安全区域
安全区域是一个或多个网段的集合,需要通过策略来调节入站和出站流量。安全区域是一个或多个接口绑定到的逻辑实体。您可以定义多个安全区域,具体数量由您根据网络需求确定。
安全区域概述
接口充当流量进出瞻博网络设备的门户。许多接口可以共享完全相同的安全要求;但是,不同的接口对入站和出站数据包也可能有不同的安全要求。可以将具有相同安全要求的接口组合到单个安全区域中。
安全区域是一个或多个网段的集合,需要通过策略来调节入站和出站流量。
安全区域是一个或多个接口绑定到的逻辑实体。对于多种类型的瞻博网络设备,您可以定义多个安全区域,并根据网络需求确定具体数量。
在一台设备上,您可以配置多个安全区域,将网络划分为多个网段,您可以在这些网段应用各种安全选项来满足每个网段的需求。您至少必须定义两个安全区域,基本上是为了保护网络的一个区域免受另一个区域的影响。在某些安全平台上,您可以定义许多安全区域,从而使网络安全设计更加精细,而无需为此部署多个安全设备。
从安全策略的角度来看,流量进入一个安全区域,然后在另一个安全区域出去。这种 a from-zone 和 a to-zone 的组合被定义为 上下文。每个上下文都包含一个有序的策略列表。有关策略的详细信息,请参阅 安全策略概述。
本主题包含以下部分:
了解安全区域接口
可以将安全区域的接口视为一个网关,TCP/IP 流量可以通过该网关在该区域和任何其他区域之间通过。
通过您定义的策略,您可以允许区域之间的流量沿一个方向或两个方向流动。通过您定义的路由,您可以指定从一个区域到另一个区域的流量必须使用的接口。由于您可以将多个接口绑定到一个区域,因此绘制的路由对于将流量引导到所选接口非常重要。
接口可以配置 IPv4 地址和/或 IPv6 地址。
了解功能区
功能区用于特殊用途,如管理接口。目前,仅支持管理 (MGT) 区域。管理区域具有以下属性:
管理区域、主机管理接口。
进入管理区域的流量与策略不匹配;因此,如果在管理接口中接收到流量,则无法从任何其他接口传出。
管理区域只能用于专用管理接口。
了解安全区域
安全区域是策略的构建块;它们是一个或多个接口绑定到的逻辑实体。安全区域提供了一种将主机组(用户系统和其他主机,例如服务器)及其资源相互区分的方法,以便对它们应用不同的安全措施。
安全区域具有以下属性:
策略 — 主动安全策略,用于强制执行传输流量规则,包括哪些流量可以通过防火墙,以及流量通过防火墙时需要对其执行的作。更多信息,请参阅 安全策略概述。
筛选 - 瞻博网络状态防火墙通过检查,然后允许或拒绝所有需要从一个安全区域通道到另一个安全区域的连接尝试来保护网络。对于每个安全区域,您可以启用一组预定义的屏幕选项,用于检测并阻止设备确定为可能有害的各种流量。有关详细信息,请参阅 侦察威慑概述。
地址簿 — 组成通讯簿的 IP 地址和地址集,用于标识其成员,以便您可以向其应用策略。通讯簿条目可以包括 IPv4 地址、IPv6 地址和域名系统 (DNS) 名称的任意组合。有关详细信息,请参阅 示例:配置地址簿和地址集。
TCP-RST — 启用此功能后,当流量到达时,系统将发送一个 TCP 分段,该分段与现有会话不匹配,并且未设置 SYNchronize 标志。
接口 - 区域中的接口列表。
安全区域具有以下预配置区域:
信任区 — 仅在出厂配置中可用,用于与设备的初始连接。提交配置后,可以覆盖信任区域。
示例:创建安全区域
此示例说明如何配置区域并为其分配接口。配置安全区域时,可以同时指定其多个参数。
要求
开始之前,请配置网络接口。请参阅 安全设备接口用户指南。
概述
可以将安全区域的接口视为一个网关,TCP/IP 流量可以通过该网关在该区域和任何其他区域之间通过。
默认情况下,接口位于 null 区域中。接口在被分配到区域之前不会传递流量。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
要创建区域并为其分配接口,请执行以下作:
配置以太网接口并为其分配 IPv4 地址。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
配置以太网接口并为其分配 IPv6 地址。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
配置安全区域并将其分配给以太网接口。
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
结果
在配置模式下,输入 show security zones security-zone ABC 和 show interfaces ge-0/0/1 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起见,此 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
如果完成设备配置,请从配置模式输入 commit 。
主机入站流量支持的系统服务
本主题介绍指定区域或接口上的主机入站流量支持的系统服务。
例如,假设一个用户的系统连接到 zone 中的接口203.0.113.4,他想要 telnet 到 zone ABC中的接口198.51.100.4。ABC若要允许此作,必须在两个接口上将 Telnet 应用程序配置为允许的入站服务,并且策略必须允许流量传输。
请参阅 system-services(安全区域主机入站流量)中的选项部分,查看可用于主机入站流量的系统服务。
该xnm-clear-text字段在出厂默认配置中处于启用状态。当设备以出厂默认设置运行时,此设置可在设备的信任区域中传入 Junos XML 协议流量。我们建议您将出厂默认设置替换为用户定义的配置,以便在配置盒子后提供额外的安全性。您必须使用 CLI 命令delete system services xnm-clear-text手动删除该xnm-clear-text字段。
请参阅协议(安全区域、接口)中的“选项”部分,查看可用于主机入站流量的支持协议。
所有服务(DHCP 和 BOOTP 除外)均可按区域或接口进行配置。DHCP 服务器仅按接口配置,因为服务器必须知道传入接口才能发送 DHCP 回复。
无需在主机入站流量上配置邻接方发现协议 (NDP),因为 NDP 默认处于启用状态。
IPv6 邻居发现协议 (NDP) 的配置选项可用。配置选项是 set protocol neighbor-discovery onlink-subnet-only 命令。此选项将防止设备响应来自未作为设备接口前缀之一的前缀的邻居请求 (NS)。
设置此选项后,需要重新启动路由引擎,以消除先前的 IPv6 条目保留在转发表中的任何可能性。
了解如何基于流量类型控制入站流量
本主题介绍如何配置区域以指定可从直接连接到设备接口的系统到达设备的流量类型。
请注意以下几点:
您可以在区域级别配置这些参数,在这种情况下,这些参数会影响区域的所有接口,也可以在接口级别配置这些参数。(接口配置将覆盖区域的配置。)
您必须启用所有预期的主机入站流量。默认情况下,发往此设备的入站流量会被丢弃。
您还可以配置区域的接口,以允许动态路由协议使用。
此功能允许您保护设备免受直接或间接连接到其任何接口的系统发起的攻击。它还允许您有选择地配置设备,以便管理员可以使用某些接口上的某些应用程序对其进行管理。您可以禁止在区域的相同或不同接口上使用其他应用程序。例如,您很可能希望确保外部人员不使用 Internet 上的 Telnet 应用程序登录设备,因为您不希望他们连接到您的系统。
示例:基于流量类型控制入站流量
此示例说明如何基于流量类型配置入站流量。
要求
开始之前:
配置网络接口。请参阅 安全设备接口用户指南。
了解入站流量类型。请参阅 了解如何基于流量类型控制入站流量。
概述
通过允许系统服务运行,您可以配置区域以指定不同类型的流量,这些流量可从直接连接到其接口的系统到达设备。您可以在区域级别或接口级别配置不同的系统服务,在这种情况下,这些服务会影响区域的所有接口。(接口配置将覆盖区域的配置。)
您必须启用所有预期的主机入站流量。默认情况下,来自直接连接到设备接口的设备的入站流量会丢弃。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
要基于流量类型配置入站流量,请执行以下作:
配置安全区域。
[edit] user@host# edit security zones security-zone ABC
将安全区域配置为支持所有系统服务的入站流量。
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
在接口级别(而非区域级别)为第一个接口配置 Telnet、FTP 和 SNMP 系统服务。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
将安全区域配置为支持第二个接口的所有系统服务的入站流量。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
从第二个接口中排除 FTP 和 HTTP 系统服务。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
结果
在配置模式下,输入 . show security zones security-zone ABC如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
了解如何基于协议控制入站流量
本主题介绍指定区域或接口上的入站系统协议。
允许与主机入站流量选项下列出的协议对应的任何主机入站流量。例如,如果在配置中的任意位置将协议映射到默认端口号以外的端口号,则可以在主机入站流量选项中指定协议,然后使用新的端口号。 表 1 列出了支持的协议。值表示 all 允许来自以下所有协议的流量在指定接口(区域或单个指定接口)上入站。
支持的系统服务 |
|||
|---|---|---|---|
都 |
IGMP |
PIM |
树液 |
BFD |
自民党 |
把 |
VRRP |
边界网关协议 |
MSDP |
RIPNG |
国家人力资源协会 |
路由器发现 |
DVMRP |
OSPF |
回复 |
铂族金属 |
OSPF3 |
||
如果为接口启用了 DVMRP 或 PIM,则会自动启用 IGMP 和 MLD 主机入站流量。由于 IS-IS 使用 OSI 寻址,不应生成任何 IP 流量,因此 IS-IS 协议没有主机入站流量选项。
无需在主机入站流量上配置邻接方发现协议 (NDP),因为 NDP 默认处于启用状态。
IPv6 邻居发现协议 (NDP) 的配置选项可用。配置选项是 set protocol neighbor-discovery onlink-subnet-only 命令。此选项将防止设备响应来自未作为设备接口前缀之一的前缀的邻居请求 (NS)。
设置此选项后,需要重新启动路由引擎,以消除转发表中保留先前 IPv6 条目的任何可能性。
示例:基于协议控制入站流量
此示例说明如何为接口启用入站流量。
要求
开始之前:
配置安全区域。请参阅 示例:创建安全区域。
配置网络接口。请参阅 安全设备接口用户指南。
概述
允许与主机入站流量选项下列出的协议对应的任何主机入站流量。例如,如果在配置中的任意位置将协议映射到默认端口号以外的端口号,则可以在主机入站流量选项中指定协议,则将使用新的端口号。
值 all 表示允许来自所有协议的流量在指定接口(区域或单个指定接口)上入站。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
要基于协议配置入站流量,请执行以下作:
配置安全区域。
[edit] user@host# edit security zones security-zone ABC
根据接口的 OSPF 协议将安全区域配置为支持入站流量。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
将安全区域配置为基于某个接口的 ospf3 协议支持入站流量。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
结果
在配置模式下,输入 . show security zones security-zone ABC如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
示例:配置 TCP-Reset 参数
此示例说明如何为区域配置 TCP-Reset 参数。
要求
开始之前,请配置安全区域。请参阅 示例:创建安全区域。
概述
启用 TCP-Reset 参数功能后,当流量到达时,系统会发送一个 TCP 分段,其中设置了 RESET 标志,但该分段与现有会话不匹配,并且未设置 SYN 标志。
配置
程序
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 CLI 用户指南中的 在配置模式下使用 CLI 编辑器 。
要为区域配置 TCP-Reset 参数,请执行以下作:
配置安全区域。
[edit] user@host# edit security zones security-zone ABC
配置区域的 TCP-Reset 参数。
[edit security zones security-zone ABC] user@host# set tcp-rst
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否工作正常,请输入 show security zones 命令。
特定于平台的安全区域创建行为
使用 功能浏览器 确认平台和版本对特定功能的支持。
使用下表查看您的平台特定于平台的行为:
| 平台 |
差异 |
|---|---|
| SRX 系列 |
|