Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Sicherheitsrichtlinien

Um ein Netzwerk zu schützen, muss ein Netzwerkadministrator eine Sicherheitsrichtlinie erstellen, die alle Netzwerkressourcen innerhalb dieses Unternehmens und die erforderliche Sicherheitsstufe für diese Ressourcen beschreibt. Mit Junos OS können Sie Sicherheitsrichtlinien konfigurieren. Sicherheitsrichtlinien setzen Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen.

Grundlegendes zu Sicherheitsrichtlinienelementen

Eine Sicherheitsrichtlinie ist eine Reihe von Anweisungen, die den Datenverkehr von einer bestimmten Quelle zu einem bestimmten Ziel mithilfe eines bestimmten Dienstes steuern. Eine Richtlinie lässt bestimmte Datenverkehrstypen unidirektional zwischen zwei Punkten zu, verweigert sie oder tunnelt sie.

Jede Richtlinie besteht aus:

  • Ein eindeutiger Name für die Richtlinie.

  • A from-zone und a to-zone, zum Beispiel: user@host# set security policies from-zone untrust to-zone untrust

  • Eine Reihe von Übereinstimmungskriterien, die die Bedingungen definieren, die erfüllt sein müssen, um die Richtlinienregel anzuwenden. Die Übereinstimmungskriterien basieren auf einer Quell-IP-Adresse, einer Ziel-IP-Adresse und Anwendungen. Die Firewall für die Benutzeridentität bietet eine höhere Granularität, indem sie ein zusätzliches Tupel, source-identity, als Teil der Richtlinienanweisung einschließt.

  • Eine Reihe von Aktionen, die im Falle einer Übereinstimmung ausgeführt werden sollen: Zulassen, Ablehnen oder Ablehnen.

  • Buchhaltungs- und Auditing-Elemente – Zählung, Protokollierung oder strukturierte Systemprotokollierung.

Wenn das Gerät ein Paket empfängt, das diesen Spezifikationen entspricht, führt es die in der Richtlinie angegebene Aktion aus.

Sicherheitsrichtlinien setzen eine Reihe von Regeln für den Transitdatenverkehr durch, die festlegen, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden. Zu den Aktionen für Datenverkehr, der den angegebenen Kriterien entspricht, gehören "Zulassen", "Verweigern", "Ablehnen", "Protokollieren" oder "Zählen".

Grundlegendes zu Sicherheitsrichtlinienregeln

Die Sicherheitsrichtlinie wendet die Sicherheitsregeln auf den Transitdatenverkehr innerhalb eines Kontexts an (from-zone bis to-zone). Jede Richtlinie wird durch ihren Namen eindeutig identifiziert. Der Datenverkehr wird klassifiziert, indem seine Quell- und Zielzonen, die Quell- und Zieladressen sowie die Anwendung, die der Datenverkehr in seinen Protokollheadern trägt, mit der Richtliniendatenbank auf der Datenebene abgeglichen werden.

Jede Richtlinie ist mit den folgenden Merkmalen verknüpft:

  • Eine Quellzone

  • Eine Zielzone

  • Ein oder mehrere Quelladressnamen oder Adressgruppennamen

  • Ein oder mehrere Zieladressnamen oder Adresssatznamen

  • Ein oder mehrere Anwendungsnamen oder Anwendungssatznamen

Diese Merkmale werden als Übereinstimmungskriterien bezeichnet. Jeder Richtlinie sind auch Aktionen zugeordnet: Zulassen, Verweigern, Ablehnen, Zählen, Protokollieren und VPN-Tunnel. Sie müssen die Argumente für die Übereinstimmungsbedingung angeben, wenn Sie eine Richtlinie konfigurieren, die Quelladresse, die Zieladresse und den Anwendungsnamen.

Sie können angeben, ob eine Richtlinie mit IPv4- oder IPv6-Adressen konfiguriert werden soll, indem Sie den Platzhaltereintrag verwenden any. Wenn die Datenstromunterstützung für IPv6-Datenverkehr nicht aktiviert ist, any entspricht IPv4-Adressen. Wenn die Datenstromunterstützung für IPv6-Datenverkehr aktiviert ist, any werden sowohl IPv4- als auch IPv6-Adressen angepasst. Verwenden Sie den folgenden set security forwarding-options family inet6 mode flow-based Befehl, um die datenstrombasierte Weiterleitung für IPv6-Datenverkehr zu aktivieren. Sie können auch den Platzhalter any-ipv4 angeben oder any-ipv6 für die Übereinstimmungskriterien für Quell- und Zieladressen nur IPv4- bzw. nur IPv6-Adressen enthalten.

Wenn die Datenstromunterstützung für IPv6-Datenverkehr aktiviert ist, basiert die maximale Anzahl von IPv4- oder IPv6-Adressen, die Sie in einer Sicherheitsrichtlinie konfigurieren können, auf den folgenden Übereinstimmungskriterien:

  • Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024

  • Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024

Der Grund für die Übereinstimmungskriterien ist, dass eine IPv6-Adresse viermal so viel Speicherplatz belegt wie eine IPv4-Adresse.

Anmerkung:

Sie können eine Sicherheitsrichtlinie mit IPv6-Adressen nur konfigurieren, wenn die Datenstromunterstützung für IPv6-Datenverkehr auf dem Gerät aktiviert ist.

Wenn Sie keine bestimmte Anwendung angeben möchten, geben Sie als Standardanwendung ein any . Um die Standardanwendungen zu suchen, geben Sie show groups junos-defaults | find applications (predefined applications)im Konfigurationsmodus ein. Wenn Sie z. B. keinen Anwendungsnamen angeben, wird die Richtlinie mit der Anwendung als Platzhalter installiert (Standard). Daher würde jeder Datenverkehr, der mit den übrigen Parametern in einer bestimmten Richtlinie übereinstimmt, unabhängig vom Anwendungstyp des Datenverkehrs mit der Richtlinie übereinstimmen.

Anmerkung:

Wenn eine Richtlinie mit mehreren Anwendungen konfiguriert ist und mehr als eine Anwendung mit dem Datenverkehr übereinstimmt, wird die Anwendung ausgewählt, die die Übereinstimmungskriterien am besten erfüllt.

Die Aktion der ersten Richtlinie, der der Datenverkehr entspricht, wird auf das Paket angewendet. Wenn keine übereinstimmende Richtlinie vorhanden ist, wird das Paket verworfen. Richtlinien werden von oben nach unten durchsucht, daher ist es eine gute Idee, spezifischere Richtlinien ganz oben in der Liste zu platzieren. Außerdem sollten Sie die Richtlinien für IPsec-VPN-Tunnel ganz oben platzieren. Platzieren Sie die allgemeineren Richtlinien, z. B. eine Richtlinie, die bestimmten Benutzern den Zugriff auf alle Internetanwendungen ermöglicht, am Ende der Liste. Platzieren Sie z. B. die Richtlinien "Alles ablehnen" oder "Alle ablehnen" am unteren Ende, nachdem alle spezifischen Richtlinien zuvor analysiert wurden und legitimer Datenverkehr zugelassen/gezählt/protokolliert wurde.

Anmerkung:

Unterstützung für IPv6-Adressen wurde in Junos OS Version 10.2 hinzugefügt. In Junos OS Version 10.4 wurde die Unterstützung für IPv6-Adressen in Aktiv/Aktiv-Chassis-Cluster-Konfigurationen (zusätzlich zur bestehenden Unterstützung für Aktiv/Passive Chassis-Cluster-Konfigurationen) hinzugefügt.

Bei der Richtliniensuche werden die Zielzone, die Zieladresse und die Ausgangsschnittstelle bestimmt.

Wenn Sie eine Richtlinie erstellen, gelten die folgenden Richtlinienregeln:

  • Die Sicherheitsrichtlinien werden in einer from-zone to-Richtung to-zone konfiguriert. Unter einer bestimmten Zonenrichtung enthält jede Sicherheitsrichtlinie einen Namen, Übereinstimmungskriterien, eine Aktion und verschiedene Optionen.

  • Der Richtlinienname, die Übereinstimmungskriterien und die Aktion sind erforderlich.

  • Der Richtlinienname ist ein Schlüsselwort.

  • Die Quelladresse in den Übereinstimmungskriterien setzt sich aus einem oder mehreren Adressnamen oder Adresssatznamen in der from-zone.

  • Die Zieladresse der Übereinstimmungskriterien setzt sich aus einem oder mehreren Adressnamen oder Adresssatznamen in der to-zone.

  • Der Anwendungsname in den Übereinstimmungskriterien setzt sich aus dem Namen einer oder mehrerer Anwendungen oder Anwendungssätze zusammen.

  • Eine der folgenden Aktionen ist erforderlich: Zulassen, Verweigern oder Ablehnen.

  • Buchhaltungs- und Auditing-Elemente können angegeben werden: count und log.

  • Sie können die Protokollierung am Ende einer Sitzung mit dem session-close Befehl oder zu Beginn der Sitzung mit dem session-init Befehl aktivieren.

  • Wenn der Zählalarm aktiviert ist, geben Sie Alarmschwellenwerte in Byte pro Sekunde oder Kilobyte pro Minute an.

  • Sie können nur unter der folgenden Bedingung angeben global , dass es sich um die from-zone to-zone Angabe handelt:

    Jede Richtlinie, die mit der to-zone Option als globale Zone konfiguriert ist, muss über eine einzelne Zieladresse verfügen, um anzugeben, dass in der Richtlinie entweder eine statische NAT oder eine eingehende NAT konfiguriert wurde.

  • Die Option zum Zulassen von Richtlinien mit NAT wurde vereinfacht. Jede Richtlinie gibt optional an, ob sie NAT-Übersetzung zulässt, keine NAT-Übersetzung zulässt oder keine Rolle spielt.

  • Adressnamen dürfen nicht mit den folgenden reservierten Präfixen beginnen. Diese werden nur für die Adress-NAT-Konfiguration verwendet:

    • static_nat_

    • incoming_nat_

    • junos_

  • Anwendungsnamen dürfen nicht mit dem junos_ reservierten Präfix beginnen.

Grundlegendes zu Platzhalteradressen

Quell- und Zieladressen sind zwei der fünf Übereinstimmungskriterien, die in einer Sicherheitsrichtlinie konfiguriert werden sollten. Sie können jetzt Platzhalteradressen für die Übereinstimmungskriterien für Quell- und Zieladressen in einer Sicherheitsrichtlinie konfigurieren. Eine Platzhalteradresse wird als A.B.C.D/wildcard-mask dargestellt. Die Platzhaltermaske bestimmt, welche Bits in der IP-Adresse A.B.C.D. von den Übereinstimmungskriterien der Sicherheitsrichtlinie ignoriert werden sollen. Die Quell-IP-Adresse 192.168.0.11/255.255.0.255 in einer Sicherheitsrichtlinie impliziert beispielsweise, dass die Übereinstimmungskriterien der Sicherheitsrichtlinie das dritte Oktett in der IP-Adresse (symbolisch dargestellt als 192.168.*.11) verwerfen können. Daher entsprechen Pakete mit Quell-IP-Adressen wie 192.168.1.11 und 192.168.22.11 den Übereinstimmungskriterien. Pakete mit Quell-IP-Adressen wie 192.168.0.1 und 192.168.1.21 erfüllen die Übereinstimmungskriterien jedoch nicht.

Die Verwendung von Platzhalteradressen ist nicht nur auf vollständige Oktette beschränkt. Sie können eine beliebige Platzhalteradresse konfigurieren. Beispiel: Die Platzhalteradresse 192.168. 7.1/255.255.7.255 bedeutet, dass Sie nur die ersten 5 Bits des dritten Oktetts der Platzhalteradresse ignorieren müssen, während Sie die Richtlinienübereinstimmung herstellen. Wenn die Verwendung der Platzhalteradresse nur auf vollständige Oktette beschränkt ist, sind Platzhaltermasken mit entweder 0 oder 255 in jedem der vier Oktette zulässig.

Anmerkung:

Das erste Oktett der Platzhaltermaske sollte größer als 128 sein. Beispielsweise ist eine Platzhaltermaske, die als 0.255.0.255 oder 1.255.0.255 dargestellt wird, ungültig.

Eine Platzhalter-Sicherheitsrichtlinie ist eine einfache Firewall-Richtlinie, mit der Sie den Datenverkehr, der von einer Sicherheitszone in eine andere übertragen werden soll, zulassen, ablehnen und ablehnen können. Sie sollten keine Sicherheitsrichtlinienregeln mit Platzhalteradressen für Dienste wie Content Security konfigurieren.

Anmerkung:

Content Security für IPv6-Sitzungen wird nicht unterstützt. Wenn Ihre aktuelle Sicherheitsrichtlinie Regeln mit dem Platzhalter für IP-Adressen any verwendet und Content Security-Funktionen aktiviert sind, treten Konfigurationscommit-Fehler auf, da Content Security-Funktionen IPv6-Adressen noch nicht unterstützen. Um die Fehler zu beheben, ändern Sie die Regel, die den Fehler zurückgibt, so, dass der Platzhalter any-ipv4 verwendet wird. und erstellen Sie separate Regeln für IPv6-Datenverkehr, die keine Content Security-Funktionen enthalten.

Das Konfigurieren von Platzhalter-Sicherheitsrichtlinien auf einem Gerät wirkt sich auf die Leistung und die Speichernutzung basierend auf der Anzahl der Platzhalterrichtlinien aus, die pro Von-Zonen- und Bis-Zonenkontext konfiguriert sind. Daher können Sie nur maximal 480 Platzhalterrichtlinien für einen bestimmten Von-Zonen- und Bis-Zonenkontext konfigurieren.

Verbesserungen bei der Synchronisierung von Richtlinien

Ein verbesserter Mechanismus zur Synchronisierung von Richtlinienkonfigurationen verbessert die Synchronisierung von Richtlinienkonfigurationen zwischen der Routing-Engine (RE) und der Packet Forwarding Engine (PFE) und erhöht so die Zuverlässigkeit und Sicherheit des Systems. Dieser Mechanismus stellt sicher, dass Richtlinien automatisch und korrekt synchronisiert werden. Darüber hinaus verhindert das System effektiv Datenstromabbrüche während des Änderungsprozesses der Sicherheitsrichtlinienkonfiguration.

Datei-Serialisierung

Führen Sie die Weitergabe von Richtlinienänderungen an die Datenebene mithilfe der Dateiserialisierung durch. Durch die Serialisierung von Richtlinienkonfigurationen in Dateien stellt das System sicher, dass diese vom PFE auf kontrollierte und zuverlässige Weise gelesen und angewendet werden. Diese serialisierten Dateien werden in bestimmten Verzeichnissen gespeichert und nach erfolgreicher Anwendung automatisch gelöscht, was eine effizientere und bandbreitenfreundlichere Synchronisierungsmethode darstellt. Dieser dateibasierte Ansatz reduziert das Risiko von Inkonsistenzen zwischen den Sicherheitsrichtlinien und erhöht die Systemzuverlässigkeit.

Standardmäßig ist die dateibasierte Serialisierung aktiviert. Sie können die Dateiserialisierung deaktivieren, indem Sie die folgende Anweisung verwenden:

Verwenden Sie die folgende Anweisung, um das Dateiserialisierungsfeature wieder zu aktivieren:

Oder verwenden Sie die folgende Anweisung:

Verhindern Sie die Unterbrechung von Flusssitzungen während Änderungen der Richtlinienkonfiguration

Sie können eine Unterbrechung der Flusssitzung während des Commits von Änderungen an der Konfiguration der Sicherheitsrichtlinie vermeiden. Konfigurationsänderungen, wie z. B. Änderungen der Richtlinienübereinstimmungsbedingung oder -aktion, Hinzufügen oder Löschen einer Richtlinie, Austausch von Richtlinien oder Änderungen der Richtlinienreihenfolge unterbrechen Flusssitzungen. Diese Änderungen wirken sich auf PFE-Konfigurationsdaten aus, wirken sich möglicherweise auf die laufende Richtliniensuche aus und führen möglicherweise zu einer falschen oder standardmäßigen Richtlinienauswahl. Das heißt, während des kurzen Übergangs von der alten zur neuen Richtlinie können Sitzungen mit teilweise erstellten Datenstrukturen übereinstimmen, was zu falschen Richtlinienübereinstimmungen führt.

Um die Unterbrechung durch eine Änderung der Sicherheitsrichtlinie zu vermeiden, können Sie die folgende Anweisung verwenden:

Wenn Sie die lookup-intact-on-commit Option konfigurieren, starten Sie die Weiterleitungsebene auf dem Gerät oder in einem Chassis-Cluster-Setup neu.

Verwenden Sie den folgenden Befehl, um den Status und die Berechtigung des Geräts zu überprüfen, bevor Sie die lookup-intact-on-commit Option aktivieren.

Die Befehlsausgabe zeigt an, ob die lookup-intact-on-commit Option bereits auf dem Gerät konfiguriert ist, und zeigt die Berechtigung des Geräts in Bezug auf den verfügbaren Speicherplatz für die Aktivierung lookup-intact-on-commit der Option an.

Speicher und Fehlerbehandlung

Die Implementierung dieser neuen Synchronisierungsmechanismen erfordert, dass Ihr System bestimmte Speicheranforderungen erfüllt. Insbesondere benötigen Sie mindestens 5 Prozent freien Kernelheap und 1 Prozent freien Benutzerheap, um die Funktion lookup-intact-on-commit zu aktivieren. Dadurch wird sichergestellt, dass genügend Arbeitsspeicher für die dateibasierte Synchronisierung und Dual-Memory-Vorgänge zur Verfügung steht. Im Falle von Synchronisierungsfehlern ist das System so konzipiert, dass es automatisch zur herkömmlichen Methode zurückkehrt.

Mit dem show security policies lookup-intact-on-commit eligibilityBefehl können Sie die Speicherverfügbarkeit des Systems pro FPC überprüfen. Diese Ausgabe gibt an, ob der jeweilige FPC für die Konfiguration der set security policies lookup-intact-on-commit Konfiguration berechtigt ist.

Unterstützung für logisches System und Mandantensystem

Sie können und nur im logischen Stammsystem (Systemebene) konfigurieren lookup-intact-on-commit file-serialization . Die Konfiguration auf der Ebene des logischen Systems und des Mandantensystems wird nicht unterstützt. Wenn Sie diese Einstellungen jedoch auf Stammebene konfigurieren, werden durch die Konfiguration auch Richtlinien optimiert, die auf der Ebene des logischen Systems und des Mandantensystems konfiguriert sind.

Grundlegendes zu den Sicherheitsrichtlinien für den eigenen Datenverkehr

Auf den Geräten werden Sicherheitsrichtlinien so konfiguriert, dass Dienste auf den Datenverkehr angewendet werden, der durch das Gerät fließt. Beispielsweise werden UAC- und Content Security-Richtlinien so konfiguriert, dass Dienste auf den vorübergehenden Datenverkehr angewendet werden.

Eigenverkehr oder Host-Datenverkehr ist der eingehende Host-Datenverkehr; d. h. der Datenverkehr, der auf dem Gerät endet, oder der ausgehende Hostdatenverkehr, d. h. der Datenverkehr, der vom Gerät ausgeht. Sie können jetzt Richtlinien konfigurieren, um Dienste auf den eigenen Datenverkehr anzuwenden. Services wie der SSL-Stack-Service, der die SSL-Verbindung von einem Remote-Gerät beenden und eine Verarbeitung für diesen Datenverkehr ausführen muss, IDP-Services für eingehenden Hostdatenverkehr oder IPsec-Verschlüsselung für ausgehenden Hostdatenverkehr müssen über die für den Eigendatenverkehr konfigurierten Sicherheitsrichtlinien angewendet werden.

Wenn Sie eine Sicherheitsrichtlinie für den Eigendatenverkehr konfigurieren, wird der Datenverkehr, der durch das Gerät fließt, zuerst anhand der Richtlinie und dann anhand der Option überprüft, die host-inbound-traffic für die an die Zone gebundenen Schnittstellen konfiguriert ist.

Sie können die Sicherheitsrichtlinie für den Selbstdatenverkehr so konfigurieren, dass Dienste auf den Selbstdatenverkehr angewendet werden. Die Richtlinien für ausgehenden Hostverkehr funktionieren nur in Fällen, in denen das vom Hostgerät stammende Paket den Datenstrom durchläuft und die eingehende Schnittstelle dieses Pakets auf lokal gesetzt ist.

Die Vorteile der Nutzung des Self-Traffics sind:

  • Sie können den größten Teil der vorhandenen Richtlinien- oder Datenstrominfrastruktur nutzen, die für den Transitdatenverkehr verwendet wird.

  • Sie benötigen keine separate IP-Adresse, um einen Dienst zu aktivieren.

  • Sie können Services oder Richtlinien auf jeden eingehenden Host-Datenverkehr mit der Ziel-IP-Adresse einer beliebigen Schnittstelle auf dem Gerät anwenden.

Anmerkung:

Die standardmäßigen Sicherheitsrichtlinienregeln wirken sich nicht auf den eigenen Datenverkehr aus.

Anmerkung:

Sie können die Sicherheitsrichtlinie nur für den eigenen Datenverkehr mit relevanten Diensten konfigurieren. Beispielsweise ist es nicht relevant, den fwauth-Dienst für ausgehenden Datenverkehr des Hosts zu konfigurieren, und gprs-gtp-Dienste sind für die Sicherheitsrichtlinien für den eigenen Datenverkehr nicht relevant.

Die Sicherheitsrichtlinien für den eigenen Datenverkehr werden in der neuen Standardsicherheitszone konfiguriert, die junos-host als Zone bezeichnet wird. Die junos-host-Zone ist Teil der junos-defaults-Konfiguration, sodass Benutzer sie nicht löschen können. Die vorhandenen Zonenkonfigurationen, wie z. B. Schnittstellen, Bildschirm, tcp-RST und Host-Inbound-Traffic-Optionen, sind für die junos-host-Zone nicht von Bedeutung. Daher gibt es keine dedizierte Konfiguration für die junos-host-Zone.

Anmerkung:

Sie können host-inbound-traffic verwenden, um eingehende Verbindungen zu einem Gerät zu steuern. Es schränkt jedoch nicht den Datenverkehr ein, der das Gerät verlässt. Mit junos-host-zone können Sie die Anwendung Ihrer Wahl auswählen und den ausgehenden Datenverkehr einschränken. Beispielsweise können Services wie NAT, IDP, Inhaltssicherheit usw. jetzt mithilfe von junos-host-zone für Datenverkehr aktiviert werden, der in das Gerät ein- oder ausgeht.

Konfigurationsübersicht für Sicherheitsrichtlinien

Sie müssen die folgenden Aufgaben ausführen, um eine Sicherheitsrichtlinie zu erstellen:

  1. Erstellen von Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.

  2. Konfigurieren Sie ein Adressbuch mit Adressen für die Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.

  3. Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.

  4. Erstellen Sie die Richtlinie. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs, Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des ausgewählten Datenverkehrs und Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des Platzhalteradressdatenverkehrs.

  5. Erstellen Sie Planer, wenn Sie diese für Ihre Richtlinien verwenden möchten. Siehe Beispiel: Konfigurieren von Schedulern für einen Tagesplan mit Ausnahme eines Tages.

Mit dem Firewall-Richtlinien-Assistenten können Sie die grundlegende Konfiguration von Sicherheitsrichtlinien durchführen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.

Best Practices für die Definition von Richtlinien auf Geräten der SRX-Serie

Ein sicheres Netzwerk ist für ein Unternehmen von entscheidender Bedeutung. Um ein Netzwerk zu schützen, muss ein Netzwerkadministrator eine Sicherheitsrichtlinie erstellen, die alle Netzwerkressourcen innerhalb dieses Unternehmens und die erforderliche Sicherheitsstufe für diese Ressourcen beschreibt. Die Sicherheitsrichtlinie wendet die Sicherheitsregeln auf den Transitdatenverkehr innerhalb eines Kontexts an (von Zone zu Bis-Zone), und jede Richtlinie wird anhand ihres Namens eindeutig identifiziert. Der Datenverkehr wird klassifiziert, indem die Quell- und Zielzonen, die Quell- und Zieladressen sowie die Anwendung, die der Datenverkehr in seinen Protokollheadern trägt, mit der Richtliniendatenbank in der Datenebene abgeglichen werden.

Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.

Beachten Sie, dass mit zunehmender Anzahl von Adressen und Anwendungen in den einzelnen Regeln auch die Menge an Arbeitsspeicher zunimmt, die von der Richtliniendefinition verwendet wird, und dass dem System manchmal der Arbeitsspeicher mit weniger als 80.000 Richtlinien ausgeht.

Um die tatsächliche Speicherauslastung einer Richtlinie auf der Packet Forwarding Engine (PFE) und der Routing-Engine (RE) zu erhalten, müssen Sie verschiedene Komponenten der Speicherstruktur berücksichtigen. Die Speicherstruktur enthält die folgenden beiden Komponenten:

  • Richtlinienkontext: Wird verwendet, um alle Richtlinien in diesem Kontext zu organisieren. Der Richtlinienkontext umfasst Variablen wie Quell- und Zielzonen.

  • Richtlinienentität: Wird verwendet, um die Richtliniendaten zu speichern. Die Richtlinienentität berechnet den Arbeitsspeicher anhand von Parametern wie Richtlinienname, IP-Adressen, Anzahl der Adressen, Anwendungen, Firewall-Authentifizierung, WebAuth, IPsec, Anzahl, Anwendungsservices und Junos Services Framework (JSF).

Darüber hinaus verwenden die Datenstrukturen, die zum Speichern von Richtlinien, Regelsätzen und anderen Komponenten verwendet werden, unterschiedlichen Speicher auf der Packet Forwarding Engine und auf der Routing-Engine. Beispielsweise werden Adressnamen für jede Adresse in der Richtlinie auf der Routing-Engine gespeichert, aber auf der Ebene der Packet Forwarding Engine wird kein Arbeitsspeicher zugewiesen. Ebenso werden Portbereiche zu Präfix- und Maskenpaaren erweitert und in der Packet Forwarding Engine gespeichert, aber kein solcher Speicher wird der Routing-Engine zugewiesen.

Dementsprechend unterscheiden sich je nach Richtlinienkonfiguration die Richtlinienbeitragenden für die Routing-Engine von denen für die Packet Forwarding Engine, und der Arbeitsspeicher wird dynamisch zugewiesen.

Der Arbeitsspeicher wird auch durch den Status "verzögertes Löschen" belegt. Wenn ein Gerät im Status "Zurückgestelltes Löschen" eine Richtlinienänderung anwendet, kommt es zu einer vorübergehenden Spitzenauslastung, bei der sowohl die alte als auch die neue Richtlinie vorhanden sind. Daher sind für kurze Zeit sowohl alte als auch neue Richtlinien auf der Packet Forwarding Engine vorhanden, die doppelt so viel Speicherbedarf beanspruchen.

Daher gibt es keine definitive Möglichkeit, eindeutig abzuleiten, wie viel Arbeitsspeicher von einer der beiden Komponenten (Packet Forwarding Engine oder Routing-Engine) zu einem bestimmten Zeitpunkt belegt wird, da der Speicherbedarf von bestimmten Richtlinienkonfigurationen abhängt und Arbeitsspeicher dynamisch zugewiesen wird.

Die folgenden bewährten Methoden für die Richtlinienimplementierung ermöglichen es Ihnen, den Systemspeicher besser zu nutzen und die Richtlinienkonfiguration zu optimieren:

  • Verwenden Sie einzelne Präfixe für Quell- und Zieladressen. Anstatt z. B. /32-Adressen zu verwenden und jede Adresse separat hinzuzufügen, verwenden Sie ein großes Subnetz, das die meisten der erforderlichen IP-Adressen abdeckt.

  • Verwenden Sie nach Möglichkeit die Anwendung "beliebig". Jedes Mal, wenn Sie eine einzelne Anwendung in der Richtlinie definieren, können Sie zusätzliche 52 Byte verwenden.

  • Verwenden Sie weniger IPv6-Adressen, da IPv6-Adressen mehr Arbeitsspeicher verbrauchen.

  • Verwenden Sie weniger Zonenpaare in Richtlinienkonfigurationen. Jede Quell- oder Zielzone verwendet etwa 16.048 Byte Arbeitsspeicher.

  • Die folgenden Parameter können ändern, wie der Arbeitsspeicher von den angegebenen Bytes belegt wird:

    • Firewall-Authentifizierung: ca. 16 Byte oder mehr (nicht behoben)

    • Webauthentifizierung: ca. 16 Byte oder mehr (nicht fixiert)

    • IPsec–12 Byte

    • Anwendungsdienste: 28 Byte

    • Anzahl: 64 Byte

  • Überprüfen Sie die Speicherauslastung vor und nach dem Kompilieren von Richtlinien.

    Anmerkung:

    Der Speicherbedarf ist für jedes Gerät unterschiedlich. Einige Geräte unterstützen standardmäßig 512.000 Sitzungen, und der Startspeicher liegt normalerweise bei 72 bis 73 Prozent. Andere Geräte können bis zu 1 Million Sitzungen haben und der Startspeicher kann bis zu 83 bis 84 Prozent betragen. Um etwa 80.000 Richtlinien in der SPU zu unterstützen, sollte die SPU im schlimmsten Fall mit einem Kernel-Speicherverbrauch von bis zu 82 Prozent und mindestens 170 MB verfügbarem Arbeitsspeicher gestartet werden.

Konfigurieren von Richtlinien mit dem Firewall-Assistenten

Mit dem Firewall-Richtlinien-Assistenten können Sie die grundlegende Konfiguration von Sicherheitsrichtlinien durchführen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.

So konfigurieren Sie Richtlinien mit dem Firewall-Richtlinien-Assistenten:

  1. Wählen Sie in der J-Web-Oberfläche aus Configure>Tasks>Configure FW Policy .
  2. Klicken Sie auf die Schaltfläche Firewall-Richtlinien-Assistenten starten, um den Assistenten zu starten.
  3. Folgen Sie den Anweisungen des Assistenten.

Der obere linke Bereich der Assistentenseite zeigt an, wo Sie sich im Konfigurationsprozess befinden. Im unteren linken Bereich der Seite wird feldsensitive Hilfe angezeigt. Wenn Sie unter der Überschrift Ressourcen auf einen Link klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument in einem neuen Tab geöffnet wird, stellen Sie sicher, dass Sie beim Schließen des Dokuments nur den Tab (nicht das Browserfenster) schließen.

Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs

In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass der gesamte Datenverkehr zugelassen oder verweigert wird.

Anforderungen

Bevor Sie beginnen:

Überblick

Im Junos OS setzen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, in Bezug darauf, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr auf dem Weg durch das Gerät ausgeführt werden müssen. Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie die vertrauenswürdigen und nicht vertrauenswürdigen Schnittstellen ge-0/0/2 und ge-0/0/1. Siehe Abbildung 1.

Abbildung 1: Zulassen des gesamten Datenverkehrs Permitting All Traffic

Dieses Konfigurationsbeispiel zeigt, wie Sie:

  • Zulassen oder Verweigern des gesamten Datenverkehrs von der Vertrauenszone zur nicht vertrauenswürdigen Zone, aber blockieren Sie alles von der nicht vertrauenswürdigen Zone bis zur Vertrauenszone.

  • Zulassen oder Verweigern des ausgewählten Datenverkehrs von einem Host in der Vertrauenszone zu einem Server in der nicht vertrauenswürdigen Zone zu einem bestimmten Zeitpunkt.

Topologie

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine Sicherheitsrichtlinie, um den gesamten Datenverkehr zuzulassen oder abzulehnen:

  1. Konfigurieren Sie die Schnittstellen und Sicherheitszonen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zuzulassen.

  3. Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr von der nicht vertrauenswürdigen Zone in die Vertrauenszone zu verweigern.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Anmerkung:

Bei dem Konfigurationsbeispiel handelt es sich um eine standardmäßige Genehmigung für alle von der Vertrauenszone in die nicht vertrauenswürdige Zone.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen der Richtlinienkonfiguration

Zweck

Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.

Aktion

Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.

Bedeutung

In der Ausgabe werden Informationen zu den auf dem System konfigurierten Richtlinien angezeigt. Überprüfen Sie die folgenden Informationen:

  • Von- und Bis-Zonen

  • Quell- und Zieladressen

  • Übereinstimmungskriterien

Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von ausgewähltem Datenverkehr

In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass ausgewählter Datenverkehr zugelassen oder verweigert wird.

Anforderungen

Bevor Sie beginnen:

Überblick

In Junos OS setzen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr beim Passieren des Geräts ausgeführt werden müssen. Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie eine bestimmte Sicherheitsrichtlinie so, dass nur E-Mail-Datenverkehr von einem Host in der Vertrauenszone zu einem Server in der nicht vertrauenswürdigen Zone zugelassen wird. Kein anderer Datenverkehr ist zulässig. Siehe Abbildung 2.

Abbildung 2: Zulassen von ausgewähltem Datenverkehr Permitting Selected Traffic

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine Sicherheitsrichtlinie, um ausgewählten Datenverkehr zuzulassen:

  1. Konfigurieren Sie die Schnittstellen und Sicherheitszonen.

  2. Erstellen Sie Adressbucheinträge sowohl für den Client als auch für den Server. Fügen Sie außerdem Sicherheitszonen an die Adressbücher an.

  3. Definieren Sie die Richtlinie, um E-Mail-Verkehr zuzulassen.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen der Richtlinienkonfiguration

Zweck

Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.

Aktion

Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.

Bedeutung

In der Ausgabe werden Informationen zu den auf dem System konfigurierten Richtlinien angezeigt. Überprüfen Sie die folgenden Informationen:

  • Von- und Bis-Zonen

  • Quell- und Zieladressen

  • Übereinstimmungskriterien

Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von Platzhalteradressdatenverkehr

In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass der Datenverkehr mit Platzhalteradressen zugelassen oder verweigert wird.

Anforderungen

Bevor Sie beginnen:

Überblick

Im Betriebssystem Junos (Junos OS) setzen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr ausgeführt werden müssen, wenn er das Gerät passiert. Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie eine bestimmte Sicherheit so, dass nur Datenverkehr von Platzhalteradressen von einem Host in der Vertrauenszone in die nicht vertrauenswürdige Zone zugelassen wird. Kein anderer Datenverkehr ist zulässig.

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine Sicherheitsrichtlinie, um ausgewählten Datenverkehr zuzulassen:

  1. Konfigurieren Sie die Schnittstellen und Sicherheitszonen.

  2. Erstellen Sie einen Adressbucheintrag für den Host, und fügen Sie das Adressbuch einer Zone hinzu.

  3. Definieren Sie die Richtlinie, um den Datenverkehr mit Platzhalteradressen zuzulassen.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen der Richtlinienkonfiguration

Zweck

Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.

Aktion

Geben Sie im Betriebsmodus den show security policies policy-name permit-wildcard detail Befehl ein, um Details zur auf dem Gerät konfigurierten Sicherheitsrichtlinie für Platzhalter zum Zulassen anzuzeigen.

Bedeutung

Die Ausgabe zeigt Informationen über die auf dem System konfigurierte Permit-Platzhalter-Richtlinie an. Überprüfen Sie die folgenden Informationen:

  • Von- und Bis-Zonen

  • Quell- und Zieladressen

  • Übereinstimmungskriterien

Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Umleiten von Datenverkehrsprotokollen an einen externen Systemprotokollserver

In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass auf dem Gerät generierte Datenverkehrsprotokolle an einen externen Systemprotokollserver gesendet werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein Client, der mit einem SRX5600 Gerät an der Schnittstelle ge-4/0/5 verbunden ist

  • Ein Server, der mit dem SRX5600 Gerät an der Schnittstelle ge-4/0/1 verbunden ist

    Die auf dem SRX5600 Gerät generierten Protokolle werden auf einem Linux-basierten Systemprotokollserver gespeichert.

  • Ein SRX5600 Gerät, das mit dem Linux-basierten Server über die Schnittstelle ge-4/0/4 verbunden ist

Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.

Überblick

In diesem Beispiel konfigurieren Sie eine Sicherheitsrichtlinie auf dem SRX5600 Gerät, um Datenverkehrsprotokolle, die vom Gerät während der Datenübertragung generiert werden, an einen Linux-basierten Server zu senden. In den Datenverkehrsprotokollen werden Details zu jeder Sitzung aufgezeichnet. Die Protokolle werden während des Sitzungsaufbaus und -beendigung zwischen dem Quell- und dem Zielgerät generiert, die mit dem SRX5600 Gerät verbunden sind.

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

Gehen Sie wie folgt vor, um eine Sicherheitsrichtlinie zum Senden von Datenverkehrsprotokollen an einen externen Systemprotokollserver zu konfigurieren:

  1. Konfigurieren Sie Sicherheitsprotokolle, um die auf dem SRX5600 Gerät generierten Datenverkehrsprotokolle an einen externen Systemprotokollserver mit der IP-Adresse 203.0.113.2 zu übertragen. Die IP-Adresse 127.0.0.1 ist die Loopback-Adresse des SRX5600 Geräts.

  2. Konfigurieren Sie eine Sicherheitszone und geben Sie die Datenverkehrstypen und Protokolle an, die auf der Schnittstelle ge-4/0/5.0 des SRX5600 Geräts zulässig sind.

  3. Konfigurieren Sie eine weitere Sicherheitszone und geben Sie die Datenverkehrstypen an, die auf den Schnittstellen ge-4/0/4.0 und ge-4/0/1.0 des SRX5600-Geräts zulässig sind.

  4. Erstellen Sie eine Richtlinie, und geben Sie die Übereinstimmungskriterien für diese Richtlinie an. Die Übereinstimmungskriterien geben an, dass das Gerät Datenverkehr von jeder Quelle, zu jedem Ziel und in jeder Anwendung zulassen kann.

  5. Aktivieren Sie die Richtlinie, um Datenverkehrsdetails zu Beginn und am Ende der Sitzung zu protokollieren.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security log Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, gelangen Sie commit aus dem Konfigurationsmodus.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizieren von Zonen

Zweck

Vergewissern Sie sich, dass die Sicherheitszone aktiviert ist oder nicht.

Aktion

Geben Sie im Betriebsmodus den show security zones Befehl ein.

Überprüfen von Richtlinien

Zweck

Überprüfen Sie, ob die Richtlinie funktioniert.

Aktion

Geben Sie im Betriebsmodus den show security policies Befehl auf allen Geräten ein.

TAP-Modus für Sicherheitszonen und -richtlinien

Der Terminal Access Point (TAP)-Modus für Sicherheitszonen und -richtlinien ermöglicht es Ihnen, den Datenverkehrsfluss über ein Netzwerk über einen Switch, SPAN oder Mirror-Port passiv zu überwachen.

Grundlegendes zur Unterstützung des TAP-Modus für Sicherheitszonen und -richtlinien

Der Terminal Access Point (TAP)-Modus ist ein Standby-Gerät, das den gespiegelten Datenverkehr durch den Switch überprüft. Wenn Sicherheitszonen und -richtlinien konfiguriert sind, überprüft der TAP-Modus den ein- und ausgehenden Datenverkehr, indem er die TAP-Schnittstelle konfiguriert und einen Sicherheitsprotokollbericht erstellt, in dem die Anzahl der erkannten Bedrohungen und die Benutzernutzung angezeigt werden. Wenn ein Paket in der Tap-Schnittstelle verloren geht, beenden die Sicherheitszonen und -richtlinien die Verbindung, sodass kein Bericht für diese Verbindung generiert wird. Die Konfiguration der Sicherheitszone und der Richtlinie bleibt die gleiche wie im Nicht-TAP-Modus.

Wenn Sie ein Gerät für den Betrieb im TAP-Modus konfigurieren, generiert das Gerät Sicherheitsprotokollinformationen, um die Informationen zu erkannten Bedrohungen, Anwendungsnutzung und Benutzerdetails anzuzeigen. Wenn das Gerät für den Betrieb im TAP-Modus konfiguriert ist, empfängt es Pakete nur von der konfigurierten TAP-Schnittstelle. Mit Ausnahme der konfigurierten TAP-Schnittstelle werden andere Schnittstellen für die normale Schnittstelle konfiguriert, die als Managementschnittstelle verwendet oder mit dem externen Server verbunden ist. Das Gerät generiert einen Sicherheitsbericht oder ein Sicherheitsprotokoll entsprechend dem eingehenden Datenverkehr.

Die Sicherheitszone und die Standardsicherheitsrichtlinie werden nach der Konfiguration der TAP-Schnittstelle konfiguriert. Sie können bei Bedarf andere Zonen oder Richtlinien konfigurieren. Wenn eine Schnittstelle für die Verbindung eines Servers verwendet wird, müssen auch die IP-Adresse, die Routing-Schnittstelle und die Sicherheitskonfiguration konfiguriert werden.

Anmerkung:

Sie können nur eine TAP-Schnittstelle konfigurieren, wenn Sie das Gerät im TAP-Modus betreiben.

Beispiel: Konfigurieren von Sicherheitszonen und Richtlinien im TAP-Modus

Dieses Beispiel zeigt, wie Sicherheitszonen und Richtlinien konfiguriert werden, wenn die Firewall der SRX-Serie im TAP-Modus (Terminal Access Point) konfiguriert ist.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Eine Firewall der SRX-Serie

  • Junos OS Version 19.1R1

Bevor Sie beginnen:

Überblick

In diesem Beispiel konfigurieren Sie die Firewall der SRX-Serie für den Betrieb im TAP-Modus. Wenn Sie die Firewall der SRX-Serie für den Betrieb im TAP-Modus konfigurieren, generiert das Gerät Sicherheitsprotokollinformationen, um die Informationen zu erkannten Bedrohungen, Anwendungsnutzung und Benutzerdetails anzuzeigen.

Konfiguration

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und geben Sie dann den Commit-Befehl aus dem Konfigurationsmodus ein.

Verfahren
Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie Zonen im TAP-Modus:

  1. Konfigurieren Sie die Tap-Zone-Schnittstelle für die Sicherheitszone.

  2. Konfigurieren Sie die Anwendungsverfolgung für die Zugriffszone auf die Zone.

  3. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von Zone Tap-Zone zu Zone Tap-Zone-Richtlinie zulässt, tippen Sie auf und konfigurieren Sie die Übereinstimmungsbedingung.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen der Richtlinienkonfiguration im TAP-Modus
Zweck

Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.

Aktion

Geben Sie im Betriebsmodus den show security policies detail Befehl ein.

Bedeutung

Zeigt eine Zusammenfassung aller Sicherheitsrichtlinien an, die auf dem Gerät im TAP-Modus konfiguriert sind.

Dynamische Adressgruppen in Sicherheitsrichtlinien

Das manuelle Hinzufügen von Adresseintragen zu einer Richtlinie kann zeitaufwändig sein. Es gibt externe Quellen, die Listen von IP-Adressen bereitstellen, die einen bestimmten Zweck haben (z. B. eine Blockliste) oder die ein gemeinsames Attribut aufweisen (z. B. einen bestimmten Standort oder ein bestimmtes Verhalten, das eine Bedrohung darstellen könnte). Sie können die externe Quelle verwenden, um Bedrohungsquellen anhand ihrer IP-Adresse zu identifizieren, diese Adressen dann in einem dynamischen Adresseintrag zu gruppieren und diesen Eintrag in einer Sicherheitsrichtlinie zu referenzieren. Dadurch können Sie den Datenverkehr von und zu diesen Adressen steuern. Jede dieser IP-Adressgruppen wird als dynamischer Adresseintrag bezeichnet.

Die folgenden Arten von IP-Adressen werden unterstützt:

  • Einzelne IP-Adresse. Beispiel: 192.0.2.0

  • IP-Bereich. Zum Beispiel: 192.0.2.0- 192.0.2.10

  • CIDR. Beispiel: 192.0.2.0/24

Jeder Eintrag nimmt eine Zeile ein. Ab Junos OS Version 19.3R1 müssen IP-Adressbereiche nicht mehr in aufsteigender Reihenfolge sortiert werden, und die Werte der IP-Einträge können sich in derselben Feed-Datei überschneiden. In Junos OS-Versionen vor 19.3R1 müssen IP-Adressbereiche in aufsteigender Reihenfolge sortiert werden, und die Werte der IP-Einträge dürfen sich in derselben Feed-Datei nicht überschneiden.

Anmerkung:

Bei einem dynamischen Adresseintrag handelt es sich um eine Gruppe von IP-Adressen, nicht um ein einzelnes IP-Präfix. Eine dynamische Adresserfassung unterscheidet sich von den Sicherheitsadresskonzepten von Adressbüchern und Adresserfassungsadressen.

Im Folgenden sind die Vorteile der Bereitstellung dynamischer Adresseinträge in Sicherheitsrichtlinien aufgeführt:

  • Der Netzwerkadministrator hat mehr Kontrolle über den Datenverkehr von und zu Gruppen von IP-Adressen.

  • Der externe Server stellt aktualisierte IP-Adress-Feeds für die Firewall der SRX-Serie bereit.

  • Der Aufwand des Administrators wird drastisch reduziert. In einer Legacy-Sicherheitsrichtlinienkonfiguration wären beispielsweise für das Hinzufügen von 1000 Adresseinträgen für eine zu verweisende Richtlinie etwa 2000 Konfigurationszeilen erforderlich. Durch die Definition eines dynamischen Adresseintrags und dessen Referenzierung in einer Sicherheitsrichtlinie können ohne großen zusätzlichen Konfigurationsaufwand bis zu Millionen von Einträgen in die Firewall der SRX-Serie einfließen.

  • Für das Hinzufügen neuer Adressen ist kein Commit-Prozess erforderlich. Das Hinzufügen von Tausenden von Adressen zu einer Konfiguration über eine Legacy-Methode nimmt viel Zeit in Anspruch. Alternativ stammen IP-Adressen in einem dynamischen Adresseintrag aus einem externen Feed, sodass kein Commit-Prozess erforderlich ist, wenn sich die Adressen in einem Eintrag ändern.

Abbildung 3 zeigt eine funktionale Übersicht, wie der dynamische Adresseintrag in einer Sicherheitsrichtlinie funktioniert.

Abbildung 3: Funktionale Komponenten des dynamischen Adresseintrags in einer Sicherheitsrichtlinie Functional Components of the Dynamic Address Entry in a Security Policy

Eine Sicherheitsrichtlinie verweist auf den dynamischen Adresseintrag in einem Quell- oder Zieladressfeld (ähnlich wie eine Sicherheitsrichtlinie auf einen Legacy-Adresseintrag).

Abbildung 4 zeigt eine Richtlinie, die einen dynamischen Adresseintrag im Feld "Zieladresse" verwendet.

Abbildung 4: Ein dynamischer Adresseintrag in einer Sicherheitsrichtlinie A Dynamic Address Entry in a Security Policy

In Abbildung 4 verwendet Richtlinie 1 die Zieladresse 10.10.1.1, bei der es sich um einen Legacy-Sicherheitsadresseintrag handelt. In Richtlinie 2 wird die Zieladresse "Vendor Blocklist" verwendet, bei der es sich um einen dynamischen Adresseintrag handelt, der vom Netzwerkadministrator benannt wird. Ihr Inhalt ist die Liste der IP-Adressen, die aus einer externen Feed-Datei abgerufen wurden. Pakete, die alle fünf Kriterien erfüllen (die Von-Zone mit dem Namen "nicht vertrauenswürdig", die "An-Zone" mit dem Namen "Engineer", eine beliebige Quelladresse, eine Ziel-IP-Adresse, die zum dynamischen Adresseintrag "Vendor Blocklist" gehört, und die E-Mail-Anwendung) werden gemäß den Richtlinienaktionen behandelt, die das Paket ablehnen und protokollieren sollen.

Anmerkung:

Die Namen der dynamischen Adresseinträge haben denselben Namensraum wie die Legacy-Sicherheitsadresseinträge, daher verwenden Sie nicht denselben Namen für mehr als einen Eintrag. Der Junos OS-Commit-Prozess überprüft, ob Namen nicht dupliziert werden, um Konflikte zu vermeiden.

Dynamische Adressgruppen unterstützen die folgenden Datenfeeds:

  • Benutzerdefinierte Listen (Zulassungslisten und Blocklisten)

  • GeoIP

Feed-Server

  • Feedserver enthalten dynamische Adresseinträge in einer Feeddatei. Sie können benutzerdefinierte Feeds erstellen, die lokal oder remote sein können. Informationen zum Erstellen von benutzerdefinierten Feeds finden Sie unter Erstellen von benutzerdefinierten Feeds

  • Konfigurieren Sie die Firewall der SRX-Serie für die Verwendung der Feeds. Siehe feed-server zur Konfiguration der Firewall der SRX-Serie.

Bundle-Feeds

IP-Adressen, IP-Präfixe oder IP-Bereiche, die in einem dynamischen Adresseintrag enthalten sind, können regelmäßig aktualisiert werden, indem ein externer Feed heruntergeladen wird. Firewalls der SRX-Serie initiieren regelmäßig eine Verbindung zum Feed-Server, um die IP-Listen, die die aktualisierten dynamischen Adressen enthalten, herunterzuladen und zu aktualisieren.

Ab Junos OS Version 19.3R1 können Sie eine einzelne TGZ-Datei vom Server herunterladen und in mehrere untergeordnete Feeddateien extrahieren. Jede einzelne Datei entspricht einem Feed. Lassen Sie einzelne dynamische Adressen auf den Feed in der Bundle-Datei verweisen. Die Bundle-Datei reduziert den CPU-Overhead, wenn zu viele Feeds konfiguriert sind, wobei mehrere untergeordnete Feeds in eine .tgz-Datei komprimiert werden

Die folgenden Bundle-Feed-Modi werden unterstützt:

Archivierungsmodus

Im Archivierungsmodus müssen Sie alle Feed-Dateien für die Firewall der SRX-Serie in eine TGZ-Datei komprimieren. Die Firewall der SRX-Serie lädt diese Datei herunter und extrahiert nach der Extraktion alle Feeds. Dieser Prozess wird im Folgenden erläutert:

  • Wenn die URL des Feed-Servers eine URL einer Datei mit dem Suffix .tgz anstelle der ursprünglichen URL des Ordners ist, bedeutet dies, dass dieser Server eine einzige Datei verwendet, um alle seine Feeds für die Bereitstellung dynamischer Adressen der Firewall der SRX-Serie zu übertragen. In diesem Fall erben Feeds unter diesem Server das Update-Intervall oder das Hold-Interval vom Server. Jede Benutzerkonfiguration des Aktualisierungsintervalls oder des Halteintervalls für diesen Feed wird ignoriert.

  • Führen Sie nach dieser Änderung die folgenden Schritte aus, um Server-Feeds wie im folgenden Beispiel zu verwalten.

    Das folgende Beispiel zeigt die Schritte, die zum Verwalten der Server-Feeds erforderlich sind:

    1. Legen Sie alle Feed-Dateien für die Firewall der SRX-Serie im Ordner feeds-4-srx ab.

    2. Generieren Sie alle Feed-Dateien fd1 fd2 fd3 .. fdN im Ordner feeds-4-srx

    3. Hinzufügen oder Entfernen der IP-Bereiche aus den Feeds

    4. Greifen Sie auf die Dateien zu, indem Sie den folgenden Befehl ausführen: cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-

  • Nach Schritt 4 steht die Datei feeds-4-srx.tgz zum Download auf der Firewall der SRX-Serie bereit und enthält denselben Ordner, der die Datei feeds-4-srx.tgz enthält. Nach dem Download werden die extrahierten Dateien im selben Ordner wie feeds-4-srx.tgz abgelegt. Das folgende Beispiel zeigt eine Samle-Konfiguration auf einer Firewall der SRX-Serie:

Der Parameter path erfordert den relativen Pfad des Feeds innerhalb des Bundle-Archivs.

  • Wenn die Datei tar -zxf feeds-4-srx.tgz einen Ordner feeds-4-srx generiert und dieser Ordner die Feed-Datei fd1 enthält, verwenden Sie den folgenden Befehl, um den Feed zu konfigurieren:

  • Wenn die Datei tar -zxf feeds-4-srx.tgz die Datei fd1 direkt extrahiert, verwenden Sie den folgenden Befehl, um den Feed zu konfigurieren:

Flatfile-Modus

Der Flatfile-Modus bietet ultimative Simplizität für Benutzer, indem eine Syntaxänderung im vorhandenen Feeddateiformat eingeführt wird. Der Inhalt aller Feeddateien wird in eine einzige Datei mit dem Suffix .bundle kompiliert. Auf diese Weise können Sie eine einzelne Datei verwalten. Die Firewall der SRX-Serie klassifiziert IP-Bereiche in dieser Paketdatei in zahlreiche Feed-Dateien. Sie können diese Datei wie .bundle.gz gzippen, wenn Sie etwas Bandbreite für die Übertragung sparen können. Zusätzlich zum zuvor definierten Dateiformat wird ein Tag FEED: in Großbuchstaben gefolgt vom Feed-Namen eingeführt. Die Zeilen unter diesem Tag werden als IP-Bereiche betrachtet, die zum Feed gehören. Im Folgenden finden Sie ein Beispiel für das Aussehen des Dateiformats:

Die Konfiguration einer Firewall der SRX-Serie ähnelt dem Archivierungsmodus und ist unten angegeben:

Der Unterschied zwischen dem flachen Modus und dem Archivmodus ist das Suffix der Datei und das Layout innerhalb der Datei. Sie können den Modus auswählen, der für Sie am bequemsten ist.

Da die Feed-Dateien im Nur-Text-Format vorliegen, kann gzip die Dateigröße reduzieren. Wenn zwischen einem Server und einer Firewall der SRX-Serie eine WAN-Verbindung besteht, verwenden Sie eine kleinere Datei, die über das Netzwerk übertragen werden soll. In diesem Fall gzipieren Sie die Bundle-Datei und konfigurieren Sie die folgenden Befehle:

Konfigurationsverhalten für plattformspezifische Sicherheitsrichtlinien

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgenden Tabellen, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:

Verhalten plattformspezifischer Konfigurationsregeln für Sicherheitsrichtlinien

Bahnsteig

Unterschied

SRX-Serie

  • Auf SRX5400-, SRX5600- und SRX5800-Geräten, die Konfigurationsregeln für Sicherheitsrichtlinien unterstützen, werden die Richtlinien während der Datenstromverarbeitung nachgeschlagen, nachdem Firewall-Filter und -Bildschirme verarbeitet wurden und wenn die Routensuche von der Services Processing Unit (SPU) abgeschlossen wurde.

Synchronisierungsverhalten für die plattformspezifische Richtlinienkonfiguration

Bahnsteig

Unterschied

SRX-Serie und vSRX3.0

  • SRX1500-, SRX1600-, SRX2300-, SRX4100-, SRX4200-, SRX4300-, SRX4600-, SRX4700-, SRX5400-, SRX5600-, SRX5800- und vSRX3.0-Virtual-Firewall-Instanzen, die die Synchronisierung der Richtlinienkonfiguration unterstützen, unterstützen die Option "Policy Lookup Intact on Commit" (lookup-intact-on-commit).

  • Instanzen der SRX-Serie und der virtuellen Firewall vSRX3.0, die die Synchronisierung der Richtlinienkonfiguration unterstützen, unterstützen auch die Dateiserialisierung.

Plattformspezifisches IDP-Unterstützungsverhalten

Bahnsteig

Unterschied

SRX-Serie

  • SRX5400-, SRX5600- und SRX5800-Geräte, die Intrusion and Prevention (IDP) unterstützen, handhaben auch IDP für IPv6-Sitzungen.

Plattformspezifischer Firewall-Richtlinien-Assistent Unterstützungsverhalten

Bahnsteig

Unterschied

SRX-Serie

  • SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550M-Geräte, die den Assistenten für Firewall-Richtlinien unterstützen, unterstützen auch J-Web.

Zusätzliche Plattforminformationen

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.

Geräte der SRX-Serie und Virtuelle Firewall vSRX 3.0, die den Dateifeed-Server unterstützen, unterstützen:

SRX300, SRX320, SRX340, SRX345, SRX550 und SRX550M

SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 Geräte und Virtuelle Firewall vSRX 3.0

SRX1500

Maximale Anzahl von Feedservern

10

100

40

Maximale Anzahl von Feeds

500

5000

200

Maximale Anzahl dynamischer Adresseinträge

500

5000

200

Geräte der SRX-Serie, die Policy Object unterstützen, unterstützen:

SRX300 und SRX320

SRX340-KARTON

SRX345 und SRX380

SRX550M

SRX1500, SRX1600 und SRX4100

SRX4200 und SRX4300

SRX4600

SRX4700, SRX5400, SRX5600 und SRX5800

Adress-Objekte

2048

2048

2048

2048

4096

4096

4096

16384

Anwendungsobjekte

128

128

128

128

3072

3072

3072

3072

Sicherheitsrichtlinien

1024

2048

4096

10240

16000

60000

80000

100000

Richtlinienkontexte (Zonenpaare)

256

512

1024

2048

4096

4096

8192

8192

Richtlinien pro Kontext

1024

2048

4096

10240

16000

60000

80000

100000

Richtlinien mit aktivierter Zählung

256

256

256

10240

1024

1024

1024

1024

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
17.3R1
Ab Junos OS Version 17.3R1 steigt die Anzahl der Sicherheitsrichtlinien und die maximale Anzahl von Richtlinien pro Kontext für SRX5400-, SRX5600- und SRX5800 Geräte von 80.000 auf 100.000.
15,1 x 49-D120
Ab Junos OS Version 15.1X49-D120 steigt die Anzahl der Adressobjekte pro Richtlinie für SRX5400, SRX5600 und SRX5800 von 4096 auf 16.000.
12.3X48-D15
Beginnend mit Junos OS Version 12.3X48-D15 und Junos OS Version 17.3R1 erhöht sich die maximale Anzahl von Adressobjekten pro Richtlinie für SRX5400-, SRX5600- und SRX5800 Geräte von 1024 auf 4096 und die maximale Anzahl von Richtlinien pro Kontext von 10240 auf 80.000.
10.4
In Junos OS Version 10.4 wurde die Unterstützung für IPv6-Adressen in Aktiv/Aktiv-Chassis-Cluster-Konfigurationen (zusätzlich zur bestehenden Unterstützung für Aktiv/Passive Chassis-Cluster-Konfigurationen) hinzugefügt.
10.2
Unterstützung für IPv6-Adressen wurde in Junos OS Version 10.2 hinzugefügt.