租户系统的安全策略
安全策略可通过租户系统进行配置。有关更多信息,请参阅以下主题:
了解租户系统的安全策略
安全策略会实施规则,规定哪些流量可以通过防火墙,以及流量在通过防火墙时需要在流量上执行的操作。通过创建安全策略,租户系统的管理员可以定义允许从源传输到目标的流量类型,从而控制从区域到区域的流量。从安全策略的角度来看,流量会进入一个安全区域,然后通过另一个安全区域退出。默认情况下,租户系统会拒绝所有方向上的所有流量,包括区域内和区域间方向。
从 Junos OS 18.3R1 版开始,逻辑系统支持的安全策略功能现已扩展到租户系统。
可以在租户系统中配置安全策略。租户安全策略的配置方式与逻辑系统安全策略和防火墙范围安全策略相同。在租户系统中创建的任何安全策略、策略规则、地址簿、应用程序和应用程序集以及调度器仅适用于该租户系统。租户系统之间仅共享预定义的应用程序集,例如 junos-ftp。
租户系统的管理员可以配置和查看租户系统中安全策略的所有属性。
从 Junos OS 18.4R1 版开始,租户系统管理员可以在租户系统中创建动态地址。动态地址条目包含从外部源提取的 IP 地址和前缀。安全策略在源地址字段或目标地址字段中使用动态地址。您可以使用命令 show security dynamic-address查看动态地址信息,包括租户系统的名称、源和属性。
动态地址条目 (DAE) 是一组 IP 地址,可手动输入,也可从租户系统内的外部源导入。DAE 功能允许在安全策略中使用基于源的 IP 对象,从而根据源或目标 IP 标准来拒绝或允许流量。
给定租户系统的最大 DAE 数等于系统级扩展数。此外,所有租户系统的 DAE 总和必须小于或等于 DAE 的系统范围扩展数。如果一个租户系统使用最大数量的 IP 条目,其他租户系统将无法将 IP 条目获取到其 DAE 中。
从 Junos 18.4R1 开始, set security dynamic-address feed-server 可以在租户系统下配置命令。
应用程序超时
为应用程序设置的应用程序超时值决定了会话超时。租户系统的应用程序超时行为与在根级别相同。尽管租户系统的管理员可以在安全策略中使用预定义的应用程序,但管理员不能修改这些预定义应用程序的超时值。应用程序超时值存储在应用程序条目数据库中,以及相应的租户系统 TCP 和基于 UDP 端口的超时表中。
安全策略分配
主管理员创建一个安全配置文件,用于为每个租户系统分配的最大策略数。然后,租户系统的管理员受安全配置文件的限制,以创建不超过安全配置文件中描述的策略数量。租户系统的管理员使用 show system security-profile policy 命令查看分配给租户系统的安全策略数。
user@host> show system security-profile policy
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 16000
示例:在租户系统中配置安全策略
此示例说明如何为租户系统配置安全策略。
要求
开始配置之前:
配置区域。请参阅 示例:在租户系统中配置安全区域。
show system security-profiles policy使用命令查看分配给租户系统的安全策略资源。
概述
在此示例中,您可以为租户系统配置安全策略。租户系统用户的管理员可以使用 [edit tenants tenant-name security policies] 层级来配置安全策略。此示例配置 表 1 中描述的安全策略。
特征 |
配置参数 |
|---|---|
策略 1 |
允许以下流量:
|
策略 2 |
允许以下流量:
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match source-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match destination-address any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 match application any set tenants TSYS1 security policies from-zone trust to-zone untrust policy p1 then permit set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 match application any set tenants TSYS1 security policies from-zone untrust to-zone trust policy p2 then permit
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
在租户系统中配置安全策略:
登录租户系统并将租户系统名称定义为 TSYS1。
[edit] user@host# set tenants TSYS1
创建一个安全策略 p1,以允许从区域信任到不信任区域之间的流量,并配置匹配条件。
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
创建一个安全策略 p2,以允许从不信任区域到区域信任的流量,并配置匹配条件。
[edit tenants TSYS1 security policies from-zone untrust to-zone trust] user@host# set policy p2 match source-address any user@host# set policy p2 match destination-address any user@host# set policy p2 match application any user@host# set policy p2 then permit
结果
在配置模式下,输入命令以确认 show tenants tenant-name security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
user@host# show tenants TSYS1 security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
验证
验证策略配置
目的
验证有关安全策略的信息。
行动
要验证配置是否工作正常,请在 show security policies detail tenant TSYS1 操作模式下输入命令。
user@host> show security policies detail tenant TSYS1
Default policy: deny-all Pre ID default policy: permit-all Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses: any Destination addresses: any Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Application: junos-telnet IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [23-23] Application: app_udp IP protocol: udp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [5000-5000] Application: junos-icmp6-all IP protocol: 58, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy statistics: Input bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Output bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Input packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Output packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Session rate : 0 0 sps Active sessions : 0 Session deletions: 0 Policy lookups : 0
意义
输出显示有关租户系统上配置的安全策略的信息。
为租户系统配置动态地址
租户系统中的动态地址条目为安全策略提供动态 IP 地址信息。要使用动态地址,必须指定动态地址的基本信息,包括其名称、源和租户系统的属性。
阅读 示例:在租户系统中配置安全策略 ,了解此过程如何适应租户对安全策略的整体支持以及所处的位置。
要配置租户系统内 IPv4 网络中的动态地址:
在租户系统中配置安全策略:
将租户系统名称定义为 TSYS1。
[edit] user@host# set tenants TSYS1
创建一个安全策略 p1,以允许从区域信任到不信任区域之间的流量,并配置匹配条件。
[edit tenants TSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
输入命令以确认
show tenants tenant-name security policies您的配置[edit] user@host# show tenants TSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }