Nesta página
Zonas de segurança e políticas de segurança em dispositivos de segurança
Entendendo as zonas de segurança da Camada 2
Uma zona de segurança de Camada 2 é uma zona que hospeda interfaces de Camada 2. Uma zona de segurança pode ser uma zona de Camada 2 ou Camada 3; ele pode hospedar todas as interfaces de Camada 2 ou todas as interfaces de Camada 3, mas não pode conter uma mistura de interfaces de Camada 2 e Camada 3.
O tipo de zona de segurança — Camada 2 ou Camada 3 — é definido implicitamente a partir da primeira interface configurada para a zona de segurança. Interfaces posteriores configuradas para a mesma zona de segurança devem ser do mesmo tipo que a primeira interface.
Você não pode configurar um dispositivo com zonas de segurança de Camada 2 e Camada 3.
Você pode configurar as seguintes propriedades para zonas de segurança de Camada 2:
Interfaces — Lista de interfaces na zona.
Políticas — políticas de segurança ativa que aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego conforme ele passa pelo firewall.
Telas — um firewall stateful da Juniper Networks protege uma rede inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem a passagem de uma zona de segurança para outra. Para cada zona de segurança e a zona MGT, você pode habilitar um conjunto de opções de tela predefinidas que detectam e bloqueiam vários tipos de tráfego que o dispositivo determina como potencialmente prejudicial.
Nota:Você pode configurar as mesmas opções de tela para uma zona de segurança de Camada 2 que para uma zona de segurança de Camada 3.
Livros de endereços — endereços IP e conjuntos de endereços que compõem uma lista de endereços para identificar seus membros para que você possa aplicar políticas a eles.
TCP-RST — Quando esse recurso é habilitado, o sistema envia um segmento de TCP com o conjunto de bandeiras de reset quando o tráfego chega que não corresponde a uma sessão existente e não tem o conjunto de bandeiras de sincronização.
Além disso, você pode configurar uma zona de Camada 2 para tráfego de entrada de host. Isso permite especificar os tipos de tráfego que podem chegar ao dispositivo a partir de sistemas que estão diretamente conectados às interfaces da zona. Você deve especificar todo o tráfego de entrada de host esperado porque o tráfego de entrada de dispositivos conectados diretamente às interfaces do dispositivo é descartado por padrão.
Consulte também
Exemplo: Configuração de zonas de segurança de camada 2
Este exemplo mostra como configurar zonas de segurança de Camada 2.
Requisitos
Antes de começar, determine as propriedades que deseja configurar para a zona de segurança de Camada 2. Veja como entender as zonas de segurança da camada 2.
Visão geral
Neste exemplo, você configura a zona de segurança l2-zone1 para incluir uma interface lógica de Camada 2 chamada ge-3/0/0.0 e zona de segurança l2-zone2 para incluir uma interface lógica de Camada 2 chamada ge-3/0/1.0. Em seguida, você configura a zona l22 para permitir que todos os serviços de aplicativos suportados (como SSH, Telnet e SNMP) como tráfego de entrada de host.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]commit
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar zonas de segurança de Camada 2:
Crie uma zona de segurança de Camada 2 e atribua interfaces a ela.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Configure uma das zonas de segurança de Camada 2.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o comando.show security zones
Entender as políticas de segurança no modo transparente
No modo transparente, as políticas de segurança podem ser configuradas apenas entre zonas de Camada 2. Quando os pacotes são encaminhados pela VLAN, as políticas de segurança são aplicadas entre zonas de segurança. Uma política de segurança para modo transparente é semelhante a uma política configurada para zonas de Camada 3, com as seguintes exceções:
O NAT não é compatível.
A VPN IPsec não é suportada.
O APLICATIVO ANY não tem suporte.
O encaminhamento da camada 2 não permite tráfego entre zonas a menos que haja uma política explicitamente configurada no dispositivo. Por padrão, o encaminhamento de Camada 2 executa as seguintes ações:
Permite ou nega tráfego especificado pela política configurada.
Permite o protocolo de resolução de endereços (ARP) e tráfego não IP multicast e broadcast de Camada 2.
Continua a bloquear todo o tráfego unicast não IP e não ARP.
Esse comportamento padrão pode ser alterado para o fluxo de pacotes de comutação Ethernet usando j-Web ou o editor de configuração CLI:
Configure a opção de bloquear todo o tráfego não IP e não ARP da Camada 2, incluindo tráfego multicast e broadcast.
block-non-ip-allConfigure a opção de permitir que todo o tráfego não IP de Camada 2 passe pelo dispositivo.
bypass-non-ip-unicast
Você não pode configurar ambas as opções ao mesmo tempo.
A partir do Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, você pode criar uma zona de segurança separada no modo misto (o modo padrão) para interfaces de Camada 2 e Camada 3. No entanto, não há roteamento entre interfaces IRB e entre interfaces IRB e interfaces de Camada 3. Dessa forma, você não pode configurar políticas de segurança entre zonas de Camada 2 e Camada 3. Você só pode configurar políticas de segurança entre as zonas de Camada 2 ou entre zonas de Camada 3.
Consulte também
Exemplo: Configuração de políticas de segurança no modo transparente
Este exemplo mostra como configurar políticas de segurança no modo transparente entre as zonas de Camada 2.
Requisitos
Antes de começar, determine o comportamento de política que deseja incluir na zona de segurança de Camada 2. Veja como entender as políticas de segurança no modo transparente.
Visão geral
Neste exemplo, você configura uma política de segurança para permitir o tráfego HTTP a partir da sub-rede 192.0.2.0/24 na zona de segurança l2-zone1 para o servidor em 192.0.2.1/24 na zona de segurança l2-zone2.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]commit
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar políticas de segurança no modo transparente:
Crie políticas e atribua endereços às interfaces para as zonas.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
Definir políticas para o aplicativo.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no comando.show security policies Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no modo de configuração.commit
Entendendo a autenticação do usuário de firewall no modo transparente
Um usuário de firewall é um usuário de rede que deve fornecer um nome de usuário e senha para autenticação ao iniciar uma conexão através do firewall. A autenticação do usuário do firewall permite que os administradores restrinjam e permitam que os usuários acessem recursos protegidos por trás de um firewall com base em seu endereço IP de origem e outras credenciais. O Junos OS oferece suporte aos seguintes tipos de autenticação de usuário de firewall para modo transparente no firewall da Série SRX:
Autenticação de passagem — um host ou um usuário de uma zona tenta acessar recursos em outra zona. Você deve usar um cliente FTP, Telnet ou HTTP para acessar o endereço IP do recurso protegido e ser autenticado pelo firewall. O dispositivo usa FTP, Telnet ou HTTP para coletar informações de nome de usuário e senha, e o tráfego subsequente do usuário ou host é permitido ou negado com base no resultado dessa autenticação.
Autenticação da Web — os usuários tentam se conectar, usando HTTP, a um endereço IP na interface IRB que é habilitado para autenticação da Web. Você é solicitado para o nome de usuário e senha que são verificados pelo dispositivo. O tráfego subsequente do usuário ou do host ao recurso protegido é permitido ou negado com base no resultado dessa autenticação.
Consulte também
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.