Sicherheitszonen und Sicherheitsrichtlinien auf Sicherheitsgeräten
Grundlegendes zu Layer-2-Sicherheitszonen
Eine Layer-2-Sicherheitszone ist eine Zone, in der Layer-2-Schnittstellen gehostet werden. Bei einer Sicherheitszone kann es sich entweder um eine Layer-2- oder eine Layer-3-Zone handeln. Es kann entweder alle Layer-2-Schnittstellen oder alle Layer-3-Schnittstellen hosten, aber es darf keine Mischung aus Layer-2- und Layer-3-Schnittstellen enthalten.
Der Sicherheitszonentyp – Layer 2 oder Layer 3 – wird implizit von der ersten für die Sicherheitszone konfigurierten Schnittstelle festgelegt. Nachfolgende Schnittstellen, die für dieselbe Sicherheitszone konfiguriert sind, müssen vom gleichen Typ wie die erste Schnittstelle sein.
Sie können ein Gerät nicht sowohl mit Layer-2- als auch mit Layer-3-Sicherheitszonen konfigurieren.
Sie können die folgenden Eigenschaften für Layer-2-Sicherheitszonen konfigurieren:
Schnittstellen: Liste der Schnittstellen in der Zone.
Richtlinien: Aktive Sicherheitsrichtlinien, die Regeln für den Transitdatenverkehr durchsetzen, d. h. welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen.
Bildschirme: Eine Stateful-Firewall von Juniper Networks sichert ein Netzwerk, indem sie alle Verbindungsversuche, die den Übergang von einer Sicherheitszone in eine andere erfordern, überprüft und anschließend zulässt oder verweigert. Für jede Sicherheitszone und die MGT-Zone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, die das Gerät als potenziell schädlich einstuft.
HINWEIS:Sie können für eine Layer-2-Sicherheitszone dieselben Bildschirmoptionen konfigurieren wie für eine Layer-3-Sicherheitszone.
Adressbücher: IP-Adressen und Adresssätze, aus denen ein Adressbuch besteht, um seine Mitglieder zu identifizieren, damit Sie Richtlinien auf sie anwenden können.
TCP-RST - Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem gesetzten Reset-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das Synchronisierungsflag nicht festgelegt ist.
Darüber hinaus können Sie eine Layer-2-Zone für eingehenden Host-Datenverkehr konfigurieren. Auf diese Weise können Sie die Arten von Datenverkehr angeben, der das Gerät von Systemen erreichen kann, die direkt mit den Schnittstellen in der Zone verbunden sind. Sie müssen den gesamten erwarteten eingehenden Hostdatenverkehr angeben, da eingehender Datenverkehr von Geräten, die direkt mit den Schnittstellen des Geräts verbunden sind, standardmäßig verworfen wird.
Siehe auch
Beispiel: Konfigurieren von Layer-2-Sicherheitszonen
In diesem Beispiel wird gezeigt, wie Layer-2-Sicherheitszonen konfiguriert werden.
Anforderungen
Bevor Sie beginnen, bestimmen Sie die Eigenschaften, die Sie für die Layer-2-Sicherheitszone konfigurieren möchten. Weitere Informationen finden Sie unter Grundlegendes zu Layer-2-Sicherheitszonen.
Überblick
In diesem Beispiel konfigurieren Sie die Sicherheitszone l2-zone1 so, dass sie eine logische Layer-2-Schnittstelle mit dem Namen ge-3/0/0.0 enthält, und die Sicherheitszone l2-zone2 so, dass sie eine logische Layer-2-Schnittstelle mit dem Namen ge-3/0/1.0 enthält. Anschließend konfigurieren Sie l2-zone2 so, dass alle unterstützten Anwendungsdienste (z. B. SSH, Telnet und SNMP) als eingehender Hostdatenverkehr zugelassen werden.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Layer-2-Sicherheitszonen:
Erstellen Sie eine Layer-2-Sicherheitszone und weisen Sie ihr Schnittstellen zu.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Konfigurieren Sie eine der Layer-2-Sicherheitszonen.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security zones Befehl ein.
Grundlegendes zu Sicherheitsrichtlinien im transparenten Modus
Im transparenten Modus können Sicherheitsrichtlinien nur zwischen Layer-2-Zonen konfiguriert werden. Wenn Pakete über das VLAN weitergeleitet werden, werden die Sicherheitsrichtlinien zwischen den Sicherheitszonen angewendet. Eine Sicherheitsrichtlinie für den transparenten Modus ähnelt einer Richtlinie, die für Layer-3-Zonen konfiguriert ist, mit den folgenden Ausnahmen:
NAT wird nicht unterstützt.
IPsec-VPN wird nicht unterstützt.
Die Anwendung ANY wird nicht unterstützt.
Die Layer-2-Weiterleitung lässt keinen Datenverkehr zwischen Zonen zu, es sei denn, auf dem Gerät ist explizit eine Richtlinie konfiguriert. Standardmäßig werden bei der Layer-2-Weiterleitung die folgenden Aktionen ausgeführt:
Lässt Datenverkehr zu oder verweigert ihn, der durch die konfigurierte Richtlinie angegeben wird.
Ermöglicht ARP- (Address Resolution Protocol) und Layer-2-Nicht-IP-Multicast- und Broadcast-Datenverkehr.
Blockiert weiterhin den gesamten Nicht-IP- und Nicht-ARP-Unicast-Datenverkehr.
Dieses Standardverhalten kann für den Ethernet-Switching-Paketfluss entweder mit J-Web oder dem CLI-Konfigurationseditor geändert werden:
Konfigurieren Sie die
block-non-ip-allOption so, dass der gesamte Layer-2-Nicht-IP- und Nicht-ARP-Datenverkehr, einschließlich Multicast- und Broadcast-Datenverkehr, blockiert wird.Konfigurieren Sie die
bypass-non-ip-unicastOption so, dass der gesamte Layer-2-Nicht-IP-Datenverkehr das Gerät passieren kann.
Es ist nicht möglich, beide Optionen gleichzeitig zu konfigurieren.
Ab Junos OS Version 12.3X48-D10 und Junos OS Version 17.3R1 können Sie eine separate Sicherheitszone im gemischten Modus (Standardmodus) für Layer-2- und Layer-3-Schnittstellen erstellen. Es gibt jedoch kein Routing zwischen IRB-Schnittstellen und zwischen IRB-Schnittstellen und Layer-3-Schnittstellen. Daher können Sie keine Sicherheitsrichtlinien zwischen Layer-2- und Layer-3-Zonen konfigurieren. Sie können Sicherheitsrichtlinien nur zwischen den Layer-2-Zonen oder zwischen Layer-3-Zonen konfigurieren.
Siehe auch
Beispiel: Konfigurieren von Sicherheitsrichtlinien im transparenten Modus
Dieses Beispiel zeigt, wie Sicherheitsrichtlinien im transparenten Modus zwischen Layer-2-Zonen konfiguriert werden.
Anforderungen
Bevor Sie beginnen, bestimmen Sie das Richtlinienverhalten, das Sie in die Layer-2-Sicherheitszone aufnehmen möchten. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitsrichtlinien im transparenten Modus.
Überblick
In diesem Beispiel konfigurieren Sie eine Sicherheitsrichtlinie, um HTTP-Datenverkehr vom Subnetz 192.0.2.0/24 in der Sicherheitszone l2–zone1 zum Server 192.0.2.1/24 in der Sicherheitszone l2–zone2 zuzulassen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien im transparenten Modus:
Erstellen Sie Richtlinien, und weisen Sie den Schnittstellen für die Zonen Adressen zu.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
Legen Sie Richtlinien für die Anwendung fest.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Grundlegendes zur Firewall-Benutzerauthentifizierung im transparenten Modus
Ein Firewall-Benutzer ist ein Netzwerkbenutzer, der einen Benutzernamen und ein Kennwort zur Authentifizierung angeben muss, wenn eine Verbindung über die Firewall hergestellt wird. Die Firewall-Benutzerauthentifizierung ermöglicht es Administratoren, den Zugriff von Benutzern hinter einer Firewall auf der Grundlage ihrer Quell-IP-Adresse und anderer Anmeldeinformationen einzuschränken und zuzulassen. Junos OS unterstützt die folgenden Arten der Firewall-Benutzerauthentifizierung für den transparenten Modus auf der Firewallder SRX-Serie:
Pass-Through-Authentifizierung: Ein Host oder ein Benutzer aus einer Zone versucht, auf Ressourcen in einer anderen Zone zuzugreifen. Sie müssen einen FTP-, Telnet- oder HTTP-Client verwenden, um auf die IP-Adresse der geschützten Ressource zuzugreifen und von der Firewall authentifiziert zu werden. Das Gerät verwendet FTP, Telnet oder HTTP, um Benutzernamen- und Kennwortinformationen zu sammeln, und nachfolgender Datenverkehr vom Benutzer oder Host wird basierend auf dem Ergebnis dieser Authentifizierung zugelassen oder verweigert.
Webauthentifizierung: Benutzer versuchen, über HTTP eine Verbindung zu einer IP-Adresse auf der IRB-Schnittstelle herzustellen, die für die Webauthentifizierung aktiviert ist. Sie werden zur Eingabe des Benutzernamens und des Kennworts aufgefordert, die vom Gerät überprüft wurden. Nachfolgender Datenverkehr vom Benutzer oder Host zur geschützten Ressource wird basierend auf dem Ergebnis dieser Authentifizierung zugelassen oder verweigert.
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.