逻辑系统的安全性策略
安全性策略用于保护业务和控制对 LAN 资源的访问。无论是在公司内部通过 LAN 还是在与外部网络(如互联网)的交互过程中,都需要安全访问。Junos OS 通过其有状态防火墙、应用防火墙和用户身份防火墙提供强大的网络安全功能。所有三种类型的防火墙实施都是通过安全策略来实现的。有关更多信息,请参阅以下主题:
了解逻辑系统安全性策略
逻辑系统中的安全性策略
安全性策略强制执行有关哪些流量可以通过防火墙的规则,以及在流量通过防火墙时需要对流量执行的作。从安全策略的角度来看,流量进入一个安全区域并退出另一个安全区域。
默认情况下,逻辑系统拒绝所有方向的所有流量,包括区域内和区域间方向。通过创建安全策略,逻辑系统管理员可以定义允许从指定源传递到指定目标的流量类型,从而控制区域之间的流量。
可以在主逻辑系统和用户逻辑系统中配置安全性策略。在逻辑系统中配置安全策略与在未针对逻辑系统配置的设备上配置安全策略相同。在逻辑系统中创建的任何安全策略、策略规则、地址簿、应用程序和应用程序集以及调度程序仅适用于该逻辑系统。逻辑系统之间只能共享预定义的应用程序和应用程序集,例如 junos-ftp。
在逻辑系统中,您不能在安全策略中指定 global 为始发区域或到区域。
用户逻辑系统管理员可以在用户逻辑系统中配置和查看安全策略的所有属性。用户逻辑系统中安全策略的所有属性也对主管理员可见。
从 Junos OS 18.4R1 版开始,用户可以在逻辑系统中创建动态地址。动态地址条目包含从外部源提取的 IP 地址和前缀。安全策略在源地址字段或目标地址字段中使用动态地址。
动态地址条目 (DAE) 是一组可以手动输入的 IP 地址,也可以从逻辑系统中的外部源导入。DAE 功能允许在安全策略中使用基于源的 IP 对象,以根据源或目标 IP 标准拒绝或允许流量。
DAE 的最大数量取决于分配给逻辑系统的动态地址。从 Junos 18.4R1 开始,可以在逻辑系统下配置该 set security dynamic-address feed-server 命令。
应用超时
为应用程序设置的应用程序超时值确定会话超时。逻辑系统中的应用程序超时行为与根级别的行为相同。但是,用户逻辑系统管理员可以在安全策略中使用预定义的应用程序,但不能修改预定义应用程序的超时值。这是因为预定义的应用程序由主逻辑系统和所有用户逻辑系统共享,因此不允许用户逻辑系统管理员更改其行为。应用程序超时值存储在应用程序条目数据库以及相应的逻辑系统基于 TCP 和 UDP 端口的超时表中。
如果与流量匹配的应用程序具有超时值,则使用该超时值。否则,查找将按以下顺序进行,直到找到应用程序超时值:
在逻辑系统 TCP 和 UDP 基于端口的超时表中搜索超时值。
在基于根 TCP 和 UDP 端口的超时表中搜索超时值。
在基于协议的默认超时表中搜索超时值。
安全性策略分配
主管理员可以为每个用户逻辑系统配置安全策略的最大数量和保留数量。然后,用户逻辑系统管理员可以在用户逻辑系统中创建安全策略。在用户逻辑系统中,用户逻辑系统管理员可以使用该 show system security-profile policy 命令查看分配给用户逻辑系统的安全策略数量。
主管理员可以为主逻辑系统配置安全配置文件,用于指定应用于主逻辑系统的安全策略的最大数量和保留数量。在主逻辑系统中配置的策略数将计入设备上可用的最大策略数。
也可以看看
示例:在用户逻辑系统中配置安全性策略
此示例说明如何为用户逻辑系统配置安全策略。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
使用此
show system security-profiles policy命令查看分配给逻辑系统的安全策略资源。配置区域和地址簿。请参阅 示例:为用户逻辑系统配置安全性区域。
概述
此示例配置 ls-product-design 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
此示例配置了 表 1 中所述的安全策略。
姓名 |
配置参数 |
|---|---|
允许所有到其他系统 |
允许以量:
|
允许所有来自其他系统 |
允许以量:
|
拓扑结构
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要在用户逻辑系统中配置安全策略:
以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置一个安全策略,以允许从 ls-product-design-trust 区域到 ls-product-design-untrust 区域的流量。
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
配置安全策略,允许从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的流量。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
结果
在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式进入。commit
为逻辑系统配置动态地址
逻辑系统中的动态地址条目可为安全策略提供动态 IP 地址信息。要使用动态地址,您必须指定动态地址的基本信息,包括它们的名称、源和逻辑系统的属性。
阅读 在用户逻辑系统中配置安全性策略 ,了解此过程如何以及适合配置安全策略的位置。
要在逻辑系统中的 IPv4 网络中配置动态地址:
要在逻辑系统中配置安全策略,请执行以下作:
将逻辑系统名称定义为 LSYS1。
[edit] user@host# set logical-systems LSYS1
创建安全策略作为 p1,以允许从信任区域到非信任区域的流量,并配置匹配条件。
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
输入命令以
show logical-systems LSYS1 security policies确认您的配置。[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }