Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de políticas de segurança

Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. O Junos OS permite configurar políticas de segurança. As políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall, e das ações que precisam ocorrer no tráfego à medida que passa pelo firewall.

Entender os elementos da política de segurança

Uma política de segurança é um conjunto de declarações que controla o tráfego de uma fonte especificada até um destino especificado usando um serviço especificado. Uma política permite, nega ou túneis especificados tipos de tráfego unidirecionalmente entre dois pontos.

Cada política consiste em:

  • Um nome único para a política.

  • A from-zone e um to-zone, por exemplo: user@host # set security policies from-zone untrust to-zone untrust

  • Um conjunto de critérios de correspondência definindo as condições que devem ser satisfeitas para aplicar a regra da política. Os critérios de correspondência são baseados em um endereço IP de origem, endereço IP de destino e aplicativos. O firewall de identidade do usuário oferece maior granularidade, incluindo uma tuple adicional, identidade de origem, como parte da declaração de política.

  • Um conjunto de ações a serem realizadas em caso de correspondência — permitir, negar ou rejeitar.

  • Elementos de contabilidade e auditoria — contagem, registro ou registro estruturado do sistema.

Se a Série SRX receber um pacote que corresponda a essas especificações, ele executará a ação especificada na política.

As políticas de segurança aplicam um conjunto de regras para o tráfego de trânsito, identificando qual tráfego pode passar pelo firewall e as ações tomadas no tráfego à medida que passa pelo firewall. As ações para o tráfego que correspondam aos critérios especificados incluem permissão, negação, rejeição, log ou contagem.

Para dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550M, uma política de segurança padrão de fábrica é fornecida para:

  • permite todo o tráfego da zona de confiança até a zona de confiança.

  • nega todo o tráfego desde a zona não confiável até a zona de confiança.

  • permite todo o tráfego da zona de confiança até a zona não confiável.

Entender as regras da política de segurança

A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto parafrom-zoneto-zone. Cada política é identificada exclusivamente pelo seu nome. O tráfego é classificado combinando suas zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.

Cada política está associada às seguintes características:

  • Uma zona de origem

  • Uma zona de destino

  • Um ou muitos nomes de endereços ou nomes de endereços de origem

  • Um ou muitos nomes de endereços de destino ou nomes de endereço

  • Um ou muitos nomes de aplicativos ou nomes de configuração de aplicativos

Essas características são chamadas de critérios de correspondência. Cada política também tem ações associadas a ela: permitir, negar, rejeitar, contar, registrar e túnel VPN. Você precisa especificar os argumentos de condição de correspondência quando configurar uma política, endereço de origem, endereço de destino e nome do aplicativo.

Você pode especificar para configurar uma política com endereços IPv4 ou IPv6 usando a entrada anydo wildcard. Quando o suporte de fluxo não está habilitado para tráfego IPv6, any corresponde a endereços IPv4. Quando o suporte de fluxo está habilitado para o tráfego IPv6, any corresponde a endereços IPv4 e IPv6. Para habilitar o encaminhamento baseado em fluxo para o tráfego IPv6, use o set security forwarding-options family inet6 mode flow-based comando. Você também pode especificar o wildcard any-ipv4 ou any-ipv6 para os critérios de correspondência de endereço de origem e destino para incluir apenas endereços IPv4 ou apenas IPv6, respectivamente.

Quando o suporte de fluxo para tráfego IPv6 é ativado, o número máximo de endereços IPv4 ou IPv6 que você pode configurar em uma política de segurança é baseado nos seguintes critérios de correspondência:

  • Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024

  • Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024

O motivo do Thr para os critérios de correspondência é que um endereço IPv6 usa quatro vezes o espaço de memória que um endereço IPv4 usa.

Nota:

Você só pode configurar uma política de segurança com endereços IPv6 se o suporte de fluxo para o tráfego IPv6 estiver habilitado no dispositivo.

Se você não quiser especificar um aplicativo específico, entre any como o aplicativo padrão. Para procurar os aplicativos padrão, a partir do modo de configuração, entre show groups junos-defaults | find applications (predefined applications). Por exemplo, se você não fornecer um nome de aplicativo, a política será instalada com o aplicativo como um wildcard (padrão). Portanto, qualquer tráfego de dados que corresponda ao restante dos parâmetros em uma determinada política corresponderia à política, independentemente do tipo de aplicativo do tráfego de dados.

Nota:

Se uma política for configurada com vários aplicativos, e mais de um dos aplicativos corresponder ao tráfego, o aplicativo que melhor atende aos critérios de correspondência é selecionado.

A ação da primeira política que o tráfego corresponde é aplicada ao pacote. Se não houver uma política de correspondência, o pacote será descartado. As políticas são pesquisadas de cima para baixo, por isso é uma boa ideia colocar políticas mais específicas perto do topo da lista. Você também deve colocar as políticas de túnel de VPN IPsec perto do topo. Coloque as políticas mais gerais, como uma que permitisse a determinados usuários acesso a todos os aplicativos da Internet, na parte inferior da lista. Por exemplo, coloque políticas de negação ou rejeição de todas no fundo, depois que todas as políticas específicas tiverem sido analisadas antes e o tráfego legítimo tiver sido permitido/contagem/logado.

Nota:

O suporte para endereços IPv6 é adicionado no Junos OS Release 10.2. O suporte para endereços IPv6 em configurações ativas/ativas de cluster de chassi (além do suporte existente de configurações de cluster de chassi ativo/passivo) é adicionado no Junos OS Release 10.4.

As políticas são analisadas durante o processamento de fluxo depois que filtros e telas de firewall foram processados e a pesquisa de rota foi concluída pela Unidade de Processamento de Serviços (SPU) (para dispositivos SRX5400, SRX5600 e SRX5800). A busca da política determina a interface de zona de destino, endereço de destino e saída.

Quando você está criando uma política, as seguintes regras de política se aplicam:

  • As políticas de segurança estão configuradas de uma from-zone forma a to-zone outra. Em uma direção de zona específica, cada política de segurança contém um nome, critérios de correspondência, uma ação e opções diversas.

  • O nome da política, critérios de correspondência e ação são necessários.

  • O nome da política é uma palavra-chave.

  • O endereço de origem nos critérios de correspondência é composto por um ou mais nomes de endereço ou nomes de endereços no from-zone.

  • O endereço de destino dos critérios de correspondência é composto por um ou mais nomes de endereço ou nomes de endereços no to-zone.

  • O nome do aplicativo nos critérios de correspondência é composto pelo nome de um ou mais aplicativos ou conjuntos de aplicativos.

  • Uma das seguintes ações é necessária: permitir, negar ou rejeitar.

  • Elementos de contabilidade e auditoria podem ser especificados: contagem e log.

  • Você pode habilitar o registro no final de uma sessão com o session-close comando ou no início da sessão com o session-init comando.

  • Quando o alarme de contagem for ativado, especifique os limiares de alarme em bytes por segundo ou kilobytes por minuto.

  • Você não pode especificar global como o from-zone ou a to-zone exceto em condições a seguir:

    Qualquer política configurada com a to-zone zona como global deve ter um único endereço de destino para indicar que o NAT estático ou o NAT recebido foram configurados na política.

  • Nos gateways de serviços da Série SRX, a opção de permissão de política com NAT é simplificada. Cada política indicará opcionalmente se permite a tradução do NAT, não permite a tradução do NAT ou não se importa.

  • Os nomes dos endereços não podem começar com os seguintes prefixos reservados. Estes são usados apenas para configuração de NAT de endereço:

    • static_nat_

    • incoming_nat_

    • junos_

  • Os nomes dos aplicativos não podem começar com o junos_ prefixo reservado.

Entender endereços de wildcard

Endereços de origem e destino são dois dos cinco critérios de correspondência que devem ser configurados em uma política de segurança. Agora, você pode configurar endereços de wildcard para os critérios de correspondência de endereço de origem e destino em uma política de segurança. Um endereço de wildcard é representado como A.B.C.D/máscara de cartão selvagem. A máscara de wildcard determina quais dos bits no endereço IP A.B.C.D devem ser ignorados pelos critérios de correspondência da política de segurança. Por exemplo, o endereço IP de origem 192.168.0.11/255.255.0.255 em uma política de segurança implica que os critérios de correspondência de políticas de segurança podem descartar o terceiro octet no endereço IP (representado simbolicamente como 192.168.*.11). Portanto, pacotes com endereços IP de origem, como 192.168.1.11 e 192.168.22.11 de acordo com os critérios de correspondência. No entanto, os pacotes com endereços IP de origem, como 192.168.0.1 e 192.168.1.21, não satisfazem os critérios de correspondência.

O uso de endereços de wildcard não está restrito apenas a octetes completos. Você pode configurar qualquer endereço de coringa. Por exemplo, o endereço do wildcard 192.168. 7.1/255.255.7.255 implica que você precisa ignorar apenas os primeiros 5 bits do terceiro octeto do endereço do wildcard enquanto faz a correspondência da política. Se o uso do endereço de wildcard estiver restrito apenas a octetes completos, então máscaras de wildcard com 0 ou 255 em cada um dos quatro octetes só serão permitidas.

Nota:

O primeiro octet da máscara de wildcard deve ser maior que 128. Por exemplo, uma máscara de wildcard representada como 0.255.0.255 ou 1.255.0.255 é inválida.

Uma política de segurança de wildcard é uma política de firewall simples que permite permitir, negar e rejeitar o tráfego que tenta atravessar de uma zona de segurança para outra. Você não deve configurar regras de política de segurança usando endereços de wildcard para serviços como o Gerenciamento Unificado de Ameaças (UTM).

Nota:

Apenas invasões e prevenção (IDP) para sessões IPv6 são compatíveis com todos os dispositivos SRX5400, SRX5600 e SRX5800. A UTM para sessões IPv6 não tem suporte. Se sua política de segurança atual usar regras com o wildcard de endereço IP e os recursos de UTM estiverem ativados, você encontrará erros de confirmação de configuração porque os recursos de UTM ainda não oferecem suporte a endereços IPv6. Para resolver os erros, modifique a regra que devolve o erro para que o wildcard ipv4 seja usado; e criar regras separadas para o tráfego IPv6 que não incluam recursos de UTM.

A configuração de políticas de segurança de wildcard em um dispositivo afeta o desempenho e o uso da memória com base no número de políticas de wildcard configuradas por contexto de zona a zona. Portanto, você só pode configurar um máximo de 480 políticas de wildcard para um contexto específico de zona a zona.

Entendendo as políticas de segurança para auto-tráfego

As políticas de segurança são configuradas nos dispositivos para aplicar serviços ao tráfego que flui pelo dispositivo. Por exemplo, as políticas de UAC e UTM estão configuradas para aplicar serviços ao tráfego transitório.

Tráfego autônomo ou host é o tráfego de entrada do host; ou seja, o tráfego que termina no dispositivo ou o tráfego de saída do host que é o tráfego originário do dispositivo. Agora, você pode configurar políticas para aplicar serviços no auto-tráfego. Serviços como o serviço de pilha de SSL que devem encerrar a conexão SSL de um dispositivo remoto e realizar algum processamento nesse tráfego, serviços IDP no tráfego de entrada de host ou criptografia IPsec no tráfego de saída do host devem ser aplicados por meio das políticas de segurança configuradas no tráfego autônomo.

Quando você configura uma política de segurança para auto-tráfego, o tráfego que flui pelo dispositivo é verificado primeiro contra a política e depois contra a opção host-inbound-traffic configurada para as interfaces vinculadas à zona.

Você pode configurar a política de segurança para auto-tráfego para aplicar serviços ao auto-tráfego. As políticas de saída do host funcionarão apenas nos casos em que o pacote que se originou no dispositivo host passar pelo fluxo e a interface de entrada deste pacote for definida para local.

As vantagens de usar o auto-tráfego são:

  • Você pode aproveitar a maior parte da política ou infraestrutura de fluxo existente usada para o tráfego de trânsito.

  • Você não precisa de um endereço IP separado para habilitar nenhum serviço.

  • Você pode aplicar serviços ou políticas a qualquer tráfego de entrada de host com o endereço IP de destino de qualquer interface no dispositivo.

Nota:

Você pode configurar a política de segurança para auto-tráfego apenas com serviços relevantes. Por exemplo, não é relevante configurar o serviço fwauth no tráfego de saída do host, e os serviços gprs-gtp não são relevantes para as políticas de segurança para auto-tráfego.

As políticas de segurança para o tráfego autônomo estão configuradas sob a nova zona de segurança padrão chamada junos-host zona. A zona junos-host fará parte da configuração padrão Junos, de modo que os usuários não possam excluí-la. As configurações de zona existentes, como interfaces, tela, tcp-rst e opções de tráfego de entrada de host não são significativas para a zona junos-host. Portanto, não há configuração dedicada para a zona junos-host.

Nota:

Você pode usar o tráfego de entrada de host para controlar as conexões recebidas em um dispositivo; no entanto, não restringe a saída do tráfego do dispositivo. Considerando que a zona junos-host permite que você selecione a aplicação escolhida e também restrinja o tráfego de saída. Por exemplo, serviços como NAT, IDP, UTM e assim por diante agora podem ser habilitados para o tráfego entrando ou saindo do dispositivo da Série SRX usando a zona junos-host.

Visão geral da configuração das políticas de segurança

Você deve completar as seguintes tarefas para criar uma política de segurança:

  1. Crie zonas. Veja exemplo: criação de zonas de segurança.

  2. Configure uma lista de endereços com endereços para a política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.

  3. Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.

  4. Crie a política. Veja exemplo: configurando uma política de segurança para permitir ou negar todo o tráfego, exemplo: configurando uma política de segurança para permitir ou negar tráfego selecionado, e Exemplo: configurando uma política de segurança para permitir ou negar o tráfego de endereços de wildcard.

  5. Crie agendadores se você planeja usá-los para suas políticas. Veja exemplo: configurar agendadores para uma programação diária, exceto um dia.

O Firewall Policy Wizard permite que você execute a configuração básica de políticas de segurança. Para configuração mais avançada, use a interface J-Web ou a CLI.

Melhores práticas para definir políticas em dispositivos da Série SRX

Uma rede segura é vital para uma empresa. Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto (de zona a zona) e cada política é identificada exclusivamente pelo seu nome. O tráfego é classificado combinando as zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.

A Tabela 1 fornece as limitações de política para SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, e dispositivos SRX5800. O suporte à plataforma depende da versão do Junos OS em sua instalação.

Nota:

Começando com o Junos OS Release 12.3X48-D15 e Junos OS Release 17.3R1, o número máximo de objetos de endereço por política para dispositivos SRX5400, SRX5600 e SRX5800 aumenta de 1024 para 4096, e o número máximo de políticas por contexto aumenta de 10240 para 80.000.

Começando com o Junos OS Release 17.3R1, o número de políticas de segurança e o número máximo de políticas por contexto para dispositivos SRX5400, SRX5600 e SRX5800 aumenta de 80.000 para 100.000.

Começando com o Junos OS Release 15.1X49-D120, o número de objetos de endereço por política para SRX5400, SRX5600 e SRX5800 aumenta de 4096 para 16.000.

Tabela 1: Limitações de política para dispositivos da Série SRX

Dispositivos da Série SRX

Endereçar objetos

Objetos de aplicativo

Políticas de segurança

Contextos de políticas (pares de zona)

Políticas por contexto

Políticas com a contagem ativada

SRX300SRX320

2048

128

1024

256

1024

256

SRX340

2048

128

2048

512

2048

256

SRX345

2048

128

4096

1024

4096

256

SRX380

2048

128

4096

1024

4096

256

SRX550SRX650

1024

128

10240

2048

10240

1024

SRX550M

2048

128

10240

2048

10240

1024

SRX1400SRX1500

1024

3072

16000

4096

16000

1024

SRX3400SRX3600

4096

3072

40000

4096

40000

1024

SRX4100

1024

3072

60000

4096

60000

1024

SRX4200

1024

3072

60000

4096

60000

1024

SRX4600

4096

3072

80000

8192

80000

1024

SRX5400SRX5600 SRX5800

16000

3072

100000

8192

100000

1024

Portanto, conforme você aumenta o número de endereços e aplicativos em cada regra, a quantidade de memória usada pela definição de política aumenta, e às vezes o sistema fica sem memória com menos de 80.000 políticas.

Para obter a utilização real da memória de uma política no Mecanismo de Encaminhamento de Pacotes (PFE) e no Mecanismo de Roteamento (RE), você precisa levar em consideração vários componentes da árvore de memória. A árvore de memória inclui os dois componentes a seguir:

  • Contexto da política — usado para organizar todas as políticas neste contexto. O contexto da política inclui variáveis como zonas de origem e destino.

  • Entidade de políticas— Costumava reter os dados da política. A entidade da política calcula a memória usando parâmetros como nome de política, endereços IP, contagem de endereços, aplicativos, autenticação de firewall, WebAuth, IPsec, contagem, serviços de aplicativos e Junos Services Framework (JSF).

Além disso, as estruturas de dados usadas para armazenar políticas, conjuntos de regras e outros componentes usam memória diferente no Mecanismo de Encaminhamento de Pacotes e no Mecanismo de Roteamento. Por exemplo, os nomes de endereço para cada endereço na política são armazenados no Mecanismo de Roteamento, mas nenhuma memória é alocada no nível do Mecanismo de Encaminhamento de Pacotes. Da mesma forma, as faixas de porta são expandidas para pares de prefixo e máscara e são armazenadas no Mecanismo de Encaminhamento de Pacotes, mas essa memória não é alocada no Mecanismo de Roteamento.

Assim, dependendo da configuração da política, os contribuintes de políticas para o Mecanismo de Roteamento são diferentes dos do Mecanismo de Encaminhamento de Pacotes, e a memória é alocada dinamicamente.

A memória também é consumida pelo estado de "exclusão adiada". No estado de exclusão adiado, quando um dispositivo da Série SRX aplica uma mudança de política, há um pico transitório de uso pelo qual as políticas antigas e novas estão presentes. Por isso, por um breve período, existem políticas antigas e novas no Mecanismo de Encaminhamento de Pacotes, ocupando o dobro dos requisitos de memória.

Portanto, não há uma maneira definitiva de inferir claramente quanta memória é usada por componentes (Mecanismo de encaminhamento de pacotes ou mecanismo de roteamento) em um determinado momento, porque os requisitos de memória dependem de configurações específicas de políticas, e a memória é alocada dinamicamente.

As seguintes melhores práticas para a implementação de políticas permitem que você use melhor a memória do sistema e otimize a configuração de políticas:

  • Use prefixos únicos para endereços de origem e destino. Por exemplo, em vez de usar /32 endereços e adicionar cada endereço separadamente, use uma grande sub-rede que cobre a maioria dos endereços IP que você precisa.

  • Use o aplicativo "qualquer" sempre que possível. Cada vez que você define um aplicativo individual na política, você pode usar mais 52 bytes.

  • Use menos endereços IPv6 porque os endereços IPv6 consomem mais memória.

  • Use menos pares de zona nas configurações de políticas. Cada zona de origem ou destino usa cerca de 16.048 bytes de memória.

  • Os parâmetros a seguir podem mudar a forma como a memória é consumida pelos bytes conforme especificado:

    • Autenticação de firewall — cerca de 16 bytes ou mais (sem fixação)

    • Autenticação da Web — cerca de 16 bytes ou mais (nãofixados)

    • Bytes IPsec-12

    • Serviços de aplicativos – 28 bytes

    • Bytes de contagem a 64

  • Verifique a utilização da memória antes e depois da compilação de políticas.

    Nota:

    O requisito de memória para cada dispositivo é diferente. Alguns dispositivos oferecem suporte a 512.000 sessões por padrão, e a memória de inicialização geralmente está em 72 a 73%. Outros dispositivos podem ter até 1 milhão de sessões e a memória de inicialização pode ser de até 83 a 84%. No pior cenário, para oferecer suporte a cerca de 80.000 políticas na SPU, a SPU deve inicializar com um consumo de memória de kernel fluído de até 82% e com pelo menos 170 megabytes de memória disponíveis.

Configuração de políticas usando o assistente de firewall

O Assistente de Política de Firewall permite que você realize configurações básicas de políticas de segurança em dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550M. Para configuração mais avançada, use a interface J-Web ou a CLI.

Para configurar políticas usando o Firewall Policy Wizard:

  1. Selecione Configure>Tasks>Configure FW Policy na interface J-Web.
  2. Clique no botão Assistente de política de firewall de lançamento para lançar o assistente.
  3. Siga as solicitações no assistente.

A área superior esquerda da página do assistente mostra onde você está no processo de configuração. A área inferior esquerda da página mostra ajuda sensível ao campo. Ao clicar em um link no título Recursos, o documento é aberto em seu navegador. Se o documento for aberto em uma nova guia, certifique-se de fechar apenas a guia (e não a janela do navegador) quando você fechar o documento.

Exemplo: configurar uma política de segurança para permitir ou negar todo o tráfego

Este exemplo mostra como configurar uma política de segurança para permitir ou negar todo o tráfego.

Requisitos

Antes de começar:

Visão geral

No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura as interfaces de confiança e não confiáveis, ge-0/0/2 e ge-0/0/1. Veja a Figura 1.

Figura 1: Permitir todo o tráfego Permitting All Traffic

Este exemplo de configuração mostra como:

  • Permita ou negue todo o tráfego da zona de confiança até a zona não confiável, mas bloqueie tudo, desde a zona não confiável até a zona de confiança.

  • Permita ou negue o tráfego selecionado de um host na zona de confiança para um servidor na zona não confiável em um determinado momento.

Topologia

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política de segurança para permitir ou negar todo o tráfego:

  1. Configure as interfaces e as zonas de segurança.

  2. Crie a política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.

  3. Crie a política de segurança para negar o tráfego da zona não confiável para a zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security zones comandosshow security policies. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Nota:

O exemplo de configuração é uma permissão padrão da zona de confiança até a zona não confiável.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração de políticas

Propósito

Verifique as informações sobre políticas de segurança.

Ação

A partir do modo operacional, entre no show security policies detail comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.

Significado

A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:

  • De e para zonas

  • Endereços de origem e destino

  • Critérios de correspondência

Exemplo: configurar uma política de segurança para permitir ou negar tráfego selecionado

Este exemplo mostra como configurar uma política de segurança para permitir ou negar tráfego selecionado.

Requisitos

Antes de começar:

Visão geral

No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma política de segurança específica para permitir apenas tráfego de e-mail de um host na zona de confiança para um servidor na zona não confiável. Nenhum outro tráfego é permitido. Veja a Figura 2.

Figura 2: Permitir tráfego selecionado Permitting Selected Traffic

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política de segurança para permitir o tráfego selecionado:

  1. Configure as interfaces e as zonas de segurança.

  2. Crie entradas de livros de endereços para o cliente e o servidor. Além disso, anexe zonas de segurança aos livros de endereços.

  3. Defina a política para permitir o tráfego de correio.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security zones comandosshow security policies. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração de políticas

Propósito

Verifique as informações sobre políticas de segurança.

Ação

A partir do modo operacional, entre no show security policies detail comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.

Significado

A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:

  • De e para zonas

  • Endereços de origem e destino

  • Critérios de correspondência

Exemplo: configurar uma política de segurança para permitir ou negar o tráfego de endereços de wildcard

Este exemplo mostra como configurar uma política de segurança para permitir ou negar o tráfego de endereços de wildcard.

Requisitos

Antes de começar:

Visão geral

No sistema operacional Junos OS (Junos OS), as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma segurança específica para permitir apenas tráfego de endereços de wildcard de um host na zona de confiança até a zona não confiável. Nenhum outro tráfego é permitido.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Configurar uma política de segurança para permitir o tráfego selecionado:

  1. Configure as interfaces e as zonas de segurança.

  2. Crie uma entrada de livro de endereços para o host e anexe o livro de endereços a uma zona.

  3. Defina a política para permitir o tráfego de endereços de wildcard.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security zones comandosshow security policies. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração de políticas

Propósito

Verifique as informações sobre políticas de segurança.

Ação

A partir do modo operacional, entre no show security policies policy-name permit-wildcard detail comando para exibir detalhes sobre a política de segurança do wildcard de permissão configurada no dispositivo.

Significado

A saída exibe informações sobre a política de wildcard de permissão configurada no sistema. Verifique as seguintes informações:

  • De e para zonas

  • Endereços de origem e destino

  • Critérios de correspondência

Exemplo: configurar uma política de segurança para redirecionar logs de tráfego para um servidor de log externo do sistema

Este exemplo mostra como configurar uma política de segurança para enviar logs de tráfego gerados no dispositivo para um servidor de log externo do sistema.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um cliente conectado a um dispositivo SRX5600 na interface ge-4/0/5

  • Um servidor conectado ao dispositivo SRX5600 na interface ge-4/0/1

    Os logs gerados no dispositivo SRX5600 são armazenados em um servidor de log de sistema baseado em Linux.

  • Um dispositivo SRX5600 conectado ao servidor baseado em Linux na interface ge-4/0/4

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você configura uma política de segurança no dispositivo SRX5600 para enviar logs de tráfego, gerados pelo dispositivo durante a transmissão de dados, para um servidor baseado em Linux. Os registros de tráfego registram detalhes de cada sessão. Os logs são gerados durante o estabelecimento da sessão e o encerramento entre a origem e o dispositivo de destino que estão conectados ao dispositivo SRX5600.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar uma política de segurança para enviar logs de tráfego para um servidor de log externo do sistema:

  1. Configure logs de segurança para transferir logs de tráfego gerados no dispositivo SRX5600 para um servidor de log de sistema externo com o endereço IP 203.0.113.2. O endereço IP 127.0.0.1 é o endereço loopback do dispositivo SRX5600.

  2. Configure uma zona de segurança e especifique os tipos de tráfego e protocolos permitidos na interface ge-4/0/5.0 do dispositivo SRX5600.

  3. Configure outra zona de segurança e especifique os tipos de tráfego permitidos nas interfaces ge-4/0/4.0 e ge-4/0/1.0 do dispositivo SRX5600.

  4. Crie uma política e especifique os critérios de correspondência para essa política. Os critérios de correspondência especificam que o dispositivo pode permitir tráfego de qualquer fonte, até qualquer destino e em qualquer aplicativo.

  5. Habilite a política para registrar detalhes do tráfego no início e no final da sessão.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security log comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Zonas de verificação

Propósito

Verifique se a zona de segurança está ativada ou não.

Ação

A partir do modo operacional, entre no show security zones comando.

Verificação de políticas

Propósito

Verifique se a política está funcionando.

Ação

A partir do modo operacional, entre no show security policies comando em todos os dispositivos.

Modo TAP para zonas e políticas de segurança

O modo de ponto de acesso terminal (TAP) para zonas de segurança e política permite que você monitore passivamente os fluxos de tráfego em uma rede por meio de um SPAN de switch ou porta espelho.

Entender o suporte ao modo TAP para zonas e políticas de segurança

O modo ponto de acesso terminal (TAP) é um dispositivo de espera, que verifica o tráfego espelhado através do switch. Se as zonas e políticas de segurança forem configuradas, o modo TAP inspeciona o tráfego de entrada e saída configurando a interface TAP e gerando um relatório de registro de segurança para exibir o número de ameaças detectadas e o uso do usuário. Se algum pacote se perder na interface de toque, as zonas e políticas de segurança terminam a conexão, como resultado nenhum relatório gera para essa conexão. A configuração da zona de segurança e da política permanece a mesma do modo não-TAP.

Quando você configura um dispositivo da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário. Quando o dispositivo está configurado para operar no modo TAP, o dispositivo da Série SRX recebe pacotes apenas da interface TAP configurada. Exceto a interface TAP configurada, outra interface está configurada para uma interface normal que é usada como interface de gerenciamento ou conectada ao servidor externo. O dispositivo da Série SRX gerará relatório ou registro de segurança de acordo com o tráfego que está chegando.

A zona de segurança e a política de segurança padrão serão configuradas após a configuração da interface TAP. Você pode configurar outras zonas ou políticas, se necessário. Se uma interface for usada para conectar um servidor, o endereço IP, a interface de roteamento e a configuração de segurança também precisam ser configurados.

Nota:

Você só pode configurar uma interface TAP quando opera o dispositivo no modo TAP.

Exemplo: configurar zonas de segurança e políticas no modo TAP

Este exemplo mostra como configurar zonas de segurança e políticas quando o dispositivo SRX está configurado no modo TAP (Ponto de acesso terminal).

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um dispositivo da Série SRX

  • Versão do Junos OS 19.1R1

Antes de começar:

Visão geral

Neste exemplo, você configura o dispositivo da Série SRX para operar no modo TAP. Quando você configura o dispositivo da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no modo de configuração.

Procedimento
Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar zonas no modo TAP:

  1. Configure a interface de tap-zone da zona de segurança.

  2. Configure o rastreamento de aplicativos da zona de segurança tap-zone.

  3. Configure uma política de segurança que permita que o tráfego da zona de tap-zone até a política de zona de tap-zone toque e configure a condição de correspondência.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security policies comandosshow security zones. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação da configuração de políticas no modo TAP
Propósito

Verifique as informações sobre políticas de segurança.

Ação

A partir do modo operacional, entre no show security policies detail comando.

Significado

Exibe um resumo de todas as políticas de segurança configuradas no dispositivo no modo TAP.

Grupos de endereço dinâmicos em políticas de segurança

Adicionar entradas de endereço manualmente em uma política pode ser demorado. Existem fontes externas que fornecem listas de endereços IP que têm uma finalidade específica (como um blocklist) ou que têm um atributo comum (como um local ou comportamento específico que pode representar uma ameaça). Você pode usar a fonte externa para identificar fontes de ameaças pelo endereço IP e, em seguida, agrupar esses endereços em uma entrada de endereço dinâmica e fazer referência a essa entrada em uma política de segurança. Assim, você pode controlar o tráfego de e para esses endereços. Cada grupo de endereços IP é referido como uma entrada dinâmica de endereço.

Os seguintes tipos de endereços IP são suportados:

  • IP único. Por exemplo: 192.0.2.0

  • Faixa de IP. Por exemplo: 192.0.2.0- 192.0.2.10

  • CIDR. Por exemplo: 192.0.2.0/24

Cada entrada ocupa uma linha. A partir do Junos OS Release 19.3R1, as faixas de endereço IP não precisam ser classificadas em ordem ascendente e o valor das entradas de IP pode se sobrepor no mesmo arquivo de feed. Nas versões do Junos OS antes do 19.3R1, as faixas de endereço IP precisam ser classificadas em ordem ascendente e o valor das entradas de IP não pode se sobrepor ao mesmo arquivo de feed.

Nota:

Uma entrada de endereço dinâmico é um grupo de endereços IP, e não um único prefixo IP. Uma entrada dinâmica de endereço é diferente dos conceitos de endereços de segurança de livros de endereços e endereços de entrada.

A seguir, os benefícios da implantação de entradas dinâmicas de endereço em políticas de segurança:

  • O administrador de rede tem mais controle sobre o tráfego de e para grupos de endereços IP.

  • O servidor externo fornece feeds de endereço IP atualizados para o dispositivo da Série SRX.

  • Os esforços do administrador são drasticamente reduzidos. Por exemplo, em uma configuração de política de segurança antiga, adicionar 1000 entradas de endereço para uma política de referência exigiria algumas 2.000 linhas de configuração. Ao definir uma entrada de endereço dinâmica e referenciá-la em uma política de segurança, até milhões de entradas poderiam fluir para o dispositivo da Série SRX sem muito esforço de configuração adicional.

  • Nenhum processo de confirmação é necessário para adicionar novos endereços. Adicionar milhares de endereços a uma configuração por meio de um método legado leva muito tempo para ser comprometido. Alternativamente, os endereços IP em uma entrada de endereço dinâmico vêm de um feed externo, de modo que nenhum processo de confirmação é necessário quando os endereços em uma mudança de entrada.

A Figura 3 ilustra uma visão geral funcional de como funciona a entrada dinâmica de endereços em uma política de segurança.

Figura 3: Componentes funcionais da entrada dinâmica de endereço em uma política Functional Components of the Dynamic Address Entry in a Security Policy de segurança

Uma política de segurança faz referência à entrada dinâmica de endereço em um campo de endereço de origem ou destino (da mesma forma que uma política de segurança faz referência a uma entrada de endereço legado).

A Figura 4 ilustra uma política que usa uma entrada de endereço dinâmica no campo de endereço de destino.

Figura 4: uma entrada dinâmica de endereço em uma política de A Dynamic Address Entry in a Security Policy segurança

Na Figura 4, a Política 1 usa o endereço de destino 10.10.1.1, que é uma entrada de endereço de segurança legado. A política 2 usa o endereço de destino Lista de bloqueio do fornecedor, que é uma entrada de endereço dinâmica indicada pelo administrador de rede. Seu conteúdo é a lista de endereços IP recuperados de um arquivo de feed externo. Os pacotes que correspondem a todos os cinco critérios (a zona de entrada nomeada como não confiável, o engenheiro de zona to-zone, qualquer endereço de origem, um endereço IP de destino que pertence à entrada de endereço dinâmico da lista de blocos do Fornecedor e o aplicativo de e-mail) são tratados de acordo com as ações políticas, que são negar e registrar o pacote.

Nota:

Os nomes de entrada de endereço dinâmico compartilham o mesmo espaço de nome que as entradas de endereço de segurança legado, de modo que não use o mesmo nome para mais de uma entrada. O Junos OS confirma verificações de processo de que os nomes não são duplicados para evitar um conflito.

Grupos de endereço dinâmicos oferecem suporte aos seguintes feeds de dados:

  • Listas personalizadas (permite listas e blocklists)

  • Geoip

  • Servidores de feed

Feeds de pacotes

Endereços IP, prefixos IP ou faixas de IP contidos em uma entrada de endereço dinâmico podem ser atualizados periodicamente baixando um feed externo. Os dispositivos da Série SRX iniciam periodicamente uma conexão ao servidor de feed para baixar e atualizar as listas de IP que contêm os endereços dinâmicos atualizados.

Começando no Junos OS Release 19.3R1, você pode baixar um único arquivo tgz do servidor e extraí-lo em vários arquivos de feed infantil. Cada arquivo individual corresponde a um feed. Deixe que endereços dinâmicos individuais referenciem o feed dentro do arquivo do pacote. O arquivo de pacote reduz a sobrecarga da CPU quando muitos feeds são configurados, onde várias alimentações infantis são compactadas em um arquivo .tgz

Os seguintes modos de feed de pacotes são suportados:

Modo de arquivo

No modo de arquivo, você precisa comprimir todos os arquivos de feed para o dispositivo da Série SRX em um arquivo tgz. O dispositivo da Série SRX baixa este arquivo e extrai todos os feeds após a extração. Este processo é explicado abaixo:

  • Quando o url do servidor de feed é um url de um arquivo com o suffix .tgz em vez de url original de pasta, isso significa que este servidor usa um único arquivo para transportar todos os seus feeds para a implantação de endereço dinâmico da Série SRX. Nesse caso, os feeds neste servidor herdam o intervalo de atualização ou intervalo de espera do servidor. Qualquer configuração do usuário do intervalo de atualização ou intervalo de espera para este feed é ignorada.

  • Após essa mudança, siga as etapas abaixo para manter feeds de servidor como exemplo abaixo.

    O exemplo abaixo mostra as etapas necessárias para manter os feeds do servidor:

    1. Coloque todos os arquivos de feed para o dispositivo da Série SRX sob os feeds da pasta-4-srx

    2. Gere todos os arquivos de feed fd1 fd2 fd3 .. fdN na pasta feeds-4-srx

    3. Adicione ou remova as faixas de IP dos feeds

    4. Acesse os arquivos executando o seguinte comando: cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-

  • Após a Etapa 4, o feed de arquivo-4-srx.tgz está pronto para download no dispositivo da Série SRX contendo a mesma pasta que contém o arquivo feeds-4-srx.tgz . Após o download, os arquivos extraídos são colocados na mesma pasta que feeds-4-srx.tgz. O exemplo a seguir mostra uma configuração samle em um dispositivo da Série SRX:

O parâmetro de caminho requer o caminho relativo do feed dentro do arquivo do pacote.

  • Se o arquivo tar-zxf alimenta-4-srx.tgz gerar um feed de pasta-4-srx e esta pasta mantiver o arquivo de feed fd1, use o seguinte comando para configurar o feed:

  • Se o arquivo tar -zxf alimenta-4-srx.tgz extrai o arquivo fd1 diretamente, use o seguinte comando para configurar o feed:

Modo de arquivo plano

O modo de arquivo plano oferece simplicidade final para o usuário, introduzindo uma mudança de sintaxe no formato de arquivo de feed existente. O conteúdo de todos os arquivos de feed são compilados em um único arquivo, com .bundle como umuffix. Isso permite que você gerencie um único arquivo. O dispositivo da Série SRX classifica as faixas de IP neste arquivo de pacote em vários arquivos de feed. Você pode gzip este arquivo como .bundle.gz se você puder salvar alguma largura de banda para transmissão. Além do formato de arquivo definido anteriormente, um FEED de tag de caso superior : seguido pelo nome do feed é introduzido. As linhas abaixo desta tag são consideradas como faixas de IP pertencentes ao feed. Abaixo, um exemplo do formato do arquivo é dado:

A configuração em um dispositivo da Série SRX é semelhante ao modo de arquivo e é fornecida abaixo:

A diferença entre o modo plano e o modo de arquivo é ouffix do arquivo e o layout dentro do arquivo. Você pode selecionar o modo mais conveniente para você.

Como os arquivos de feed estão no formato plaintext, o gzip pode reduzir o tamanho do arquivo. Se um servidor e um dispositivo da Série SRX tiverem um enlace WAN entre eles, use um arquivo de tamanho menor para ser transmitido na rede, neste caso, gzip o arquivo do pacote e configure os seguintes comandos:

Suporte para servidor de feed para dispositivos da Série SRX

Tabela 2:

Plataforma

Número máximo de servidores de feed

Número máximo de feeds

Número máximo de entradas de endereços dinâmicos

SRX300SRX320SRX340SRX345SRX550SRX550MSRX650

10

500

500

SRX4100SRX4200SRX4600SRX5400SRX5600SRX5800vSRXvSRX 3.0

100

5000

5000

SRX1500

40

2000

2000

Configure políticas de segurança para VXLAN

RESUMO Use este exemplo para configurar políticas de segurança para inspeção de túnel EVPN (Ethernet VPN) DE LAN Virtual Extensível (VXLAN).

Requisitos

O suporte de VXLAN em dispositivos da série SRX oferece a flexibilidade de trazer um firewall de nível empresarial para conectar pontos finais em seus ambientes de campus, data center, filiais e nuvem pública, ao mesmo tempo em que fornece segurança integrada.

Este exemplo usa os seguintes componentes de hardware e software:

  • Dispositivo SRX4600

  • Versão do Junos OS 20.4R1

Antes de começar:

  • Certifique-se de entender como a EVPN e a VXLAN funcionam.

Visão geral

A solução EVPN oferece às grandes empresas uma estrutura comum usada para gerenciar suas redes de campus e data center. Uma arquitetura EVPN-VxLAN oferece suporte a conectividade eficiente de rede de Camada 2 e Camada 3 com escala, simplicidade e agilidade. A Figura 5 mostra uma topologia de fluxo de tráfego VXLAN simplificada.

Topologia

Figura 5: Topologia simplificada de fluxo de tráfego VXLAN

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o VXLAN:

  1. Definir zonas de segurança.

  2. Definir o perfil de inspeção de túneis.

  3. Definir políticas de sessão externas.

  4. Definir o conjunto de políticas.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o recurso em seu dispositivo, entre no commit modo de configuração.

Verificação

Verificar perfis de inspeção de túneis e VNI

Propósito

Verifique se o perfil de inpecção do túnel e o VNI estão confugurados..

Ação

A partir do modo operacional, entre no e show security tunnel-inspection vnis nos show security tunnel-inspection profiles ins-pf1 comandos.

Significado

A saída mostra que o recurso VXLAN está habilitado e não há redirecionamentos de busca seguros e reescritos de busca segura.

Verificar a função de pesquisa segura

Propósito

Verifique se o recurso de pesquisa segura está habilitado para soluções de filtragem de Web utm.

Ação

Do modo operacional, entre no Show security flow tunnel-inspection statistic comando para ver as estatísticas de inspeção de túneis.

Significado

A saída mostra que o recurso VXLAN está habilitado e não há redirecionamentos de busca seguros e reescritos de busca segura.

Tabela de histórico de lançamento
Lançamento
Descrição
17.3R1
Começando com o Junos OS Release 17.3R1, o número de políticas de segurança e o número máximo de políticas por contexto para dispositivos SRX5400, SRX5600 e SRX5800 aumenta de 80.000 para 100.000.
15,1X49-D120
Começando com o Junos OS Release 15.1X49-D120, o número de objetos de endereço por política para SRX5400, SRX5600 e SRX5800 aumenta de 4096 para 16.000.
12,3X48-D15
Começando com o Junos OS Release 12.3X48-D15 e Junos OS Release 17.3R1, o número máximo de objetos de endereço por política para dispositivos SRX5400, SRX5600 e SRX5800 aumenta de 1024 para 4096, e o número máximo de políticas por contexto aumenta de 10240 para 80.000.
10.4
O suporte para endereços IPv6 em configurações ativas/ativas de cluster de chassi (além do suporte existente de configurações de cluster de chassi ativo/passivo) é adicionado no Junos OS Release 10.4.
10.2
O suporte para endereços IPv6 é adicionado no Junos OS Release 10.2.