteger as comunicações de filiais locais.