Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de políticas de segurança

Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. O Junos OS permite que você configure políticas de segurança. As políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego à medida que passa pelo firewall.

Entendendo os elementos da política de segurança

Uma política de segurança é um conjunto de declarações que controla o tráfego de uma fonte especificada para um destino especificado usando um serviço especificado. Uma política permite, nega ou túneis determinados tipos de tráfego unidirecionalmente entre dois pontos.

Cada política consiste em:

  • Um nome único para a política.

  • A from-zone e a to-zone, por exemplo: user@host# set security policies from-zone untrust to-zone untrust

  • Um conjunto de critérios de correspondência que define as condições que devem ser satisfeitas para aplicar a regra da política. Os critérios de correspondência são baseados em um endereço IP de origem, endereço IP de destino e aplicativos. O firewall de identidade do usuário oferece maior granularidade ao incluir um tuple adicional, identidade de origem, como parte da declaração de política.

  • Um conjunto de ações a serem realizadas em caso de correspondência — permitir, negar ou rejeitar.

  • Elementos de contabilidade e auditoria — contagem, registro ou registro de sistema estruturado.

Se a Série SRX receber um pacote que corresponda a essas especificações, ele executará a ação especificada na política.

As políticas de segurança aplicam um conjunto de regras para o tráfego de trânsito, identificando qual tráfego pode passar pelo firewall e as ações tomadas no tráfego à medida que passa pelo firewall. As ações para o tráfego que correspondam aos critérios especificados incluem permissão, negação, rejeição, log ou contagem.

Para o SRX300, SRX320, SRX340, SRX345, SRX380 e dispositivos de SRX550M, uma política de segurança padrão de fábrica é fornecida que:

  • Permite todo o tráfego da zona de confiança até a zona não confiável.

  • Permite todo o tráfego entre zonas confiáveis, que é da zona de confiança até zonas confiáveis da intrazona.

  • Nega todo o tráfego da zona não confiável para a zona de confiança.

Entendendo as regras da política de segurança

A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto(from-zone para to-zone). Cada política é identificada exclusivamente pelo seu nome. O tráfego é classificado combinando suas zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.

Cada política está associada às seguintes características:

  • Uma zona de origem

  • Uma zona de destino

  • Um ou muitos nomes de endereços ou nomes de endereços de origem

  • Nomes de endereços ou endereços de destino ou nomes de endereços

  • Um ou muitos nomes de aplicativos ou nomes de configuração de aplicativos

Essas características são chamadas de critérios de correspondência. Cada política também tem ações associadas a ela: permitir, negar, rejeitar, contar, registrar e túnel VPN. Você precisa especificar os argumentos de condição de correspondência ao configurar uma política, endereço fonte, endereço de destino e nome do aplicativo.

Você pode especificar para configurar uma política com endereços IPv4 ou IPv6 usando a entrada anycuringa. Quando o suporte de fluxo não está habilitado para tráfego IPv6, any corresponde aos endereços IPv4. Quando o suporte de fluxo é habilitado para tráfego IPv6, any corresponde a endereços IPv4 e IPv6. Para permitir o encaminhamento baseado em fluxo para tráfego IPv6, use o set security forwarding-options family inet6 mode flow-based comando. Você também pode especificar o curinga any-ipv4 ou any-ipv6 para os critérios de correspondência de endereço de origem e destino para incluir apenas endereços IPv4 ou apenas IPv6, respectivamente.

Quando o suporte de fluxo para tráfego IPv6 é habilitado, o número máximo de endereços IPv4 ou IPv6 que você pode configurar em uma política de segurança é baseado nos seguintes critérios de correspondência:

  • Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024

  • Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024

O motivo do Thr para os critérios de correspondência é que um endereço IPv6 usa quatro vezes o espaço de memória que um endereço IPv4 usa.

Nota:

Você só pode configurar uma política de segurança com endereços IPv6 se o suporte de fluxo para tráfego IPv6 estiver habilitado no dispositivo.

Se você não quiser especificar um aplicativo específico, digite any como o aplicativo padrão. Para procurar os aplicativos padrão, a partir do modo de configuração, entre show groups junos-defaults | find applications (predefined applications). Por exemplo, se você não fornecer um nome de aplicativo, a política será instalada com o aplicativo como um curinga (padrão). Portanto, qualquer tráfego de dados que corresponda ao restante dos parâmetros em uma determinada política corresponderia à política, independentemente do tipo de aplicativo do tráfego de dados.

Nota:

Se uma política estiver configurada com vários aplicativos e mais de um dos aplicativos corresponder ao tráfego, o aplicativo que melhor atender aos critérios de correspondência será selecionado.

A ação da primeira política que o tráfego corresponde é aplicada ao pacote. Se não houver política de correspondência, o pacote será descartado. As políticas são pesquisadas de cima a baixo, por isso é uma boa ideia colocar políticas mais específicas perto do topo da lista. Você também deve colocar as políticas de túnel de VPN IPsec perto do topo. Coloque as políticas mais gerais, como uma que permitiria a certos usuários acesso a todos os aplicativos da Internet, na parte inferior da lista. Por exemplo, coloque as políticas de negação ou rejeição de todos no fundo, depois que todas as políticas específicas tiverem sido analisadas antes e o tráfego legítimo tiver sido permitido/contagem/logado.

Nota:

O suporte para endereços IPv6 é adicionado no Junos OS Release 10.2. O suporte para endereços IPv6 em configurações ativas/ativas de cluster de chassi (além do suporte existente de configurações de cluster ativo/passivo do chassi) é adicionado no Junos OS Release 10.4.

As políticas são analisadas durante o processamento de fluxo após o processamento de filtros e telas de firewall e a pesquisa de rota foi concluída pela Unidade de Processamento de Serviços (SPU) (para dispositivos de SRX5400, SRX5600 e SRX5800). A análise da política determina a zona de destino, o endereço de destino e a interface de saída.

Quando você está criando uma política, as seguintes regras de política se aplicam:

  • As políticas de segurança estão configuradas em uma from-zone to-zone direção. Em uma direção de zona específica, cada política de segurança contém um nome, critérios de correspondência, uma ação e opções diversas.

  • O nome da política, os critérios de correspondência e a ação são necessários.

  • O nome da política é uma palavra-chave.

  • O endereço fonte nos critérios de correspondência é composto por um ou mais nomes de endereços ou nomes de endereço no from-zone.

  • O endereço de destino dos critérios de correspondência é composto por um ou mais nomes de endereços ou nomes de endereço no to-zone.

  • O nome do aplicativo nos critérios de correspondência é composto pelo nome de um ou mais aplicativos ou conjuntos de aplicativos.

  • Uma das seguintes ações é necessária: permitir, negar ou rejeitar.

  • Os elementos de contabilidade e auditoria podem ser especificados: contagem e log.

  • Você pode habilitar o registro no final de uma sessão com o session-close comando, ou no início da sessão com o session-init comando.

  • Quando o alarme de contagem é ativado, especifique os limiares de alarme em bytes por segundo ou kilobytes por minuto.

  • Você não pode especificar global como o from-zone ou a exceto sob a to-zone seguinte condição:

    Qualquer política configurada com a to-zone zona como global deve ter um único endereço de destino para indicar que o NAT estático ou o NAT de entrada foram configurados na política.

  • Nos firewalls da Série SRX, a opção de permissão de política com NAT é simplificada. Cada política indicará opcionalmente se permite a tradução de NAT, não permite a tradução de NAT ou não se importa.

  • Os nomes dos endereços não podem começar com os seguintes prefixos reservados. Estes são usados apenas para a configuração de NAT de endereço:

    • static_nat_

    • incoming_nat_

    • junos_

  • Os nomes dos aplicativos não podem começar com o junos_ prefixo reservado.

Entendendo endereços curingas

Os endereços de origem e destino são dois dos cinco critérios de correspondência que devem ser configurados em uma política de segurança. Agora, você pode configurar endereços curingas para os critérios de correspondência de endereços de origem e destino em uma política de segurança. Um endereço curinga é representado como A.B.C.D/máscara curinga. A máscara curinga determina qual dos bits no endereço IP A.B.C.D deve ser ignorado pelos critérios de correspondência da política de segurança. Por exemplo, o endereço IP de origem 192.168.0.11/255.255.0.255 em uma política de segurança implica que os critérios de correspondência da política de segurança podem descartar o terceiro octeto no endereço IP (simbolicamente representado como 192.168.*.11). Portanto, os pacotes com endereços IP de origem, como 192.168.1.11 e 192.168.22.11, estão de acordo com os critérios de correspondência. No entanto, os pacotes com endereços IP de origem, como 192.168.0.1 e 192.168.1.21, não satisfazem os critérios de correspondência.

O uso de endereços curingas não está restrito apenas a octets completos. Você pode configurar qualquer endereço curinga. Por exemplo, o endereço curinga 192.168. 7.1/255.255.7.255 implica que você precisa ignorar apenas os primeiros 5 bits do terceiro octeto do endereço curinga enquanto faz a política corresponder. Se o uso de endereços curinga estiver restrito apenas a octets completos, então máscaras curingas com 0 ou 255 em cada um dos quatro octetes só serão permitidas.

Nota:

O primeiro octeto da máscara curinga deve ser maior que 128. Por exemplo, uma máscara curinga representada como 0.255.0.255 ou 1.255.0.255 é inválida.

Uma política de segurança curinga é uma política de firewall simples que permite que você permita, negue e rejeite o tráfego tentando atravessar de uma zona de segurança para outra. Você não deve configurar regras de política de segurança usando endereços curingas para serviços como segurança de conteúdo.

Nota:

Somente a intrusão e a prevenção (IDP) para sessões IPv6 são suportadas para todos os dispositivos de SRX5400, SRX5600 e SRX5800. A segurança de conteúdo para sessões IPv6 não é suportada. Se sua política de segurança atual usar regras com o curinga do endereço IP e os recursos de segurança de conteúdo estiverem habilitados, você encontrará erros de confirmação de configuração porque os recursos de segurança de conteúdo ainda não suportam endereços IPv6. Para resolver os erros, modifique a regra que devolve o erro para que o curinga qualquer ipv4 seja usado; e criar regras separadas para tráfego IPv6 que não incluam recursos de segurança de conteúdo.

A configuração de políticas de segurança curinga em um dispositivo afeta o desempenho e o uso de memória com base no número de políticas curinga configuradas por contexto de zona a zona. Portanto, você só pode configurar um máximo de 480 políticas curingas para um contexto específico de zona a zona.

Entendendo as políticas de segurança para auto-tráfego

As políticas de segurança são configuradas nos dispositivos para aplicar serviços ao tráfego que flui pelo dispositivo. Por exemplo, as políticas de UAC e segurança de conteúdo estão configuradas para aplicar serviços ao tráfego transitório.

Tráfego autônomo ou host é o tráfego de entrada de host; ou seja, o tráfego terminando no dispositivo ou no tráfego de saída do host que é o tráfego originário do dispositivo. Agora, você pode configurar políticas para aplicar serviços no tráfego autônomo. Serviços como o serviço de pilha SSL que devem encerrar a conexão SSL de um dispositivo remoto e realizar algum processamento nesse tráfego, serviços de IDP no tráfego de entrada de host ou criptografia IPsec no tráfego de saída do host devem ser aplicados por meio das políticas de segurança configuradas no tráfego autônomo.

Quando você configura uma política de segurança para tráfego autônomo, o tráfego que flui pelo dispositivo é verificado primeiro contra a política e depois contra a opção host-inbound-traffic configurada para as interfaces vinculadas à zona.

Você pode configurar a política de segurança para auto-tráfego para aplicar serviços ao auto-tráfego. As políticas de saída do host funcionarão apenas nos casos em que o pacote que se originou no dispositivo host passar pelo fluxo e a interface de entrada deste pacote for definida para local.

As vantagens de usar o auto-tráfego são:

  • Você pode aproveitar a maior parte da política ou infraestrutura de fluxo existente usada para o tráfego de trânsito.

  • Você não precisa de um endereço IP separado para habilitar qualquer serviço.

  • Você pode aplicar serviços ou políticas a qualquer tráfego de entrada de host com o endereço IP de destino de qualquer interface no dispositivo.

Nota:

Nos firewalls da Série SRX, as regras de política de segurança padrão não afetam o tráfego autônomo.

Nota:

Você pode configurar a política de segurança para tráfego autônomo apenas com serviços relevantes. Por exemplo, não é relevante configurar o serviço fwauth no tráfego de saída de host, e os serviços gprs-gtp não são relevantes para as políticas de segurança para auto-tráfego.

As políticas de segurança para o tráfego autônomo estão configuradas sob a nova zona de segurança padrão chamada junos-host zona. A zona junos-host fará parte da configuração padrão Junos, para que os usuários não possam deletá-la. As configurações de zona existentes, como interfaces, tela, tcp-rst e opções de tráfego de entrada de host, não são significativas para a zona junos-host. Portanto, não há configuração dedicada para a zona junos-host.

Nota:

Você pode usar o tráfego de entrada de host para controlar conexões de entrada em um dispositivo; no entanto, não restringe a saída de tráfego do dispositivo. Considerando que a zona junos-host permite que você selecione a aplicação de sua escolha e também restrinja o tráfego de saída. Por exemplo, serviços como NAT, IDP, Segurança de conteúdo e assim por diante agora podem ser habilitados para o tráfego entrando ou saindo do firewall da Série SRX usando a zona junos-host.

Visão geral da configuração das políticas de segurança

Você deve concluir as seguintes tarefas para criar uma política de segurança:

  1. Crie zonas. Veja exemplo: criação de zonas de segurança.

  2. Configure uma lista de endereços com endereços para a política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.

  3. Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.

  4. Crie a política. Veja exemplo: Configuração de uma política de segurança para permitir ou negar todo o tráfego, exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado e exemplo: configuração de uma política de segurança para permitir ou negar tráfego de endereços curingas.

  5. Crie agendadores se quiser usá-los para suas políticas. Veja exemplo: configuração de agendadores para uma agenda diária, excluindo um dia.

O Assistente de política de firewall permite que você execute a configuração básica da política de segurança. Para configuração mais avançada, use a interface J-Web ou a CLI.

Melhores práticas para definir políticas em dispositivos da Série SRX

Uma rede segura é vital para uma empresa. Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto (de zona para zona) e cada política é identificada de forma exclusiva pelo seu nome. O tráfego é classificado combinando as zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.

A Tabela 1 fornece as limitações de política para SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 e dispositivos de SRX5800. O suporte da plataforma depende da versão do Junos OS em sua instalação.

Nota:

Começando com o Junos OS Release 12.3X48-D15 e o Junos OS Release 17.3R1, o número máximo de objetos de endereço por política para dispositivos de SRX5400, SRX5600 e SRX5800 aumenta de 1024 para 4096, e o número máximo de políticas por contexto aumenta de 10240 para 80.000.

Começando pelo Junos OS Release 17.3R1, o número de políticas de segurança e o número máximo de políticas por contexto para dispositivos de SRX5400, SRX5600 e SRX5800 aumenta de 80.000 para 100.000.

Começando pelo Junos OS Release 15.1X49-D120, o número de objetos de endereço por política para SRX5400, SRX5600 e SRX5800 aumenta de 4096 para 16.000.

Tabela 1: Limitações de política para dispositivos da Série SRX

Dispositivos da Série SRX

Objetos de endereço

Objetos de aplicativo

Políticas de segurança

Contextos de políticas (pares de zona)

Políticas por contexto

Políticas com contagem habilitada

SRX300SRX320

2048

128

1024

256

1024

256

SRX340

2048

128

2048

512

2048

256

SRX345

2048

128

4096

1024

4096

256

SRX380

2048

128

4096

1024

4096

256

SRX550M

2048

128

10240

2048

10240

1024

SRX1500

4096

3072

16000

4096

16000

1024

SRX4100

4096

3072

60000

4096

60000

1024

SRX4200

4096

3072

60000

4096

60000

1024

SRX4600

4096

3072

80000

8192

80000

1024

SRX5800 de SRX5600 SRX5400

16384

3072

100000

8192

100000

1024

Portanto, à medida que você aumenta o número de endereços e aplicativos em cada regra, a quantidade de memória que é usada pela definição de política aumenta, e às vezes o sistema fica sem memória com menos de 80.000 políticas.

Para obter a utilização real de memória de uma política no Mecanismo de encaminhamento de pacotes (PFE) e no mecanismo de roteamento (RE), você precisa levar em consideração vários componentes da árvore de memória. A árvore de memória inclui os seguintes dois componentes:

  • Contexto da política — Usado para organizar todas as políticas neste contexto. O contexto da política inclui variáveis como zonas de origem e destino.

  • Entidade de políticas — Usada para manter os dados da política. A entidade de política calcula a memória usando parâmetros como nome da política, endereços IP, contagem de endereços, aplicativos, autenticação de firewall, WebAuth, IPsec, contagem, serviços de aplicativos e Junos Services Framework (JSF).

Além disso, as estruturas de dados usadas para armazenar políticas, conjuntos de regras e outros componentes usam memória diferente no Mecanismo de encaminhamento de pacotes e no mecanismo de roteamento. Por exemplo, os nomes de endereço para cada endereço na política são armazenados no Mecanismo de Roteamento, mas nenhuma memória é alocada no nível do Mecanismo de encaminhamento de pacotes. Da mesma forma, as faixas de porta são expandidas para pares de prefixo e máscara e são armazenadas no Mecanismo de encaminhamento de pacotes, mas nenhuma dessas memórias é alocada no Mecanismo de Roteamento.

Assim, dependendo da configuração da política, os contribuintes de políticas para o Mecanismo de Roteamento são diferentes daqueles para o Mecanismo de encaminhamento de pacotes, e a memória é alocada dinamicamente.

A memória também é consumida pelo estado de "exclusão diferida". No estado de exclusão diferido, quando um firewall da Série SRX aplica uma mudança de política, há um pico transitório de uso pelo qual as políticas antigas e novas estão presentes. Por isso, por um breve período, existem políticas antigas e novas no Mecanismo de encaminhamento de pacotes, ocupando o dobro dos requisitos de memória.

Portanto, não há uma maneira definitiva de inferir claramente quanta memória é usada por ambos os componentes (Packet Forwarding Engine ou Mecanismo de roteamento) em um determinado momento, porque os requisitos de memória dependem de configurações específicas de políticas, e a memória é alocada dinamicamente.

As seguintes melhores práticas para implementação de políticas permitem que você use melhor a memória do sistema e otimize a configuração de políticas:

  • Use prefixos únicos para endereços de origem e destino. Por exemplo, em vez de usar /32 endereços e adicionar cada endereço separadamente, use uma grande sub-rede que cobre a maioria dos endereços IP que você precisa.

  • Use o aplicativo "qualquer" sempre que possível. Cada vez que você definir um aplicativo individual na política, você pode usar mais 52 bytes.

  • Use menos endereços IPv6 porque os endereços IPv6 consomem mais memória.

  • Use menos pares de zona nas configurações de políticas. Cada zona de origem ou destino usa cerca de 16.048 bytes de memória.

  • Os parâmetros a seguir podem mudar a forma como a memória é consumida pelos bytes conforme especificado:

    • Autenticação de firewall — cerca de 16 bytes ou mais (não fixados)

    • Autenticação da Web — Cerca de 16 bytes ou mais (sem fixação)

    • Bytes IPsec-12

    • Serviços de aplicativos — 28 bytes

    • Contagem de bytes de 64 bytes

  • Verifique a utilização da memória antes e depois da compilação das políticas.

    Nota:

    O requisito de memória para cada dispositivo é diferente. Alguns dispositivos oferecem suporte a 512.000 sessões por padrão, e a memória de inicialização geralmente está em 72 a 73%. Outros dispositivos podem ter até 1 milhão de sessões e a memória de inicialização pode ser de até 83 a 84%. Na pior das hipóteses, para oferecer suporte a cerca de 80.000 políticas na SPU, a SPU deve inicializar com um consumo de memória de kernel fluído de até 82% e com pelo menos 170 megabytes de memória disponíveis.

Configuração de políticas usando o assistente de firewall

O Assistente de política de firewall permite que você realize configurações básicas de políticas de segurança em dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550M.. Para configuração mais avançada, use a interface J-Web ou a CLI.

Para configurar políticas usando o Assistente de política de firewall:

  1. Selecione Configure>Tasks>Configure FW Policy na interface J-Web.
  2. Clique no botão Assistente de política de firewall de lançamento para lançar o assistente.
  3. Siga os prompts no assistente.

A área superior esquerda da página de assistente mostra onde você está no processo de configuração. A área inferior esquerda da página mostra ajuda sensível ao campo. Ao clicar em um link no título Recursos, o documento é aberto em seu navegador. Se o documento for aberto em uma nova guia, certifique-se de fechar apenas a guia (não a janela do navegador) quando você fechar o documento.

Exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego

Este exemplo mostra como configurar uma política de segurança para permitir ou negar todo o tráfego.

Requisitos

Antes de começar:

Visão geral

No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura as interfaces de confiança e não confiáveis, ge-0/0/2 e ge-0/0/1. Veja a Figura 1.

Figura 1: Permitindo todo o tráfego Permitting All Traffic

Este exemplo de configuração mostra como:

  • Permita ou negue todo o tráfego da zona de confiança até a zona não confiável, mas bloqueie tudo, desde a zona não confiável até a zona de confiança.

  • Permita ou negue o tráfego selecionado de um host na zona de confiança para um servidor na zona não confiável em um determinado momento.

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política de segurança para permitir ou negar todo o tráfego:

  1. Configure as interfaces e as zonas de segurança.

  2. Crie a política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.

  3. Crie a política de segurança para negar tráfego da zona não confiável para a zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Nota:

O exemplo de configuração é uma permissão padrão,desde a zona de confiança até a zona não confiável.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração da política

Propósito

Verifique as informações sobre políticas de segurança.

Ação

Desde o modo operacional, entre no show security policies detail comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.

Significado

A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:

  • De e para zonas

  • Endereços de origem e destino

  • Critérios de correspondência

Exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado

Este exemplo mostra como configurar uma política de segurança para permitir ou negar tráfego selecionado.

Requisitos

Antes de começar:

Visão geral

No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma política de segurança específica para permitir apenas tráfego de e-mail de um host na zona de confiança para um servidor na zona não confiável. Nenhum outro tráfego é permitido. Veja a Figura 2.

Figura 2: Permissão de tráfego Permitting Selected Traffic selecionado

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política de segurança para permitir o tráfego selecionado:

  1. Configure as interfaces e as zonas de segurança.

  2. Crie entradas de agenda de endereços para o cliente e para o servidor. Além disso, conecte zonas de segurança aos livros de endereços.

  3. Defina a política para permitir o tráfego de correio.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração da política

Propósito

Verifique as informações sobre políticas de segurança.

Ação

Desde o modo operacional, entre no show security policies detail comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.

Significado

A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:

  • De e para zonas

  • Endereços de origem e destino

  • Critérios de correspondência

Exemplo: configuração de uma política de segurança para permitir ou negar tráfego de endereços curingas

Este exemplo mostra como configurar uma política de segurança para permitir ou negar tráfego de endereços curingas.

Requisitos

Antes de começar:

Visão geral

No sistema operacional Junos (Junos OS), as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma segurança específica para permitir apenas o tráfego de endereços curingas de um host na zona de confiança até a zona não confiável. Nenhum outro tráfego é permitido.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política de segurança para permitir o tráfego selecionado:

  1. Configure as interfaces e as zonas de segurança.

  2. Crie uma entrada de agenda de endereços para o host e anexe a lista de endereços a uma zona.

  3. Defina a política para permitir tráfego de endereços curingas.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração da política

Propósito

Verifique as informações sobre políticas de segurança.

Ação

Desde o modo operacional, entre no show security policies policy-name permit-wildcard detail comando para exibir detalhes sobre a política de segurança de curinga de permissão configurada no dispositivo.

Significado

A saída exibe informações sobre a política de curinga de permissão configurada no sistema. Verifique as seguintes informações:

  • De e para zonas

  • Endereços de origem e destino

  • Critérios de correspondência

Exemplo: configuração de uma política de segurança para redirecionar logs de tráfego para um servidor de log externo do sistema

Este exemplo mostra como configurar uma política de segurança para enviar logs de tráfego gerados no dispositivo para um servidor de log externo do sistema.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um cliente conectado a um dispositivo SRX5600 na interface ge-4/0/5

  • Um servidor conectado ao dispositivo SRX5600 na interface ge-4/0/1

    Os logs gerados no SRX5600 dispositivo são armazenados em um servidor de log de sistema baseado em Linux.

  • Um dispositivo SRX5600 conectado ao servidor baseado em Linux na interface ge-4/0/4

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você configura uma política de segurança no dispositivo SRX5600 para enviar logs de tráfego, gerados pelo dispositivo durante a transmissão de dados, para um servidor baseado em Linux. Os logs de tráfego registram detalhes de cada sessão. Os logs são gerados durante o estabelecimento e a rescisão de sessão entre a fonte e o dispositivo de destino que estão conectados ao dispositivo SRX5600.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar uma política de segurança para enviar logs de tráfego a um servidor de log externo do sistema:

  1. Configure logs de segurança para transferir logs de tráfego gerados no dispositivo SRX5600 para um servidor de log externo do sistema com o endereço IP 203.0.113.2. O endereço IP 127.0.0.1 é o endereço de loopback do dispositivo SRX5600.

  2. Configure uma zona de segurança e especifique os tipos de tráfego e protocolos permitidos na interface ge-4/0/5.0 do dispositivo SRX5600.

  3. Configure outra zona de segurança e especifique os tipos de tráfego permitidos nas interfaces ge-4/0/4.0 e ge-4/0/1.0 do dispositivo SRX5600.

  4. Crie uma política e especifique os critérios de correspondência para essa política. Os critérios de correspondência especificam que o dispositivo pode permitir o tráfego de qualquer fonte, para qualquer destino e em qualquer aplicativo.

  5. Habilite a política para registrar detalhes de tráfego no início e no final da sessão.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security log comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Zonas de verificação

Propósito

Verifique se a zona de segurança está habilitada ou não.

Ação

A partir do modo operacional, entre no show security zones comando.

Políticas de verificação

Propósito

Verifique se a política está funcionando.

Ação

A partir do modo operacional, insira o show security policies comando em todos os dispositivos.

Modo TAP para zonas e políticas de segurança

O modo ponto de acesso terminal (TAP) para zonas de segurança e políticas permite que você monitore passivamente os fluxos de tráfego em uma rede por meio de uma span de switch ou porta espelho.

Entender o suporte ao modo TAP para zonas e políticas de segurança

O modo ponto de acesso terminal (TAP) é um dispositivo de espera, que verifica o tráfego espelhado através do switch. Se as zonas e políticas de segurança estiverem configuradas, o modo TAP inspeciona o tráfego de entrada e saída configurando a interface TAP e gerando um relatório de log de segurança para exibir o número de ameaças detectadas e o uso do usuário. Se algum pacote se perder na interface de toque, as zonas de segurança e as políticas terminam a conexão, como resultado nenhum relatório gera para essa conexão. A configuração da zona de segurança e da política permanece a mesma do modo não-TAP.

Quando você configura um firewall da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário. Quando o dispositivo está configurado para operar no modo TAP, o firewall da Série SRX recebe pacotes apenas da interface TAP configurada. Exceto a interface TAP configurada, outra interface está configurada para uma interface normal que é usada como interface de gerenciamento ou conectada ao servidor externo. O firewall da Série SRX gerará relatório ou log de segurança de acordo com o tráfego de entrada.

A zona de segurança e a política de segurança padrão serão configuradas após a configuração da interface TAP. Você pode configurar outras zonas ou políticas, se necessário. Se uma interface for usada para conectar um servidor, o endereço IP, a interface de roteamento e a configuração de segurança também precisam ser configurados.

Nota:

Você pode configurar apenas uma interface TAP quando opera o dispositivo no modo TAP.

Exemplo: Configuração de zonas e políticas de segurança no modo TAP

Este exemplo mostra como configurar zonas de segurança e políticas quando o firewall da Série SRX é configurado no modo TAP (Terminal Access Point).

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um firewall da Série SRX

  • Versão Junos OS 19.1R1

Antes de começar:

Visão geral

Neste exemplo, você configura o firewall da Série SRX para operar no modo TAP. Quando você configura o firewall da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, inserir o commit a partir do modo de configuração.

Procedimento
Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar zonas no modo TAP:

  1. Configure a interface de tap-zone da zona de segurança.

  2. Configure o rastreamento de aplicativos da zona de segurança de zona de tap-zone.

  3. Configure a política de segurança que permite que o tráfego da zona de tap-zone até a política de zona de tap-zone toque e configure a condição da partida.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security zones comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação da configuração de políticas no modo TAP
Propósito

Verifique as informações sobre políticas de segurança.

Ação

A partir do modo operacional, entre no show security policies detail comando.

Significado

Exibe um resumo de todas as políticas de segurança configuradas no dispositivo no modo TAP.

Grupos de endereço dinâmicos em políticas de segurança

Adicionar entradas de endereço manualmente em uma política pode ser demorado. Existem fontes externas que fornecem listas de endereços IP que têm uma finalidade específica (como um blocklist) ou que têm um atributo comum (como um local ou comportamento específico que pode representar uma ameaça). Você pode usar a fonte externa para identificar fontes de ameaças por seu endereço IP e, em seguida, agrupar esses endereços em uma entrada dinâmica de endereço e fazer referência a essa entrada em uma política de segurança. Com isso, você pode controlar o tráfego de e para esses endereços. Cada um desses grupos de endereços IP é referido como uma entrada dinâmica de endereço.

Os seguintes tipos de endereços IP são suportados:

  • IP único. Por exemplo: 192.0.2.0

  • Faixa de IP. Por exemplo: 192.0.2.0- 192.0.2.10

  • CIDR. Por exemplo: 192.0.2.0/24

Cada entrada ocupa uma linha. A partir do Junos OS Release 19.3R1, as faixas de endereço IP não precisam ser classificadas em ordem crescente e o valor das entradas IP pode se sobrepor no mesmo arquivo de feed. Nas versões do Junos OS antes do 19.3R1, as faixas de endereço IP precisam ser classificadas em ordem crescente e o valor das entradas IP não pode se sobrepor no mesmo arquivo de feed.

Nota:

Uma entrada dinâmica de endereços é um grupo de endereços IP, não um único prefixo IP. Uma entrada dinâmica de endereços é diferente dos conceitos de endereços de segurança de livros de endereços e endereços de entrada.

A seguir, os benefícios da implantação de entradas dinâmicas de endereços em políticas de segurança:

  • O administrador de rede tem mais controle sobre o tráfego de e para grupos de endereços IP.

  • O servidor externo fornece feeds de endereço IP atualizados para o firewall da Série SRX.

  • Os esforços do administrador são drasticamente reduzidos. Por exemplo, em uma configuração de política de segurança legadas, adicionar 1000 entradas de endereço para uma política de referência exigiria cerca de 2000 linhas de configuração. Ao definir uma entrada dinâmica de endereço e referenciá-la em uma política de segurança, até milhões de entradas poderiam fluir para o firewall da Série SRX sem muito esforço de configuração adicional.

  • Nenhum processo de confirmação é necessário para adicionar novos endereços. Adicionar milhares de endereços a uma configuração por meio de um método legado leva muito tempo para ser comprometido. Alternativamente, os endereços IP em uma entrada dinâmica de endereço vêm de um feed externo, de modo que nenhum processo de confirmação é necessário quando os endereços em uma mudança de entrada.

A Figura 3 ilustra uma visão geral funcional de como funciona a entrada dinâmica de endereços em uma política de segurança.

Figura 3: Componentes funcionais da entrada dinâmica de endereços em uma política de Functional Components of the Dynamic Address Entry in a Security Policy segurança

Uma política de segurança faz referência à entrada dinâmica de endereços em um endereço de origem ou campo de endereço de destino (da mesma forma que uma política de segurança faz referência a uma entrada de endereço legado).

A Figura 4 ilustra uma política que usa uma entrada dinâmica de endereço no campo de endereço de destino.

Figura 4: Uma entrada dinâmica de endereço em uma política A Dynamic Address Entry in a Security Policy de segurança

Na Figura 4, a Política 1 usa o endereço de destino 10.10.1.1, que é uma entrada de endereço de segurança legado. A política 2 usa a lista de bloqueio do fornecedor de endereços de destino, que é uma entrada dinâmica de endereço indicada pelo administrador de rede. Seu conteúdo é a lista de endereços IP recuperados de um arquivo de feed externo. Os pacotes que correspondem a todos os cinco critérios (a zona a partir da zona nomeada como não confiável, o engenheiro indicado para A-zone, qualquer endereço de origem, um endereço IP de destino que pertence à entrada dinâmica de endereços de blocklist do Fornecedor e ao aplicativo de correio) são tratados de acordo com as ações de políticas, que são negar e registrar o pacote.

Nota:

Os nomes dinâmicos de entrada de endereço compartilham o mesmo espaço de nome que as entradas de endereço de segurança legadas, portanto, não use o mesmo nome para mais de uma entrada. O Junos OS confirma verifica se os nomes não são duplicados para evitar um conflito.

Grupos de endereços dinâmicos oferecem suporte aos seguintes feeds de dados:

  • Listas personalizadas (listas de permitidores e blocklists)

  • Geoip

Servidores de feed

  • Os servidores de feed contêm entradas dinâmicas de endereço em um arquivo de feed. Você pode criar feeds personalizados que podem ser locais ou remotos. Para criação de feeds personalizados, veja, Criando feeds personalizados

  • Configure o firewall da Série SRX para usar os feeds. Veja o servidor de feed para configurar o firewall da Série SRX.

Feeds de pacotes

Endereços IP, prefixos IP ou intervalos IP contidos em uma entrada dinâmica de endereço podem ser atualizados periodicamente baixando um feed externo. Os firewalls da Série SRX iniciam periodicamente uma conexão com o servidor de feed para baixar e atualizar as listas de IP que contêm os endereços dinâmicos atualizados.

A partir do Junos OS Release 19.3R1, você pode baixar um único arquivo tgz do servidor e extraí-lo em vários arquivos de feed infantil. Cada arquivo individual corresponde a um feed. Deixe que endereços dinâmicos individuais referenciem o feed dentro do arquivo do pacote. O arquivo de pacote reduz a sobrecarga da CPU quando muitos feeds são configurados, onde várias feeds infantis são compactadas em um arquivo .tgz

Os modos de feed do pacote a seguir são suportados:

Modo de arquivo

No modo de arquivo, você precisa comprimir todos os arquivos de feed para o firewall da Série SRX em um arquivo tgz. O firewall da Série SRX baixa este arquivo e extrai todos os feeds após a extração. Este processo é explicado abaixo:

  • Quando a url do servidor de feed é uma url de um arquivo com o sufixo .tgz em vez de url original de pasta, isso significa que este servidor usa um único arquivo para transportar todos os seus feeds para a implantação de endereço dinâmico da Série SRX. Neste caso, os feeds sob este servidor herdam o intervalo de atualização ou intervalo de espera do servidor. Qualquer configuração de usuário do intervalo de atualização ou intervalo de espera para este feed é ignorada.

  • Após essa mudança, siga as etapas abaixo para manter os feeds do servidor como exemplo abaixo.

    O exemplo abaixo mostra as etapas necessárias para manter os feeds do servidor:

    1. Coloque todos os arquivos de feed para o firewall da Série SRX sob a pasta feeds-4-srx

    2. Gere todos os arquivos de feed fd1 fd2 fd3 .. fdN na pasta feeds-4-srx

    3. Adicione ou remova as faixas de IP dos feeds

    4. Acesse os arquivos executando o seguinte comando: cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-

  • Após a Etapa 4, o feeds de arquivo-4-srx.tgz está pronto para download no firewall da Série SRX contendo a mesma pasta que contém o arquivo feeds-4-srx.tgz . Após o download, os arquivos extraídos são colocados na mesma pasta que feeds-4-srx.tgz. O exemplo a seguir mostra uma configuração samle em um firewall da Série SRX:

O parâmetro de caminho requer o caminho relativo do feed dentro do arquivo do pacote.

  • Se o arquivo tar -zxf feeds-4-srx.tgz gera uma pasta feeds-4-srx e esta pasta detém o arquivo de feed fd1, então use o seguinte comando para configurar o feed:

  • Se o arquivo tar -zxf alimenta-4-srx.tgz extrai diretamente o arquivo fd1 , use o seguinte comando para configurar o feed:

Modo de arquivo plano

O modo de arquivo plano oferece a simplicidade máxima para o usuário, introduzindo uma mudança de sintaxe no formato de arquivo de feed existente. O conteúdo de todos os arquivos de feed são compilados em um único arquivo, com .bundle como um sufixo. Isso permite que você gerencie um único arquivo. O firewall da Série SRX classifica as faixas de IP neste arquivo de pacote em inúmeros arquivos de feed. Você pode gzip este arquivo como .bundle.gz se você pode economizar alguma largura de banda para transmissão. Além do formato de arquivo definido anteriormente, uma tag de caso superior FEED: seguida pelo nome do feed é introduzida. As linhas abaixo desta tag são consideradas como faixas de IP pertencentes ao feed. Um exemplo do formato de arquivo é dado abaixo:

A configuração em um firewall da Série SRX é semelhante ao modo de arquivo e é dada abaixo:

A diferença entre o modo plano e o modo de arquivo é o sufixo do arquivo e o layout dentro do arquivo. Você pode selecionar o modo mais conveniente para você.

Como os arquivos de feed estão no formato de texto simples, gzip pode reduzir o tamanho do arquivo. Se um servidor e um firewall da Série SRX tiverem um link WAN entre eles, use um arquivo de tamanho menor para ser transmitido na rede, neste caso, gzip o arquivo do pacote e configure os seguintes comandos:

Suporte para servidores de feed para firewalls da Série SRX

Tabela 2:

Plataforma

Número máximo de servidores de feed

Número máximo de feeds

Número máximo de entradas de endereços dinâmicos

SRX300SRX320SRX340SRX345SRX550SRX550MSRX650

10

500

500

SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800firewallvirtual vSRX firewall virtual vSRX 3.0

100

5000

5000

SRX1500

40

2000

2000

Configure políticas de segurança para VXLAN

RESUMO Use este exemplo para configurar políticas de segurança para inspeção de túnel de EVPN (Ethernet VPN) LAN virtual extensível (VXLAN).

Requisitos

O suporte de VXLAN em firewalls da Série SRX oferece flexibilidade para trazer um firewall de nível empresarial para conectar pontos finais em seus ambientes de campus, data center, filiais e nuvem pública, ao mesmo tempo em que oferece segurança incorporada.

Este exemplo usa os seguintes componentes de hardware e software:

  • dispositivo SRX4600

  • Versão Junos OS 20.4R1

Antes de começar:

  • Certifique-se de entender como a EVPN e a VXLAN funcionam.

Visão geral

A solução EVPN oferece às grandes empresas uma estrutura comum usada para gerenciar suas redes de campus e data center. Uma arquitetura EVPN-VxLAN oferece suporte a conectividade de rede eficiente de Camada 2 e Camada 3 com escala, simplicidade e agilidade. A Figura 5 mostra uma topologia de fluxo de tráfego VXLAN simplificada.

Topologia

Figura 5: Topologia simplificada de fluxo de tráfego VXLAN

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o VXLAN:

  1. Definir zonas de segurança.

  2. Definir o perfil de inspeção de túnel.

  3. Definir políticas de sessão externas.

  4. Definir o conjunto de políticas.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o recurso em seu dispositivo, entre no commit modo de configuração.

Verificação

Verifique os perfis de inspeção de túneis e VNI

Propósito

Verifique se o perfil de inpecção do túnel e o VNI estão confugurados..

Ação

A partir do modo operacional, entre no show security tunnel-inspection profiles ins-pf1 e show security tunnel-inspection vnis comanda.

Significado

A saída exibe que o recurso VXLAN está habilitado e não há redirecionamentos de pesquisa seguros e reescritas de pesquisa seguras.

Verificar a função de pesquisa segura

Propósito

Verifique se o recurso de pesquisa segura está habilitado para soluções de filtragem da Web de segurança de conteúdo.

Ação

Do modo operacional, entre no Show security flow tunnel-inspection statistic comando para ver as estatísticas de inspeção de túnel.

Significado

A saída exibe que o recurso VXLAN está habilitado e não há redirecionamentos de pesquisa seguros e reescritas de pesquisa seguras.

Habilite políticas de segurança para a inspeção do túnel de fluxo de pacotes Geneve

RESUMO Use essa configuração para habilitar políticas de segurança no firewall virtual vSRX 3.0 para inspeção do túnel de fluxo de pacotes Geneve.

Com o suporte geneve em instâncias 3.0 de firewall virtual vSRX, você pode usar o vSRX3.0 para:

  • Conecte pontos finais em ambientes de campus, data center e nuvem pública e seus banches.

  • Proteja esses ambientes com segurança incorporada.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Firewall virtual vSRX 3.0

  • Versão Junos OS 23.1R1

Antes de começar:

  • Certifique-se de entender como funciona o protocolo Geneve.

Visão geral

O suporte de fluxo geneve em instâncias 3.0 do firewall virtual vSRX oferece às grandes empresas uma estrutura comum para gerenciar suas redes de campus e data center. A arquitetura baseada em Geneve oferece suporte à conectividade de rede eficiente de Camada 3 (L3) e Camada 4 (L4), garantindo escalabilidade, simplicidade e agilidade.

Usando esta configuração, você pode:

  • Habilite as políticas de segurança para processar os pacotes L3 encapsulados do túnel Geneve.

  • Crie perfis distintos para o tráfego Geneve com base na política de atributos TLV de VNI e fornecedor, uma vez anexada a um perfil de inspeção, determina o tipo de tráfego Geneve a ser processado e as políticas a serem aplicadas ao tráfego interno.

  • Configure a política de segurança regular no firewall virtual vSRX 3.0 para aplicar serviços L4 e L7 no tráfego interno.

Configuração (firewall virtual vSRX 3.0 como endpoint de túnel)

Topologia de fluxo de tráfego geneve simplificada com AWS GWLB e firewall virtual vSRX 3.0 como ponto final do túnel

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Nota:

Definir uma zona de confiança e não confiável para permitir todo o tráfego de host.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o suporte de fluxo Geneve para inspeção de túnel no firewall virtual vSRX 3.0:

  1. Definir uma zona de confiança e não confiável para permitir todo o tráfego de host sob a [edit security zones] hierarquia.

  2. Definir o tunnel-inspection perfil.

  3. Definir políticas de sessão externas para os pacotes externos e anexar o perfil de inspeção de túnel mencionado

    Nota:

    Na configuração de políticas, to-zone a política externa no caso do firewall virtual vSRX 3.0 como endpoint de túnel deve ser junos-host, que é uma zona incorporada (identificador reservado) para processar o tráfego.

  4. Definir uma política interna em análise policy-set para processar o pacote descapsulado.

  5. Configure a interface associada ao from-zone cliente de endpoint de túnel virtual (VTEPC) para receber os pacotes encapsulados por Geneve e os pacotes de verificação de integridade.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Após concluir a configuração do recurso em seu dispositivo, entre commit no modo de configuração.

Verificar o perfil de inspeção de túneis e VNI

Propósito

Verifique se você configurou o tunnel-inspection perfil e o identificador de rede VXLAN (VNI).

Ação

A partir do modo operacional, entre no show security tunnel-inspection profiles ti-vendor e show security tunnel-inspection vnis comanda.

Significado

A saída exibe que o perfil de inspeção de túnel geneve está habilitado e o identificador de rede VXLAN (VNI) está configurado.

Verificar o perfil de inspeção de túneis e VNI

Propósito

Verifique se você configurou o tunnel-inspection perfil e o identificador de rede VXLAN (VNI).

Ação

A partir do modo operacional, entre no show security tunnel-inspection profiles ti-vendor e show security tunnel-inspection vnis comanda.

Significado

A saída exibe que o perfil de inspeção de túnel geneve está habilitado e o identificador de rede VXLAN (VNI) está configurado.

Configuração (firewall virtual vSRX 3.0 como roteador de trânsito)

Topologia de fluxo de tráfego geneve simplificada firewall virtual vSRX 3.0 como roteador de trânsito

Neste modo de implantação, o cliente de endpoint de túnel virtual (vtepc) (endpoint de túnel Geneve) deve garantir que os pacotes destinados ao cliente e ao servidor passem pelo servidor de endpoint de túnel virtual (vteps) (firewall virtual vSRX 3.0). A porta de origem é selecionada pelo endpoint de túnel virtual (vtep).

Figura 6: Topologia simplificada do firewall virtual vSRX 3.0 como roteador Simplified Topology of vSRX Virtual Firewall 3.0 as Transit Router de trânsito

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o suporte de fluxo Geneve para inspeção de túnel no firewall virtual vSRX 3.0 (firewall virtual vSRX 3.0 como roteador de trânsito) :

  1. Definir uma zona de confiança e não confiável para permitir todo o tráfego de host sob a [edit security zones] hierarquia.

  2. Definir o tunnel-inspection perfil.

  3. Definir políticas de sessão externas.

    Nota:

    Para o firewall virtual vSRX 3.0 como roteador de trânsito, você precisa de duas políticas em cada direção. to-zone E from-zone são as respectivas zonas que devem ser definidas nas interfaces.

  4. Definir uma política interna em análise policy-set para processar o pacote descapsulado.

  5. Configure a interface associada ao from-zone cliente de endpoint de túnel virtual (VTEPC) para receber os pacotes encapsulados por Geneve e os pacotes de verificação de integridade.

    Nota:

    Em caso de modo de trânsito, o firewall virtual vSRX 3.0 deve ser configurado com duas interfaces L3 para entrada e saída.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Após concluir a configuração do recurso em seu dispositivo, entre commit no modo de configuração.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Lançamento
Descrição
17.3R1
Começando pelo Junos OS Release 17.3R1, o número de políticas de segurança e o número máximo de políticas por contexto para dispositivos de SRX5400, SRX5600 e SRX5800 aumenta de 80.000 para 100.000.
15,1X49-D120
Começando pelo Junos OS Release 15.1X49-D120, o número de objetos de endereço por política para SRX5400, SRX5600 e SRX5800 aumenta de 4096 para 16.000.
12,3X48-D15
Começando com o Junos OS Release 12.3X48-D15 e o Junos OS Release 17.3R1, o número máximo de objetos de endereço por política para dispositivos de SRX5400, SRX5600 e SRX5800 aumenta de 1024 para 4096, e o número máximo de políticas por contexto aumenta de 10240 para 80.000.
10.4
O suporte para endereços IPv6 em configurações ativas/ativas de cluster de chassi (além do suporte existente de configurações de cluster ativo/passivo do chassi) é adicionado no Junos OS Release 10.4.
10.2
O suporte para endereços IPv6 é adicionado no Junos OS Release 10.2.