租户系统的安全策略
安全策略可通过租户系统配置。有关详细信息,请参阅以下主题:
了解租户系统的安全策略
安全策略对可以通过防火墙的流量和在通过防火墙时对流量采取的操作实施规则。通过创建安全策略,租户系统的管理员可定义允许从来源传递到目标的流量类型,来控制从区域到区域的流量。从安全策略的角度来看,流量进入一个安全区域,并通过另一个安全区域退出。默认情况下,租户系统拒绝所有方向上的所有流量,包括区域间和区域间方向。
从Junos OS版本18.3R1,逻辑系统支持的安全策略功能现已扩展到租户系统。
可在租户系统中配置安全策略。租户安全策略的配置方式与逻辑系统安全策略和防火墙范围安全策略的配置方式相同。在租户系统中创建的任何安全策略、策略规则、地址簿、应用程序和应用程序集以及时间表仅适用于该租户系统。租户系统之间仅共享预定义的应用程序和应用程序集, junos-ftp 例如。
租户系统的管理员可配置和查看租户系统中安全策略的所有属性。
从Junos OS版本18.4R1,租户系统管理员可以在租户系统内创建动态地址。动态地址条目包含从外部源中提取的 IP 地址和前缀。安全策略使用源地址字段或目标地址字段中的动态地址。您可使用 命令查看动态地址信息,包括租户系统的名称、源和属性 show security dynamic-address 。
动态地址条目 (DAE) 是一组 IP 地址,可手动输入,也可从租户系统外部源导入。守护功能允许安全策略中使用的基于源的 IP 对象拒绝或允许基于源或目标 IP 标准的流量。
给定租户系统的最大守护程序数量相当于系统级扩展编号。此外,所有租户系统的守护程序总和必须小于或等于守护程序的系统级扩展编号。如果一个租户系统使用最大 IP 条目数,其他租户系统无法将 IP 条目添加到其守护程序。
从 Junos 18.4R1开始, set security dynamic-address feed-server 可以在租户系统下配置 命令。
应用程序超时
为应用程序设置的应用程序超时值用于确定会话超时。对于租户系统,应用程序超时行为与在根级别相同。虽然租户系统的管理员可以使用安全策略中的预定义应用程序,但是管理员不能修改这些预定义应用程序的超时值。应用程序超时值存储在应用程序输入数据库中以及相应的租户系统 TCP 和基于 UDP 端口的超时表中。
安全策略分配
主管理员创建安全配置文件以分配可为每个租户系统配置的最大策略数。然后,租户系统的管理员受到安全配置文件的限制,创建的策略数量不会超过安全配置文件中所述的策略数量。租户系统的管理员使用 show system security-profile policy 命令查看分配给租户系统的安全策略数量。
user@host> show system security-profile policy
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 16000
示例:在租户系统中配置安全策略
此示例说明了如何配置租户系统的安全策略。
要求
开始配置之前:
配置区域。请参阅 示例:在租户系统中配置安全区域。
使用
show system security-profiles policy命令查看分配给租户系统的安全策略资源。
概述
此示例为租户系统配置安全策略。租户系统用户的管理员可使用 [edit tenants tenant-name security policies] 层级配置安全策略。此示例配置表 1 中所述的安全策略。
特征 |
配置参数 |
|---|---|
策略 1 |
允许以下流量:
|
策略 2 |
允许以下流量:
|
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match source-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match destination-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match application any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 then permit set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下Junos OS CLI编辑器 。
在租户系统中配置安全策略:
登录租户系统,将租户系统名称定义为 TSYS1。
[edit] user@host# set tenants TSYS1
将安全策略创建为 p1,允许区域信任信息流到区域不可信,并配置匹配条件。
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
将安全策略创建为 p2,允许来自区域不可信信息流到区域信任,并配置匹配条件。
[edit tenants TSYS1 security policies from-zone untrust to-zone trust] user@host# set policy p2 match source-address any user@host# set policy p2 match destination-address any user@host# set policy p2 match application any user@host# set policy p2 then permit
结果
在配置模式下,输入 命令以确认 show tenants tenant-name security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
user@host# show tenants TSYS1 security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
验证
验证策略配置
目的
验证有关安全策略的信息。
行动
要验证配置是否工作正常,请在 show security policies detail tenant TSYS1 操作模式下输入 命令。
user@host> show security policies detail tenant TSYS1
Default policy: deny-all Pre ID default policy: permit-all Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses: any Destination addresses: any Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Application: junos-telnet IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [23-23] Application: app_udp IP protocol: udp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [5000-5000] Application: junos-icmp6-all IP protocol: 58, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy statistics: Input bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Output bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Input packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Output packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Session rate : 0 0 sps Active sessions : 0 Session deletions: 0 Policy lookups : 0
意义
输出显示有关在租户系统中配置的安全策略的信息。
为租户系统配置动态地址
租户系统的动态地址条目为安全策略提供动态 IP 地址信息。要使用动态地址,您必须为租户系统指定动态地址的基本信息,包括其名称、源和属性。
阅读 示例: 在 租户系统中配置安全策略,了解此过程如何及在何处适合安全策略的整体租户支持。
要配置租户系统内 IPv4 网络的动态地址:
在租户系统中配置安全策略:
将租户系统名称定义为 TSYS1。
[edit] user@host# set tenants TSYS1
将安全策略创建为 p1,允许区域信任信息流到区域不可信,并配置匹配条件。
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
输入 命令以确认
show tenants tenant-name security policies您的配置[edit] user@host# show tenants TSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }