Sicherheitszonen für Mandantensysteme
Sicherheitszonen können mit Mandantensystemen konfiguriert werden. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu Zonen für Mandantensysteme
Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sicherheitszonen können auf den Mandantensystemen vom Administrator konfiguriert werden. Auf einem Mandantensystem kann der Administrator mehrere Sicherheitszonen konfigurieren und das Netzwerk in Netzwerksegmente unterteilen, auf die verschiedene Sicherheitsoptionen angewendet werden können.
Der primäre Administrator konfiguriert die maximale und reservierte Anzahl von Sicherheitszonen für das Mandantensystem. Anschließend kann der Administrator für das Mandantensystem die Sicherheitszonen im Mandantensystem anlegen und jeder Sicherheitszone Schnittstellen zuweisen. Die Anzahl der im Mandantensystem konfigurierten Zonen wird auf die maximale Anzahl von Zonen angerechnet, die auf dem Gerät verfügbar sind. Der show system security-profile zones Befehl wird verwendet, um die Anzahl der Sicherheitszonen anzuzeigen, die dem Mandantensystem zugewiesen sind, und der show interfaces Befehl zum Anzeigen der Schnittstellen, die dem Mandantensystem zugewiesen sind.
Sie können die folgenden Funktionen in einer Mandantensystemsicherheitszone konfigurieren:
Schnittstellen, die Teil einer Sicherheitszone sind.
Bildschirmoptionen: Für jede Sicherheitszone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, die das Gerät als potenziell schädlich einstuft.
TCP-Reset: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem gesetzten RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das Synchronisierungsflag nicht gesetzt ist.
Eingehender Datenverkehr hosten: Diese Funktion gibt die Arten von Datenverkehr an, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind. Sie können diese Parameter auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. Die Schnittstellenkonfiguration überschreibt die der Zone.
Es gibt keine vorkonfigurierten Sicherheitszonen im Mandantensystem.
Die Management Functional Zone (MGT) kann für das Mandantensystem konfiguriert werden. Es gibt die Verwaltungsschnittstelle pro Gerät, die dem Mandantensystem zugeordnet ist.
Der Administrator für das Mandantensystem kann alle Attribute für eine Sicherheitszone in einem Mandantensystem konfigurieren und anzeigen. Alle Sicherheitszonenattribute in einem Mandantensystem sind auch für den primären Administrator sichtbar.
Beispiel: Konfigurieren von Zonen im Mandantensystem
In diesem Beispiel wird gezeigt, wie die Zonen für das Mandantensystem konfiguriert werden.
Anforderungen
Bevor Sie mit der Konfiguration beginnen:
Konfigurieren Sie die vom primären Administrator erstellten Schnittstellen. Siehe Beispiel: Konfigurieren von Schnittstellen und Routing-Instanzen für ein Mandantensystem.
Übersicht
In diesem Beispiel können Sie Zonen für die Mandantensysteme konfigurieren. Sicherheitszonen sind die Bausteine für Richtlinien. Sie sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Die [edit tenants tenant-name security zones] Hierarchieebene wird verwendet, um die Sicherheitszonen zu konfigurieren. In diesem Beispiel werden die in Tabelle 1 beschriebenen Sicherheitsrichtlinien und -zonen konfiguriert.
Feature |
Konfigurationsparameter |
|---|---|
Zonen 1 |
|
Zone 2 |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set tenants TN1 security zones security-zone trust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone trust interfaces xe-0/0/1.0 set tenants TN1 security zones security-zone untrust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone untrust interfaces xe-0/0/3.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitszonen im Mandantensystem:
Definieren Sie den Namen des Mandantensystems als TN1.
[edit] user@host# set tenants TN1
Konfigurieren Sie eine Sicherheitszone als Vertrauensstellung, die Datenverkehr von der Zonenvertrauensstellung zulässt, und weisen Sie sie einer Schnittstelle zu.
[edit tenants TN1 security zones security-zone trust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/1.0
Konfigurieren Sie eine Sicherheitszone als nicht vertrauenswürdig, die Datenverkehr aus einer Zone zulässt, in der nicht vertrauenswürdig ist, und weisen Sie sie einer Schnittstelle zu.
[edit tenants TN1 security zones security-zone untrust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/3.0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show tenants tenant-name security policies Befehl and show tenants tenant-name security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show tenants TN1 security zones
security-zone trust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/3.0;
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgende Aufgabe aus:
Überprüfen der Zonenkonfiguration
Zweck
Überprüfen Sie die Informationen zu Sicherheitszonen.
Aktion
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl aus dem show security zones tenant all Betriebsmodus ein.
user@host> show security zones tenant all
Tenant: TN1 Security zone: Host Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces: Security zone: abc Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces:xe-0/0/1.0 Security zone: def Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 1 Interfaces:xe-0/0/3.0
Bedeutung
In der Ausgabe werden die Informationen zu den Sicherheitszonen angezeigt, die auf dem Mandantensystem konfiguriert sind.