AUF DIESER SEITE
Grundlegendes zu den Sicherheitsrichtlinien für den eigenständigen Datenverkehr
Best Practices für die Definition von Richtlinien für Geräte der SRX-Serie
Konfigurieren von Richtlinien mithilfe des Firewall-Assistenten
Aktivieren von Sicherheitsrichtlinien für die Inspektion des Genève Paketfluss-Tunnels
Konfigurieren von Sicherheitsrichtlinien
Um ein Netzwerk zu sichern, muss ein Netzwerkadministrator eine Sicherheitsrichtlinie erstellen, die alle Netzwerkressourcen innerhalb dieses Unternehmens und die erforderliche Sicherheitsstufe für diese Ressourcen beschreibt. Mit Junos OS können Sie Sicherheitsrichtlinien konfigurieren. Sicherheitsrichtlinien erzwingen Regeln für den Transitdatenverkehr, d. h. welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen.
Grundlegendes zu den Elementen der Sicherheitsrichtlinie
Bei einer Sicherheitsrichtlinie handelt es sich um eine Reihe von Anweisungen, die den Datenverkehr von einer angegebenen Quelle zu einem bestimmten Ziel mithilfe eines angegebenen Dienstes steuern. Eine Richtlinie lässt bestimmte Datenverkehrstypen unidirektional zwischen zwei Punkten zu, verweigert oder tunnelt sie.
Jede Richtlinie besteht aus:
Ein eindeutiger Name für die Richtlinie.
A
from-zoneund ato-zone, zum Beispiel: user@host#set security policies from-zone untrust to-zone untrustEine Reihe von Übereinstimmungskriterien, die die Bedingungen definieren, die erfüllt sein müssen, um die Richtlinienregel anzuwenden. Die Übereinstimmungskriterien basieren auf einer Quell-IP-Adresse, einer Ziel-IP-Adresse und Anwendungen. Die User Identity Firewall bietet eine größere Granularität, indem sie ein zusätzliches Tupel, source-identity, als Teil der Richtlinienanweisung einschließt.
Eine Reihe von Aktionen, die im Falle einer Übereinstimmung ausgeführt werden sollen – Zulassen, Verweigern oder Ablehnen.
Buchhaltungs- und Auditing-Elemente – Zählung, Protokollierung oder strukturierte Systemprotokollierung.
Wenn die SRX-Serie ein Paket empfängt, das diesen Spezifikationen entspricht, führt sie die in der Richtlinie angegebene Aktion aus.
Sicherheitsrichtlinien erzwingen eine Reihe von Regeln für den Transitdatenverkehr, die festlegen, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden. Zu den Aktionen für Datenverkehr, der den angegebenen Kriterien entspricht, gehören "Zulassen", "Verweigern", "Ablehnen", "Protokollieren" oder "Zählen".
Für SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550M-Geräte wird eine werkseitig standardmäßige Sicherheitsrichtlinie bereitgestellt, die:
-
Lässt den gesamten Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zu.
-
Lässt den gesamten Datenverkehr zwischen vertrauenswürdigen Zonen zu, d. h. von der Vertrauenszone zu den vertrauenswürdigen Zonen innerhalb der Zone.
Verweigert jeglichen Datenverkehr von der nicht vertrauenswürdigen Zone zur vertrauenswürdigen Zone.
Grundlegendes zu den Regeln der Sicherheitsrichtlinie
Die Sicherheitsrichtlinie wendet die Sicherheitsregeln auf den Transitverkehr innerhalb eines Kontexts (from-zone bis ) an to-zone. Jede Richtlinie ist eindeutig durch ihren Namen gekennzeichnet. Der Datenverkehr wird klassifiziert, indem seine Quell- und Zielzonen, die Quell- und Zieladressen und die Anwendung, die der Datenverkehr in seinen Protokollheadern trägt, mit der Richtliniendatenbank in der Datenebene abgeglichen werden.
Jede Richtlinie ist mit den folgenden Merkmalen verknüpft:
Eine Quellzone
Eine Zielzone
Ein oder mehrere Quelladressnamen oder Adresssatznamen
Ein oder mehrere Zieladressnamen oder Adresssatznamen
Ein oder mehrere Anwendungsnamen oder Anwendungssatznamen
Diese Merkmale werden als Übereinstimmungskriterien bezeichnet. Jeder Richtlinie sind auch Aktionen zugeordnet: Zulassen, Verweigern, Ablehnen, Zählen, Protokollieren und VPN-Tunnel. Sie müssen die Übereinstimmungsbedingungsargumente angeben, wenn Sie eine Richtlinie, eine Quelladresse, eine Zieladresse und einen Anwendungsnamen konfigurieren.
Sie können angeben, dass eine Richtlinie mit IPv4- oder IPv6-Adressen mithilfe des Platzhaltereintrags anykonfiguriert werden soll. Wenn die Flow-Unterstützung für IPv6-Datenverkehr nicht aktiviert ist, any stimmt es mit IPv4-Adressen überein. Wenn die Datenstromunterstützung für IPv6-Datenverkehr aktiviert ist, any stimmt dies sowohl mit IPv4- als auch mit IPv6-Adressen überein. Verwenden Sie den Befehl, um set security forwarding-options family inet6 mode flow-based die datenflussbasierte Weiterleitung für IPv6-Datenverkehr zu aktivieren. Sie können auch den Platzhalter any-ipv4 angeben oder any-ipv6 festlegen, dass die Übereinstimmungskriterien für Quell- und Zieladresse nur IPv4- bzw. nur IPv6-Adressen enthalten.
Wenn die Datenstromunterstützung für IPv6-Datenverkehr aktiviert ist, basiert die maximale Anzahl von IPv4- oder IPv6-Adressen, die Sie in einer Sicherheitsrichtlinie konfigurieren können, auf den folgenden Übereinstimmungskriterien:
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
Der Grund für die Übereinstimmungskriterien ist, dass eine IPv6-Adresse viermal so viel Speicherplatz benötigt wie eine IPv4-Adresse.
Sie können eine Sicherheitsrichtlinie mit IPv6-Adressen nur konfigurieren, wenn die Datenstromunterstützung für IPv6-Datenverkehr auf dem Gerät aktiviert ist.
Wenn Sie keine bestimmte Anwendung angeben möchten, geben Sie als Standardanwendung ein any . Um die Standardanwendungen zu suchen, geben Sie show groups junos-defaults | find applications (predefined applications)im Konfigurationsmodus . Wenn Sie z. B. keinen Anwendungsnamen angeben, wird die Richtlinie mit der Anwendung als Platzhalter installiert (Standard). Daher stimmt jeder Datenverkehr, der mit den übrigen Parametern in einer bestimmten Richtlinie übereinstimmt, mit der Richtlinie überein, unabhängig vom Anwendungstyp des Datenverkehrs.
Wenn eine Richtlinie mit mehreren Anwendungen konfiguriert ist und mehr als eine der Anwendungen mit dem Datenverkehr übereinstimmt, wird die Anwendung ausgewählt, die die Übereinstimmungskriterien am besten erfüllt.
Die Aktion der ersten Richtlinie, mit der der Datenverkehr übereinstimmt, wird auf das Paket angewendet. Wenn keine übereinstimmende Richtlinie vorhanden ist, wird das Paket verworfen. Richtlinien werden von oben nach unten durchsucht, daher empfiehlt es sich, spezifischere Richtlinien ganz oben in der Liste zu platzieren. Sie sollten auch IPsec-VPN-Tunnelrichtlinien ganz oben platzieren. Platzieren Sie die allgemeineren Richtlinien, z. B. eine, die bestimmten Benutzern den Zugriff auf alle Internetanwendungen ermöglicht, am Ende der Liste. Platzieren Sie z. B. die Richtlinien "Alle ablehnen" oder "Alle ablehnen" am unteren Rand, nachdem alle spezifischen Richtlinien zuvor analysiert wurden und legitimer Datenverkehr zugelassen/gezählt/protokolliert wurde.
Die Unterstützung für IPv6-Adressen wurde in Junos OS Version 10.2 hinzugefügt. Unterstützung für IPv6-Adressen in Aktiv/Aktiv-Chassis-Cluster-Konfigurationen (zusätzlich zur bestehenden Unterstützung von Aktiv/Passiv-Chassis-Cluster-Konfigurationen) wurde in Junos OS Version 10.4 hinzugefügt.
Richtlinien werden während der Datenstromverarbeitung gesucht, nachdem Firewall-Filter und -Bildschirme verarbeitet wurden und die Routensuche von der Services Processing Unit (SPU) abgeschlossen wurde (für SRX5400-, SRX5600- und SRX5800-Geräte). Die Richtliniensuche bestimmt die Zielzone, die Zieladresse und die Ausgangsschnittstelle.
Wenn Sie eine Richtlinie erstellen, gelten die folgenden Richtlinienregeln:
Sicherheitsrichtlinien werden in einer
from-zoneRichtungto-zonekonfiguriert. Unter einer bestimmten Zonenrichtung enthält jede Sicherheitsrichtlinie einen Namen, Übereinstimmungskriterien, eine Aktion und verschiedene Optionen.Der Richtlinienname, die Übereinstimmungskriterien und die Aktion sind erforderlich.
Der Richtlinienname ist ein Schlüsselwort.
Die Quelladresse in den Übereinstimmungskriterien besteht aus einem oder mehreren Adressnamen oder Adresssatznamen in .
from-zoneDie Zieladresse der Übereinstimmungskriterien setzt sich aus einem oder mehreren Adressnamen oder Adresssatznamen in .
to-zoneDer Anwendungsname in den Übereinstimmungskriterien setzt sich aus dem Namen einer oder mehrerer Anwendungen oder Anwendungssätze zusammen.
Eine der folgenden Aktionen ist erforderlich: Zulassen, Verweigern oder Ablehnen.
Buchhaltungs- und Auditing-Elemente können angegeben werden: Anzahl und Protokoll.
Sie können die Protokollierung am Ende einer Sitzung mit dem
session-closeBefehl oder zu Beginn der Sitzung mit demsession-initBefehl aktivieren.Wenn der Zählalarm aktiviert ist, geben Sie Alarmschwellenwerte in Byte pro Sekunde oder Kilobyte pro Minute an.
Sie können weder als die
from-zonenoch als dieto-zoneangebenglobal, außer unter der folgenden Bedingung:Jede Richtlinie, die mit der
to-zoneals globale Zone konfiguriert ist, muss über eine einzelne Zieladresse verfügen, um anzugeben, dass entweder statische NAT oder eingehende NAT in der Richtlinie konfiguriert wurde.Bei Firewalls der SRX-Serie ist die Option zum Zulassen von Richtlinien mit NAT vereinfacht. Jede Richtlinie gibt optional an, ob sie die NAT-Übersetzung zulässt, keine NAT-Übersetzung zulässt oder ob sie sich nicht darum kümmert.
Adressnamen dürfen nicht mit den folgenden reservierten Präfixen beginnen. Diese werden nur für die Adress-NAT-Konfiguration verwendet:
static_nat_incoming_nat_junos_
Anwendungsnamen dürfen nicht mit dem
junos_Präfix reserved beginnen.
Grundlegendes zu Platzhalteradressen
Quell- und Zieladressen sind zwei der fünf Übereinstimmungskriterien, die in einer Sicherheitsrichtlinie konfiguriert werden sollten. Sie können jetzt Platzhalteradressen für die Übereinstimmungskriterien für Quell- und Zieladressen in einer Sicherheitsrichtlinie konfigurieren. Eine Platzhalteradresse wird als A.B.C.D/Platzhalter-Maske dargestellt. Die Platzhaltermaske bestimmt, welche der Bits in der IP-Adresse A.B.C.D. von den Übereinstimmungskriterien der Sicherheitsrichtlinie ignoriert werden sollen. Beispielsweise impliziert die Quell-IP-Adresse 192.168.0.11/255.255.0.255 in einer Sicherheitsrichtlinie, dass die Übereinstimmungskriterien der Sicherheitsrichtlinie das dritte Oktett in der IP-Adresse verwerfen können (symbolisch dargestellt als 192.168.*.11). Daher entsprechen Pakete mit Quell-IP-Adressen wie 192.168.1.11 und 192.168.22.11 den Übereinstimmungskriterien. Pakete mit Quell-IP-Adressen wie 192.168.0.1 und 192.168.1.21 erfüllen jedoch nicht die Übereinstimmungskriterien.
Die Verwendung von Platzhalteradressen ist nicht nur auf vollständige Oktette beschränkt. Sie können eine beliebige Platzhalteradresse konfigurieren. Beispiel: die Platzhalteradresse 192.168. 7.1/255.255.7.255 bedeutet, dass Sie nur die ersten 5 Bits des dritten Oktetts der Platzhalteradresse ignorieren müssen, während Sie die Richtlinienübereinstimmung herstellen. Wenn die Verwendung der Platzhalteradresse nur auf vollständige Oktette beschränkt ist, sind Platzhaltermasken mit entweder 0 oder 255 in jedem der vier Oktette zulässig.
Das erste Oktett der Platzhaltermaske sollte größer als 128 sein. Beispielsweise ist eine Platzhaltermaske, die als 0.255.0.255 oder 1.255.0.255 dargestellt wird, ungültig.
Eine Platzhalter-Sicherheitsrichtlinie ist eine einfache Firewall-Richtlinie, mit der Sie den Datenverkehr zulassen, verweigern und ablehnen können, der versucht, von einer Sicherheitszone in eine andere zu gelangen. Sie sollten keine Sicherheitsrichtlinienregeln konfigurieren, die Platzhalteradressen für Dienste wie Content Security verwenden.
Nur Intrusion and Prevention (IDP) für IPv6-Sitzungen wird für alle SRX5400-, SRX5600- und SRX5800 Geräte unterstützt. Content Security für IPv6-Sitzungen wird nicht unterstützt. Wenn Ihre aktuelle Sicherheitsrichtlinie Regeln mit dem Platzhalter "IP-Adresse" verwendet und Content Security-Funktionen aktiviert sind, treten Fehler beim Konfigurationscommit auf, da Content Security-Funktionen IPv6-Adressen noch nicht unterstützen. Um die Fehler zu beheben, ändern Sie die Regel, die den Fehler zurückgibt, so, dass der Platzhalter any-ipv4 verwendet wird. und separate Regeln für IPv6-Datenverkehr erstellen, die keine Content Security-Funktionen enthalten.
Die Konfiguration von Platzhalter-Sicherheitsrichtlinien auf einem Gerät wirkt sich basierend auf der Anzahl der Platzhalterrichtlinien, die pro Von-Zone- und Bis-Zone-Kontext konfiguriert sind, auf die Leistung und die Speicherauslastung aus. Daher können Sie nur maximal 480 Platzhalterrichtlinien für einen bestimmten Von-Zone- und Bis-Zonen-Kontext konfigurieren.
Siehe auch
Grundlegendes zu den Sicherheitsrichtlinien für den eigenständigen Datenverkehr
Sicherheitsrichtlinien werden auf den Geräten so konfiguriert, dass Dienste auf den Datenverkehr angewendet werden, der durch das Gerät fließt. Beispielsweise werden UAC- und Content Security-Richtlinien so konfiguriert, dass Dienste auf den vorübergehenden Datenverkehr angewendet werden.
Selbstdatenverkehr oder Hostdatenverkehr, ist der eingehende Datenverkehr des Hosts. d. h. der Datenverkehr, der auf dem Gerät endet, oder der ausgehende Datenverkehr des Hosts, d. h. der vom Gerät ausgehende Datenverkehr. Sie können jetzt Richtlinien konfigurieren, um Services auf den eigenen Datenverkehr anzuwenden. Dienste wie der SSL-Stack-Dienst, der die SSL-Verbindung von einem Remote-Gerät aus beenden und diesen Datenverkehr verarbeiten muss, IDP-Dienste für eingehenden Datenverkehr von Hosts oder IPsec-Verschlüsselung für ausgehenden Datenverkehr von Hosts müssen über die für Selbstdatenverkehr konfigurierten Sicherheitsrichtlinien angewendet werden.
Wenn Sie eine Sicherheitsrichtlinie für den Eigendatenverkehr konfigurieren, wird der durch das Gerät fließende Datenverkehr zuerst mit der Richtlinie und dann mit der Option verglichen, die host-inbound-traffic für die an die Zone gebundenen Schnittstellen konfiguriert ist.
Sie können die Sicherheitsrichtlinie für den Selbstdatenverkehr so konfigurieren, dass Dienste auf den Selbstdatenverkehr angewendet werden. Die ausgehenden Hostrichtlinien funktionieren nur in Fällen, in denen das Paket, das vom Hostgerät stammt, den Datenfluss durchläuft und die eingehende Schnittstelle dieses Pakets auf "Lokal" festgelegt ist.
Die Vorteile der Nutzung des Selbstverkehrs sind:
Sie können den größten Teil der vorhandenen Richtlinien- oder Datenstrominfrastruktur nutzen, die für den Transitdatenverkehr verwendet wird.
Sie benötigen keine separate IP-Adresse, um einen Dienst zu aktivieren.
Sie können Services oder Richtlinien auf jeden eingehenden Host-Datenverkehr mit der Ziel-IP-Adresse einer beliebigen Schnittstelle auf dem Gerät anwenden.
Bei Firewalls der SRX-Serie wirken sich die standardmäßigen Sicherheitsrichtlinienregeln nicht auf den Eigenverkehr aus.
Sie können die Sicherheitsrichtlinie nur für den Eigenverkehr mit den entsprechenden Diensten konfigurieren. Beispielsweise ist es nicht relevant, den fwauth-Dienst für ausgehenden Host-Datenverkehr zu konfigurieren, und gprs-gtp-Dienste sind für die Sicherheitsrichtlinien für den Selbstdatenverkehr nicht relevant.
Die Sicherheitsrichtlinien für den Self-Datenverkehr werden in der neuen Standardsicherheitszone namens junos-host Zone konfiguriert. Die Zone "junos-host" ist Teil der "junos-defaults"-Konfiguration, sodass Benutzer sie nicht löschen können. Die vorhandenen Zonenkonfigurationen wie Schnittstellen, Bildschirm, tcp-rst und Optionen für eingehenden Datenverkehr sind für die Zone "junos-host" nicht von Bedeutung. Daher gibt es keine dedizierte Konfiguration für die Junos-Host-Zone.
Sie können host-inbound-traffic verwenden, um eingehende Verbindungen zu einem Gerät zu steuern. Der Datenverkehr, der das Gerät verlässt, wird jedoch nicht eingeschränkt. Mit junos-host-zone hingegen können Sie die Anwendung Ihrer Wahl auswählen und auch den ausgehenden Datenverkehr einschränken. Beispielsweise können Services wie NAT, IDP, Content Security usw. jetzt mithilfe von junos-host-zone für Datenverkehr aktiviert werden, der in die Firewall der SRX-Serie ein- oder ausgeht.
Konfigurationsübersicht für Sicherheitsrichtlinien
Sie müssen die folgenden Aufgaben ausführen, um eine Sicherheitsrichtlinie zu erstellen:
Erstellen Sie Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch mit Adressen für die Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen.
Erstellen Sie die Richtlinie. Weitere Informationen finden Sie unter Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs, Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von ausgewähltem Datenverkehr und Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von Datenverkehr mit Platzhalteradressen.
Erstellen Sie Planer, wenn Sie sie für Ihre Richtlinien verwenden möchten. Siehe Beispiel: Konfigurieren von Zeitplänen für einen Tageszeitplan ohne einen Tag.
Mit dem Firewallrichtlinien-Assistenten können Sie grundlegende Sicherheitsrichtlinienkonfigurationen vornehmen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.
Siehe auch
Best Practices für die Definition von Richtlinien für Geräte der SRX-Serie
Ein sicheres Netzwerk ist für ein Unternehmen von entscheidender Bedeutung. Um ein Netzwerk zu sichern, muss ein Netzwerkadministrator eine Sicherheitsrichtlinie erstellen, die alle Netzwerkressourcen innerhalb dieses Unternehmens und die erforderliche Sicherheitsstufe für diese Ressourcen beschreibt. Die Sicherheitsrichtlinie wendet die Sicherheitsregeln auf den Transitdatenverkehr innerhalb eines Kontexts (von Zone zu bis-Zone) an, und jede Richtlinie wird eindeutig durch ihren Namen identifiziert. Der Datenverkehr wird klassifiziert, indem die Quell- und Zielzonen, die Quell- und Zieladressen sowie die Anwendung, die der Datenverkehr in seinen Protokollheadern trägt, mit der Richtliniendatenbank in der Datenebene abgeglichen werden.
Tabelle 1 enthält die Richtlinienbeschränkungen für SRX300-, SRX320-, SRX340-, SRX345-, SRX380-, SRX550-, SRX650-, SRX550M-, SRX1400-, SRX1500-, SRX3400-, SRX3600-, SRX4100-, SRX4200-, SRX4600-, SRX5400-, SRX5600- und SRX5800-Geräte. Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.
Ab Junos OS Version 12.3X48-D15 und Junos OS Version 17.3R1 erhöht sich die maximale Anzahl von Adressobjekten pro Richtlinie für SRX5400-, SRX5600- und SRX5800-Geräte von 1024 auf 4096 und die maximale Anzahl von Richtlinien pro Kontext von 10240 auf 80.000.
Ab Junos OS Version 17.3R1 erhöht sich die Anzahl der Sicherheitsrichtlinien und die maximale Anzahl von Richtlinien pro Kontext für SRX5400-, SRX5600- und SRX5800-Geräte von 80.000 auf 100.000.
Ab Junos OS Version 15.1X49-D120 erhöht sich die Anzahl der Adressobjekte pro Richtlinie für SRX5400, SRX5600 und SRX5800 von 4096 auf 16.000.
Geräte der SRX-Serie |
Adressobjekte |
Anwendungsobjekte |
Sicherheitsrichtlinien |
Richtlinienkontexte (Zonenpaare) |
Richtlinien pro Kontext |
Richtlinien mit aktivierter Zählung |
|---|---|---|---|---|---|---|
SRX300SRX320 |
2048 |
128 |
1024 |
256 |
1024 |
256 |
SRX340 |
2048 |
128 |
2048 |
512 |
2048 |
256 |
SRX345 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX380 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX550M |
2048 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX1500 |
4096 |
3072 |
16000 |
4096 |
16000 |
1024 |
SRX4100 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4200 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4600 |
4096 |
3072 |
80000 |
8192 |
80000 |
1024 |
SRX5400 SRX5600 SRX5800 |
16384 |
3072 |
100000 |
8192 |
100000 |
1024 |
Wenn Sie also die Anzahl der Adressen und Anwendungen in den einzelnen Regeln erhöhen, erhöht sich die Menge an Arbeitsspeicher, die von der Richtliniendefinition verwendet wird, und manchmal geht dem System bei weniger als 80.000 Richtlinien der Arbeitsspeicher aus.
Um die tatsächliche Speicherauslastung einer Richtlinie für die Packet Forwarding Engine (PFE) und die Routing-Engine (Routing Engine, RE) zu ermitteln, müssen Sie verschiedene Komponenten der Speicherstruktur berücksichtigen. Die Speicherstruktur umfasst die folgenden zwei Komponenten:
Richtlinienkontext: Wird verwendet, um alle Richtlinien in diesem Kontext zu organisieren. Der Richtlinienkontext umfasst Variablen wie Quell- und Zielzonen.
Richtlinienentität: Wird verwendet, um die Richtliniendaten zu speichern. Die Richtlinienentität berechnet den Arbeitsspeicher anhand von Parametern wie Richtlinienname, IP-Adressen, Adressanzahl, Anwendungen, Firewall-Authentifizierung, WebAuth, IPsec, Anzahl, Anwendungsservices und Junos Services Framework (JSF).
Darüber hinaus verwenden die Datenstrukturen, die zum Speichern von Richtlinien, Regelsätzen und anderen Komponenten verwendet werden, unterschiedlichen Speicher in der Paketweiterleitungs-Engine und in der Routing-Engine. Beispielsweise werden die Adressnamen für jede Adresse in der Richtlinie in der Routing-Engine gespeichert, aber auf der Ebene der Paketweiterleitungs-Engine wird kein Arbeitsspeicher zugewiesen. In ähnlicher Weise werden Portbereiche zu Präfix- und Maskenpaaren erweitert und in der Paketweiterleitungs-Engine gespeichert, aber auf der Routing-Engine wird kein solcher Speicher zugewiesen.
Dementsprechend unterscheiden sich je nach Richtlinienkonfiguration die Richtlinienbeiträge für die Routing-Engine von denen für die Paketweiterleitungs-Engine, und der Arbeitsspeicher wird dynamisch zugewiesen.
Der Arbeitsspeicher wird auch durch den Status "verzögertes Löschen" verbraucht. Wenn eine Firewall der SRX-Serie im Status des verzögerten Löschens eine Richtlinienänderung vornimmt, kommt es zu vorübergehenden Spitzennutzungszeiten, bei denen sowohl die alte als auch die neue Richtlinie vorhanden sind. Für einen kurzen Zeitraum existieren also sowohl alte als auch neue Richtlinien auf der Packet Forwarding Engine, die doppelt so viel Arbeitsspeicher beanspruchen.
Daher lässt sich nicht eindeutig ableiten, wie viel Arbeitsspeicher von einer der beiden Komponenten (Paketweiterleitungs-Engine oder Routing-Engine) zu einem bestimmten Zeitpunkt verwendet wird, da der Speicherbedarf von bestimmten Richtlinienkonfigurationen abhängt und der Arbeitsspeicher dynamisch zugewiesen wird.
Die folgenden bewährten Methoden für die Richtlinienimplementierung ermöglichen es Ihnen, den Systemspeicher besser zu nutzen und die Richtlinienkonfiguration zu optimieren:
Verwenden Sie einzelne Präfixe für Quell- und Zieladressen. Anstatt beispielsweise /32-Adressen zu verwenden und jede Adresse separat hinzuzufügen, verwenden Sie ein großes Subnetz, das die meisten benötigten IP-Adressen abdeckt.
Verwenden Sie nach Möglichkeit die Anwendung "any". Jedes Mal, wenn Sie eine einzelne Anwendung in der Richtlinie definieren, können Sie zusätzliche 52 Byte verwenden.
Verwenden Sie weniger IPv6-Adressen, da IPv6-Adressen mehr Arbeitsspeicher verbrauchen.
Verwenden Sie weniger Zonenpaare in Richtlinienkonfigurationen. Jede Quell- oder Zielzone verwendet etwa 16.048 Byte Arbeitsspeicher.
Die folgenden Parameter können ändern, wie der Speicher von den angegebenen Bytes verbraucht wird:
Firewall-Authentifizierung – ca. 16 Byte oder mehr (nicht behoben)
Webauthentifizierung – ca. 16 Byte oder mehr (nicht festgelegt)
IPsec–12 Byte
Anwendungsdienste–28 Byte
Anzahl–64 Byte
Überprüfen Sie die Speicherauslastung vor und nach dem Kompilieren von Richtlinien.
Hinweis:Der Speicherbedarf ist für jedes Gerät unterschiedlich. Einige Geräte unterstützen standardmäßig 512.000 Sitzungen, und der Startspeicher liegt normalerweise bei 72 bis 73 Prozent. Andere Geräte können bis zu 1 Million Sitzungen haben und der Startspeicher kann bis zu 83 bis 84 Prozent betragen. Um etwa 80.000 Richtlinien in der SPU zu unterstützen, sollte die SPU im schlimmsten Fall mit einem Kernelspeicherverbrauch von bis zu 82 Prozent und mindestens 170 Megabyte Arbeitsspeicher gestartet werden.
Siehe auch
Konfigurieren von Richtlinien mithilfe des Firewall-Assistenten
Mit dem Firewall-Richtlinien-Assistenten können Sie grundlegende Sicherheitsrichtlinienkonfigurationen auf SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550M-Geräten durchführen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.
So konfigurieren Sie Richtlinien mit dem Firewall-Richtlinien-Assistenten:
- Wählen Sie in der J-Web-Oberfläche aus
Configure>Tasks>Configure FW Policy. - Klicken Sie auf die Schaltfläche Firewallrichtlinien-Assistent starten, um den Assistenten zu starten.
- Folgen Sie den Anweisungen im Assistenten.
Der obere linke Bereich der Assistentenseite zeigt an, wo Sie sich im Konfigurationsprozess befinden. Im unteren linken Bereich der Seite wird die feldsensitive Hilfe angezeigt. Wenn Sie auf einen Link unter der Überschrift Ressourcen klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument in einem neuen Tab geöffnet wird, achten Sie darauf, beim Schließen des Dokuments nur den Tab (nicht das Browserfenster) zu schließen.
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass der gesamte Datenverkehr zugelassen oder verweigert wird.
Anforderungen
Bevor Sie beginnen:
Erstellen Sie Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch und erstellen Sie Adressen für die Verwendung in der Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen.
Übersicht
Im Junos-Betriebssystem erzwingen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr, d. h. welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr ausgeführt werden müssen, während er das Gerät passiert. Aus Sicht der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie die vertrauensvollen und nicht vertrauenswürdigen Schnittstellen ge-0/0/2 und ge-0/0/1. Siehe Abbildung 1.
In diesem Konfigurationsbeispiel wird Folgendes veranschaulicht:
Lassen oder verweigern Sie den gesamten Datenverkehr von der Vertrauenszone zur nicht vertrauenswürdigen Zone, blockieren Sie jedoch alles von der nicht vertrauenswürdigen Zone zur vertrauenswürdigen Zone.
Zulassen oder Verweigern von ausgewähltem Datenverkehr von einem Host in der Vertrauenszone zu einem Server in der nicht vertrauenswürdigen Zone zu einem bestimmten Zeitpunkt.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie eine Sicherheitsrichtlinie, um jeglichen Datenverkehr zuzulassen oder zu verweigern:
Konfigurieren Sie die Schnittstellen und Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der nicht vertrauenswürdigen Zone zur vertrauenswürdigen Zone abzulehnen.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Bei dem Konfigurationsbeispiel handelt es sich um eine standardmäßige Permit-All-Zone von der Vertrauenszone bis zur nicht vertrauenswürdigen Zone.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie die Informationen zu Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
Bedeutung
In der Ausgabe werden Informationen zu den auf dem System konfigurierten Richtlinien angezeigt. Überprüfen Sie die folgenden Informationen:
Von- und Bis-Zonen
Quell- und Zieladressen
Übereinstimmungskriterien
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von ausgewähltem Datenverkehr
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass ausgewählter Datenverkehr zugelassen oder verweigert wird.
Anforderungen
Bevor Sie beginnen:
Erstellen Sie Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch und erstellen Sie Adressen für die Verwendung in der Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen.
Lassen Sie Datenverkehr zu und von vertrauenswürdigen und nicht vertrauenswürdigen Zonen zu. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um jeglichen Datenverkehr zuzulassen oder zu verweigern.
Übersicht
In Junos OS erzwingen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr, d. h. welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr ausgeführt werden müssen, während er das Gerät passiert. Aus Sicht der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie eine bestimmte Sicherheitsrichtlinie so, dass nur E-Mail-Datenverkehr von einem Host in der Vertrauenszone zu einem Server in der nicht vertrauenswürdigen Zone zugelassen wird. Anderer Datenverkehr ist nicht zulässig. Siehe Abbildung 2.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie eine Sicherheitsrichtlinie, um ausgewählten Datenverkehr zuzulassen:
Konfigurieren Sie die Schnittstellen und Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Erstellen Sie Adressbucheinträge sowohl für den Client als auch für den Server. Fügen Sie außerdem Sicherheitszonen an die Adressbücher an.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
Definieren Sie die Richtlinie zum Zulassen von E-Mail-Datenverkehr.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie die Informationen zu Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
Bedeutung
In der Ausgabe werden Informationen zu den auf dem System konfigurierten Richtlinien angezeigt. Überprüfen Sie die folgenden Informationen:
Von- und Bis-Zonen
Quell- und Zieladressen
Übereinstimmungskriterien
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von Platzhalteradressverkehr
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass der Datenverkehr mit Platzhalteradressen zugelassen oder verweigert wird.
Anforderungen
Bevor Sie beginnen:
Verstehen von Platzhalteradressen. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitsrichtlinienregeln.
Erstellen Sie Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch und erstellen Sie Adressen für die Verwendung in der Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungssätzen.
Lassen Sie Datenverkehr zu und von vertrauenswürdigen und nicht vertrauenswürdigen Zonen zu. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um jeglichen Datenverkehr zuzulassen oder zu verweigern.
Lassen Sie E-Mail-Datenverkehr zu und von vertrauenswürdigen und nicht vertrauenswürdigen Zonen zu. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von ausgewähltem Datenverkehr
Übersicht
Im Junos-Betriebssystem (Junos OS) erzwingen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr, d. h. welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr ausgeführt werden müssen, während er das Gerät passiert. Aus Sicht der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie eine bestimmte Sicherheit so, dass nur Platzhalteradressdatenverkehr von einem Host in der Vertrauenszone zur nicht vertrauenswürdigen Zone zugelassen wird. Anderer Datenverkehr ist nicht zulässig.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie eine Sicherheitsrichtlinie, um ausgewählten Datenverkehr zuzulassen:
Konfigurieren Sie die Schnittstellen und Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Erstellen Sie einen Adressbucheintrag für den Host und hängen Sie das Adressbuch an eine Zone an.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
Definieren Sie die Richtlinie, um Platzhalteradressdatenverkehr zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie die Informationen zu Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies policy-name permit-wildcard detail Befehl ein, um Details zu der auf dem Gerät konfigurierten Sicherheitsrichtlinie "permit-wildcard" anzuzeigen.
Bedeutung
In der Ausgabe werden Informationen zu der auf dem System konfigurierten Permit-Wildcard-Richtlinie angezeigt. Überprüfen Sie die folgenden Informationen:
Von- und Bis-Zonen
Quell- und Zieladressen
Übereinstimmungskriterien
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Umleiten von Datenverkehrsprotokollen an einen externen Systemprotokollserver
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass auf dem Gerät generierte Datenverkehrsprotokolle an einen externen Systemprotokollserver gesendet werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Client, der mit einem SRX5600 Gerät an der Schnittstelle ge-4/0/5 verbunden ist
Ein Server, der mit dem SRX5600 Gerät an der Schnittstelle ge-4/0/1 verbunden ist
Die auf dem SRX5600 Gerät generierten Protokolle werden auf einem Linux-basierten Systemprotokollserver gespeichert.
Ein SRX5600 Gerät, das mit dem Linux-basierten Server an der Schnittstelle ge-4/0/4 verbunden ist
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
In diesem Beispiel konfigurieren Sie eine Sicherheitsrichtlinie auf dem SRX5600 Gerät, um Datenverkehrsprotokolle, die vom Gerät während der Datenübertragung generiert werden, an einen Linux-basierten Server zu senden. In Datenverkehrsprotokollen werden Details zu jeder Sitzung aufgezeichnet. Die Protokolle werden während des Auf- und Abbruchs der Sitzung zwischen dem Quell- und dem Zielgerät generiert, die mit dem SRX5600 Gerät verbunden sind.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
Gehen Sie wie folgt vor, um eine Sicherheitsrichtlinie so zu konfigurieren, dass Datenverkehrsprotokolle an einen externen Systemprotokollserver gesendet werden:
Konfigurieren Sie Sicherheitsprotokolle so, dass die auf dem SRX5600 Gerät generierten Datenverkehrsprotokolle an einen externen Systemprotokollserver mit der IP-Adresse 203.0.113.2 übertragen werden. Die IP-Adresse 127.0.0.1 ist die Loopback-Adresse des SRX5600 Geräts.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
Konfigurieren Sie eine Sicherheitszone und geben Sie die Datenverkehrstypen und Protokolle an, die auf der Schnittstelle ge-4/0/5.0 des SRX5600 Geräts zulässig sind.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
Konfigurieren Sie eine weitere Sicherheitszone, und geben Sie die Datenverkehrstypen an, die auf den Schnittstellen ge-4/0/4.0 und ge-4/0/1.0 des SRX5600 Geräts zulässig sind.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
Erstellen Sie eine Richtlinie, und geben Sie die Übereinstimmungskriterien für diese Richtlinie an. Das Übereinstimmungskriterium gibt an, dass das Gerät Datenverkehr von jeder Quelle, zu jedem Ziel und in jeder Anwendung zulassen kann.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
Aktivieren Sie die Richtlinie, um Datenverkehrsdetails zu Beginn und am Ende der Sitzung zu protokollieren.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security log Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie es im Konfigurationsmodus ein commit .
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren von Zonen
Zweck
Vergewissern Sie sich, dass die Sicherheitszone aktiviert ist oder nicht.
Aktion
Geben Sie im Betriebsmodus den show security zones Befehl ein.
TAP-Modus für Sicherheitszonen und -richtlinien
Der TAP-Modus (Terminal Access Point) für Sicherheitszonen und -richtlinien ermöglicht Ihnen die passive Überwachung des Datenverkehrsflusses über ein Netzwerk über einen Switch-SPAN oder einen Mirror-Port.
- Grundlegendes zur Unterstützung des TAP-Modus für Sicherheitszonen und -richtlinien
- Beispiel: Konfigurieren von Sicherheitszonen und -richtlinien im TAP-Modus
Grundlegendes zur Unterstützung des TAP-Modus für Sicherheitszonen und -richtlinien
Der TAP-Modus (Terminal Access Point) ist ein Standby-Gerät, das den gespiegelten Datenverkehr über den Switch überprüft. Wenn Sicherheitszonen und -richtlinien konfiguriert sind, überprüft der TAP-Modus den ein- und ausgehenden Datenverkehr, indem er die TAP-Schnittstelle konfiguriert und einen Sicherheitsprotokollbericht generiert, in dem die Anzahl der erkannten Bedrohungen und die Benutzernutzung angezeigt werden. Wenn ein Paket in der Tap-Schnittstelle verloren geht, beenden die Sicherheitszonen und -richtlinien die Verbindung, sodass kein Bericht für diese Verbindung generiert wird. Die Sicherheitszone und die Richtlinienkonfiguration bleiben identisch mit dem Nicht-TAP-Modus.
Wenn Sie eine Firewall der SRX-Serie für den Betrieb im TAP-Modus konfigurieren, generiert das Gerät Sicherheitsprotokollinformationen, um die Informationen zu erkannten Bedrohungen, Anwendungsnutzung und Benutzerdetails anzuzeigen. Wenn das Gerät für den Betrieb im TAP-Modus konfiguriert ist, empfängt die Firewall der SRX-Serie Pakete nur von der konfigurierten TAP-Schnittstelle. Mit Ausnahme der konfigurierten TAP-Schnittstelle werden andere Schnittstellen auf normale Schnittstellen konfiguriert, die als Managementschnittstelle verwendet oder mit dem externen Server verbunden sind. Die Firewall der SRX-Serie generiert einen Sicherheitsbericht oder ein Protokoll entsprechend dem eingehenden Datenverkehr.
Die Sicherheitszone und die Standardsicherheitsrichtlinie werden nach der Konfiguration der TAP-Schnittstelle konfiguriert. Sie können bei Bedarf andere Zonen oder Richtlinien konfigurieren. Wenn eine Schnittstelle zur Verbindung eines Servers verwendet wird, müssen auch die IP-Adresse, die Routing-Schnittstelle und die Sicherheitskonfiguration konfiguriert werden.
Sie können nur eine TAP-Schnittstelle konfigurieren, wenn Sie das Gerät im TAP-Modus betreiben.
Beispiel: Konfigurieren von Sicherheitszonen und -richtlinien im TAP-Modus
Dieses Beispiel zeigt, wie Sicherheitszonen und Richtlinien konfiguriert werden, wenn die Firewall der SRX-Serie im TAP-Modus (Terminal Access Point) konfiguriert ist.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 19.1R1
Bevor Sie beginnen:
Lesen Sie den Artikel Grundlegendes zur Unterstützung des TAP-Modus für Sicherheitszonen und -richtlinien , um zu verstehen, wie und wo sich dieses Verfahren in die allgemeine Unterstützung für Sicherheitszonen und -richtlinien einfügt.
Übersicht
In diesem Beispiel konfigurieren Sie die Firewall der SRX-Serie für den Betrieb im TAP-Modus. Wenn Sie die Firewall der SRX-Serie für den Betrieb im TAP-Modus konfigurieren, generiert das Gerät Sicherheitsprotokollinformationen, um die Informationen zu erkannten Bedrohungen, Anwendungsnutzung und Benutzerdetails anzuzeigen.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie auf Hierarchieebene in die CLI ein, und geben Sie dann Commit aus dem [edit] Konfigurationsmodus ein.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Zonen im TAP-Modus:
Konfigurieren Sie die Schnittstelle für die Sicherheitszone für die Tap-Zone.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
Konfigurieren Sie die Anwendungsverfolgung der Sicherheitszone für die Tap-Zone.
user@host# set security zones security-zone tap-zone application-tracking
Konfigurieren Sie die Sicherheitsrichtlinie, die Datenverkehr von Zone Tap-Zone zu Zone Tap-Zone zulässt, und konfigurieren Sie die Übereinstimmungsbedingung.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones Befehle und show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen der Richtlinienkonfiguration im TAP-Modus
Zweck
Überprüfen Sie die Informationen zu Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies detail Befehl ein.
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Bedeutung
Zeigt eine Zusammenfassung aller Sicherheitsrichtlinien an, die auf dem Gerät im TAP-Modus konfiguriert sind.
Dynamische Adressgruppen in Sicherheitsrichtlinien
Das manuelle Hinzufügen von Adresseinträgen zu einer Richtlinie kann zeitaufwändig sein. Es gibt externe Quellen, die Listen von IP-Adressen bereitstellen, die einen bestimmten Zweck erfüllen (z. B. eine Sperrliste) oder die ein gemeinsames Attribut aufweisen (z. B. einen bestimmten Standort oder ein bestimmtes Verhalten, das eine Bedrohung darstellen könnte). Sie können die externe Quelle verwenden, um Bedrohungsquellen anhand ihrer IP-Adresse zu identifizieren, diese Adressen dann in einem dynamischen Adresseintrag zu gruppieren und in einer Sicherheitsrichtlinie auf diesen Eintrag zu verweisen. Dadurch können Sie den Datenverkehr zu und von diesen Adressen steuern. Jede dieser Gruppen von IP-Adressen wird als dynamischer Adresseintrag bezeichnet.
Die folgenden Arten von IP-Adressen werden unterstützt:
-
Eine einzige IP-Adresse. Zum Beispiel: 192.0.2.0
-
IP-Bereich. Zum Beispiel: 192.0.2.0- 192.0.2.10
-
CIDR. Zum Beispiel: 192.0.2.0/24
Jeder Eintrag belegt eine Zeile. Ab Junos OS Version 19.3R1 müssen IP-Adressbereiche nicht mehr in aufsteigender Reihenfolge sortiert werden, und die Werte der IP-Einträge können sich in derselben Feed-Datei überlappen. In Junos OS-Versionen vor 19.3R1 müssen IP-Adressbereiche in aufsteigender Reihenfolge sortiert werden, und die Werte der IP-Einträge dürfen sich in derselben Feed-Datei nicht überlappen.
Bei einem dynamischen Adresseintrag handelt es sich um eine Gruppe von IP-Adressen, nicht um ein einzelnes IP-Präfix. Ein dynamischer Adresseintrag unterscheidet sich von den Sicherheitsadresskonzepten von Adressbüchern und Adresseingabeadressen.
Im Folgenden sind die Vorteile der Bereitstellung dynamischer Adresseinträge in Sicherheitsrichtlinien aufgeführt:
-
Der Netzwerkadministrator hat mehr Kontrolle über den Datenverkehr zu und von Gruppen von IP-Adressen.
-
Der externe Server stellt aktualisierte IP-Adress-Feeds für die Firewall der SRX-Serie bereit.
-
Der Aufwand für den Administrator wird drastisch reduziert. In einer Legacy-Sicherheitsrichtlinienkonfiguration würde das Hinzufügen von 1000 Adresseinträgen für eine Richtlinie, auf die verwiesen werden soll, etwa 2000 Konfigurationszeilen erfordern. Durch die Definition eines dynamischen Adresseintrags und dessen Referenzierung in einer Sicherheitsrichtlinie könnten bis zu Millionen von Einträgen ohne großen zusätzlichen Konfigurationsaufwand in die Firewall der SRX-Serie einfließen.
-
Es ist kein Commit-Prozess erforderlich, um neue Adressen hinzuzufügen. Das Hinzufügen von Tausenden von Adressen zu einer Konfiguration über eine Legacy-Methode dauert sehr lange. Alternativ stammen IP-Adressen in einem dynamischen Adresseintrag aus einem externen Feed, sodass kein Commit-Prozess erforderlich ist, wenn sich die Adressen in einem Eintrag ändern.
Abbildung 3 veranschaulicht einen funktionalen Überblick über die Funktionsweise des dynamischen Adresseintrags in einer Sicherheitsrichtlinie.
Eine Sicherheitsrichtlinie verweist auf den dynamischen Adresseintrag in einem Quell- oder Zieladressfeld (ähnlich wie eine Sicherheitsrichtlinie auf einen Legacy-Adresseintrag).
Abbildung 4 zeigt eine Richtlinie, die einen dynamischen Adresseintrag im Feld Zieladresse verwendet.
In Abbildung 4 verwendet Richtlinie 1 die Zieladresse 10.10.1.1, bei der es sich um einen Legacy-Sicherheitsadresseintrag handelt. Richtlinie 2 verwendet die Anbieterblockliste der Zieladresse, bei der es sich um einen dynamischen Adresseintrag handelt, der vom Netzwerkadministrator benannt wird. Sein Inhalt ist die Liste der IP-Adressen, die aus einer externen Feed-Datei abgerufen werden. Pakete, die alle fünf Kriterien erfüllen (die Von-Zone mit dem Namen "nicht vertrauenswürdig", die "Bis-Zone mit dem Namen Engineer", eine beliebige Quelladresse, eine Ziel-IP-Adresse, die zum Eintrag "Vendor Blocklist" für dynamische Adressen gehört, und die E-Mail-Anwendung) werden gemäß den Richtlinienaktionen behandelt, die darin bestehen, das Paket abzulehnen und zu protokollieren.
Die Namen der dynamischen Adresseinträge haben denselben Namensraum wie die alten Sicherheitsadresseinträge, daher sollten Sie denselben Namen nicht für mehr als einen Eintrag verwenden. Der Commit-Prozess von Junos OS überprüft, ob Namen nicht dupliziert werden, um Konflikte zu vermeiden.
Dynamische Adressgruppen unterstützen die folgenden Datenfeeds:
-
Benutzerdefinierte Listen (Zulassungslisten und Blocklisten)
-
Geoip
Feed-Server
-
Feedserver enthalten dynamische Adresseinträge in einer Feeddatei. Sie können benutzerdefinierte Feeds erstellen, die lokal oder remote sein können. Informationen zum Erstellen von benutzerdefinierten Feeds finden Sie unter Erstellen von benutzerdefinierten Feeds
-
Konfigurieren Sie die Firewall der SRX-Serie für die Verwendung der Feeds. Siehe Feed-Server zur Konfiguration der Firewall der SRX-Serie.
Feeds bündeln
IP-Adressen, IP-Präfixe oder IP-Bereiche, die in einem dynamischen Adresseintrag enthalten sind, können regelmäßig aktualisiert werden, indem ein externer Feed heruntergeladen wird. Die Firewalls der SRX-Serie stellen in regelmäßigen Abständen eine Verbindung zum Feed-Server her, um die IP-Listen, die die aktualisierten dynamischen Adressen enthalten, herunterzuladen und zu aktualisieren.
Ab Junos OS Version 19.3R1 können Sie eine einzelne TGZ-Datei vom Server herunterladen und in mehrere untergeordnete Feed-Dateien extrahieren. Jede einzelne Datei entspricht einem Feed. Lassen Sie einzelne dynamische Adressen auf den Feed in der Bundle-Datei verweisen. Die Bundle-Datei reduziert den CPU-Overhead, wenn zu viele Feeds konfiguriert sind, wobei mehrere untergeordnete Feeds in eine .tgz-Datei komprimiert werden
Die folgenden Bundle-Feed-Modi werden unterstützt:
Archiv-Modus
Im Archivierungsmodus müssen Sie alle Feed-Dateien für die Firewall der SRX-Serie in eine tgz-Datei komprimieren. Die Firewall der SRX-Serie lädt diese Datei herunter und extrahiert alle Feeds nach der Extraktion. Dieser Vorgang wird im Folgenden erläutert:
-
Wenn die URL des Feed-Servers die URL einer Datei mit der Endung .tgz anstelle der ursprünglichen URL des Ordners ist, bedeutet dies, dass dieser Server eine einzige Datei verwendet, um alle seine Feeds für die Bereitstellung dynamischer Adressen der SRX-Serie zu übertragen. In diesem Fall erben Feeds unter diesem Server das Aktualisierungsintervall oder das Halteintervall vom Server. Jede Benutzerkonfiguration des Aktualisierungsintervalls oder Halteintervalls für diesen Feed wird ignoriert.
-
Führen Sie nach dieser Änderung die folgenden Schritte aus, um Server-Feeds wie im folgenden Beispiel zu verwalten.
Das folgende Beispiel zeigt die Schritte, die zum Verwalten der Server-Feeds erforderlich sind:
-
Platzieren Sie alle Feed-Dateien für die Firewall der SRX-Serie im Ordner feeds-4-srx
-
Generieren Sie alle Feed-Dateien fd1 fd2 fd3 .. fdN im Ordner feeds-4-srx
-
Hinzufügen oder Entfernen der IP-Bereiche aus den Feeds
-
Greifen Sie auf die Dateien zu, indem Sie den folgenden Befehl ausführen:
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
Nach Schritt 4 steht die Datei feeds-4-srx.tgz zum Download auf der Firewall der SRX-Serie bereit, die denselben Ordner enthält, in dem sich auch die Datei feeds-4-srx.tgz befindet. Nach dem Download werden die extrahierten Dateien im selben Ordner wie feeds-4-srx.tgz abgelegt. Das folgende Beispiel zeigt eine einfache Konfiguration auf einer Firewall der SRX-Serie:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
Der Parameter path erfordert den relativen Pfad des Feeds innerhalb des Bundle-Archivs.
-
Wenn die Datei tar -zxf feeds-4-srx.tgz einen Ordner feeds-4-srx generiert und dieser Ordner die Feed-Datei fd1 enthält, verwenden Sie den folgenden Befehl, um den Feed zu konfigurieren:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
Wenn die Datei tar -zxf feeds-4-srx.tgz die Datei fd1 direkt extrahiert, verwenden Sie den folgenden Befehl, um den Feed zu konfigurieren:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
Flatfile-Modus
Der Flatfile-Modus bietet dem Benutzer ultimative Einfachheit, indem er eine Syntaxänderung im vorhandenen Feed-Dateiformat einführt. Der Inhalt aller Feed-Dateien wird in einer einzigen Datei mit .bundle als Suffix kompiliert. Auf diese Weise können Sie eine einzelne Datei verwalten. Die Firewall der SRX-Serie klassifiziert die IP-Bereiche in dieser Bundle-Datei in zahlreiche Feed-Dateien. Sie können diese Datei als .bundle.gz gzippen, wenn Sie etwas Bandbreite für die Übertragung sparen können. Zusätzlich zu dem zuvor definierten Dateiformat wird ein Großbuchstaben-Tag FEED: gefolgt vom Feednamen eingeführt. Die Zeilen unterhalb dieses Tags werden als IP-Bereiche betrachtet, die zum Feed gehören. Nachfolgend finden Sie ein Beispiel für das Aussehen des Dateiformats:
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
Die Konfiguration einer Firewall der SRX-Serie ähnelt dem Archivmodus und ist wie folgt angegeben:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Der Unterschied zwischen Flat-Modus und Archiv-Modus ist das Suffix der Datei und das Layout innerhalb der Datei. Sie können den Modus auswählen, der für Sie am bequemsten ist.
Da die Feed-Dateien im Klartextformat vorliegen, kann gzip die Dateigröße reduzieren. Wenn zwischen einem Server und einer Firewall der SRX-Serie eine WAN-Verbindung besteht, verwenden Sie eine kleinere Datei, die über das Netzwerk übertragen werden soll, in diesem Fall die Bundle-Datei mit gzip und konfigurieren Sie die folgenden Befehle:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Feed-Server-Unterstützung für Firewalls der SRX-Serie
| Plattform |
Maximale Anzahl von Feedservern |
Maximale Anzahl von Feeds |
Maximale Anzahl der Einträge für dynamische Adressen |
| SRX300, SRX320, SRX340, SRX345, SRX550SRX550MSRX650 |
10 |
500 |
500 |
| SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800virtuelle vSRX-Firewall virtuelle vSRX-Firewall3.0 |
100 |
5000 |
5000 |
| SRX1500 |
40 |
2000 |
2000 |
Siehe auch
Konfigurieren von Sicherheitsrichtlinien für VXLAN
ZUSAMMENFASSUNG Verwenden Sie dieses Beispiel, um Sicherheitsrichtlinien für die Tunnelinspektion EVPN (Ethernet VPN) Virtual Extensible LAN (VXLAN) zu konfigurieren.
Anforderungen
Die VXLAN-Unterstützung für Firewalls der SRX-Serie bietet die Flexibilität, eine Firewall der Enterprise-Klasse einzusetzen, um Endpunkte in Campus-, Datencenter-, Zweigstellen- und Public-Cloud-Umgebungen zu verbinden und gleichzeitig integrierte Sicherheit zu bieten.
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
SRX4600 Gerät
Junos OS Version 20.4R1
Bevor Sie beginnen:
Stellen Sie sicher, dass Sie verstehen, wie EVPN und VXLAN funktionieren.
Übersicht
Die EVPN-Lösung bietet großen Unternehmen ein gemeinsames Framework für die Verwaltung ihrer Campus- und Datencenter-Netzwerke. Eine EVPN-VxLAN-Architektur unterstützt effiziente Layer-2- und Layer-3-Netzwerkkonnektivität mit Skalierbarkeit, Einfachheit und Agilität. Abbildung 5 zeigt eine vereinfachte VXLAN-Datenverkehrsflusstopologie.
Topologie
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone cloud-1 set security zones security-zone dc set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r1 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r2 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r3 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r4 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 policy-set pset1 set security tunnel-inspection vni r1 vni-range 160 to 200 set security tunnel-inspection vni r2 vni-id 155 set security tunnel-inspection vni r3 vni-range 300 to 399 set security tunnel-inspection vni r4 vni-range 100 to 120 set security tunnel-inspection vni v1 vni-range 1 to 100 set security policies from-zone dc to-zone cloud-1 policy p1 match source-address any set security policies from-zone dc to-zone cloud-1 policy p1 match destination-address any set security policies from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan set security policies from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection ins-pf1 set security policies from-zone cloud-1 to-zone dc policy p1 match source-address any set security policies from-zone cloud-1 to-zone dc policy p1 match destination-address any set security policies from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan set security policies from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1 set security policies policy-set pset1 policy pset_p1 match source-address any set security policies policy-set pset1 policy pset_p1 match destination-address any set security policies policy-set pset1 policy pset_p1 match application any set security policies policy-set pset1 policy pset_p1 then permit set security policies default-policy deny-all
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie VXLAN:
Definieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone cloud-1 user@host# set zones security-zone dc
Tunnelinspektionsprofil definieren.
[edit security tunnel-inspection] user@host# set inspection-profile ins-pf1 vxlan vx1 vni r1 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r2 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r3 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r4 user@host# set inspection-profile ins-pf1 vxlan vx1 policy-set pset1 user@host# set vni r1 vni-range 160 to 200 user@host# set vni r2 vni-id 155 user@host# set vni r3 vni-range 300 to 399 user@host# set vni r4 vni-range 100 to 120 user@host# set vni v1 vni-range 1 to 100
Definieren Sie äußere Sitzungsrichtlinien.
[edit security policies] user@host# set from-zone dc to-zone cloud-1 policy p1 match source-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match destination-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan user@host# set from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection profile-1 user@host# set from-zone cloud-1 to-zone dc policy p1 match source-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match destination-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan user@host# set from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1
Definieren Sie den Richtliniensatz.
[edit security policies] user@host# set policy-set pset1 policy pset_p1 match source-address any user@host# set policy-set pset1 policy pset_p1 destination-address any user@host# set policy-set pset1 policy pset_p1 match application any user@host# set policy-set pset1 policy pset_p1 then permit user@host# set default-policy deny-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security policies
from-zone dc to-zone cloud-1 {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
from-zone cloud-1 to-zone dc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
Wenn Sie mit der Konfiguration der Funktion auf Ihrem Gerät fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Verifizieren von Tunnelinspektionsprofilen und VNI
Zweck
Vergewissern Sie sich, dass das Tunnelinpectionsprofil und der VNI übereinstimmen.
Aktion
Geben Sie im Betriebsmodus die show security tunnel-inspection profiles ins-pf1 Befehle und show security tunnel-inspection vnis ein.
user@host> show security tunnel-inspection profiles ins-pf1
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ins-pf1
Type: VXLAN
Vxlan count: 1
Vxlan name: vx1
VNI count: 4
VNI:r1, r2, r3, r4
Policy set: pset1
Inspection level: 1
user@host> show security tunnel-inspection vnis
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 5
VNI name: r1
VNI id count: 1
[160 - 200]
VNI name: r2
VNI id count: 1
[155 - 155]
VNI name: r3
VNI id count: 1
[300 - 399]
VNI name: r4
VNI id count: 1
[100 - 120]
VNI name: v1
VNI id count: 1
[1 - 100]
Bedeutung
Die Ausgabe zeigt, dass die VXLAN-Funktion aktiviert ist und dass es keine Umleitungen für sichere Suche und Umschreibungen für sichere Suche gibt.
Überprüfen der Funktion "Sichere Suche"
Zweck
Vergewissern Sie sich, dass die Funktion für die sichere Suche für Content Security-Webfilterlösungen aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den Show security flow tunnel-inspection statistic Befehl ein, um die Tunnelinspektionsstatistiken anzuzeigen.
user@host> show security flow tunnel-inspection statistics
node0:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 349717
input bytes: 363418345
output packets: 348701
output bytes: 363226339
bypass packets: 501
bypass bytes: 50890
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 194151
input bytes: 200171306
output packets: 193221
output bytes: 199987258
bypass packets: 617
bypass bytes: 92902
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 216486
input bytes: 222875066
output packets: 213827
output bytes: 222460378
bypass packets: 2038
bypass bytes: 270480
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 760354
input bytes: 786464717
output packets: 755749
output bytes: 785673975
bypass packets: 3156
bypass bytes: 414272
node1:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Bedeutung
Die Ausgabe zeigt, dass die VXLAN-Funktion aktiviert ist und dass es keine Umleitungen für sichere Suche und Umschreibungen für sichere Suche gibt.
Aktivieren von Sicherheitsrichtlinien für die Inspektion des Genève Paketfluss-Tunnels
ZUSAMMENFASSUNG Verwenden Sie diese Konfiguration, um Sicherheitsrichtlinien auf der virtuellen vSRX Firewall 3.0 für die Überprüfung des Paketflusstunnels in Genève zu aktivieren.
Mit der Geneve-Unterstützung auf vSRX Virtual Firewall 3.0-Instanzen können Sie vSRX3.0 für Folgendes verwenden:
-
Verbinden Sie Endpunkte auf dem Campus, im Datencenter und in öffentlichen Cloud-Umgebungen und deren Anschlüsse.
-
Sichern Sie diese Umgebungen mit integrierter Sicherheit.
- Anforderungen
- Übersicht
- Konfiguration (virtuelle Firewall vSRX 3.0 als Tunnel-Endpunkt)
- Konfiguration (virtuelle Firewall vSRX 3.0 als Transit-Router)
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Virtuelle Firewall vSRX 3.0
-
Junos OS Version 23.1R1
Bevor Sie beginnen:
-
Stellen Sie sicher, dass Sie verstehen, wie das Geneve-Protokoll funktioniert.
Übersicht
Mit dieser Konfiguration können Sie:
-
Aktivieren Sie die Sicherheitsrichtlinien, um die im Geneve-Tunnel gekapselten L3-Pakete zu verarbeiten.
-
Erstellen Sie eindeutige Profile für den Geneve-Datenverkehr basierend auf VNI- und Anbieter-TLV-Attributen: Sobald die Richtlinie mit einem Inspektionsprofil verknüpft ist, bestimmen die Art des zu verarbeitenden Genève-Datenverkehrs und die Richtlinien, die auf den inneren Datenverkehr angewendet werden sollen.
-
Konfigurieren Sie die reguläre Sicherheitsrichtlinie auf der virtuellen vSRX Firewall 3.0 so, dass L4- und L7-Dienste auf den inneren Datenverkehr angewendet werden.
Konfiguration (virtuelle Firewall vSRX 3.0 als Tunnel-Endpunkt)
- Vereinfachte Geneve Traffic Flow Topologie mit AWS GWLB und vSRX Virtual Firewall 3.0 als Tunnel-Endpunkt
- CLI-Schnellkonfiguration
- Verfahren
- Ergebnisse
- Tunnelinspektionsprofil und VNI verifizieren
- Tunnelinspektionsprofil und VNI verifizieren
Vereinfachte Geneve Traffic Flow Topologie mit AWS GWLB und vSRX Virtual Firewall 3.0 als Tunnel-Endpunkt
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Definieren Sie eine Vertrauenszone und eine nicht vertrauenswürdige Zone, um den gesamten Hostdatenverkehr zuzulassen.
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendorset security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendorset security tunnel-inspection vni vni-vendor vni-id 0set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneveset security policies from-zone vtepc to-zone junos-host policy self match source-address anyset security policies from-zone vtepc to-zone junos-host policy self match destination-address anyset security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set ps-vendor policy self match source-address anyset security policies policy-set ps-vendor policy self match destination-address anyset security policies policy-set ps-vendor policy self match application anyset security policies policy-set ps-vendor policy self then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Genève-Flow-Unterstützung für die Tunnelinspektion auf der virtuellen vSRX Firewall 3.0:
-
Definieren Sie eine Vertrauenszone und eine nicht vertrauenswürdige Zone, um den gesamten Hostdatenverkehr innerhalb der Hierarchie [edit security zones] zuzulassen.
-
Definieren Sie das
tunnel-inspectionProfil.[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
Definieren Sie Richtlinien für die äußere Sitzung für die äußeren Pakete, und fügen Sie das referenzierte Tunnelinspektionsprofil an
Hinweis:In der Richtlinienkonfiguration muss die
to-zonefür die äußere Richtlinie im Falle von vSRX Virtual Firewall 3.0 als Tunnelendpunkt lautenjunos-host, bei der es sich um eine integrierte Zone (reservierte Kennung) zur Verarbeitung des Datenverkehrs handelt.[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
Definieren Sie eine innere Richtlinie unter
policy-setzum Verarbeiten des entkapselten Pakets.[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
Konfigurieren Sie die Schnittstelle, die dem
from-zoneVTEPC (Virtual Tunnel Endpoint Client) zugeordnet ist, um die in Geneve gekapselten Pakete und die Pakete für die Zustandsprüfung zu empfangen.[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
from-zone vtepc to-zone junos-host {
policy self {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set ps-vendor {
policy self {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
vni v1 {
vni-id 0;
}
vni vni-vendor {
vni-id 0;
}
Nachdem Sie die Konfiguration der Funktion auf Ihrem Gerät abgeschlossen haben, geben Sie sie im Konfigurationsmodus ein commit .
Tunnelinspektionsprofil und VNI verifizieren
Zweck
Vergewissern Sie sich, dass Sie das Profil und den tunnel-inspection VXLAN-Netzwerkbezeichner (VNI) konfiguriert haben.
Aktion
Geben Sie im Betriebsmodus die show security tunnel-inspection profiles ti-vendor Befehle und show security tunnel-inspection vnis ein.
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
Bedeutung
Die Ausgabe zeigt an, dass das Profil für die Tunnelinspektion von Genève aktiviert und der VXLAN-Netzwerkbezeichner (VNI) konfiguriert ist.
Tunnelinspektionsprofil und VNI verifizieren
Zweck
Vergewissern Sie sich, dass Sie das Profil und den tunnel-inspection VXLAN-Netzwerkbezeichner (VNI) konfiguriert haben.
Aktion
Geben Sie im Betriebsmodus die show security tunnel-inspection profiles ti-vendor Befehle und show security tunnel-inspection vnis ein.
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
Bedeutung
Die Ausgabe zeigt an, dass das Profil für die Tunnelinspektion von Genève aktiviert und der VXLAN-Netzwerkbezeichner (VNI) konfiguriert ist.
Konfiguration (virtuelle Firewall vSRX 3.0 als Transit-Router)
- Vereinfachte Geneve Traffic Flow Topologie vSRX Virtual Firewall 3.0 als Transit-Router
- CLI-Schnellkonfiguration
- Verfahren
- Ergebnisse
Vereinfachte Geneve Traffic Flow Topologie vSRX Virtual Firewall 3.0 als Transit-Router
In diesem Bereitstellungsmodus muss der Virtual Tunnel Endpoint Client (vtepc) (Geneve Tunnel Endpoint) sicherstellen, dass Pakete, die sowohl für den Client als auch für den Server bestimmt sind, den Virtual Tunnel Endpoint Server (vteps) (vSRX Virtual Firewall 3.0) passieren. Der Quellport wird vom virtuellen Tunnelendpunkt (vtep) ausgewählt.
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security tunnel-inspection vni r1 vni-range 1 to 100set security tunnel-inspection vni r1 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1set security tunnel-inspection vni r2 vni-range 200 to 400set security tunnel-inspection vni r2 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneveset security policies from-zone vtepc to-zone vteps policy p1 match source-address anyset security policies from-zone vtepc to-zone vteps policy p1 match destination-address anyset security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendorset security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneveset security policies from-zone vteps to-zone vtepc policy p1 match source-address anyset security policies from-zone vteps to-zone vtepc policy p1 match destination-address anyset security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set pset1 policy pset_p1 match source-address anyset security policies policy-set pset1 policy pset_p1 match destination-address anyset security policies policy-set pset1 policy pset_p1 match application anyset security policies policy-set pset1 policy pset_p1 then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie die Geneve-Flow-Unterstützung für die Tunnelinspektion auf der virtuellen vSRX-Firewall 3.0 (virtuelle vSRX-Firewall 3.0 als Transit-Router):
-
Definieren Sie eine Vertrauenszone und eine nicht vertrauenswürdige Zone, um den gesamten Hostdatenverkehr innerhalb der Hierarchie [edit security zones] zuzulassen.
-
Definieren Sie das
tunnel-inspectionProfil.[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
Definieren Sie äußere Sitzungsrichtlinien.
Hinweis:Für vSRX Virtual Firewall 3.0 als Transit-Router benötigen Sie zwei Richtlinien in jede Richtung. Das
from-zoneundto-zonesind die jeweiligen Zonen, die unter den Schnittstellen definiert werden müssen.[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
Definieren Sie eine innere Richtlinie unter
policy-setzum Verarbeiten des entkapselten Pakets.[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
Konfigurieren Sie die Schnittstelle, die dem
from-zoneVTEPC (Virtual Tunnel Endpoint Client) zugeordnet ist, um die in Geneve gekapselten Pakete und die Pakete für die Zustandsprüfung zu empfangen.Hinweis:Im Transitmodus muss die virtuelle vSRX-Firewall 3.0 mit zwei L3-Schnittstellen für Ein- und Ausgang konfiguriert werden.
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
}
from-zone vtepc to-zone vteps {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
from-zone vteps to-zone vtepc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
inspection-profile pro1;
vni r1 {
vni-id 500;
}
vni r2 {
vni-id 500;
}
}
Nachdem Sie die Konfiguration der Funktion auf Ihrem Gerät abgeschlossen haben, geben Sie sie im Konfigurationsmodus ein commit .
Siehe auch
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.