Sicherheitszonen und Sicherheitsrichtlinien für Sicherheitsgeräte
Grundlegende Informationen zu Layer 2-Sicherheitszonen
Eine Layer 2-Sicherheit Zone ist eine Zone, die Layer-2-Schnittstellen hostet. Eine Sicherheitszone kann entweder eine Layer-2- oder eine Layer-3-Zone sein. es kann entweder alle Layer-2- oder alle Layer-3-Schnittstellen hosten, kann aber keine Mischung aus Layer 2- und Layer 3-Schnittstellen enthalten.
Der Typ der Sicherheitszone – Layer 2 oder Layer 3 – wird implizit von der ersten für die Sicherheitszone konfigurierten Schnittstelle festgelegt. Bei nachfolgenden Schnittstellen, die für dieselbe Sicherheitszone konfiguriert sind, muss derselbe Typ wie die erste Schnittstelle sein.
Ein Gerät kann nicht sowohl mit Layer 2- als auch mit Layer 3-Sicherheitszonen konfiguriert werden.
Sie können die folgenden Eigenschaften für Layer 2-Sicherheit Zonen konfigurieren:
Schnittstellen: Liste der Schnittstellen in der Zone.
Richtlinien: Aktive Sicherheitsrichtlinien, die Regeln für den Transitdatenverkehr durchsetzen, in Bezug auf den Datenverkehr, der durch die Firewall gehen kann, und die Maßnahmen, die auf dem Datenverkehr stattfinden müssen, wenn er durch die Firewall passiert.
Screens: Eine Juniper Networks Firewall schützt das Netzwerk durch Überprüfung und anschließende Unterbindung aller Verbindungsversuche, die eine Verbindung von einer Sicherheitszone zur anderen erfordern. Für jede Sicherheitszone und die MGT-Zone können Sie eine Reihe von vordefinierten Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, die das Gerät als potenziell schädlich feststellt.
Anmerkung:Sie können die gleichen Bildschirmoptionen für eine bestimmte Layer 2-Sicherheit wie für eine Layer-3-Sicherheitszone konfigurieren.
Adressbücher: IP-Adressen und Adresssätze, die ein Adressbuch enthalten, um die Mitglieder zu identifizieren, sodass Sie Richtlinien auf sie anwenden können.
TCP-RST: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem Reset-Flag-Set, wenn Der Datenverkehr eintrifft, der nicht zu einer vorhandenen Sitzung passt und nicht über den Synchronisiert-Flag-Set verfügt.
Darüber hinaus können Sie eine Layer 2-Zone für den Host-eingehenden Datenverkehr konfigurieren. Auf diese Weise können Sie festlegen, welche Arten von Datenverkehr das Gerät von Systemen erreichen können, die direkt mit den Schnittstellen in der Zone verbunden sind. Sie müssen standardmäßig den zu erwartenden zum Host eingehenden Datenverkehr angeben, da der eingehende Datenverkehr von Geräten, die direkt mit den Schnittstellen des Geräts verbunden sind, eingestellt wird.
Siehe auch
Beispiel: Konfigurieren von Layer 2-Sicherheitszonen
In diesem Beispiel wird die Konfiguration von Layer 2-Sicherheit gezeigt.
Anforderungen
Legen Sie zunächst die Eigenschaften fest, die Sie für die Layer 2-Sicherheit zone konfigurieren möchten. Informationen zu Layer 2-Sicherheitszonen findenSie unter.
Überblick
In diesem Beispiel konfigurieren Sie die Sicherheitszone l2-zone1, um eine logische Layer 2-Schnittstelle mit der Namen ge-3/0/0.0 und die Sicherheitszone l2-zone2 mit einer logischen Layer 2-Schnittstelle namens ge-3/0/1.0 ein schließen zu können. Konfigurieren Sie dann l2-zone2, um alle unterstützten Anwendungsdienste (wie SSH, Telnet und SNMP) als von einem Host eingehenden Datenverkehr zu ermöglichen.
Konfiguration
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Layer 2-Sicherheit Zonen:
Erstellen Sie Layer 2-Sicherheit Zone, und weisen Sie ihr Schnittstellen zu.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Konfigurieren Sie eine der Layer 2-Sicherheit Zonen.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit die Konfiguration.
[edit] user@host# commit
Überprüfung
Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security zones funktioniert.
Verstehen von Sicherheitsrichtlinien im transparenten Modus
Im transparenten Modus können Sicherheitsrichtlinien nur zwischen Layer-2-Zonen konfiguriert werden. Wenn Pakete über das VLAN weitergeleitet werden, werden die Sicherheitsrichtlinien zwischen Sicherheitszonen angewendet. Eine Sicherheitsrichtlinie für den transparenten Modus ist mit einer Richtlinie vergleichbar, die für Layer-3-Zonen konfiguriert wurde. Dies gilt jedoch für folgende Ausnahmen:
NAT werden nicht unterstützt.
IPSec-VPN wird nicht unterstützt.
Anwendungs-ANY wird nicht unterstützt.
Die Layer-2-Weiterleitung erlaubt keinen Verkehr in einer Zone, es sei denn es gibt eine explizit auf dem Gerät konfigurierte Richtlinie. Standardmäßig führt die Layer 2-Weiterleitung die folgenden Aktionen aus:
Ermöglicht oder verweigert Datenverkehr, der von der konfigurierten Richtlinie angegeben wurde.
Ermöglicht Address Resolution Protocol (ARP) und Layer 2-Datenverkehr (nicht IP-Multicast und Broadcast).
Blockiert weiterhin den ganzen Nicht-IP- und Nicht-ARP-Unicast-Datenverkehr.
Dieses Standardverhalten kann für den Ethernet-Switching-Paketfluss entweder mit J-Web oder dem Konfigurationseditor CLI geändert werden:
Konfigurieren Sie die Option zum Blockieren des ganzen
block-non-ip-allLayer-2-Datenverkehrs ohne IP und Nicht-ARP, einschließlich Multicast- und Broadcast-Datenverkehr.Konfigurieren Sie
bypass-non-ip-unicastdie Option, um allen Nicht-IP-Datenverkehr auf Layer 2 das Gerät zu ermöglichen.
Beide Optionen können nicht gleichzeitig konfiguriert werden.
Beginnend mit Junos OS Release 12.3X48-D10 und Junos OS Release 17.3R1 können Sie im gemischten Modus (dem Standardmodus) eine separate Sicherheitszone für Layer 2- und Layer 3-Schnittstellen erstellen. Allerdings gibt es kein Routing zwischen IRB-Schnittstellen und zwischen IRB-Schnittstellen und Layer-3-Schnittstellen. Daher können Sie keine Sicherheitsrichtlinien zwischen Layer 2- und Layer 3-Zonen konfigurieren. Es können nur Sicherheitsrichtlinien zwischen den Layer-2-Zonen oder zwischen Layer-3-Zonen konfiguriert werden.
Siehe auch
Beispiel: Konfigurieren von Sicherheitsrichtlinien im transparenten Modus
In diesem Beispiel wird gezeigt, wie Sicherheitsrichtlinien im transparenten Modus zwischen Layer 2-Zonen konfiguriert werden.
Anforderungen
Legen Sie zunächst das Richtlinienverhalten fest, das Sie in die Layer 2-Sicherheit zone Layer 2-Sicherheit möchten. Siehe Sicherheitsrichtlinien im transparenten Modus.
Überblick
In diesem Beispiel konfigurieren Sie eine Sicherheitsrichtlinie, um HTTP-Datenverkehr vom 192.0.2.0/24-Subnetz in der Sicherheitszone l2–Zone1 dem Server unter 192.0.2.1/24 in der l2-Zone2-Sicherheitszone zu ermöglichen.
Konfiguration
Verfahren
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien im transparenten Modus:
Erstellen Sie Richtlinien und weisen Sie den Schnittstellen für die Zonen Adressen zu.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
Richtlinien für die Anwendung festlegen.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Verstehen der Firewall-Benutzerauthentifizierung im transparenten Modus
Ein Firewall-Benutzer ist ein Netzwerkbenutzer, der zur Authentifizierung einen Benutzernamen und ein Kennwort angeben muss, wenn eine Verbindung über die Firewall initiiert wird. Die Firewall-Benutzerauthentifizierung ermöglicht Administratoren die Einschränkung und Genehmigung von Benutzern, die auf geschützte Ressourcen hinter einer Firewall zugreifen, basierend auf ihrer IP-Quelladresse und anderen Anmeldeinformationen. Junos OS unterstützt die folgenden Arten der Firewall-Benutzerauthentifizierung für den transparenten Modus auf dem Gerät der SRX-Serie:
Pass-Through-Authentifizierung: Ein Host oder ein Benutzer von einer Zone versucht, auf Ressourcen in einer anderen Zone zu zugreifen. Sie müssen über einen FTP-, Telnet- oder HTTP-Client auf die IP-Adresse der geschützten Ressource zugreifen und durch die Firewall authentifiziert werden. Das Gerät verwendet FTP, Telnet oder HTTP, um Daten zu Benutzername und Kennwort zu erfassen. Auf Grundlage dieser Authentifizierung wird nachfolgender Datenverkehr des Benutzers oder Hosts zugelassen oder abgelehnt.
Webauthentifizierung: Benutzer versuchen über HTTP eine Verbindung mit einer IP-Adresse an der IRB-Schnittstelle herzustellen, die die Webauthentifizierung ermöglicht. Sie werden gefragt, ob Benutzername und Passwort auf dem Gerät verifiziert wurden. Nachfolgender Datenverkehr vom Benutzer oder Host zur geschützten Ressource wird anhand dieser Authentifizierung zugelassen oder abgelehnt.