Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全设备上的安全区域和安全策略

了解2层安全区域

2层安全区域是托管2层接口的区域。安全区域可以是第2层或第3层区域;它可以承载所有2层接口或所有第3层接口,但不能包含2层和3层接口的混合。

安全区域类型(第 2 层或第 3 层)从为安全区域配置的第一个接口中隐式设置。为相同安全区域配置的后续接口必须与第一个接口具有相同的类型。

注:

您不能在第2层和第3层安全区域中配置设备。

您可以为2层安全区域配置以下属性:

  • 接口 - 区域中的接口列表。

  • 策略 —主动安全策略,针对传输流量实施规则,包括流量可以通过防火墙的流量,以及流量通过防火墙时对流量采取的操作。

  • 筛选 — 有瞻博网络状态防火墙通过检测、允许或拒绝所有需要从一个安全区域到另一个安全区域进行的连接尝试,保护网络安全。对于每个安全区域和集中区域,您可以启用一组预定义的屏幕选项,检测并阻止设备确定可能有害的各种流量。

    注:

    您可以为2层安全区域配置与第3层安全区域相同的屏幕选项。

  • 地址簿 — 组成地址簿以识别其成员的 IP 地址和地址集,以便可以将策略应用于这些地址和地址集。

  • TCP-RST — 启用此功能时,当到达的流量与现有会话不匹配且未设置同步标志时,系统将发送一个设置重置标志的 TCP 分段。

此外,您还可以为主机入站信息流配置2层区域。这允许您指定可从直接连接到区域接口的系统到达设备的信息流种类。您必须指定所有预期的主机入站信息流,因为默认情况下,直接连接到设备接口的设备中的入站信息流将丢弃。

示例:配置2层安全区域

此示例演示如何配置2层安全区域。

要求

开始之前,请确定要为2层安全区域配置的属性。请参阅了解2层安全区域

概述

在此示例中,将安全区域 zone1 配置为包含一个称为 "ge/0/0.0" 和 "安全区域 l2-zone2" 的2层逻辑接口,以包含称为 "ge-3/0/1.0" 的2层逻辑接口。然后,将 l2 配置为允许所有支持的应用程序服务(例如 SSH、Telnet 和 SNMP)用作主机入站信息流。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

操作

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要配置2层安全区域:

  1. 创建2层安全区域并为其分配接口。

  2. 配置其中一个2层安全区域。

  3. 如果您完成了设备配置,请提交配置。

针对

要验证配置是否正常运行,请输入show security zones命令。

了解透明模式下的安全策略

在透明模式下,只能在第2层区域之间配置安全策略。当数据包通过 VLAN 转发时,安全策略将在安全区域之间应用。透明模式的安全策略类似于为3层区域配置的策略,但以下情况例外:

  • 不支持 NAT。

  • 不支持 IPsec VPN。

  • 不支持应用程序。

除非设备上有显式配置的策略,否则2层转发不会允许任何 interzone 流量。默认情况下,第2层转发执行以下操作:

  • 允许或拒绝已配置策略指定的流量。

  • 允许地址解析协议(ARP)和2层非 IP 多播和广播信息流。

  • 继续阻止所有非 IP 和非 ARP 单播流量。

通过使用 J-Web 或 CLI 配置编辑器,可为以太网交换数据包流更改此默认行为:

  • 配置block-non-ip-all选项以阻止所有第2层非 IP 和非 ARP 流量,包括多播和广播流量。

  • 配置该bypass-non-ip-unicast选项以允许所有第2层非 IP 流量通过设备。

注:

您不能同时配置这两个选项。

从 Junos OS Release 12.3 X48-D10 和 Junos OS 版本 17.3 R1 开始,您可以为第2层和第3层接口在混合模式(默认模式)下创建单独的安全区域。但是,IRB 接口之间以及 IRB 接口和3层接口之间没有路由。因此,不能在第2层和第3层区域之间配置安全策略。您只能在第2层分区之间或第3层区域之间配置安全策略。

示例:在透明模式下配置安全策略

此示例说明如何在第2层区域之间的透明模式下配置安全策略。

要求

开始之前,请确定您想要包括在2层安全区中的策略行为。请参阅在透明模式下了解安全策略

概述

此示例将配置安全策略以允许 HTTP 流量从 l2–zone1 安全区域中的 192.0.2.0/24 子网到 l2–zone2 安全区域中的 192.0.2.1/24 服务器。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅Cli 用户指南中的使用配置模式中的 CLI 编辑器

要在透明模式下配置安全策略:

  1. 创建策略并为区域的接口分配地址。

  2. 为应用程序设置策略。

成果

从配置模式,输入show security policies命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

验证2层安全策略

用途

验证2层安全策略配置正确。

行动

在配置模式下,输入show security policies命令。

了解透明模式下的防火墙用户身份验证

防火墙用户是在通过防火墙启动连接时必须提供身份验证的用户名和密码的网络用户。防火墙用户身份验证使管理员能够根据其来源 IP 地址和其他凭据,限制并允许用户访问防火墙后面的受保护资源。对于 SRX 系列设备上的透明模式,Junos OS 支持以下类型的防火墙用户身份验证:

  • 通过身份验证 — 一个区域的主机或用户会尝试访问另一个区域上的资源。您必须使用 FTP、Telnet 或 HTTP 客户端来访问受保护资源的 IP 地址并通过防火墙进行身份验证。设备使用 FTP、Telnet 或 HTTP 收集用户名和密码信息,并根据此认证的结果允许或拒绝来自用户或主机的后续信息流。

  • Web 认证 — 用户尝试使用 HTTP 连接到 IRB 接口上启用的 Web 认证 IP 地址。系统将提示您输入由设备验证的用户名和密码。根据此认证的结果,允许或拒绝来自用户或主机到受保护资源的后续信息流。

发布历史记录表
版本
说明
12.3X48-D10
从 Junos OS Release 12.3 X48-D10 和 Junos OS 版本 17.3 R1 开始,您可以为第2层和第3层接口在混合模式(默认模式)下创建单独的安全区域。