Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全区域

安全区域是一个或多个网络段的集合,需要通过策略对入站和出站流量进行调节。安全区域是一个或多个接口绑定到的逻辑实体。您可以定义多个安全区域,这是根据网络需求确定的确切数量。

安全区域概述

接口用作信息流进出设备瞻博网络通道。许多接口可以完全共享相同的安全要求;但是,不同接口对入站和出站数据包的安全要求也不同。具有相同安全要求的接口可组合为单个安全区域。

安全区域是一个或多个网络段的集合,需要通过策略对入站和出站流量进行调节。

安全区域是一个或多个接口绑定到的逻辑实体。对于多种类型的瞻博网络设备,您可以定义多个安全区域,这是根据网络需求确定的确切数量。

在单个设备上,您可以配置多个安全区域,将网络划分为多个分段,然后应用各种安全选项来满足每个分段的需求。您至少必须定义两个安全区域,基本上就是为了保护网络的一个区域,避免另一个区域。在某些安全平台上,您可以定义许多安全区域,使网络安全设计粒度更精细 — 无需部署多个安全设备即可实现此目标。

从安全策略角度考虑,流量进入一个安全区域并进入另一个安全区域。这种 与 from-zone 的组合 to-zone 定义为 环境。每个环境都包含一个有序策略列表。有关策略详细信息,请参阅 安全策略概述

本主题包括以下章节:

了解安全区接口

安全区段的接口可以视为一个通道,通过它,TCP/IP 流量可穿过该区域与任何其他区域。

通过定义的策略,您可以允许区域之间的流量朝一个方向或同时流动。对于您定义的路由,请指定从一个区域到另一个区域的流量必须使用的接口。由于可以将多个接口绑定到一个区域,因此您绘制的路由对于将流量引导至您所选择的接口非常重要。

接口可配置有 IPv4 地址、IPv6 地址或二者之一。

了解功能区域

功能区域用于特殊用途,例如管理接口。目前,仅支持管理 (MGT) 区域。管理区域具有以下属性:

  • 管理区域 主机管理接口。

  • 进入管理区域的流量与策略不匹配;因此,如果流量是在管理接口中收到的,则它将无法从任何其他接口经过。

  • 管理区域只能用于专用管理接口。

了解安全区域

安全区域是策略的构建块;它们是一个或多个接口绑定到的逻辑实体。安全区域提供了区分主机组(用户系统和其他主机,如服务器)及其资源的方式,以便对它们应用不同的安全措施。

安全区域具有以下属性:

  • 策略 — 主动安全策略,针对传输流量实施规则,包括流量可以通过防火墙的流量,以及流量通过防火墙时对流量采取的操作。有关详细信息,请参阅 安全策略概述

  • 筛选 — 有瞻博网络状态防火墙通过检测、允许或拒绝所有需要从一个安全区域到另一个安全区域进行的连接尝试,保护网络安全。对于每个安全区域,您可以启用一组预定义的筛选选项,以检测和阻止设备确定为潜在有害信息流的各种信息流。有关详细信息,请参阅 侦察发展器概述

  • 地址簿 — 组成地址簿以识别其成员的 IP 地址和地址集,以便可以将策略应用于这些地址和地址集。地址簿条目可以包括 IPv4 地址、IPv6 地址和域名系统 (DNS) 名称的任意组合。有关详细信息,请参阅 示例:配置地址簿和地址集

  • TCP-RST — 启用此功能时,当到达的流量与现有会话不匹配且未设置 SYNchronize 标志时,系统将发送一个设置 RESET 标志的 TCP 分段。

  • 接口 - 区域中的接口列表。

安全区域具有以下预配置区域:

  • 信任区域 - 仅在出厂配置中可用,用于设备初始连接。提交配置后,信任区域可能会覆盖。

示例:创建安全区域

此示例说明了如何配置区域并为其分配接口。配置安全区域时,可同时指定其许多参数。

要求

开始之前,配置网络接口。请参阅 安全设备接口用户指南

概述

安全区段的接口可以视为一个通道,通过它,TCP/IP 流量可穿过该区域与任何其他区域。

注意:

默认情况下,接口在 Null 区中。这些接口在分配给区域之前不会传递信息流。

注意:

您可以在 SRX3400、SRX3600、SRX4600、SRX5400、SRX5600 或 SRX5800 设备的安全区域内配置 2000 个接口,具体取决于安装的 Junos OS 版本。

配置

程序

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下CLI编辑器 。

要创建区域并为其分配接口,

  1. 配置以太网接口,然后为其分配 IPv4 地址。

  2. 配置以太网接口,然后为其分配 IPv6 地址。

  3. 配置安全区域并将其分配给以太网接口。

结果

在配置模式下,输入 和 命令以确认 show security zones security-zone ABC 您的 show interfaces ge-0/0/1 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为简洁起见, show 此输出仅包含与此示例相关的配置。系统上的其他任何配置已替换为椭圆 (...)。

如果完成设备配置,请从配置 commit 模式输入 。

验证

使用日志进行故障排除

目的

使用这些日志识别任何问题。

行动

在操作模式下,输入 show log messages 命令和 show log dcd 命令。

主机入站信息流支持的系统服务

本主题介绍为指定区域或接口上的主机入站信息流支持的系统服务。

例如,假设系统连接到区域接口的用户想要将 203.0.113.4 ABC telnet 连接到区域 198.51.100.4 中的接口 ABC 。要允许此操作,Telnet 应用程序必须配置为两个接口上的允许的入站服务,并且策略必须允许信息流传输。

请参阅 系统 服务(安全区域 主机 入站信息流)中的选项部分,以查看可用于主机入站流量的系统服务。

注意:

在 SRX 系列服务网关上, xnm-clear-text 字段在出厂默认配置中启用。当设备使用出厂Junos设置操作时,此设置可在设备信任区域启用传入的 XML 协议信息流。建议将出厂默认设置更换为用户定义的配置,在配置框之后提供额外的安全性。必须使用 CLI xnm-clear-text 命令手动删除字段 delete system services xnm-clear-text

请参阅 协议 (安全区域接口 中的选项部分,以查看可用于主机入站流量的受支持协议。

注意:

所有服务(DHCP 和 BOOTP 除外)都可以按区域或接口配置。只按接口配置 DHCP 服务器,因为服务器必须知道传入接口才能发送 DHCP 回复。

注意:

由于 NDP 默认启用,因此无需在主机入站流量上配置邻接方发现协议 (NDP)。

提供了 IPv6 邻居发现协议 (NDP) 的配置选项。配置选项为 set protocol neighbor-discovery onlink-subnet-only 命令。此选项将阻止设备响应前缀(未包含为设备接口前缀之一)的邻接方教唆 (NS)。

注意:

设置路由引擎 IPv6 条目的可能性从转发表中保留后,需要重新启动。

了解如何根据流量类型控制入站流量

本主题介绍如何配置区域以指定可以通过直接连接到其接口的系统到达设备的流量类型。

请注意:

  • 您可以在区域级别(在这种情况下,它们会影响区域的所有接口)或接口级别配置这些参数。(接口配置替代区域的配置。)

  • 您必须启用所有预期的主机入站流量。默认情况下,发往此设备的入站流量将丢弃。

  • 您也可配置区域接口以允许由动态路由协议使用。

此功能允许您保护设备免遭从直接或间接连接到其任何接口的系统发起的攻击。它还允许您有选择性地配置设备,以便管理员可以使用某些接口上的某些应用程序管理设备。您可以禁止在同一个区域的相同或不同接口上使用其他应用程序。例如,您很可能希望确保外部人员不使用互联网的 Telnet 应用程序登录设备,因为您不希望他们连接到您的系统。

示例:根据流量类型控制入站流量

此示例展示如何根据流量类型配置入站信息流。

要求

开始之前:

概述

通过允许系统服务运行,您可以配置区域以指定可以从直接连接到其接口的系统到达设备的不同类型的流量。您可以在区域级别配置不同的系统服务,在这种情况下,它们会影响区域的所有接口,或影响接口级别。(接口配置替代区域的配置。)

您必须启用所有预期的主机入站流量。默认情况下,直接连接到设备接口的设备中的入站流量将丢弃。

配置

程序

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 在 CLI 用户 指南 中的在配置模式下CLI编辑器 。

要基于流量类型配置入站流量:

  1. 配置安全区域。

  2. 配置安全区以支持所有系统服务的入站流量。

  3. 为第一个接口在接口级别(非区域级别)配置 Telnet、FTP 和 SNMP 系统服务。

  4. 配置安全区以支持第二个接口的所有系统服务的入站信息流。

  5. 从第二个接口中排除 FTP 和 HTTP 系统服务。

结果

在配置模式下,输入 ,以确认您的配置 show security zones security-zone ABC 。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

使用日志进行故障排除

目的

使用这些日志识别任何问题。

行动

在操作模式下,输入 show log messages 命令和 show log dcd 命令。

了解如何根据协议控制入站流量

本主题介绍指定区域或接口上的入站系统协议。

允许与主机入站信息流选项下列出的协议对应的任何主机入站信息流。例如,如果配置中的任意位置将协议映射到默认端口号,您可以在主机入站信息流选项中指定协议,并且将使用新端口号。 表 1 列出了支持的协议。的值表示允许来自以下所有协议的流量在指定的接口(区域或单个指定接口) all 上入站。

表 1:支持的入站系统协议

支持的系统服务

所有

igmp

Pim

Sap

bfd

自民党

vrrp

Bgp

msdp

ripng

nhrp

路由器发现

dvmrp

Ospf

Rsvp

Pgm

ospf3

   
注意:

如果为接口启用了 DVMRP 或 PIM,则 IGMP 和 MLD 主机入站流量将自动启用。由于IS-IS使用 OSI 寻址,并且不应生成任何 IP 信息流,因此此协议没有主机入站IS-IS选项。

注意:

由于 NDP 默认启用,因此无需在主机入站流量上配置邻接方发现协议 (NDP)。

提供了 IPv6 邻居发现协议 (NDP) 的配置选项。配置选项为 set protocol neighbor-discovery onlink-subnet-only 命令。此选项将阻止设备响应前缀(未包含为设备接口前缀之一)的邻接方教唆 (NS)。

注意:

设置路由引擎之前输入的 IPv6 条目的可能性在转发表中,需要重新启动。

示例:基于协议控制入站流量

此示例展示如何为接口启用入站信息流。

要求

开始之前:

概述

允许与主机入站信息流选项下列出的协议对应的任何主机入站信息流。例如,如果在配置中的任意位置将协议映射到默认端口号,您可以在主机入站信息流选项中指定协议,并且将使用新端口号。

的值表示允许来自所有协议的流量在指定的接口(区域或单个指定接口)上 all 入站。

配置

程序

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下CLI编辑器 。

要基于协议配置入站信息流:

  1. 配置安全区域。

  2. 根据接口的 ospf 协议,配置安全区域以支持入站信息流。

  3. 根据接口的 ospf3 协议,配置安全区域以支持入站信息流。

结果

在配置模式下,输入 ,以确认您的配置 show security zones security-zone ABC 。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

使用日志进行故障排除

目的

使用这些日志识别任何问题。

行动

在操作模式下,输入 show log messages 命令和 show log dcd 命令。

示例:配置 TCP 重置参数

此示例演示如何为区域配置 TCP-Reset 参数。

要求

开始之前,请配置安全区域。请参阅 示例:创建安全区域

概述

启用 TCP-Reset 参数功能时,当到达的流量与现有会话不匹配且没有设置 SYN 标志时,系统将发送一个 TCP 分段,并设置 RESET 标志。

配置

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下CLI编辑器 。

要配置区域 TCP 重置参数,请执行以下操作:

  1. 配置安全区域。

  2. 为区域配置 TCP 重置参数。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否工作正常,请输入 show security zones 命令。