Adressbücher und Adresssätze
Ein Adressbuch ist eine Sammlung von Adressen und Adresssätzen. Adressbücher sind wie Komponenten oder Bausteine, auf die in anderen Konfigurationen, z. B. Sicherheitsrichtlinien und Sicherheitszonen, verwiesen wird. Sie können Adressen zu Adressbüchern hinzufügen oder die vordefinierten Adressen verwenden, die standardmäßig für jedes Adressbuch verfügbar sind
Ein Adressbuch innerhalb einer Zone kann aus einzelnen Adressen oder Adresssätzen bestehen. Ein Adresssatz ist ein Satz von einer oder mehreren Adressen, die in einem Adressbuch definiert sind. Mithilfe von Adresssätzen können Sie Adressen in logischen Gruppen organisieren. Adresssätze sind nützlich, wenn Sie in einer Sicherheitsrichtlinie, in einer Sicherheitszone oder in einer NAT-Konfiguration mehr als einmal auf eine Gruppe von Adressen verweisen müssen.
Grundlegendes zu Adressbüchern
Ein Adressbuch ist eine Sammlung von Adressen und Adresssätzen. Mit Junos OS können Sie mehrere Adressbücher konfigurieren. Sie können Adressen zu Adressbüchern hinzufügen oder die vordefinierten Adressen verwenden, die standardmäßig für jedes Adressbuch verfügbar sind.
Adressbucheinträge enthalten Adressen von Hosts und Subnetzen, deren Datenverkehr entweder zugelassen, blockiert, verschlüsselt oder benutzerauthentifiziert ist. Bei diesen Adressen kann es sich um eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) handeln.
- Vordefinierte Adressen
- Netzwerkpräfixe in Adressbüchern
- Platzhalteradressen in Adressbüchern
- DNS-Namen in Adressbüchern
Vordefinierte Adressen
Sie können entweder Adressen erstellen oder eine der folgenden vordefinierten Adressen verwenden, die standardmäßig verfügbar sind:
Any
—Diese Adresse stimmt mit jeder IP-Adresse überein. Wenn diese Adresse als Quell- oder Zieladresse in einer Richtlinienkonfiguration verwendet wird, stimmt sie mit der Quell- und Zieladresse eines beliebigen Pakets überein.Any-ipv4
– Diese Adresse stimmt mit einer beliebigen IPv4-Adresse überein.Any-ipv6
– Diese Adresse stimmt mit jeder IPv6-Adresse überein.
Netzwerkpräfixe in Adressbüchern
Sie können Adressen als Netzwerkpräfixe im Präfix-/Längenformat angeben. Beispielsweise ist 203.0.113.0/24 eine akzeptable Adressbuchadresse, da sie in ein Netzwerkpräfix übersetzt wird. 203.0.113.4/24 ist jedoch für ein Adressbuch nicht akzeptabel, da es die Subnetzlänge von 24 Bit überschreitet. Alles, was über die Subnetzlänge hinausgeht, muss als 0 (Null) eingegeben werden. In speziellen Szenarien können Sie einen Hostnamen eingeben, da er die volle Adresslänge von 32 Bit verwenden kann.
Ein IPv6-Adresspräfix ist eine Kombination aus einem IPv6-Präfix (Adresse) und einer Präfixlänge. Das Präfix hat die Form ipv6-prefix/prefix-length und stellt einen Adressraumblock (oder ein Netzwerk) dar. Die Variable ipv6-prefix folgt den allgemeinen IPv6-Adressierungsregeln. Die /prefix-length-Variable ist ein Dezimalwert, der die Anzahl der zusammenhängenden Bits höherer Ordnung der Adresse angibt, aus denen der Netzwerkteil der Adresse besteht. Beispielsweise ist 2001:db8::/32 ein mögliches IPv6-Präfix. Weitere Informationen zur Textdarstellung von IPv6-Adressen und Adresspräfixen finden Sie unter RFC 4291, IP Version 6 Addressing Architecture.
Platzhalteradressen in Adressbüchern
Neben IP-Adressen und Domänennamen können Sie in einem Adressbuch auch eine Platzhalteradresse angeben. Eine Platzhalteradresse wird als A.B.C.D/Platzhalter-Maske dargestellt. Die Platzhaltermaske bestimmt, welches der Bits in der IP-Adresse A.B.C.D. ignoriert werden soll. Beispielsweise impliziert die Quell-IP-Adresse 192.168.0.11/255.255.0.255 in einer Sicherheitsrichtlinie, dass die Übereinstimmungskriterien der Sicherheitsrichtlinie das dritte Oktett in der IP-Adresse verwerfen können (symbolisch dargestellt als 192.168.*.11). Daher entsprechen Pakete mit Quell-IP-Adressen wie 192.168.1.11 und 192.168.22.11 den Übereinstimmungskriterien. Pakete mit Quell-IP-Adressen wie 192.168.0.1 und 192.168.1.21 erfüllen jedoch nicht die Übereinstimmungskriterien.
Die Verwendung von Platzhalteradressen ist nicht nur auf vollständige Oktette beschränkt. Sie können eine beliebige Platzhalteradresse konfigurieren. Die Platzhalteradresse 192.168.7.1/255.255.7.255 impliziert beispielsweise, dass Sie nur die ersten 5 Bits des dritten Oktetts der Platzhalteradresse ignorieren müssen, während Sie die Richtlinienübereinstimmung herstellen. Wenn die Verwendung der Platzhalteradresse nur auf vollständige Oktette beschränkt ist, sind Platzhaltermasken mit entweder 0 oder 255 in jedem der vier Oktette zulässig.
DNS-Namen in Adressbüchern
Standardmäßig können Sie IPv4- und IPv6-Adressen für ein DNS auflösen. Wenn IPv4- oder IPv6-Adressen angegeben sind, können Sie nur diese Adressen auflösen, indem Sie die Schlüsselwörter ipv4-only bzw. ipv6-only verwenden.
Bei SRX5400-, SRX5600- und SRX5800-Geräten sowie vSRX Virtual Firewall-Instanzen, beginnend mit Junos OS 15.1X49-D60, kann der Verwaltungsdatenverkehr von einer bestimmten Quelladresse für DNS-Namen (Domain Name System) stammen.
Beachten Sie Folgendes, wenn Sie die Quelladresse für DNS konfigurieren:
Für jeden DNS-Servernamen kann nur eine Quelladresse als Quelladresse konfiguriert werden.
IPv6-Quelladressen werden für IPv6-DNS-Server unterstützt, und nur IPv4-Adressen werden für IPv4-Server unterstützt. Es ist nicht möglich, eine IPv4-Adresse für einen IPv6-DNS-Server oder eine IPv6-Adresse für einen IPv4-DNS-Server zu konfigurieren.
Damit der gesamte Verwaltungsdatenverkehr von einer bestimmten Quelladresse stammt, konfigurieren Sie den Systemnamenserver und die Quelladresse. Zum Beispiel:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
Bevor Sie Domänennamen für Adresseinträge verwenden können, müssen Sie das Sicherheitsgerät für DNS-Dienste konfigurieren. Weitere Informationen zu DNS finden Sie unter DNS-Übersicht.
Grundlegendes zu globalen Adressbüchern
Ein Adressbuch mit dem Namen "global" ist immer auf Ihrem System vorhanden. Ähnlich wie andere Adressbücher kann das globale Adressbuch eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) enthalten.
Sie können Adressen im globalen Adressbuch erstellen oder die vordefinierten Adressen (any, any-ipv4 und any-ipv6) verwenden. Um die Adressen im globalen Adressbuch zu verwenden, müssen Sie die Sicherheitszonen jedoch nicht anfügen. Das globale Adressbuch ist für alle Sicherheitszonen verfügbar, denen keine Adressbücher zugeordnet sind.
Globale Adressbücher werden in den folgenden Fällen verwendet:
NAT-Konfigurationen: NAT-Regeln können nur Adressobjekte aus dem globalen Adressbuch verwenden. Sie können keine Adressen aus zonenbasierten Adressbüchern verwenden.
Globale Richtlinien: Adressen, die in einer globalen Richtlinie verwendet werden, müssen im globalen Adressbuch definiert werden. Globale Adressbuchobjekte gehören keiner bestimmten Zone an.
Grundlegendes zu Adresssätzen
Ein Adressbuch kann auf eine große Anzahl von Adressen anwachsen und schwierig zu verwalten sein. Sie können Gruppen von Adressen erstellen, die als Adressgruppen bezeichnet werden, um große Adressbücher zu verwalten. Mithilfe von Adresssätzen können Sie Adressen in logischen Gruppen organisieren und diese verwenden, um auf einfache Weise andere Funktionen wie Richtlinien und NAT-Regeln zu konfigurieren.
Der vordefinierte Adresssatz, any
der sowohl als auch any-ipv4
any-ipv6
Adressen enthält, wird automatisch für jede Sicherheitszone erstellt.
Sie können Adressgruppen mit vorhandenen Benutzern erstellen oder leere Adressgruppen erstellen und diese später mit Benutzern füllen. Beim Erstellen von Adresssätzen können Sie IPv4- und IPv6-Adressen kombinieren, die Adressen müssen sich jedoch in derselben Sicherheitszone befinden.
Sie können auch einen Adresssatz innerhalb eines Adresssatzes erstellen. Auf diese Weise können Sie Richtlinien effektiver anwenden. Wenn Sie z. B. eine Richtlinie auf zwei Adresssätze set1
anwenden möchten und set2
anstelle von zwei Anweisungen nur eine Anweisung verwenden können, um die Richtlinie auf einen neuen Adresssatz anzuwenden, set3
, der Adresssätze set1
und set2
.
Wenn Sie Adressen zu Richtlinien hinzufügen, kann manchmal dieselbe Teilmenge von Adressen in mehreren Richtlinien vorhanden sein, was es schwierig macht, zu verwalten, wie sich Richtlinien auf die einzelnen Adresseinträge auswirken. Verweisen Sie in einer Richtlinie auf einen Adresssatzeintrag, z. B. auf einen einzelnen Adressbucheintrag, damit Sie eine kleine Anzahl von Adresssätzen verwalten können, anstatt eine große Anzahl einzelner Adresseinträge zu verwalten.
Konfigurieren von Adressen und Adressgruppen
Sie können Adressen und Adressgruppen in einem Adressbuch definieren und diese dann bei der Konfiguration verschiedener Funktionen verwenden. Sie können auch vordefinierte Adressen any
verwenden, any-ipv4
any-ipv6
und , die standardmäßig verfügbar sind. Es ist jedoch nicht möglich, die vordefinierte Adresse any
zu einem Adressbuch hinzuzufügen.
Nachdem Adressbücher und -sätze konfiguriert wurden, werden sie bei der Konfiguration verschiedener Features verwendet, z. B. Sicherheitsrichtlinien, Sicherheitszonen und NAT.
Adressen und Adresssätze
Sie können IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) als Adresseinträge in einem Adressbuch definieren.
Das folgende Beispieladressbuch enthält book1
verschiedene Typen von Adressen und Adresssätzen. Nach der Definition können Sie diese Adressen und Adressgruppen nutzen, wenn Sie Sicherheitszonen, Richtlinien oder NAT-Regeln konfigurieren.
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
Beachten Sie beim Definieren von Adressen und Adressgruppen die folgenden Richtlinien:
-
Adresssätze können nur Adressnamen enthalten, die zur gleichen Sicherheitszone gehören.
-
Adressnamen
any
sindany-ipv4
reserviert undany-ipv6
können nicht zum Anlegen von Adressen verwendet werden. -
Adressen und Adresssätze in derselben Zone müssen unterschiedliche Namen haben.
-
Adressnamen dürfen nicht mit Adresssatznamen identisch sein. Wenn Sie z. B. eine Adresse mit dem Namen
add1
konfigurieren, legen Sie den Adresssatz nicht mit dem Namenadd1
. -
Wenn Sie einen einzelnen Adressbucheintrag aus dem Adressbuch löschen, müssen Sie die Adresse (wo auch immer sie referenziert wird) aus allen Adresssätzen entfernen. Andernfalls verursacht das System einen Commit-Fehler.
Adressbücher und Sicherheitszonen
Eine Sicherheitszone ist eine logische Gruppe von Schnittstellen mit identischen Sicherheitsanforderungen. Sie hängen Sicherheitszonen an Adressbücher an, die Einträge für die adressierbaren Netzwerke und Endhosts (und damit Benutzer) enthalten, die zur Zone gehören.
Eine Zone kann zwei Adressbücher gleichzeitig verwenden: das globale Adressbuch und das Adressbuch, dem die Zone zugeordnet ist. Wenn eine Sicherheitszone keinem Adressbuch zugeordnet ist, wird automatisch das globale Adressbuch verwendet. Wenn also eine Sicherheitszone an ein Adressbuch angehängt ist, sucht das System nach Adressen aus diesem angehängten Adressbuch. Andernfalls sucht das System Adressen aus dem globalen Standardadressbuch. Das globale Adressbuch ist standardmäßig für alle Sicherheitszonen verfügbar. Sie müssen keine Zonen an das globale Adressbuch anfügen.
Die folgenden Richtlinien gelten beim Anfügen von Sicherheitszonen an Adressbücher:
-
Adressen, die einer Sicherheitszone zugeordnet sind, entsprechen den Sicherheitsanforderungen der Zone.
-
Das Adressbuch, das Sie an eine Sicherheitszone anfügen, muss alle IP-Adressen enthalten, die innerhalb dieser Zone erreichbar sind.
-
Wenn Sie Richtlinien zwischen zwei Zonen konfigurieren, müssen Sie die Adressen für die einzelnen Adressbücher der Zone definieren.
-
Adressen in einem benutzerdefinierten Adressbuch haben eine höhere Nachschlagepriorität als Adressen im globalen Adressbuch. Daher durchsucht das System für eine Sicherheitszone, die an ein benutzerdefiniertes Adressbuch angehängt ist, zuerst das benutzerdefinierte Adressbuch. Wenn keine Adresse gefunden wird, wird das globale Adressbuch durchsucht.
Adressbücher und Sicherheitsrichtlinien
Adressen und Adressgruppen werden beim Angeben der Übereinstimmungskriterien für eine Richtlinie verwendet. Bevor Sie Richtlinien konfigurieren können, um Datenverkehr zu und von einzelnen Hosts und Subnetzen zuzulassen, abzulehnen oder zu tunneln, müssen Sie für sie Einträge in Adressbüchern vornehmen. Sie können verschiedene Arten von Adressen, z. B. IPv4-Adressen, IPv6-Adressen, Platzhalteradressen und DNS-Namen, als Übereinstimmungskriterien für Sicherheitsrichtlinien definieren.
Richtlinien enthalten sowohl Quell- als auch Zieladressen. Sie können auf eine Adresse oder eine Adresse, die in einer Richtlinie festgelegt ist, anhand des Namens verweisen, den Sie ihr im Adressbuch geben, das an die in der Richtlinie angegebene Zone angehängt ist.
-
Wenn Datenverkehr an eine Zone gesendet wird, werden die Zone und die Adresse, an die der Datenverkehr gesendet wird, als Zielzone und Adressübereinstimmungskriterien in Richtlinien verwendet.
-
Wenn Datenverkehr von einer Zone gesendet wird, werden die Zone und die Adresse, von der aus der Datenverkehr gesendet wird, als Quellzone und Adressübereinstimmungskriterien in Richtlinien verwendet.
Adressen, die für Sicherheitsrichtlinien verfügbar sind
Wenn Sie die Quell- und Zieladressen für eine Richtlinienregel konfigurieren, können Sie ein Fragezeichen in die CLI eingeben, um alle verfügbaren Adressen aufzulisten, aus denen Sie auswählen können.
Sie können denselben Adressnamen für verschiedene Adressen verwenden, die sich in unterschiedlichen Adressbüchern befinden. Die CLI listet jedoch nur eine dieser Adressen auf, d. h. die Adresse mit der höchsten Suchpriorität.
Angenommen, Sie konfigurieren Adressen in zwei Adressbüchern –global
und book1
. Zeigen Sie dann die Adressen an, die Sie als Quell- oder Zieladressen in einer Richtlinie konfigurieren können (siehe Tabelle 1).
Konfigurierte Adressen |
Adressen, die in der CLI angezeigt werden |
---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
Die in diesem Beispiel angezeigten Adressen veranschaulichen:
-
Adressen in einem benutzerdefinierten Adressbuch haben eine höhere Nachschlagepriorität als Adressen im globalen Adressbuch.
-
Adressen in einem globalen Adressbuch haben eine höhere Priorität als die vordefinierten Adressen
any
,any-ipv4
undany-ipv6
. -
Wenn derselbe Adressname für zwei oder mehr verschiedene Adressen konfiguriert ist, ist nur die Adresse mit der höchsten Priorität verfügbar, basierend auf der Adresssuche. In diesem Beispiel zeigt die CLI die Adresse
a1
vonbook1
(203.0.113.128/25) an, da diese Adresse eine höhere Suchpriorität als die globale Adressea1
(203.0.113.0/24) hat.
Anwenden von Richtlinien auf Adressgruppen
Wenn Sie einen Adresssatz in Richtlinien angeben, wendet Junos OS die Richtlinien automatisch auf jedes Adresssatzmitglied an, sodass Sie sie nicht einzeln für jede Adresse erstellen müssen. Wenn in einer Richtlinie auf einen Adresssatz verwiesen wird, kann der Adresssatz nicht entfernt werden, ohne seinen Verweis in der Richtlinie zu entfernen. Es kann jedoch bearbeitet werden.
Beachten Sie, dass das System für jeden Adresssatz individuelle Regeln für seine Mitglieder erstellt. Es erstellt eine interne Regel für jedes Mitglied in der Gruppe sowie für jeden Dienst, der für jeden Benutzer konfiguriert ist. Wenn Sie Adressbücher konfigurieren, ohne dies zu berücksichtigen, können Sie die Anzahl der verfügbaren Richtlinienressourcen überschreiten, insbesondere wenn sowohl die Quell- als auch die Zieladresse Adressgruppen sind und es sich bei dem angegebenen Dienst um eine Dienstgruppe handelt.
Abbildung 1 zeigt, wie Richtlinien auf Adresssätze angewendet werden.
Einschränkungen von Adressen und Adresssätzen in einer Sicherheitsrichtlinie
Bei Firewalls der SRX-Serie kann eine Richtlinie auf mehrere Adresssätze, mehrere Adresseinträge oder beides verweisen. Ein Adresssatz kann auf maximal 16384 Adresseinträge und maximal 256 Adresssätze verweisen.
Die Anzahl der Adressobjekte, auf die eine Richtlinie verweisen kann, ist begrenzt. Die maximale Anzahl von Adressobjekten pro Richtlinie ist für verschiedene Plattformen unterschiedlich, wie in Tabelle 2 dargestellt.
Weitere Informationen zur maximalen Anzahl von Richtlinien pro Kontext für Firewalls der SRX-Serie finden Sie unter Best Practices for Defining Policies on SRX Series Devices on SRX Series Devices (Best Practices für die Definition von Richtlinien auf Geräten der SRX-Serie ).
Geräte der SRX-Serie |
Adressobjekte |
---|---|
SRX300SRX320 |
2048 |
SRX340 |
2048 |
SRX345 |
2048 |
SRX380 |
2048 |
SRX550M |
2048 |
SRX1500 |
4096 |
SRX4100 |
4096 |
SRX4200 |
4096 |
SRX4600 |
4096 |
SRX5400 SRX5600 SRX5800 |
16384 |
Jeder IPv6-Adresseintrag entspricht einem Adressobjekt pro Richtlinie. Beispiel: Um ein SRX345-Gerät mit einer Beschränkung von 2048 Adressobjekten pro Richtlinie zu konfigurieren, können Sie 2040 IPv4-Einträge und 8 IPv6-Einträge (2040 + 8 = 2048) konfigurieren und die Konfiguration bestätigen.
Wenn Sie 2040 IPv4-Adresseinträge und 9 IPv6-Adresseinträge konfigurieren (2040+9 = 2049), erhalten Sie die folgende Fehlermeldung, wenn Sie versuchen, die Konfiguration zu bestätigen:
"Error exceeding maximum limit of source addresses per policy (2048)
"
Verwenden von Adressen und Adresssätzen in der NAT-Konfiguration
Nachdem Sie Adressen in Adressbüchern definiert haben, können Sie sie in den Quell-, Ziel- oder statischen NAT-Regeln angeben. Es ist einfacher, aussagekräftige Adressnamen anstelle von IP-Präfixen als Quell- und Zieladressen in der NAT-Regelkonfiguration anzugeben. Anstatt z. B. 10.208.16.0/22 als Quelladresse anzugeben, können Sie eine Adresse namens local
angeben, die die Adresse 10.208.16.0/22 enthält.
Sie können Adresssätze auch in NAT-Regeln angeben, sodass Sie mehrere Adressen innerhalb eines Adresssatzes hinzufügen und somit eine kleine Anzahl von Adresssätzen verwalten können, anstatt eine große Anzahl einzelner Adresseinträge zu verwalten. Wenn Sie einen Adresssatz in einer NAT-Regel angeben, wendet Junos OS die Regel automatisch auf jedes Adresssatzmitglied an, sodass Sie nicht jede Adresse einzeln angeben müssen.
Die folgenden Adress- und Adresssatztypen werden in NAT-Regeln nicht unterstützt: Platzhalteradressen, DNS-Namen und eine Kombination aus IPv4- und IPv6-Adressen.
Befolgen Sie beim Konfigurieren von Adressbüchern mit NAT die folgenden Richtlinien:
-
In einer NAT-Regel können Sie nur Adressen aus einem globalen Adressbuch angeben. Benutzerdefinierte Adressbücher werden mit NAT nicht unterstützt.
-
Sie können einen Adresssatz als Quelladressnamen in einer Quell-NAT-Regel konfigurieren. Es ist jedoch nicht möglich, einen Adresssatz als Zieladressnamen in einer Ziel-NAT-Regel zu konfigurieren.
Die folgenden NAT-Beispielanweisungen zeigen die Adress- und Adresssatztypen, die von Quell- und Ziel-NAT-Regeln unterstützt werden:
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
In einer statischen NAT-Regel können Sie einen Adresssatz nicht als Quell- oder Zieladressnamen konfigurieren. Die folgenden NAT-Beispielanweisungen zeigen die Adresstypen, die von statischen NAT-Regeln unterstützt werden:
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
Beispiel: Konfigurieren von Adressbüchern und Adressgruppen
In diesem Beispiel wird gezeigt, wie Adressen und Adressgruppen in Adressbüchern konfiguriert werden. Außerdem wird gezeigt, wie Adressbücher an Sicherheitszonen angehängt werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Sicherheitsgeräte von Juniper Networks für die Netzwerkkommunikation.
Konfigurieren Sie Netzwerkschnittstellen auf Server- und Mitgliedsgeräten. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Konfigurieren Sie DNS-Dienste (Domain Name System). Weitere Informationen zu DNS finden Sie unter DNS-Übersicht.
Übersicht
In diesem Beispiel konfigurieren Sie ein Adressbuch mit Adressen und Adressgruppen (siehe Abbildung 2), um die Konfiguration des Unternehmensnetzwerks zu vereinfachen. Sie erstellen ein Adressbuch mit dem Namen Eng-dept
und fügen Adressen von Mitgliedern aus der Engineering-Abteilung hinzu. Sie erstellen ein weiteres Adressbuch mit dem Namen Web
und fügen ihm einen DNS-Namen hinzu. Anschließend fügen Sie eine Sicherheitszonenvertrauensstellung an das Eng-dept
Adressbuch und eine Sicherheitszonen-Unvertrauensstellung an das Web
Adressbuch an. Außerdem legen Sie Adressgruppen an, um Software- und Hardwareadressen in der Abteilung Engineering zu gruppieren. Sie planen, diese Adressen in Ihren zukünftigen Richtlinienkonfigurationen als Quell- und Zieladressen zu verwenden.
Darüber hinaus fügen Sie dem globalen Adressbuch eine Adresse hinzu, die für jede Sicherheitszone verfügbar ist, der kein Adressbuch zugeordnet ist.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit]
Konfigurationsmodus ein commit
.
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 set security zones security-zone trust interfaces ge-0/0/0 set security zones security-zone untrust interfaces ge-0/0/1 set security address-book Eng-dept address a1 203.0.113.1 set security address-book Eng-dept address a2 203.0.113.2 set security address-book Eng-dept address a3 203.0.113.3 set security address-book Eng-dept address a4 203.0.113.4 set security address-book Eng-dept address-set sw-eng address a1 set security address-book Eng-dept address-set sw-eng address a2 set security address-book Eng-dept address-set hw-eng address a3 set security address-book Eng-dept address-set hw-eng address a4 set security address-book Eng-dept attach zone trust set security address-book Web address Intranet dns-name www-int.device1.example.com set security address-book Web attach zone untrust set security address-book global address g1 198.51.100.2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie Adressen und Adressgruppen:
Konfigurieren Sie Ethernet-Schnittstellen und weisen Sie ihnen IPv4-Adressen zu.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1
Erstellen Sie ein Adressbuch und definieren Sie darin Adressen.
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4
Erstellen Sie Adresssätze.
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4
Hängen Sie das Adressbuch an eine Sicherheitszone an.
[edit security address-book Eng-dept] user@host# set attach zone trust
Erstellen Sie ein weiteres Adressbuch, und fügen Sie es einer Sicherheitszone zu.
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust
Definieren Sie eine Adresse im globalen Adressbuch.
[edit] user@host# set security address-book global address g1 198.51.100.2
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones
Befehle und show security address-book
eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security zones security-zone trust { interfaces { ge-0/0/0.0; } } security-zone untrust { interfaces { ge-0/0/1.0; } } [edit] user@host# show security address-book Eng-dept { address a1 203.0.113.1/32; address a2 203.0.113.2/32; address a3 203.0.113.3/32; address a4 203.0.113.4/32; address-set sw-eng { address a1; address a2; } address-set hw-eng { address a3; address a4; } attach { zone trust; } } Web { address Intranet { dns-name www-int.device1.example.com; } attach { zone untrust; } } global { address g1 198.51.100.2/32; }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit
.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Adressbuchkonfiguration
Zweck
Zeigen Sie Informationen zu konfigurierten Adressbüchern und Adressen an.
Aktion
Geben Sie im Konfigurationsmodus den show security address-book
Befehl ein.
user@host#
show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
Überprüfen der Konfiguration des globalen Adressbuchs
Zweck
Zeigen Sie Informationen zu konfigurierten Adressen im globalen Adressbuch an.
Aktion
Geben Sie im Konfigurationsmodus den show security address-book global
Befehl ein.
user@host#
show security address-book global
address g1 198.51.100.2/32;
Ausschließen von Adressen aus Richtlinien
Junos OS ermöglicht es Benutzern, einer Richtlinie eine beliebige Anzahl von Quell- und Zieladressen hinzuzufügen. Wenn Sie bestimmte Adressen von einer Richtlinie ausschließen müssen, können Sie sie als negierte Adressen konfigurieren. Wenn eine Adresse als negierte Adresse konfiguriert ist, wird sie von einer Richtlinie ausgeschlossen. Sie können jedoch die folgenden IP-Adressen nicht von einer Richtlinie ausschließen:
Platzhalter
IPv6
jegliche
Beliebiges IPv4
Beliebiges IPv6
0.0.0.0
Wenn ein Adressbereich oder eine einzelne Adresse negiert wird, kann sie in mehrere Adressen aufgeteilt werden. Diese negierten Adressen werden als Präfix oder Länge angezeigt, die mehr Arbeitsspeicher für die Speicherung in einer Paketweiterleitungs-Engine benötigt.
Jede Plattform verfügt über eine begrenzte Anzahl von Richtlinien mit negierten Adressen. Eine Richtlinie kann 10 Quell- oder Zieladressen enthalten. Die Kapazität der Richtlinie hängt von der maximalen Anzahl von Richtlinien ab, die von der Plattform unterstützt werden.
Bevor Sie eine negierte Quelladresse, eine Zieladresse oder beides konfigurieren, führen Sie die folgenden Aufgaben aus:
Erstellen Sie ein Quell-, Ziel- oder beides-Adressbuch.
Erstellen Sie Adressnamen, und weisen Sie den Adressnamen Quell- und Zieladressen zu.
Erstellen Sie Adresssätze, um Quell-, Ziel- oder beide Adressnamen zu gruppieren.
Hängen Sie Quell- und Zieladressbücher an Sicherheitszonen an. Fügen Sie z. B. das Quelladressbuch an die From-Zone-Vertrauensstellung und das Zieladressbuch an die To-Zone-Vertrauensstellung an.
Geben Sie die Übereinstimmungsquelle, das Ziel oder beide Adressnamen an.
Führen Sie die Befehle "source-address-excluded", "destination-address excluded" oder beide Befehle aus. Eine Quell-, Ziel- oder beide Adressen, die im Quell-, Ziel- oder beiden Adressbuch hinzugefügt werden, werden von der Richtlinie ausgeschlossen.
Das globale Adressbuch muss keiner Sicherheitszone zugeordnet werden.
Beispiel: Ausschließen von Adressen aus Richtlinien
In diesem Beispiel wird gezeigt, wie negierte Quell- und Zieladressen konfiguriert werden. Außerdem wird gezeigt, wie Adressbücher und Adressgruppen konfiguriert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Einen PC
Junos OS Version 12.1X45-D10
Bevor Sie beginnen, konfigurieren Sie Adressbücher und Adressgruppen. Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
Übersicht
In diesem Beispiel erstellen Sie Quell- und Zieladressbücher, SOUR-ADDR und DES-ADDR, und fügen ihnen Quell- und Zieladressen hinzu. Sie erstellen Quell- und Zieladressgruppen as1 und as2 und gruppieren Quell- und Zieladressen zu ihnen. Anschließend fügen Sie das Quelladressbuch an die Vertrauensstellung der Sicherheitszone und das Zieladressbuch an die nicht vertrauenswürdige Sicherheitszone an.
Sie erstellen Sicherheitszonen mit Zonenvertrauen und nicht vertrauenswürdigen Zonen in Zonen. Sie geben den Richtliniennamen auf p1 an, und dann legen Sie den Namen der Übereinstimmungsquelladresse auf as1 und die Zieladresse der Übereinstimmung auf as2 fest. Sie geben die Befehle source -address-excluded und destination -address-excluded an, um Quell- und Zieladressen auszuschließen, die in der Richtlinie p1 konfiguriert sind. Schließlich legen Sie die Richtlinie p1 so fest, dass Datenverkehr von Zonenvertrauen zu nicht vertrauenswürdigem Datenverkehr zugelassen wird.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit]
Konfigurationsmodus ein commit
.
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie negierte Adressen:
Erstellen Sie ein Quelladressbuch und Adressnamen. Fügen Sie die Quelladressen dem Adressbuch hinzu.
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
Erstellen Sie einen Adresssatz, um Quelladressnamen zu gruppieren.
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
Fügen Sie das Quelladressbuch an die Sicherheitszone an.
[edit security address book ] user@host# set SOU-ADDR attach zone trust
Erstellen Sie ein Zieladressbuch und Adressnamen. Fügen Sie die Zieladressen zum Adressbuch hinzu.
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
Erstellen Sie einen weiteren Adresssatz, um Zieladressnamen zu gruppieren.
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
Hängen Sie das Zieladressbuch an die Sicherheitszone an.
[edit security address book ] user@host# set DES-ADDR attach zone untrust
Geben Sie den Richtliniennamen und die Quelladresse an.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
Schließen Sie Quelladressen von der Richtlinie aus.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
Geben Sie die Zieladresse an.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
Schließen Sie Zieladressen von der Richtlinie aus.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
Konfigurieren Sie die Anwendung für die Sicherheitsrichtlinie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
Lassen Sie den Datenverkehr von der Zonenvertrauensstellung zur nicht vertrauenswürdigen Zone zu.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies
Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address as1; destination-address as2; source-address-excluded; destination-address-excluded; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit
.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie, ob die Richtlinienkonfiguration korrekt ist.
Aktion
Geben Sie im Betriebsmodus den show security policies policy-name p1
Befehl ein.
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
Diese Ausgabe fasst die Richtlinienkonfiguration zusammen.
Überprüfen der Richtlinienkonfigurationsdetails
Zweck
Stellen Sie sicher, dass die Richtlinie und die negierten Quell- und Zieladresskonfigurationen korrekt sind.
Aktion
Geben Sie im Betriebsmodus den show security policies policy-name p1 detail
Befehl ein.
user@host>show security policies policy-name p1 detail Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses(excluded): ad1(SOU-ADDR): 255.255.255.255/32 ad2(SOU-ADDR): 203.0.113.130/25 ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116 ad4(SOU-ADDR): 192.0.2.128/25 Destination addresses(excluded): ad8(DES-ADDR): 198.51.100.1/24 ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199 ad10(DES-ADDR): 198.51.100.0/24 ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No
Diese Ausgabe fasst die Richtlinienkonfiguration zusammen und zeigt die Namen der negierten Quell- und Zieladressen an, die von der Richtlinie ausgeschlossen sind.