Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zonas de segurança

Uma zona de segurança é uma coleção de um ou mais segmentos de rede que exigem a regulamentação do tráfego de entrada e saída por meio de políticas. Zonas de segurança são entidades lógicas para as quais uma ou mais interfaces estão vinculadas. Você pode definir várias zonas de segurança, o número exato do qual você determina com base nas suas necessidades de rede.

Visão geral das zonas de segurança

As interfaces funcionam como uma porta pela qual o tráfego entra e sai de um dispositivo da Juniper Networks. Muitas interfaces podem compartilhar exatamente os mesmos requisitos de segurança; no entanto, diferentes interfaces também podem ter diferentes requisitos de segurança para pacotes de dados de entrada e saída. Interfaces com requisitos de segurança idênticos podem ser agrupadas em uma única zona de segurança.

Uma zona de segurança é uma coleção de um ou mais segmentos de rede que exigem a regulamentação do tráfego de entrada e saída por meio de políticas.

Zonas de segurança são entidades lógicas para as quais uma ou mais interfaces estão vinculadas. Com muitos tipos de dispositivos juniper networks, você pode definir várias zonas de segurança, o número exato dos quais você determina com base nas suas necessidades de rede.

Em um único dispositivo, você pode configurar várias zonas de segurança, dividindo a rede em segmentos aos quais você pode aplicar várias opções de segurança para atender às necessidades de cada segmento. No mínimo, você deve definir duas zonas de segurança, basicamente para proteger uma área da rede da outra. Em algumas plataformas de segurança, você pode definir muitas zonas de segurança, trazendo granularidade mais fina ao projeto de segurança de sua rede — e sem implantar vários dispositivos de segurança para isso.

Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai em outra zona de segurança. Essa combinação de um from-zone e um to-zone é definida como um contexto. Cada contexto contém uma lista ordenada de políticas. Para obter mais informações sobre políticas, consulte a visão geral das políticas de segurança.

Este tópico inclui as seguintes seções:

Entender as interfaces de zona de segurança

Uma interface para uma zona de segurança pode ser considerada como uma porta pela qual o tráfego TCP/IP pode passar entre essa zona e qualquer outra zona.

Por meio das políticas que você define, você pode permitir que o tráfego entre zonas flua em uma direção ou em ambas. Com as rotas que você define, você especifica as interfaces que o tráfego de uma zona para outra deve usar. Como você pode vincular várias interfaces a uma zona, as rotas que você mapeia são importantes para direcionar o tráfego para as interfaces de sua escolha.

Uma interface pode ser configurada com um endereço IPv4, endereço IPv6 ou ambos.

Entender zonas funcionais

Uma zona funcional é usada para fins especiais, como interfaces de gerenciamento. Atualmente, apenas a zona de gerenciamento (MGT) é suportada. As zonas de gerenciamento têm as seguintes propriedades:

  • Interfaces de gerenciamento de host de zonas de gerenciamento.

  • O tráfego entrando em zonas de gerenciamento não corresponde a políticas; portanto, o tráfego não pode transitar para fora de qualquer outra interface se ele foi recebido na interface de gerenciamento.

  • As zonas de gerenciamento só podem ser usadas para interfaces de gerenciamento dedicadas.

Entender zonas de segurança

As zonas de segurança são os blocos básicos para políticas; são entidades lógicas para as quais uma ou mais interfaces estão vinculadas. As zonas de segurança fornecem um meio de distinguir grupos de hosts (sistemas de usuários e outros hosts, como servidores) e seus recursos uns dos outros, a fim de aplicar diferentes medidas de segurança a eles.

As zonas de segurança têm as seguintes propriedades:

  • Políticas — políticas de segurança ativas que aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego conforme ele passa pelo firewall. Para obter mais informações, consulte a visão geral das políticas de segurança.

  • Telas — um firewall stateful da Juniper Networks protege uma rede inspecionando e, em seguida, permitindo ou negando todas as tentativas de conexão que exigem a passagem de uma zona de segurança para outra. Para cada zona de segurança, você pode habilitar um conjunto de opções de tela predefinidas que detectam e bloqueiam vários tipos de tráfego que o dispositivo determina como potencialmente prejudicial. Para obter mais informações, consulte a visão geral do Reconnaissance Deterrence.

  • Livros de endereços — endereços IP e conjuntos de endereços que compõem um catálogo de endereços para identificar seus membros para que você possa aplicar políticas a eles. As entradas da lista de endereços podem incluir qualquer combinação de endereços IPv4, endereços IPv6 e nomes do Domain Name System (DNS). Para obter mais informações, veja exemplo: configuração de livros de endereços e conjuntos de endereços.

  • TCP-RST — Quando esse recurso é ativado, o sistema envia um segmento de TCP com o conjunto de bandeiras RESET quando o tráfego chega que não corresponde a uma sessão existente e não tem o conjunto de bandeiras SYNchronize.

  • Interfaces — Lista de interfaces na zona.

As zonas de segurança têm a seguinte zona pré-configurada:

  • Zona de confiança — disponível apenas na configuração de fábrica e é usada para conexão inicial com o dispositivo. Depois de cometer uma configuração, a zona de confiança pode ser substituída.

Exemplo: criar zonas de segurança

Este exemplo mostra como configurar zonas e atribuir interfaces a elas. Ao configurar uma zona de segurança, você pode especificar muitos de seus parâmetros ao mesmo tempo.

Requisitos

Antes de começar, configure interfaces de rede. Consulte o guia de usuário de interfaces para dispositivos de segurança.

Visão geral

Uma interface para uma zona de segurança pode ser considerada como uma porta pela qual o tráfego TCP/IP pode passar entre essa zona e qualquer outra zona.

Nota:

Por padrão, as interfaces estão na zona nula. As interfaces não passarão o tráfego até que tenham sido atribuídas a uma zona.

Nota:

Você pode configurar 2000 interfaces dentro de uma zona de segurança nos dispositivos SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 ou SRX5800, dependendo da versão do Junos OS em sua instalação.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Para criar zonas e atribuir interfaces a elas:

  1. Configure uma interface Ethernet e atribua um endereço IPv4 a ele.

  2. Configure uma interface Ethernet e atribua um endereço IPv6 a ele.

  3. Configure uma zona de segurança e atribua-a a uma interface Ethernet.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show interfaces ge-0/0/1 comandosshow security zones security-zone ABC. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Para a brevidade, essa show saída inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Solução de problemas com logs

Propósito

Use esses registros para identificar quaisquer problemas.

Ação

Do modo operacional, entre no show log messages comando e no show log dcd comando.

Serviços de sistema suportados para tráfego de entrada de host

Este tópico descreve os serviços de sistema suportados para tráfego de entrada de host na zona ou interface especificada.

Por exemplo, suponha que um usuário cujo sistema estava conectado à interface 203.0.113.4 na zona ABC quisesse colocar a interface 198.51.100.4 na zona ABC. Para que essa ação seja permitida, o aplicativo Telnet deve ser configurado como um serviço de entrada permitido em ambas as interfaces e uma política deve permitir a transmissão de tráfego.

Consulte a seção Opções em serviços de sistema (Zonas de segurança Host Inbound Traffic) para ver os serviços do sistema que podem ser usados para o tráfego de entrada do host.

Nota:

Nos gateways de serviços da Série SRX, o xnm-clear-text campo está habilitado na configuração padrão de fábrica. Essa configuração permite o tráfego de protocolo Junos XML na zona de confiança para o dispositivo quando o dispositivo estiver operando com configurações padrão de fábrica. Recomendamos que você substitua as configurações padrão de fábrica por uma configuração definida pelo usuário que forneça segurança adicional assim que a caixa estiver configurada. Você deve excluir o xnm-clear-text campo manualmente usando o comando delete system services xnm-clear-textCLI.

Consulte a seção Opções em protocolos (Interfaces de Zonas de Segurança) para ver os protocolos suportados que podem ser usados para o tráfego de entrada do host.

Nota:

Todos os serviços (exceto DHCP e BOOTP) podem ser configurados por zona ou por interface. Um servidor DHCP é configurado apenas por interface porque a interface de entrada deve ser conhecida pelo servidor para ser capaz de enviar respostas DHCP.

Nota:

Você não precisa configurar o Neighbor Discovery Protocol (NDP) no tráfego de entrada do host, porque o NDP é habilitado por padrão.

A opção de configuração do IPv6 Neighbor Discovery Protocol (NDP) está disponível. A opção de configuração é set protocol neighbor-discovery onlink-subnet-only o comando. Essa opção impedirá que o dispositivo responda a uma Solicitação de Vizinho (NS) a partir de um prefixo que não foi incluído como um dos prefixos da interface do dispositivo.

Nota:

O mecanismo de roteamento precisa ser reiniciado após a configuração desta opção para remover qualquer possibilidade de uma entrada IPv6 anterior de permanecer na tabela de encaminhamento.

Entender como controlar o tráfego de entrada com base em tipos de tráfego

Este tópico descreve como configurar zonas para especificar os tipos de tráfego que podem chegar ao dispositivo a partir de sistemas que estão diretamente conectados às suas interfaces.

Observe o seguinte:

  • Você pode configurar esses parâmetros no nível da zona, nesse caso eles afetam todas as interfaces da zona ou no nível da interface. (A configuração da interface substitui a da zona.)

  • Você deve habilitar todo o tráfego de entrada do host esperado. O tráfego de entrada destinado a este dispositivo é descartado por padrão.

  • Você também pode configurar as interfaces de uma zona para permitir o uso por protocolos de roteamento dinâmicos.

Esse recurso permite que você proteja o dispositivo contra ataques lançados a partir de sistemas que estão conectados direta ou indiretamente a qualquer uma de suas interfaces. Ele também permite configurar o dispositivo seletivamente para que os administradores possam gerenciá-lo usando determinados aplicativos em determinadas interfaces. Você pode proibir o uso de outros aplicativos nas mesmas ou diferentes interfaces de uma zona. Por exemplo, é mais provável que você queira garantir que pessoas de fora não usem o aplicativo Telnet da Internet para fazer login no dispositivo porque você não gostaria que eles se conectassem ao seu sistema.

Exemplo: controlar o tráfego de entrada com base em tipos de tráfego

Este exemplo mostra como configurar o tráfego de entrada com base em tipos de tráfego.

Requisitos

Antes de começar:

Visão geral

Ao permitir que os serviços do sistema sejam executados, você pode configurar zonas para especificar diferentes tipos de tráfego que podem alcançar o dispositivo a partir de sistemas que estão diretamente conectados às suas interfaces. Você pode configurar os diferentes serviços de sistema no nível da zona, nesse caso eles afetam todas as interfaces da zona ou no nível da interface. (A configuração da interface substitui a da zona.)

Você deve habilitar todo o tráfego de entrada do host esperado. O tráfego de entrada de dispositivos conectados diretamente às interfaces do dispositivo é descartado por padrão.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar o tráfego de entrada com base em tipos de tráfego:

  1. Configure uma zona de segurança.

  2. Configure a zona de segurança para dar suporte ao tráfego de entrada para todos os serviços do sistema.

  3. Configure os serviços do sistema Telnet, FTP e SNMP no nível da interface (não no nível da zona) para a primeira interface.

  4. Configure a zona de segurança para dar suporte ao tráfego de entrada para todos os serviços do sistema para uma segunda interface.

  5. Exclua os serviços de sistema FTP e HTTP da segunda interface.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security zones security-zone ABC. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Solução de problemas com logs

Propósito

Use esses registros para identificar quaisquer problemas.

Ação

Do modo operacional, entre no show log messages comando e no show log dcd comando.

Entender como controlar o tráfego de entrada com base em protocolos

Este tópico descreve os protocolos de sistema de entrada na zona ou interface especificada.

Qualquer tráfego de entrada de host que corresponda a um protocolo listado sob a opção de tráfego de entrada no host é permitido. Por exemplo, se em qualquer lugar da configuração, você mapear um protocolo para um número de porta diferente do padrão, você pode especificar o protocolo na opção de tráfego de entrada do host, e o novo número de porta será usado. A Tabela 1 lista os protocolos suportados. Um valor all indica que o tráfego de todos os seguintes protocolos é permitido entrar nas interfaces especificadas (da zona ou de uma única interface especificada).

Tabela 1: Protocolos de sistema de entrada com suporte

Serviços de sistema suportados

Todos

Igmp

Pim

Sap

Bfd

Ldp

Rip

Vrrp

Bgp

msdp

ripng

Pndh

descoberta de roteador

dvmrp

Ospf

Rsvp

Pgm

ospf3

   
Nota:

Se o DVMRP ou PIM estiver habilitado para uma interface, o tráfego de entrada de host IGMP e MLD será ativado automaticamente. Como o IS-IS usa o endereço OSI e não deve gerar tráfego IP, não há opção de tráfego de entrada no host para o protocolo IS-IS.

Nota:

Você não precisa configurar o Neighbor Discovery Protocol (NDP) no tráfego de entrada do host, porque o NDP é habilitado por padrão.

A opção de configuração do IPv6 Neighbor Discovery Protocol (NDP) está disponível. A opção de configuração é set protocol neighbor-discovery onlink-subnet-only o comando. Essa opção impedirá que o dispositivo responda a uma Solicitação de Vizinho (NS) a partir de um prefixo que não foi incluído como um dos prefixos da interface do dispositivo.

Nota:

O mecanismo de roteamento precisa ser reiniciado após a configuração desta opção para remover qualquer possibilidade de uma entrada IPv6 anterior restante na tabela de encaminhamento.

Exemplo: controlar o tráfego de entrada com base em protocolos

Este exemplo mostra como habilitar o tráfego de entrada para uma interface.

Requisitos

Antes de começar:

Visão geral

Qualquer tráfego de entrada de host que corresponda a um protocolo listado sob a opção de tráfego de entrada no host é permitido. Por exemplo, se em qualquer lugar da configuração você mapear um protocolo para um número de porta diferente do padrão, você pode especificar o protocolo na opção de tráfego de entrada do host, e o novo número de porta será usado.

Um valor all indica que o tráfego de todos os protocolos é permitido de entrada nas interfaces especificadas (da zona ou de uma única interface especificada).

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar o tráfego de entrada com base em protocolos:

  1. Configure uma zona de segurança.

  2. Configure a zona de segurança para dar suporte ao tráfego de entrada com base no protocolo ospf para uma interface.

  3. Configure a zona de segurança para dar suporte ao tráfego de entrada com base no protocolo ospf3 para uma interface.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security zones security-zone ABC. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Solução de problemas com logs

Propósito

Use esses registros para identificar quaisquer problemas.

Ação

Do modo operacional, entre no show log messages comando e no show log dcd comando.

Exemplo: configurar o parâmetro TCP-Reset

Este exemplo mostra como configurar o parâmetro TCP-Reset para uma zona.

Requisitos

Antes de começar, configure zonas de segurança. Veja exemplo: criação de zonas de segurança.

Visão geral

Quando o recurso de parâmetro TCP-Reset está habilitado, o sistema envia um segmento de TCP com o conjunto de bandeiras RESET quando o tráfego chega que não corresponde a uma sessão existente e não tem o conjunto de bandeiraSYN.

Configuração

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no guia do usuário da CLI.

Para configurar o parâmetro TCP-Reset para uma zona:

  1. Configure uma zona de segurança.

  2. Configure o parâmetro TCP-Reset para a zona.

  3. Se terminar de configurar o dispositivo, comprometa a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, entre no show security zones comando.