Auf dieser Seite
Sicherheitszonen und Sicherheitsrichtlinien auf Sicherheitsgeräten
Grundlegendes zu Layer 2-Sicherheitszonen
Eine Layer 2-Sicherheitszone ist eine Zone, in der Layer-2-Schnittstellen hosten. Eine Sicherheitszone kann entweder eine Layer-2- oder Layer-3-Zone sein. Es kann entweder alle Layer-2-Schnittstellen oder alle Layer-3-Schnittstellen hosten, aber es kann keine Mischung aus Layer-2- und Layer-3-Schnittstellen enthalten.
Der Sicherheitszonentyp – Layer 2 oder Layer 3 – wird implizit von der ersten für die Sicherheitszone konfigurierten Schnittstelle festgelegt. Nachfolgende Schnittstellen, die für dieselbe Sicherheitszone konfiguriert sind, müssen derselbe Typ wie die erste Schnittstelle sein.
Sie können ein Gerät nicht mit Sicherheitszonen auf Layer 2 und Layer 3 konfigurieren.
Sie können die folgenden Eigenschaften für Layer 2-Sicherheitszonen konfigurieren:
Schnittstellen – Liste der Schnittstellen in der Zone.
Richtlinien: Aktive Sicherheitsrichtlinien, die Regeln für den Transitverkehr durchsetzen, in Bezug auf den Datenverkehr, den Datenverkehr, der die Firewall passieren kann, und die Aktionen, die auf dem Datenverkehr durchgeführt werden müssen, wenn er durch die Firewall geleitet wird.
Bildschirme: Eine Stateful Firewall von Juniper Networks sichert ein Netzwerk, indem sie alle Verbindungsversuche, die einen Durchgang von einer Sicherheitszone in eine andere erfordern, inspiziert und dann zulässt oder verweigert. Für jede Sicherheitszone und die MGT-Zone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, der vom Gerät als potenziell schädlich feststellt.
HINWEIS:Sie können die gleichen Bildschirmoptionen für eine Layer 2-Sicherheitszone wie für eine Layer-3-Sicherheitszone konfigurieren.
Adressbücher: IP-Adressen und Adresssätze, die ein Adressbuch erstellen, um seine Mitglieder zu identifizieren, damit Sie Richtlinien darauf anwenden können.
TCP-RST: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem gesetzten Reset-Flag, wenn der Datenverkehr ankommt, das nicht mit einer vorhandenen Sitzung übereinstimmt und nicht über das Synchronisations-Flag festgelegt ist.
Darüber hinaus können Sie eine Layer-2-Zone für Host-eingehenden Datenverkehr konfigurieren. Auf diese Weise können Sie festlegen, welche Arten von Datenverkehr das Gerät von Systemen erreichen kann, die direkt mit den Schnittstellen in der Zone verbunden sind. Sie müssen den gesamten erwarteten Host-eingehenden Datenverkehr angeben, da eingehender Datenverkehr von Geräten, die direkt mit den Geräteschnittstellen verbunden sind, standardmäßig unterbrochen wird.
Siehe auch
Beispiel: Konfigurieren von Layer 2-Sicherheitszonen
Dieses Beispiel zeigt, wie Sie Layer 2-Sicherheitszonen konfigurieren.
Anforderungen
Legen Sie zunächst die Eigenschaften fest, die für die Layer 2-Sicherheitszone konfiguriert werden sollen. Siehe Grundlegendes zu Layer-2-Sicherheitszonen.
Überblick
In diesem Beispiel konfigurieren Sie die Sicherheitszone l2-zone1 so, dass sie eine logische Layer-2-Schnittstelle namens ge-3/0/0.0 und die Sicherheitszone l2-zone2 umfasst, die eine logische Layer-2-Schnittstelle namens ge-3/0/1.0 umfasst. Dann konfigurieren Sie l2-zone2 so, dass alle unterstützten Anwendungsservices (wie SSH, Telnet und SNMP) als Host-eingehender Datenverkehr zugelassen werden.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Layer 2-Sicherheitszonen:
Erstellen Sie eine Layer-2-Sicherheitszone, und weisen Sie ihr Schnittstellen zu.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Konfigurieren Sie eine der Layer 2-Sicherheitszonen.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Geben Sie den Befehl ein, um zu überprüfen, ob die show security zones
Konfiguration ordnungsgemäß funktioniert.
Sicherheitsrichtlinien im transparenten Modus verstehen
Im transparenten Modus können Sicherheitsrichtlinien nur zwischen Layer-2-Zonen konfiguriert werden. Wenn Pakete über das VLAN weitergeleitet werden, werden die Sicherheitsrichtlinien zwischen Sicherheitszonen angewendet. Eine Sicherheitsrichtlinie für den transparenten Modus ähnelt einer Richtlinie, die für Layer-3-Zonen konfiguriert ist, mit den folgenden Ausnahmen:
NAT wird nicht unterstützt.
IPsec-VPN wird nicht unterstützt.
Anwendung ANY wird nicht unterstützt.
Layer 2-Weiterleitung erlaubt keinen Interzonenverkehr, es sei denn, es ist eine Richtlinie explizit auf dem Gerät konfiguriert. Standardmäßig führt layer 2-Weiterleitung die folgenden Aktionen aus:
Erlaubt oder verweigert datenverkehr, der durch die konfigurierte Richtlinie angegeben wird.
Ermöglicht Address Resolution Protocol (ARP) und Layer-2-Nicht-IP-Multicast- und Broadcast-Datenverkehr.
Blockiert weiterhin den gesamten Nicht-IP- und Nicht-ARP-Unicast-Datenverkehr.
Dieses Standardverhalten kann für den Ethernet-Switching-Paketfluss entweder mit J-Web oder dem CLI-Konfigurations-Editor geändert werden:
Konfigurieren Sie die Option, den
block-non-ip-all
gesamten Layer 2-Nicht-IP- und Nicht-ARP-Datenverkehr zu blockieren, einschließlich Multicast- und Broadcast-Datenverkehr.Konfigurieren Sie die
bypass-non-ip-unicast
Option, damit der gesamte Layer-2-Nicht-IP-Datenverkehr das Gerät passieren kann.
Sie können nicht beide Optionen gleichzeitig konfigurieren.
Ab Junos OS Version 12.3X48-D10 und Junos OS Version 17.3R1 können Sie eine separate Sicherheitszone im gemischten Modus (dem Standardmodus) für Layer 2- und Layer 3-Schnittstellen erstellen. Es gibt jedoch kein Routing zwischen IRB-Schnittstellen und zwischen IRB-Schnittstellen und Layer-3-Schnittstellen. Daher können Sie keine Sicherheitsrichtlinien zwischen Layer-2- und Layer-3-Zonen konfigurieren. Sicherheitsrichtlinien können nur zwischen Layer-2-Zonen oder zwischen Layer-3-Zonen konfiguriert werden.
Siehe auch
Beispiel: Konfigurieren von Sicherheitsrichtlinien im transparenten Modus
Dieses Beispiel zeigt, wie Sie Sicherheitsrichtlinien im transparenten Modus zwischen Layer-2-Zonen konfigurieren.
Anforderungen
Legen Sie zunächst das Richtlinienverhalten fest, das in die Layer 2-Sicherheitszone aufgenommen werden soll. Siehe Grundlegendes zu Sicherheitsrichtlinien im transparenten Modus.
Überblick
In diesem Beispiel konfigurieren Sie eine Sicherheitsrichtlinie, die HTTP-Datenverkehr vom 192.0.2.0/24-Teilnetz in der Sicherheitszone l2–zone1 zum Server unter 192.0.2.1/24 in der Sicherheitszone l2–zone2 zulässt.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien im transparenten Modus:
Erstellen Sie Richtlinien und weisen Sie den Schnittstellen für die Zonen Adressen zu.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
Legen Sie Richtlinien für die Anwendung fest.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies
Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Verständnis der Firewall-Benutzerauthentifizierung im transparenten Modus
Ein Firewall-Benutzer ist ein Netzwerkbenutzer, der einen Benutzernamen und ein Kennwort für die Authentifizierung angeben muss, wenn eine Verbindung über die Firewall initiiert wird. Die Firewall-Benutzerauthentifizierung ermöglicht Administratoren, den Zugriff auf geschützte Ressourcen hinter einer Firewall basierend auf ihrer Quell-IP-Adresse und anderen Anmeldedaten zu beschränken und zu erlauben. Junos OS unterstützt die folgenden Arten von Firewall-Benutzerauthentifizierung für den transparenten Modus auf dem Gerät der SRX-Serie:
Pass-Through-Authentifizierung: Ein Host oder ein Benutzer aus einer Zone versucht, auf Ressourcen in einer anderen Zone zuzugreifen. Sie müssen einen FTP-, Telnet- oder HTTP-Client verwenden, um auf die IP-Adresse der geschützten Ressource zuzugreifen und durch die Firewall authentifiziert zu werden. Das Gerät verwendet FTP, Telnet oder HTTP, um Benutzernamens- und Kennwortinformationen zu erfassen, und der nachfolgende Datenverkehr vom Benutzer oder Host wird basierend auf dem Ergebnis dieser Authentifizierung zugelassen oder abgelehnt.
Webauthentifizierung: Benutzer versuchen, mithilfe von HTTP eine Verbindung zu einer IP-Adresse auf der IRB-Schnittstelle herzustellen, die für die Webauthentifizierung aktiviert ist. Sie werden aufgefordert, den Benutzernamen und das Kennwort einzugeben, die vom Gerät überprüft wurden. Nachfolgender Datenverkehr vom Benutzer oder Host zur geschützten Ressource wird basierend auf dem Ergebnis dieser Authentifizierung zugelassen oder abgelehnt.