NESTA PÁGINA
Serviços de sistema suportados para tráfego de entrada de host
Entender como controlar o tráfego de entrada com base em tipos de tráfego
Exemplo: controle do tráfego de entrada com base em tipos de tráfego
Entender como controlar o tráfego de entrada com base em protocolos
Exemplo: controle do tráfego de entrada com base em protocolos
Zonas de segurança
Uma zona de segurança é uma coleção de um ou mais segmentos de rede que exigem a regulamentação do tráfego de entrada e saída por meio de políticas. Zonas de segurança são entidades lógicas para as quais uma ou mais interfaces estão vinculadas. Você pode definir várias zonas de segurança, o número exato do qual você determina com base nas suas necessidades de rede.
Visão geral das zonas de segurança
As interfaces atuam como uma porta pela qual o tráfego entra e sai de um dispositivo da Juniper Networks. Muitas interfaces podem compartilhar exatamente os mesmos requisitos de segurança; no entanto, diferentes interfaces também podem ter diferentes requisitos de segurança para pacotes de dados de entrada e saída. Interfaces com requisitos de segurança idênticos podem ser agrupadas em uma única zona de segurança.
Uma zona de segurança é uma coleção de um ou mais segmentos de rede que exigem a regulamentação do tráfego de entrada e saída por meio de políticas.
Zonas de segurança são entidades lógicas para as quais uma ou mais interfaces estão vinculadas. Com muitos tipos de dispositivos juniper networks, você pode definir várias zonas de segurança, o número exato dos quais você determina com base nas suas necessidades de rede.
Em um único dispositivo, você pode configurar várias zonas de segurança, dividindo a rede em segmentos aos quais você pode aplicar várias opções de segurança para satisfazer as necessidades de cada segmento. No mínimo, você deve definir duas zonas de segurança, basicamente para proteger uma área da rede da outra. Em algumas plataformas de segurança, você pode definir muitas zonas de segurança, trazendo granularidade mais fina ao projeto de segurança de sua rede — e sem implantar vários dispositivos de segurança para isso.
Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai em outra zona de segurança. Essa combinação de um from-zone
e um to-zone
é definida como um contexto. Cada contexto contém uma lista ordenada de políticas. Para obter mais informações sobre políticas, veja a visão geral das políticas de segurança.
Este tópico inclui as seguintes seções:
- Entendendo as interfaces de zona de segurança
- Entendendo zonas funcionais
- Entendendo as zonas de segurança
Entendendo as interfaces de zona de segurança
Uma interface para uma zona de segurança pode ser considerada como uma porta pela qual o tráfego TCP/IP pode passar entre essa zona e qualquer outra zona.
Através das políticas que você define, você pode permitir que o tráfego entre zonas flua em uma direção ou em ambas. Com as rotas que você define, você especifica as interfaces que o tráfego de uma zona para outra deve usar. Como você pode vincular várias interfaces a uma zona, as rotas que você mapeia são importantes para direcionar o tráfego para as interfaces de sua escolha.
Uma interface pode ser configurada com um endereço IPv4, endereço IPv6 ou ambos.
Entendendo zonas funcionais
Uma zona funcional é usada para fins especiais, como interfaces de gerenciamento. Atualmente, apenas a zona de gerenciamento (MGT) é suportada. As zonas de gerenciamento têm as seguintes propriedades:
As zonas de gerenciamento hospedam interfaces de gerenciamento.
A entrada de tráfego em zonas de gerenciamento não corresponde a políticas; portanto, o tráfego não pode transitar para fora de qualquer outra interface se ele foi recebido na interface de gerenciamento.
As zonas de gerenciamento só podem ser usadas para interfaces de gerenciamento dedicadas.
Entendendo as zonas de segurança
As zonas de segurança são os blocos de construção para políticas; são entidades lógicas para as quais uma ou mais interfaces estão vinculadas. As zonas de segurança fornecem um meio de distinguir grupos de hosts (sistemas de usuário e outros hosts, como servidores) e seus recursos uns dos outros, a fim de aplicar diferentes medidas de segurança a eles.
As zonas de segurança têm as seguintes propriedades:
Políticas — políticas de segurança ativa que aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego conforme ele passa pelo firewall. Para obter mais informações, veja a visão geral das políticas de segurança.
Telas — um firewall stateful da Juniper Networks protege uma rede inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem a passagem de uma zona de segurança para outra. Para cada zona de segurança, você pode habilitar um conjunto de opções de tela predefinidas que detectam e bloqueiam vários tipos de tráfego que o dispositivo determina como potencialmente prejudicial. Para obter mais informações, veja a visão geral do Reconnaissance Denaissance.
Livros de endereços — endereços IP e conjuntos de endereços que compõem uma lista de endereços para identificar seus membros para que você possa aplicar políticas a eles. As entradas da lista de endereços podem incluir qualquer combinação de endereços IPv4, endereços IPv6 e nomes de sistema de nomes de domínio (DNS). Para obter mais informações, veja Exemplo: configuração de livros de endereços e conjuntos de endereços.
TCP-RST — Quando esse recurso é habilitado, o sistema envia um segmento de TCP com o conjunto de bandeiras RESET quando o tráfego chega que não corresponde a uma sessão existente e não tem o conjunto de bandeiras SYNchronize.
Interfaces — Lista de interfaces na zona.
As zonas de segurança têm a seguinte zona pré-configurada:
Zona de confiança — disponível apenas na configuração de fábrica e é usada para conexão inicial com o dispositivo. Depois de confirmar uma configuração, a zona de confiança pode ser anulada.
Exemplo: Criação de zonas de segurança
Este exemplo mostra como configurar zonas e atribuir interfaces a elas. Ao configurar uma zona de segurança, você pode especificar muitos de seus parâmetros ao mesmo tempo.
Requisitos
Antes de começar, configure interfaces de rede. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
Uma interface para uma zona de segurança pode ser considerada como uma porta pela qual o tráfego TCP/IP pode passar entre essa zona e qualquer outra zona.
Por padrão, as interfaces estão na zona nula. As interfaces não passarão pelo tráfego até que tenham sido atribuídas a uma zona.
Você pode configurar 2000 interfaces em uma zona de segurança em dispositivos de SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 ou SRX5800, dependendo da versão do Junos OS em sua instalação.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para criar zonas e atribuir interfaces a elas:
Configure uma interface Ethernet e atribua um endereço IPv4 a ele.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Configure uma interface Ethernet e atribua um endereço IPv6 a ele.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Configure uma zona de segurança e atribua-a a uma interface Ethernet.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security zones security-zone ABC
comandos e show interfaces ge-0/0/1
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para a brevidade, essa show
saída inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
[edit] user@host# show security zones security-zone ABC ... interfaces { ge-0/0/1.0 { ... } } [edit] user@host# show interfaces ge-0/0/1 ... unit 0 { family inet { address 203.0.113.1/24; } family inet6 { address 2001:db8:1::1/64; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Serviços de sistema suportados para tráfego de entrada de host
Este tópico descreve os serviços de sistema suportados para tráfego de entrada de host na zona ou interface especificada.
Por exemplo, suponha que um usuário cujo sistema estava conectado à interface 203.0.113.4
na zona ABC
quisesse colocar a telnet em interface 198.51.100.4
na zona ABC
. Para que essa ação seja permitida, o aplicativo Telnet deve ser configurado como um serviço de entrada permitido em ambas as interfaces e uma política deve permitir a transmissão de tráfego.
Veja a seção Opções em serviços de sistema (Security Zones Host Inbound Traffic) para ver os serviços de sistema que podem ser usados para o tráfego de entrada do host.
Nos firewalls da Série SRX, o xnm-clear-text
campo está habilitado na configuração padrão de fábrica. Essa configuração permite a entrada do tráfego de protocolo Junos XML na zona de confiança para o dispositivo quando o dispositivo está operando com configurações padrão de fábrica. Recomendamos que você substitua as configurações padrão de fábrica por uma configuração definida pelo usuário que forneça segurança adicional assim que a caixa estiver configurada. Você deve excluir o xnm-clear-text
campo manualmente usando o comando delete system services xnm-clear-text
CLI.
Consulte a seção Opções em protocolos (Interfaces de zonas de segurança) para ver os protocolos suportados que podem ser usados para o tráfego de entrada do host.
Todos os serviços (exceto DHCP e BOOTP) podem ser configurados por zona ou por interface. Um servidor DHCP é configurado apenas por interface porque a interface de entrada deve ser conhecida pelo servidor para ser capaz de enviar respostas DHCP.
Você não precisa configurar o Neighbor Discovery Protocol (NDP) no tráfego de entrada de host, porque o NDP é habilitado por padrão.
A opção de configuração do IPv6 Neighbor Discovery Protocol (NDP) está disponível. A opção de configuração é set protocol neighbor-discovery onlink-subnet-only
o comando. Essa opção impedirá que o dispositivo responda a uma Solicitação de Vizinhos (NS) de um prefixo que não foi incluído como um dos prefixos da interface do dispositivo.
O mecanismo de roteamento precisa ser reiniciado após a configuração desta opção para remover qualquer possibilidade de uma entrada IPv6 anterior de permanecer na tabela de encaminhamento.
Entender como controlar o tráfego de entrada com base em tipos de tráfego
Este tópico descreve como configurar zonas para especificar os tipos de tráfego que podem chegar ao dispositivo a partir de sistemas que estão diretamente conectados às suas interfaces.
Observe o seguinte:
Você pode configurar esses parâmetros no nível da zona, nesse caso eles afetam todas as interfaces da zona ou no nível da interface. (A configuração da interface substitui a da zona.)
Você deve habilitar todo o tráfego de entrada de host esperado. O tráfego de entrada destinado a este dispositivo é descartado por padrão.
Você também pode configurar as interfaces de uma zona para permitir o uso por protocolos dinâmicos de roteamento.
Esse recurso permite que você proteja o dispositivo contra ataques lançados de sistemas que estão conectados direta ou indiretamente a qualquer uma de suas interfaces. Ele também permite que você configure o dispositivo seletivamente para que os administradores possam gerenciá-lo usando determinados aplicativos em determinadas interfaces. Você pode proibir o uso de outros aplicativos nas mesmas ou diferentes interfaces de uma zona. Por exemplo, é mais provável que você queira garantir que pessoas de fora não usem o aplicativo Telnet da Internet para fazer login no dispositivo porque você não gostaria que eles se conectassem ao seu sistema.
Exemplo: controle do tráfego de entrada com base em tipos de tráfego
Este exemplo mostra como configurar o tráfego de entrada com base em tipos de tráfego.
Requisitos
Antes de começar:
Configure interfaces de rede. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Entenda os tipos de tráfego de entrada. Veja como controlar o tráfego de entrada com base em tipos de tráfego.
Visão geral
Ao permitir que os serviços do sistema sejam executados, você pode configurar zonas para especificar diferentes tipos de tráfego que podem chegar ao dispositivo a partir de sistemas que estão diretamente conectados às suas interfaces. Você pode configurar os diferentes serviços de sistema no nível da zona, nesse caso eles afetam todas as interfaces da zona ou no nível da interface. (A configuração da interface substitui a da zona.)
Você deve habilitar todo o tráfego de entrada de host esperado. O tráfego de entrada de dispositivos conectados diretamente às interfaces do dispositivo é descartado por padrão.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar o tráfego de entrada com base em tipos de tráfego:
Configure uma zona de segurança.
[edit] user@host# edit security zones security-zone ABC
Configure a zona de segurança para oferecer suporte ao tráfego de entrada para todos os serviços do sistema.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Configure os serviços de sistema Telnet, FTP e SNMP no nível de interface (não no nível da zona) para a primeira interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Configure a zona de segurança para oferecer suporte ao tráfego de entrada para todos os serviços do sistema para uma segunda interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Exclua os serviços de sistema FTP e HTTP da segunda interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security zones security-zone ABC
. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security zones security-zone ABC host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.3 { host-inbound-traffic { system-services { ftp; telnet; snmp; } } } ge-0/0/1.0 { host-inbound-traffic { system-services { all; ftp { except; } http { except; } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Entender como controlar o tráfego de entrada com base em protocolos
Este tópico descreve os protocolos de sistema de entrada na zona ou interface especificada.
Qualquer tráfego de entrada de host que corresponda a um protocolo listado sob a opção de tráfego de entrada de host é permitido. Por exemplo, se em qualquer lugar da configuração, você mapear um protocolo para um número de porta que não seja o padrão, você pode especificar o protocolo na opção de tráfego de entrada do host, e o novo número de porta será usado. A Tabela 1 lista os protocolos suportados. Um valor indica all
que o tráfego de todos os seguintes protocolos é permitido entrar nas interfaces especificadas (da zona ou de uma única interface especificada).
Serviços de sistema suportados |
|||
---|---|---|---|
Todos |
Igmp |
Pim |
Sap |
Bfd |
Ldp |
Rip |
Vrrp |
Bgp |
msdp |
ripng |
Pndh |
descoberta de roteador |
dvmrp |
Ospf |
Rsvp |
Pgm |
ospf3 |
Se o DVMRP ou o PIM estiver habilitado para uma interface, o tráfego de entrada de host IGMP e MLD será habilitado automaticamente. Como o IS-IS usa o endereçamento de OSI e não deve gerar nenhum tráfego IP, não há opção de tráfego de entrada de host para o protocolo IS-IS.
Você não precisa configurar o Neighbor Discovery Protocol (NDP) no tráfego de entrada de host, porque o NDP é habilitado por padrão.
A opção de configuração do IPv6 Neighbor Discovery Protocol (NDP) está disponível. A opção de configuração é set protocol neighbor-discovery onlink-subnet-only
o comando. Essa opção impedirá que o dispositivo responda a uma Solicitação de Vizinhos (NS) de um prefixo que não foi incluído como um dos prefixos da interface do dispositivo.
O mecanismo de roteamento precisa ser reiniciado após a configuração desta opção para remover qualquer possibilidade de uma entrada IPv6 anterior permanecer na tabela de encaminhamento.
Exemplo: controle do tráfego de entrada com base em protocolos
Este exemplo mostra como habilitar o tráfego de entrada para uma interface.
Requisitos
Antes de começar:
Configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Configure interfaces de rede. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
Qualquer tráfego de entrada de host que corresponda a um protocolo listado sob a opção de tráfego de entrada de host é permitido. Por exemplo, se em qualquer lugar da configuração você mapear um protocolo para um número de porta que não seja o padrão, você pode especificar o protocolo na opção de tráfego de entrada do host, e o novo número de porta será usado.
Um valor indica all
que o tráfego de todos os protocolos é permitido entrar nas interfaces especificadas (da zona ou de uma única interface especificada).
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar o tráfego de entrada com base em protocolos:
Configure uma zona de segurança.
[edit] user@host# edit security zones security-zone ABC
Configure a zona de segurança para oferecer suporte ao tráfego de entrada com base no protocolo ospf para uma interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Configure a zona de segurança para oferecer suporte ao tráfego de entrada com base no protocolo ospf3 para uma interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security zones security-zone ABC
. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security zones security-zone ABC interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { ospf; ospf3; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Exemplo: configuração do parâmetro TCP-Reset
Este exemplo mostra como configurar o parâmetro TCP-Reset para uma zona.
Requisitos
Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.
Visão geral
Quando o recurso de parâmetro TCP-Reset é habilitado, o sistema envia um segmento de TCP com o conjunto de bandeiras RESET quando o tráfego chega que não corresponde a uma sessão existente e não tem o conjunto de bandeiraSYN.
Configuração
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar o parâmetro TCP-Reset para uma zona:
Configure uma zona de segurança.
[edit] user@host# edit security zones security-zone ABC
Configure o parâmetro TCP-Reset para a zona.
[edit security zones security-zone ABC] user@host# set tcp-rst
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira o show security zones
comando.