Livros de endereços e conjuntos de endereços
Uma lista de endereços é uma coleção de endereços e conjuntos de endereços. Os livros de endereços são como componentes ou blocos de construção, que são mencionados em outras configurações, como políticas de segurança e zonas de segurança. Você pode adicionar endereços aos livros de endereços ou usar os endereços predefinidos disponíveis em cada agenda de endereços por padrão
Uma agenda de endereços dentro de uma zona pode consistir em endereços individuais ou conjuntos de endereços. Um conjunto de endereços é um conjunto de um ou mais endereços definidos em um catálogo de endereços. Usando conjuntos de endereços, você pode organizar endereços em grupos lógicos. Os conjuntos de endereços são úteis quando você deve consultar um grupo de endereços mais de uma vez em uma política de segurança, em uma zona de segurança ou configuração de NAT.
Entender os livros de endereços
Uma lista de endereços é uma coleção de endereços e conjuntos de endereços. O Junos OS permite que você configure vários livros de endereços. Você pode adicionar endereços aos livros de endereços ou usar os endereços predefinidos disponíveis em cada agenda de endereços por padrão.
As entradas da lista de endereços incluem endereços de hosts e sub-redes cujo tráfego é permitido, bloqueado, criptografado ou autenticado pelo usuário. Esses endereços podem ser qualquer combinação de endereços IPv4, endereços IPv6, endereços curingas ou nomes de sistema de nomes de domínio (DNS).
- Endereços predefinidos
- Prefixos de rede em livros de endereços
- Endereços curingas em livros de endereços
- Nomes de DNS em livros de endereços
Endereços predefinidos
Você pode criar endereços ou usar qualquer um dos seguintes endereços predefinidos que estejam disponíveis por padrão:
Any— Esse endereço corresponde a qualquer endereço IP. Quando este endereço é usado como um endereço de origem ou destino em uma configuração de política, ele corresponde ao endereço de origem e destino de qualquer pacote.Any-ipv4— Esse endereço combina com qualquer endereço IPv4.Any-ipv6— Esse endereço combina com qualquer endereço IPv6.
Prefixos de rede em livros de endereços
Você pode especificar endereços como prefixos de rede no formato de prefixo/comprimento. Por exemplo, 203.0.113.0/24 é um endereço de livro de endereço aceitável porque se traduz em um prefixo de rede. No entanto, 203.0.113.4/24 não é aceitável para uma lista de endereços porque excede o comprimento da sub-rede de 24 bits. Tudo além do comprimento da sub-rede deve ser inserido como 0 (zero). Em cenários especiais, você pode inserir um nome de host porque ele pode usar o comprimento completo do endereço de 32 bits.
Um prefixo de endereço IPv6 é uma combinação de um prefixo IPv6 (endereço) e um comprimento de prefixo. O prefixo toma o formulário ipv6-prefixo/comprimento de prefixo e representa um bloco de espaço de endereço (ou uma rede). A variável ipv6-prefix segue as regras gerais de endereçamento IPv6. A variável /comprimento de prefixo é um valor decimais que indica o número de bits contíguos e de maior ordem do endereço que compõem a parte de rede do endereço. Por exemplo, 2001:db8:/32 é um possível prefixo IPv6. Para obter mais informações sobre a representação de texto de endereços IPv6 e prefixos de endereços, consulte RFC 4291, Arquitetura de endereçamento IP Versão 6.
Endereços curingas em livros de endereços
Além de endereços IP e nomes de domínio, você pode especificar um endereço curinga em um livro de endereços. Um endereço curinga é representado como A.B.C.D/máscara curinga. A máscara curinga determina qual dos bits no endereço IP A.B.C.D deve ser ignorado. Por exemplo, o endereço IP de origem 192.168.0.11/255.255.0.255 em uma política de segurança implica que os critérios de correspondência da política de segurança podem descartar o terceiro octeto no endereço IP (simbolicamente representado como 192.168.*.11). Portanto, os pacotes com endereços IP de origem, como 192.168.1.11 e 192.168.22.11, estão de acordo com os critérios de correspondência. No entanto, os pacotes com endereços IP de origem, como 192.168.0.1 e 192.168.1.21, não satisfazem os critérios de correspondência.
O uso de endereços curingas não está restrito apenas a octets completos. Você pode configurar qualquer endereço curinga. Por exemplo, o endereço curinga 192.168.7.1/255.255.7.255 implica que você precisa ignorar apenas os primeiros 5 bits do terceiro octeto do endereço curinga enquanto faz a política corresponder. Se o uso de endereços curinga estiver restrito apenas a octets completos, então máscaras curingas com 0 ou 255 em cada um dos quatro octetes só serão permitidas.
Nomes de DNS em livros de endereços
Por padrão, você pode resolver endereços IPv4 e IPv6 para uma DNS. Se os endereços IPv4 ou IPv6 forem designados, você pode resolver apenas esses endereços usando as palavras-chave ipv4 somente e somente ipv6, respectivamente.
Considere o seguinte quando você configurar o endereço fonte para DNS:
-
Apenas um endereço de origem pode ser configurado como o endereço fonte para cada nome de servidor DNS.
-
Os endereços de origem IPv6 são suportados para servidores IPv6 DNS, e apenas os endereços IPv4 são suportados para servidores IPv4. Você não pode configurar um endereço IPv4 para um servidor IPv6 DNS ou um endereço IPv6 para um servidor IPv4 DNS.
Para que todo o tráfego de gerenciamento tenha origem em um endereço de origem específico, configure o servidor de nome do sistema e o endereço de origem. Por exemplo:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
Antes de usar nomes de domínio para entradas de endereço, você deve configurar o dispositivo de segurança para serviços de DNS. Para obter informações sobre DNS, veja a visão geral da DNS.
Entendendo os livros de endereços globais
Uma lista de endereços chamada "global" está sempre presente em seu sistema. Semelhante a outros livros de endereços, a lista de endereços global pode incluir qualquer combinação de endereços IPv4, endereços IPv6, endereços curingas ou nomes de sistema de nomes de domínio (DNS).
Você pode criar endereços na lista de endereços global ou usar os endereços predefinidos (qualquer, qualquer ipv4 e qualquer ipv6). No entanto, para usar os endereços na lista de endereços global, você não precisa anexar as zonas de segurança a ela. A lista de endereços global está disponível para todas as zonas de segurança que não têm livros de endereços anexados a elas.
Os livros de endereços globais são usados nos seguintes casos:
Configurações de NAT — as regras de NAT podem usar objetos de endereço apenas a partir da lista de endereços global. Eles não podem usar endereços de livros de endereços baseados em zonas.
Políticas globais — Os endereços usados em uma política global devem ser definidos no catálogo de endereços global. Os objetos da lista de endereços globais não pertencem a nenhuma zona específica.
Entender os conjuntos de endereços
Uma lista de endereços pode crescer para conter um grande número de endereços e se tornar difícil de gerenciar. Você pode criar grupos de endereços chamados conjuntos de endereços para gerenciar grandes livros de endereços. Usando conjuntos de endereços, você pode organizar endereços em grupos lógicos e usá-los para configurar facilmente outros recursos, como políticas e regras de NAT.
O conjunto de endereços predefinido, anyque contém ambos any-ipv4 e any-ipv6 endereços, é criado automaticamente para cada zona de segurança.
Você pode criar conjuntos de endereços com usuários existentes, ou criar conjuntos de endereços vazios e depois preenchê-los com usuários. Ao criar conjuntos de endereços, você pode combinar endereços IPv4 e IPv6, mas os endereços devem estar na mesma zona de segurança.
Você também pode criar um conjunto de endereços em um conjunto de endereços. Isso permite que você aplique políticas de forma mais eficaz. Por exemplo, se você quiser aplicar uma política a dois conjuntos de endereços e, set1 em vez de usar duas declarações, você pode usar apenas uma declaração para aplicar a política a um novo conjunto de endereços, set3que inclui conjuntos set1 de endereços e set2.set2
Quando você adiciona endereços às políticas, às vezes o mesmo subconjunto de endereços pode estar presente em várias políticas, tornando difícil gerenciar como as políticas afetam cada entrada de endereço. Faça referência a uma entrada definida de endereço em uma política como uma entrada de livro de endereços individual para permitir que você gerencie um pequeno número de conjuntos de endereços, em vez de gerenciar um grande número de entradas de endereços individuais.
Configuração de endereços e conjuntos de endereços
Você pode definir endereços e conjuntos de endereços em uma lista de endereços e depois usá-los ao configurar diferentes recursos. Você também pode usar endereços anypredefinidos , any-ipv4e any-ipv6 que estão disponíveis por padrão. No entanto, você não pode adicionar o endereço any predefinido a um catálogo de endereços.
Depois que os livros de endereços e conjuntos são configurados, eles são usados na configuração de diferentes recursos, como políticas de segurança, zonas de segurança e NAT.
- Endereços e conjuntos de endereços
- Livros de endereços e zonas de segurança
- Livros de endereços e políticas de segurança
Endereços e conjuntos de endereços
Você pode definir endereços IPv4, endereços IPv6, endereços curingas ou nomes de sistema de nomes de domínio (DNS) como entradas de endereço em um livro de endereços.
A lista de endereços de amostra a seguir chamada book1 contém diferentes tipos de endereços e conjuntos de endereços. Uma vez definidos, você pode aproveitar esses endereços e conjuntos de endereços quando configurar zonas de segurança, políticas ou regras de NAT.
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
Ao definir endereços e conjuntos de endereços, siga essas diretrizes:
-
Os conjuntos de endereços só podem conter nomes de endereços que pertencem à mesma zona de segurança.
-
anyNomes de endereços eany-ipv4any-ipv6estão reservados; você não pode usá-los para criar endereços. -
Endereços e conjuntos de endereços na mesma zona devem ter nomes distintos.
-
Os nomes dos endereços não podem ser os mesmos que definir nomes de endereços. Por exemplo, se você configurar um endereço com o nome
add1, não crie o conjunto de endereços com o nomeadd1. -
Ao excluir uma entrada de uma lista de endereços individual da lista de endereços, você deve remover o endereço (onde quer que seja referido) de todos os conjuntos de endereços; caso contrário, o sistema causará uma falha de confirmação.
Livros de endereços e zonas de segurança
Uma zona de segurança é um grupo lógico de interfaces com requisitos de segurança idênticos. Você anexa zonas de segurança para abordar livros que contêm entradas para redes endereçadas e hosts finais (e, portanto, usuários) pertencentes à zona.
Uma zona pode usar dois livros de endereços de cada vez — a lista de endereços global e o livro de endereços a que a zona está anexada. Quando uma zona de segurança não é anexada a nenhuma agenda de endereços, ela usa automaticamente a lista de endereços global. Assim, quando uma zona de segurança é anexada a uma lista de endereços, o sistema analisa endereços a partir desta lista de endereços anexada; caso contrário, o sistema olha para os endereços da lista de endereços global padrão. A lista de endereços global está disponível para todas as zonas de segurança por padrão; você não precisa anexar zonas à lista de endereços global.
As seguintes diretrizes se aplicam ao anexar zonas de segurança para tratar livros:
-
Os endereços anexados a uma zona de segurança estão em conformidade com os requisitos de segurança da zona.
-
A lista de endereços que você anexa a uma zona de segurança deve conter todos os endereços IP que podem ser alcançados nessa zona.
-
Ao configurar políticas entre duas zonas, você deve definir os endereços para cada um dos livros de endereços da zona.
-
Os endereços em uma lista de endereços definida pelo usuário têm uma prioridade de pesquisa maior do que os endereços na lista de endereços global. Assim, para uma zona de segurança que é anexada a um livro de endereços definido pelo usuário, o sistema pesquisa primeiro o livro de endereços definido pelo usuário; se nenhum endereço for encontrado, então ele pesquisa a lista de endereços global.
Livros de endereços e políticas de segurança
Endereços e conjuntos de endereços são usados ao especificar os critérios de correspondência para uma política. Antes de configurar políticas para permitir, negar ou impedir o tráfego de túnel de e para hosts e sub-redes individuais, você deve fazer entradas para elas em livros de endereços. Você pode definir diferentes tipos de endereços, como endereços IPv4, endereços IPv6, endereços curingas e nomes de DNS, como critérios de correspondência para políticas de segurança.
As políticas contêm endereços de origem e destino. Você pode consultar um endereço ou endereço definido em uma política pelo nome que você lhe dá na lista de endereços anexada à zona especificada na política.
-
Quando o tráfego é enviado para uma zona, a zona e o endereço a que o tráfego é enviado são usados como zona de destino e critérios de correspondência de endereços nas políticas.
-
Quando o tráfego é enviado de uma zona, a zona e o endereço de onde o tráfego é enviado são usados como zona de origem e critérios de correspondência de endereços em políticas.
Endereços disponíveis para políticas de segurança
Ao configurar os endereços de origem e destino para uma regra de política, você pode digitar um ponto de interrogação na CLI para listar todos os endereços disponíveis que você pode escolher.
Você pode usar o mesmo nome de endereço para endereços diferentes que estão em livros de endereços diferentes. No entanto, a CLI lista apenas um desses endereços — o endereço que tem a maior prioridade de busca.
Por exemplo, suponha que você configure endereços em dois livros deglobal endereços e book1. Em seguida, exibir os endereços que você pode configurar como endereços de origem ou destino em uma política (ver Tabela 1).
| Endereços configurados |
Endereços exibidos na CLI |
|---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
Os endereços exibidos neste exemplo ilustram:
-
Os endereços em uma lista de endereços definida pelo usuário têm uma prioridade de pesquisa maior do que os endereços na lista de endereços global.
-
Os endereços em uma lista de endereços global têm uma prioridade maior do que os endereços
anypredefinidos eany-ipv4any-ipv6. -
Quando o mesmo nome do endereço está configurado para dois ou mais endereços diferentes, apenas o endereço de maior prioridade, com base na busca do endereço, está disponível. Neste exemplo, a CLI exibe endereço
a1(book1203.0.113.128/25) porque esse endereço tem uma prioridade de pesquisa maior do que o endereçoa1global (203.0.113.0/24).
Aplicação de políticas para resolver conjuntos
Quando você especifica um endereço definido em políticas, o Junos OS aplica as políticas automaticamente a cada membro definido de endereço, para que você não precise criá-las um a um para cada endereço. Além disso, se um conjunto de endereços for mencionado em uma política, o conjunto de endereços não poderá ser removido sem remover sua referência na política. Ele pode, no entanto, ser editado.
Considere que, para cada conjunto de endereços, o sistema cria regras individuais para seus membros. Ele cria uma regra interna para cada membro do grupo, bem como para cada serviço configurado para cada usuário. Se você configurar os livros de endereços sem levar isso em conta, você pode exceder o número de recursos de políticas disponíveis, especialmente se os endereços de origem e destino forem grupos de endereços e o serviço especificado for um grupo de serviços.
A Figura 1 mostra como as políticas são aplicadas aos conjuntos de endereços.
Usando endereços e conjuntos de endereços na configuração do NAT
Depois de definir endereços nos livros de endereços, você pode especifique-os nas regras de origem, destino ou NAT estática. É mais simples especificar nomes de endereços significativos em vez de prefixos IP como endereços de origem e destino na configuração de regras de NAT. Por exemplo, em vez de especificar 10.208.16.0/22 como endereço fonte, você pode especificar um endereço chamado local que inclui endereço 10.208.16.0/22.
Você também pode especificar conjuntos de endereços nas regras de NAT, permitindo que você adicione vários endereços em um conjunto de endereços e, portanto, gerencie um pequeno número de conjuntos de endereços, em vez de gerenciar um grande número de entradas de endereços individuais. Quando você especifica um endereço definido em uma regra de NAT, o Junos OS aplica a regra automaticamente a cada membro definido de endereço, para que você não precise especificar cada endereço um por um.
Os tipos de conjunto de endereços e endereços a seguir não são suportados nas regras do NAT — endereços curingas, nomes de DNS e uma combinação de endereços IPv4 e IPv6.
Ao configurar os livros de endereços com NAT, siga essas diretrizes:
-
Em uma regra de NAT, você pode especificar endereços apenas de uma lista de endereços global. Os livros de endereços definidos pelo usuário não são suportados com NAT.
-
Você pode configurar um conjunto de endereços como nome de endereço de origem em uma regra NAT de origem. No entanto, você não pode configurar um conjunto de endereços como nome de endereço de destino em uma regra de NAT de destino.
As declarações de NAT de amostra a seguir mostram os tipos de conjunto de endereços e endereços que são suportados com regras de NAT de origem e destino:
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
Em uma regra NAT estática, você não pode configurar um conjunto de endereços como um nome de endereço de origem ou destino. As seguintes declarações de NAT de amostra mostram os tipos de endereço que são suportados com regras de NAT estáticas:
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
Exemplo: configuração de livros de endereços e conjuntos de endereços
Este exemplo mostra como configurar endereços e conjuntos de endereços em livros de endereços. Ele também mostra como anexar livros de endereços a zonas de segurança.
Requisitos
Antes de começar:
Configure os dispositivos de segurança da Juniper Networks para comunicação de rede.
Configure interfaces de rede em dispositivos de servidor e membros. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Configure serviços de DNS (Domain Name System, Sistema de nomes de domínio). Para obter informações sobre DNS, veja a visão geral da DNS.
Visão geral
Neste exemplo, você configura uma lista de endereços com endereços e conjuntos de endereços (ver Figura 2) para simplificar a configuração da rede da sua empresa. Você cria uma lista de endereços chamada Eng-dept e adiciona endereços de membros do departamento de engenharia. Você cria outra lista de endereços chamada Web e adiciona um nome DNS a ele. Em seguida, você anexa um trust de zona de segurança à Eng-dept lista de endereços e zona de segurança não confiável à Web lista de endereços. Você também cria conjuntos de endereços para agrupar endereços de software e hardware no departamento de engenharia. Você planeja usar esses endereços como endereços de origem e endereços de destino em suas configurações de políticas futuras.
Além disso, você adiciona um endereço à lista de endereços global para estar disponível em qualquer zona de segurança que não tenha nenhuma lista de endereços anexada a ela.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 set security zones security-zone trust interfaces ge-0/0/0 set security zones security-zone untrust interfaces ge-0/0/1 set security address-book Eng-dept address a1 203.0.113.1 set security address-book Eng-dept address a2 203.0.113.2 set security address-book Eng-dept address a3 203.0.113.3 set security address-book Eng-dept address a4 203.0.113.4 set security address-book Eng-dept address-set sw-eng address a1 set security address-book Eng-dept address-set sw-eng address a2 set security address-book Eng-dept address-set hw-eng address a3 set security address-book Eng-dept address-set hw-eng address a4 set security address-book Eng-dept attach zone trust set security address-book Web address Intranet dns-name www-int.device1.example.com set security address-book Web attach zone untrust set security address-book global address g1 198.51.100.2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar endereços e conjuntos de endereços:
Configure interfaces Ethernet e atribua endereços IPv4 a eles.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
Crie zonas de segurança e atribua interfaces a elas.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1
Crie um catálogo de endereços e defina endereços nele.
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4
Crie conjuntos de endereços.
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4
Conecte a lista de endereços a uma zona de segurança.
[edit security address-book Eng-dept] user@host# set attach zone trust
Crie outro catálogo de endereços e conecte-o a uma zona de segurança.
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust
Definir um endereço na lista de endereços global.
[edit] user@host# set security address-book global address g1 198.51.100.2
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security zones comandos e show security address-book os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificação da configuração da lista de endereços
- Verificação da configuração da lista de endereços globais
Verificação da configuração da lista de endereços
Propósito
Exibir informações sobre os livros de endereços e endereços configurados.
Ação
A partir do modo de configuração, entre no show security address-book comando.
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
Verificação da configuração da lista de endereços globais
Propósito
Exibir informações sobre endereços configurados na lista de endereços global.
Ação
A partir do modo de configuração, entre no show security address-book global comando.
user@host# show security address-book global
address g1 198.51.100.2/32;Excluindo endereços de políticas
O Junos OS permite que os usuários adicionem qualquer número de endereços de origem e destino a uma política. Se você precisar excluir determinados endereços de uma política, você pode configurá-los como endereços negados. Quando um endereço é configurado como um endereço negado, ele é excluído de uma política. Você não pode, no entanto, excluir os seguintes endereços IP de uma política:
Curinga
IPv6
qualquer
qualquer ipv4
qualquer ipv6
0.0.0.0
Quando uma variedade de endereços ou um único endereço é negado, ele pode ser dividido em vários endereços. Esses endereços negados são mostrados como um prefixo ou um comprimento que requer mais memória para armazenamento em um mecanismo de encaminhamento de pacotes.
Cada plataforma tem um número limitado de políticas com endereços negados. Uma política pode conter 10 endereços de origem ou destino. A capacidade da política depende do número máximo de políticas que a plataforma oferece suporte.
Antes de configurar um endereço de origem negado, endereço de destino ou ambos, execute as seguintes tarefas:
Crie uma fonte, destino ou ambos os endereços.
Crie nomes de endereços e atribua endereços de origem e destino aos nomes dos endereços.
Crie conjuntos de endereços para a origem, destino ou ambos os nomes de endereços.
Conecte os livros de endereços de origem e destino às zonas de segurança. Por exemplo, conecte o livro de endereços de origem à confiança da zona e ao livro de endereços de destino à não confiável da zona para a zona.
Especifique a fonte de correspondência, o destino ou ambos os nomes de endereços.
Execute comandos excluídos de endereço de origem, excluídos de destino ou ambos os comandos. Uma fonte, destino ou ambos os endereços adicionados na origem, destino ou ambos os livros de endereços serão excluídos da política.
A lista de endereços global não precisa ser anexada a nenhuma zona de segurança.
Exemplo: excluindo endereços de políticas
Este exemplo mostra como configurar endereços de origem e destino negados. Ele também mostra como configurar livros de endereços e conjuntos de endereços.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um firewall da Série SRX
Um PC
Versão Junos OS 12.1X45-D10
Antes de começar, configure os livros de endereços e os conjuntos de endereços. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Visão geral
Neste exemplo, você cria livros de endereços de origem e destino, SOUR-ADDR e DES-ADDR, e adiciona endereços de origem e destino a ele. Você cria conjuntos de endereços de origem e destino, como1 e as2, e endereços de origem e destino do grupo para eles. Em seguida, você anexa o livro de endereços de origem à confiança da zona de segurança e à lista de endereços de destino à zona de segurança não confiável.
Você cria zonas de segurança de confiança de zona para zona não confiáveis. Você especifica o nome da política para p1 e, em seguida, define o nome do endereço de origem da correspondência para as1 e o endereço de destino da correspondência para as2. Você especifica os comandos excluídos de endereços de origem e destino excluídos para excluir endereços de origem e destino configurados na política p1. Finalmente, você define a política p1 para permitir que o tráfego da confiança da zona até a zona não seja confiável.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar endereços negados:
Crie uma lista de endereços e nomes de endereços de origem. Adicione os endereços de origem à lista de endereços.
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
Crie um conjunto de endereços para nomes de endereços de origem do grupo.
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
Anexe a lista de endereços de origem à segurança da zona.
[edit security address book ] user@host# set SOU-ADDR attach zone trust
Crie uma lista de endereços de destino e nomes de endereços. Adicione os endereços de destino à lista de endereços.
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
Crie outro endereço definido para nomes de endereços de destino de grupo.
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
Conecte a lista de endereços de destino à segurança à zona.
[edit security address book ] user@host# set DES-ADDR attach zone untrust
Especifique o nome da política e o endereço de origem.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
Exclua os endereços de origem da política.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
Especifique o endereço de destino.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
Exclua os endereços de destino da política.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
Configure o aplicativo de política de segurança.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
Permita que o tráfego da confiança da zona até a zona não seja confiável.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address as1;
destination-address as2;
source-address-excluded;
destination-address-excluded;
application any;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando a configuração da política
Propósito
Verifique se a configuração da política está correta.
Ação
A partir do modo operacional, entre no show security policies policy-name p1 comando.
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
Essa saída resume a configuração da política.
Verificando os detalhes da configuração da política
Propósito
Verifique se a política e as configurações de endereço de origem e destino negadas estão corretas.
Ação
A partir do modo operacional, entre no show security policies policy-name p1 detail comando.
user@host>show security policies policy-name p1 detail
Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses(excluded):
ad1(SOU-ADDR): 255.255.255.255/32
ad2(SOU-ADDR): 203.0.113.130/25
ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116
ad4(SOU-ADDR): 192.0.2.128/25
Destination addresses(excluded):
ad8(DES-ADDR): 198.51.100.1/24
ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199
ad10(DES-ADDR): 198.51.100.0/24
ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No
Essa saída resume a configuração da política e mostra os nomes dos endereços de origem e destino negados excluídos da política.
Livros de endereços específicos da plataforma e o comportamento dos conjuntos de endereços
- Nomes de DNS específicos da plataforma no comportamento dos livros de endereços
- Endereços e endereços específicos da plataforma definem o comportamento
Nomes de DNS específicos da plataforma no comportamento dos livros de endereços
Use os livros de endereços e o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Use a tabela a seguir para revisar o comportamento específico da plataforma para sua plataforma:
| Plataforma |
Diferença |
|---|---|
| Série SRX e vSRX3.0 |
|
Endereços e endereços específicos da plataforma definem o comportamento
| Plataforma |
Diferença |
|
|---|---|---|
| Série SRX |
Existe um limite para o número de objetos de endereço que uma política pode fazer referência; o número máximo de objetos de endereço por política é diferente para diferentes plataformas, conforme mostrado na tabela abaixo. Veja as melhores práticas para definir políticas em dispositivos da Série SRX para obter detalhes sobre o número máximo de políticas por contexto para firewalls da Série SRX. |
|