安全区域
安全区域是一个或多个网段的集合,需要通过策略来调节入站和出站流量。安全区域是一个或多个接口绑定到的逻辑实体。您可以定义多个安全区域,其确切数量可根据您的网络需求确定。
安全区域概述
接口充当流量进出瞻博网络设备的入口。许多接口可以共享完全相同的安全要求;但是,不同的接口对入站和出站数据包也可能有不同的安全要求。具有相同安全要求的接口可以组合到单个安全区域中。
安全区域是一个或多个网段的集合,需要通过策略来调节入站和出站流量。
安全区域是一个或多个接口绑定到的逻辑实体。对于多种类型的瞻博网络设备,您可以定义多个安全区域,并根据您的网络需求确定确切数量。
在单个设备上,您可以配置多个安全区域,将网络划分为多个网段,您可以在其中应用各种安全选项来满足每个网段的需求。至少,您必须定义两个安全区域,基本上是为了保护网络的一个区域免受另一个区域的影响。在某些安全平台上,您可以定义多个安全区域,从而为您的网络安全设计提供更精细的粒度,而无需部署多个安全设备。
从安全策略的角度来看,流量进入一个安全区域,然后流出另一个安全区域。a from-zone 和 a to-zone 的这种组合定义为 上下文。每个上下文都包含一个有序的策略列表。有关策略的详细信息,请参阅 安全策略概述。
本主题包括以下部分:
了解安全区域接口
可以将安全区域的接口视为可在该区域与任何其他区域之间传递的 TCP/IP 通信的入口。
通过您定义的策略,您可以允许区域之间的流量沿一个方向或两个方向流动。通过您定义的路由,您可以指定从一个区域的流量到另一个区域的流量必须使用的接口。由于您可以将多个接口绑定到一个区域,因此您绘制的路由对于将流量定向到您选择的接口非常重要。
接口可以配置为 IPv4 地址和/或 IPv6 地址。
了解功能区
功能区用于特殊用途,如管理接口。目前,仅支持管理 (MGT) 区域。管理区域具有以下属性:
管理区域主机管理接口。
进入管理区域的流量与策略不匹配;因此,如果在管理接口中收到流量,则无法从任何其他接口传输。
管理区域只能用于专用管理接口。
了解安全区域
安全区域是策略的构建基块;它们是一个或多个接口绑定到的逻辑实体。安全区域提供了一种区分主机组(用户系统和其他主机,如服务器)及其资源的方法,以便对其应用不同的安全措施。
安全区域具有以下属性:
策略 - 主动安全策略,根据哪些流量可以通过防火墙以及流量通过防火墙时需要对流量执行的操作来实施传输流量规则。有关详细信息,请参阅 安全策略概述。
筛选 — 瞻博网络状态防火墙通过检查并允许或拒绝所有需要从一个安全区域传递到另一个安全区域的连接尝试来保护网络。对于每个安全区域,您可以启用一组预定义的屏幕选项,用于检测和阻止设备确定为可能有害的各种流量。有关详细信息,请参阅 侦察威慑概述。
地址簿 - 组成地址簿的 IP 地址和地址集,用于标识其成员,以便您可以对其应用策略。通讯簿条目可以包括 IPv4 地址、IPv6 地址和域名系统 (DNS) 名称的任意组合。有关更多信息,请参阅 示例:配置通讯簿和地址集。
TCP-RST — 启用此功能后,当流量到达时,系统会发送一个设置了 RESET 标志的 TCP 分段,该分段与现有会话不匹配且未设置 SYNchronize 标志。
接口 — 区域中的接口列表。
安全区域具有以下预配置区域:
信任区域 - 仅在出厂配置中可用,用于与设备的初始连接。提交配置后,可以覆盖信任区域。
示例:创建安全区域
此示例说明如何配置区域并为其分配接口。配置安全区域时,可以同时指定其多个参数。
要求
开始之前,请配置网络接口。请参阅 安全设备的接口用户指南。
概述
可以将安全区域的接口视为可在该区域与任何其他区域之间传递的 TCP/IP 通信的入口。
默认情况下,接口位于空区域中。接口在分配给区域之前不会传递流量。
您可以在 SRX3400、SRX3600、SRX4600、SRX5400、SRX5600 或 SRX5800 设备上的安全区域内配置 2000 个接口,具体取决于安装中的 Junos OS 版本。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要创建区域并为其分配接口,请执行以下操作:
配置以太网接口并为其分配 IPv4 地址。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
配置以太网接口并为其分配 IPv6 地址。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
配置安全区域并将其分配给以太网接口。
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
结果
在配置模式下,输入 show security zones security-zone ABC 和 show interfaces ge-0/0/1 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
为简洁起见,此 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
如果完成设备配置,请从配置模式输入 commit 。
主机入站流量支持的系统服务
本主题介绍指定区域或接口上的主机入站流量支持的系统服务。
例如,假设系统连接到区域中的接口203.0.113.4的用户想要远程登录到区域中ABC的接口198.51.100.4。ABC要允许此操作,必须在两个接口上将 Telnet 应用程序配置为允许的入站服务,并且策略必须允许流量传输。
请参阅系统服务(安全区域主机入站流量)中的选项部分,以查看可用于主机入站流量的系统服务。
在 SRX 系列防火墙上,该xnm-clear-text字段在出厂默认配置中启用。当设备以出厂默认设置运行时,此设置可在设备的信任区域中启用传入的 Junos XML 协议流量。我们建议您将出厂默认设置替换为用户定义的配置,以便在配置框后提供额外的安全性。您必须使用 CLI 命令delete system services xnm-clear-text手动删除该xnm-clear-text字段。
请参阅协议(安全区域接口)中的选项部分,以查看可用于主机入站流量的受支持协议。
所有服务(DHCP 和 BOOTP 除外)都可以按区域或接口进行配置。仅为每个接口配置 DHCP 服务器,因为服务器必须知道传入接口才能发送 DHCP 回复。
您无需在主机入站流量上配置邻居发现协议 (NDP),因为默认情况下启用 NDP。
IPv6 邻居发现协议 (NDP) 的配置选项可用。配置选项是 set protocol neighbor-discovery onlink-subnet-only 命令。此选项将阻止设备从未作为设备接口前缀之一包含的前缀响应邻居请求 (NS)。
设置此选项后,需要重新启动路由引擎,以消除转发表中保留先前 IPv6 条目的任何可能性。
了解如何根据流量类型控制入站流量
本主题介绍如何配置区域以指定可以从直接连接到其接口的系统到达设备的流量类型。
请注意以下几点:
您可以在区域级别配置这些参数,在这种情况下,它们会影响区域的所有接口,也可以在接口级别配置这些参数。(接口配置将覆盖区域的接口配置。)
您必须启用所有预期的主机入站流量。默认情况下,发往此设备的入站流量将被丢弃。
您还可以配置区域的接口以允许动态路由协议使用。
此功能允许您保护设备免受从直接或间接连接到其任何接口的系统发起的攻击。它还使您能够有选择地配置设备,以便管理员可以在某些接口上使用某些应用程序对其进行管理。您可以禁止在区域的相同或不同接口上使用其他应用程序。例如,您很可能希望确保外部人员不会从 Internet 使用 Telnet 应用程序登录设备,因为您不希望他们连接到您的系统。
示例:根据流量类型控制入站流量
此示例说明如何根据流量类型配置入站流量。
要求
准备工作:
配置网络接口。请参阅 安全设备的接口用户指南。
了解入站流量类型。请参阅 了解如何根据流量类型控制入站流量。
概述
通过允许系统服务运行,您可以配置区域以指定不同类型的流量,这些流量可以从直接连接到其接口的系统到达设备。您可以在区域级别配置不同的系统服务,在这种情况下,它们会影响区域的所有接口,也可以在接口级别配置。(接口配置将覆盖区域的接口配置。)
您必须启用所有预期的主机入站流量。默认情况下,来自直接连接到设备接口的设备的入站流量将被丢弃。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要根据流量类型配置入站流量,请执行以下操作:
配置安全区域。
[edit] user@host# edit security zones security-zone ABC
配置安全区域以支持所有系统服务的入站流量。
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
在接口级别(而不是区域级别)为第一个接口配置 Telnet、FTP 和 SNMP 系统服务。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
将安全区域配置为支持第二个接口的所有系统服务的入站流量。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
从第二个接口中排除 FTP 和 HTTP 系统服务。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
结果
在配置模式下,输入 show security zones security-zone ABC来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
了解如何基于协议控制入站流量
本主题介绍指定区域或接口上的入站系统协议。
允许与主机入站流量选项下列出的协议对应的任何主机入站流量。例如,如果在配置中的任何位置将协议映射到默认端口号以外的端口号,则可以在主机入站流量选项中指定协议,然后将使用新端口号。 表 1 列出了支持的协议。值 of all 表示允许来自以下所有协议的流量在指定接口(区域或单个指定接口)上入站。
支持的系统服务 |
|||
|---|---|---|---|
所有 |
IGMP |
Pim |
Sap |
BFD |
自民党 |
把 |
VRRP |
Bgp |
MSDP |
瑞彭 |
NHRP |
路由器发现 |
DVMRP |
Ospf |
Rsvp |
Pgm |
OSPF3 |
||
如果为接口启用了 DVMRP 或 PIM,则会自动启用 IGMP 和 MLD 主机入站流量。由于 IS-IS 使用 OSI 寻址,并且不应生成任何 IP 流量,因此 IS-IS 协议没有主机入站流量选项。
您无需在主机入站流量上配置邻居发现协议 (NDP),因为默认情况下启用 NDP。
IPv6 邻居发现协议 (NDP) 的配置选项可用。配置选项是 set protocol neighbor-discovery onlink-subnet-only 命令。此选项将阻止设备从未作为设备接口前缀之一包含的前缀响应邻居请求 (NS)。
设置此选项后,需要重新启动路由引擎,以消除转发表中保留先前 IPv6 条目的任何可能性。
示例:根据协议控制入站流量
此示例说明如何为接口启用入站流量。
要求
准备工作:
配置安全区域。请参见 示例:创建安全区域。
配置网络接口。请参阅 安全设备的接口用户指南。
概述
允许与主机入站流量选项下列出的协议对应的任何主机入站流量。例如,如果在配置中的任何位置将协议映射到默认端口号以外的端口号,则可以在主机入站流量选项中指定协议,然后将使用新端口号。
值 of all 表示允许来自所有协议的流量在指定接口(区域或单个指定接口)上入站。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要根据协议配置入站流量,请执行以下操作:
配置安全区域。
[edit] user@host# edit security zones security-zone ABC
将安全区域配置为支持基于接口的 OSPF 协议的入站流量。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
将安全区域配置为支持基于 ospf3 协议的接口入站流量。
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
结果
在配置模式下,输入 show security zones security-zone ABC来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
示例:配置 TCP 重置参数
此示例说明如何为区域配置 TCP 重置参数。
要求
开始之前,请配置安全区域。请参见 示例:创建安全区域。
概述
启用 TCP 重置参数功能后,当流量到达时,系统会发送一个设置了 RESET 标志的 TCP 分段,该流量与现有会话不匹配且未设置 SYN 标志。
配置
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要为区域配置 TCP 重置参数,请执行以下操作:
配置安全区域。
[edit] user@host# edit security zones security-zone ABC
为区域配置 TCP 重置参数。
[edit security zones security-zone ABC] user@host# set tcp-rst
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请输入 show security zones 命令。