Konfigurieren von Sicherheitsrichtlinien
Um ein Netzwerk zu schützen, muss ein Netzwerkadministrator eine Sicherheitsrichtlinie erstellen, die alle Netzwerkressourcen innerhalb dieses Unternehmens und die erforderliche Sicherheitsstufe für diese Ressourcen beschreibt. Mit Junos OS können Sie Sicherheitsrichtlinien konfigurieren. Sicherheitsrichtlinien setzen Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen.
Grundlegendes zu Sicherheitsrichtlinienelementen
Eine Sicherheitsrichtlinie ist eine Reihe von Anweisungen, die den Datenverkehr von einer bestimmten Quelle zu einem bestimmten Ziel mithilfe eines bestimmten Dienstes steuern. Eine Richtlinie lässt bestimmte Datenverkehrstypen unidirektional zwischen zwei Punkten zu, verweigert sie oder tunnelt sie.
Jede Richtlinie besteht aus:
Ein eindeutiger Name für die Richtlinie.
A
from-zoneund ato-zone, zum Beispiel: user@host#set security policies from-zone untrust to-zone untrustEine Reihe von Übereinstimmungskriterien, die die Bedingungen definieren, die erfüllt sein müssen, um die Richtlinienregel anzuwenden. Die Übereinstimmungskriterien basieren auf einer Quell-IP-Adresse, einer Ziel-IP-Adresse und Anwendungen. Die Firewall für die Benutzeridentität bietet eine höhere Granularität, indem sie ein zusätzliches Tupel, source-identity, als Teil der Richtlinienanweisung einschließt.
Eine Reihe von Aktionen, die im Falle einer Übereinstimmung ausgeführt werden sollen: Zulassen, Ablehnen oder Ablehnen.
Buchhaltungs- und Auditing-Elemente – Zählung, Protokollierung oder strukturierte Systemprotokollierung.
Wenn das Gerät ein Paket empfängt, das diesen Spezifikationen entspricht, führt es die in der Richtlinie angegebene Aktion aus.
Sicherheitsrichtlinien setzen eine Reihe von Regeln für den Transitdatenverkehr durch, die festlegen, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden. Zu den Aktionen für Datenverkehr, der den angegebenen Kriterien entspricht, gehören "Zulassen", "Verweigern", "Ablehnen", "Protokollieren" oder "Zählen".
Grundlegendes zu Sicherheitsrichtlinienregeln
Die Sicherheitsrichtlinie wendet die Sicherheitsregeln auf den Transitdatenverkehr innerhalb eines Kontexts an (from-zone bis to-zone). Jede Richtlinie wird durch ihren Namen eindeutig identifiziert. Der Datenverkehr wird klassifiziert, indem seine Quell- und Zielzonen, die Quell- und Zieladressen sowie die Anwendung, die der Datenverkehr in seinen Protokollheadern trägt, mit der Richtliniendatenbank auf der Datenebene abgeglichen werden.
Jede Richtlinie ist mit den folgenden Merkmalen verknüpft:
Eine Quellzone
Eine Zielzone
Ein oder mehrere Quelladressnamen oder Adressgruppennamen
Ein oder mehrere Zieladressnamen oder Adresssatznamen
Ein oder mehrere Anwendungsnamen oder Anwendungssatznamen
Diese Merkmale werden als Übereinstimmungskriterien bezeichnet. Jeder Richtlinie sind auch Aktionen zugeordnet: Zulassen, Verweigern, Ablehnen, Zählen, Protokollieren und VPN-Tunnel. Sie müssen die Argumente für die Übereinstimmungsbedingung angeben, wenn Sie eine Richtlinie konfigurieren, die Quelladresse, die Zieladresse und den Anwendungsnamen.
Sie können angeben, ob eine Richtlinie mit IPv4- oder IPv6-Adressen konfiguriert werden soll, indem Sie den Platzhaltereintrag verwenden any. Wenn die Datenstromunterstützung für IPv6-Datenverkehr nicht aktiviert ist, any entspricht IPv4-Adressen. Wenn die Datenstromunterstützung für IPv6-Datenverkehr aktiviert ist, any werden sowohl IPv4- als auch IPv6-Adressen angepasst. Verwenden Sie den folgenden set security forwarding-options family inet6 mode flow-based Befehl, um die datenstrombasierte Weiterleitung für IPv6-Datenverkehr zu aktivieren. Sie können auch den Platzhalter any-ipv4 angeben oder any-ipv6 für die Übereinstimmungskriterien für Quell- und Zieladressen nur IPv4- bzw. nur IPv6-Adressen enthalten.
Wenn die Datenstromunterstützung für IPv6-Datenverkehr aktiviert ist, basiert die maximale Anzahl von IPv4- oder IPv6-Adressen, die Sie in einer Sicherheitsrichtlinie konfigurieren können, auf den folgenden Übereinstimmungskriterien:
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
Der Grund für die Übereinstimmungskriterien ist, dass eine IPv6-Adresse viermal so viel Speicherplatz belegt wie eine IPv4-Adresse.
Sie können eine Sicherheitsrichtlinie mit IPv6-Adressen nur konfigurieren, wenn die Datenstromunterstützung für IPv6-Datenverkehr auf dem Gerät aktiviert ist.
Wenn Sie keine bestimmte Anwendung angeben möchten, geben Sie als Standardanwendung ein any . Um die Standardanwendungen zu suchen, geben Sie show groups junos-defaults | find applications (predefined applications)im Konfigurationsmodus ein. Wenn Sie z. B. keinen Anwendungsnamen angeben, wird die Richtlinie mit der Anwendung als Platzhalter installiert (Standard). Daher würde jeder Datenverkehr, der mit den übrigen Parametern in einer bestimmten Richtlinie übereinstimmt, unabhängig vom Anwendungstyp des Datenverkehrs mit der Richtlinie übereinstimmen.
Wenn eine Richtlinie mit mehreren Anwendungen konfiguriert ist und mehr als eine Anwendung mit dem Datenverkehr übereinstimmt, wird die Anwendung ausgewählt, die die Übereinstimmungskriterien am besten erfüllt.
Die Aktion der ersten Richtlinie, der der Datenverkehr entspricht, wird auf das Paket angewendet. Wenn keine übereinstimmende Richtlinie vorhanden ist, wird das Paket verworfen. Richtlinien werden von oben nach unten durchsucht, daher ist es eine gute Idee, spezifischere Richtlinien ganz oben in der Liste zu platzieren. Außerdem sollten Sie die Richtlinien für IPsec-VPN-Tunnel ganz oben platzieren. Platzieren Sie die allgemeineren Richtlinien, z. B. eine Richtlinie, die bestimmten Benutzern den Zugriff auf alle Internetanwendungen ermöglicht, am Ende der Liste. Platzieren Sie z. B. die Richtlinien "Alles ablehnen" oder "Alle ablehnen" am unteren Ende, nachdem alle spezifischen Richtlinien zuvor analysiert wurden und legitimer Datenverkehr zugelassen/gezählt/protokolliert wurde.
Unterstützung für IPv6-Adressen wurde in Junos OS Version 10.2 hinzugefügt. In Junos OS Version 10.4 wurde die Unterstützung für IPv6-Adressen in Aktiv/Aktiv-Chassis-Cluster-Konfigurationen (zusätzlich zur bestehenden Unterstützung für Aktiv/Passive Chassis-Cluster-Konfigurationen) hinzugefügt.
Bei der Richtliniensuche werden die Zielzone, die Zieladresse und die Ausgangsschnittstelle bestimmt.
Wenn Sie eine Richtlinie erstellen, gelten die folgenden Richtlinienregeln:
Die Sicherheitsrichtlinien werden in einer
from-zoneto-Richtungto-zonekonfiguriert. Unter einer bestimmten Zonenrichtung enthält jede Sicherheitsrichtlinie einen Namen, Übereinstimmungskriterien, eine Aktion und verschiedene Optionen.Der Richtlinienname, die Übereinstimmungskriterien und die Aktion sind erforderlich.
Der Richtlinienname ist ein Schlüsselwort.
Die Quelladresse in den Übereinstimmungskriterien setzt sich aus einem oder mehreren Adressnamen oder Adresssatznamen in der
from-zone.Die Zieladresse der Übereinstimmungskriterien setzt sich aus einem oder mehreren Adressnamen oder Adresssatznamen in der
to-zone.Der Anwendungsname in den Übereinstimmungskriterien setzt sich aus dem Namen einer oder mehrerer Anwendungen oder Anwendungssätze zusammen.
Eine der folgenden Aktionen ist erforderlich: Zulassen, Verweigern oder Ablehnen.
Buchhaltungs- und Auditing-Elemente können angegeben werden: count und log.
Sie können die Protokollierung am Ende einer Sitzung mit dem
session-closeBefehl oder zu Beginn der Sitzung mit demsession-initBefehl aktivieren.Wenn der Zählalarm aktiviert ist, geben Sie Alarmschwellenwerte in Byte pro Sekunde oder Kilobyte pro Minute an.
Sie können nur unter der folgenden Bedingung angeben
global, dass es sich um diefrom-zoneto-zoneAngabe handelt:Jede Richtlinie, die mit der
to-zoneOption als globale Zone konfiguriert ist, muss über eine einzelne Zieladresse verfügen, um anzugeben, dass in der Richtlinie entweder eine statische NAT oder eine eingehende NAT konfiguriert wurde.Die Option zum Zulassen von Richtlinien mit NAT wurde vereinfacht. Jede Richtlinie gibt optional an, ob sie NAT-Übersetzung zulässt, keine NAT-Übersetzung zulässt oder keine Rolle spielt.
Adressnamen dürfen nicht mit den folgenden reservierten Präfixen beginnen. Diese werden nur für die Adress-NAT-Konfiguration verwendet:
static_nat_incoming_nat_junos_
Anwendungsnamen dürfen nicht mit dem
junos_reservierten Präfix beginnen.
Grundlegendes zu Platzhalteradressen
Quell- und Zieladressen sind zwei der fünf Übereinstimmungskriterien, die in einer Sicherheitsrichtlinie konfiguriert werden sollten. Sie können jetzt Platzhalteradressen für die Übereinstimmungskriterien für Quell- und Zieladressen in einer Sicherheitsrichtlinie konfigurieren. Eine Platzhalteradresse wird als A.B.C.D/wildcard-mask dargestellt. Die Platzhaltermaske bestimmt, welche Bits in der IP-Adresse A.B.C.D. von den Übereinstimmungskriterien der Sicherheitsrichtlinie ignoriert werden sollen. Die Quell-IP-Adresse 192.168.0.11/255.255.0.255 in einer Sicherheitsrichtlinie impliziert beispielsweise, dass die Übereinstimmungskriterien der Sicherheitsrichtlinie das dritte Oktett in der IP-Adresse (symbolisch dargestellt als 192.168.*.11) verwerfen können. Daher entsprechen Pakete mit Quell-IP-Adressen wie 192.168.1.11 und 192.168.22.11 den Übereinstimmungskriterien. Pakete mit Quell-IP-Adressen wie 192.168.0.1 und 192.168.1.21 erfüllen die Übereinstimmungskriterien jedoch nicht.
Die Verwendung von Platzhalteradressen ist nicht nur auf vollständige Oktette beschränkt. Sie können eine beliebige Platzhalteradresse konfigurieren. Beispiel: Die Platzhalteradresse 192.168. 7.1/255.255.7.255 bedeutet, dass Sie nur die ersten 5 Bits des dritten Oktetts der Platzhalteradresse ignorieren müssen, während Sie die Richtlinienübereinstimmung herstellen. Wenn die Verwendung der Platzhalteradresse nur auf vollständige Oktette beschränkt ist, sind Platzhaltermasken mit entweder 0 oder 255 in jedem der vier Oktette zulässig.
Das erste Oktett der Platzhaltermaske sollte größer als 128 sein. Beispielsweise ist eine Platzhaltermaske, die als 0.255.0.255 oder 1.255.0.255 dargestellt wird, ungültig.
Eine Platzhalter-Sicherheitsrichtlinie ist eine einfache Firewall-Richtlinie, mit der Sie den Datenverkehr, der von einer Sicherheitszone in eine andere übertragen werden soll, zulassen, ablehnen und ablehnen können. Sie sollten keine Sicherheitsrichtlinienregeln mit Platzhalteradressen für Dienste wie Content Security konfigurieren.
Content Security für IPv6-Sitzungen wird nicht unterstützt. Wenn Ihre aktuelle Sicherheitsrichtlinie Regeln mit dem Platzhalter für IP-Adressen any verwendet und Content Security-Funktionen aktiviert sind, treten Konfigurationscommit-Fehler auf, da Content Security-Funktionen IPv6-Adressen noch nicht unterstützen. Um die Fehler zu beheben, ändern Sie die Regel, die den Fehler zurückgibt, so, dass der Platzhalter any-ipv4 verwendet wird. und erstellen Sie separate Regeln für IPv6-Datenverkehr, die keine Content Security-Funktionen enthalten.
Das Konfigurieren von Platzhalter-Sicherheitsrichtlinien auf einem Gerät wirkt sich auf die Leistung und die Speichernutzung basierend auf der Anzahl der Platzhalterrichtlinien aus, die pro Von-Zonen- und Bis-Zonenkontext konfiguriert sind. Daher können Sie nur maximal 480 Platzhalterrichtlinien für einen bestimmten Von-Zonen- und Bis-Zonenkontext konfigurieren.
Siehe auch
Verbesserungen bei der Synchronisierung von Richtlinien
Ein verbesserter Mechanismus zur Synchronisierung von Richtlinienkonfigurationen verbessert die Synchronisierung von Richtlinienkonfigurationen zwischen der Routing-Engine (RE) und der Packet Forwarding Engine (PFE) und erhöht so die Zuverlässigkeit und Sicherheit des Systems. Dieser Mechanismus stellt sicher, dass Richtlinien automatisch und korrekt synchronisiert werden. Darüber hinaus verhindert das System effektiv Datenstromabbrüche während des Änderungsprozesses der Sicherheitsrichtlinienkonfiguration.
- Datei-Serialisierung
- Verhindern Sie die Unterbrechung von Flusssitzungen während Änderungen der Richtlinienkonfiguration
Datei-Serialisierung
Führen Sie die Weitergabe von Richtlinienänderungen an die Datenebene mithilfe der Dateiserialisierung durch. Durch die Serialisierung von Richtlinienkonfigurationen in Dateien stellt das System sicher, dass diese vom PFE auf kontrollierte und zuverlässige Weise gelesen und angewendet werden. Diese serialisierten Dateien werden in bestimmten Verzeichnissen gespeichert und nach erfolgreicher Anwendung automatisch gelöscht, was eine effizientere und bandbreitenfreundlichere Synchronisierungsmethode darstellt. Dieser dateibasierte Ansatz reduziert das Risiko von Inkonsistenzen zwischen den Sicherheitsrichtlinien und erhöht die Systemzuverlässigkeit.
Standardmäßig ist die dateibasierte Serialisierung aktiviert. Sie können die Dateiserialisierung deaktivieren, indem Sie die folgende Anweisung verwenden:
[edit] user@host# set security policies no-file-serialization
Verwenden Sie die folgende Anweisung, um das Dateiserialisierungsfeature wieder zu aktivieren:
[edit] user@host# delete security policies no-file-serialization
Oder verwenden Sie die folgende Anweisung:
[edit] user@host# set security policies file-serialization
Verhindern Sie die Unterbrechung von Flusssitzungen während Änderungen der Richtlinienkonfiguration
Sie können eine Unterbrechung der Flusssitzung während des Commits von Änderungen an der Konfiguration der Sicherheitsrichtlinie vermeiden. Konfigurationsänderungen, wie z. B. Änderungen der Richtlinienübereinstimmungsbedingung oder -aktion, Hinzufügen oder Löschen einer Richtlinie, Austausch von Richtlinien oder Änderungen der Richtlinienreihenfolge unterbrechen Flusssitzungen. Diese Änderungen wirken sich auf PFE-Konfigurationsdaten aus, wirken sich möglicherweise auf die laufende Richtliniensuche aus und führen möglicherweise zu einer falschen oder standardmäßigen Richtlinienauswahl. Das heißt, während des kurzen Übergangs von der alten zur neuen Richtlinie können Sitzungen mit teilweise erstellten Datenstrukturen übereinstimmen, was zu falschen Richtlinienübereinstimmungen führt.
Um die Unterbrechung durch eine Änderung der Sicherheitsrichtlinie zu vermeiden, können Sie die folgende Anweisung verwenden:
[edit] user@host# set security policies lookup-intact-on-commit
Wenn Sie die lookup-intact-on-commit Option konfigurieren, starten Sie die Weiterleitungsebene auf dem Gerät oder in einem Chassis-Cluster-Setup neu.
Verwenden Sie den folgenden Befehl, um den Status und die Berechtigung des Geräts zu überprüfen, bevor Sie die lookup-intact-on-commit Option aktivieren.
[edit] user@host> show security policies lookup-intact-on-commit
Die Befehlsausgabe zeigt an, ob die lookup-intact-on-commit Option bereits auf dem Gerät konfiguriert ist, und zeigt die Berechtigung des Geräts in Bezug auf den verfügbaren Speicherplatz für die Aktivierung lookup-intact-on-commit der Option an.
Speicher und Fehlerbehandlung
Die Implementierung dieser neuen Synchronisierungsmechanismen erfordert, dass Ihr System bestimmte Speicheranforderungen erfüllt. Insbesondere benötigen Sie mindestens 5 Prozent freien Kernelheap und 1 Prozent freien Benutzerheap, um die Funktion lookup-intact-on-commit zu aktivieren. Dadurch wird sichergestellt, dass genügend Arbeitsspeicher für die dateibasierte Synchronisierung und Dual-Memory-Vorgänge zur Verfügung steht. Im Falle von Synchronisierungsfehlern ist das System so konzipiert, dass es automatisch zur herkömmlichen Methode zurückkehrt.
Mit dem show security policies lookup-intact-on-commit eligibilityBefehl können Sie die Speicherverfügbarkeit des Systems pro FPC überprüfen. Diese Ausgabe gibt an, ob der jeweilige FPC für die Konfiguration der set security policies lookup-intact-on-commit Konfiguration berechtigt ist.
Unterstützung für logisches System und Mandantensystem
Sie können und nur im logischen Stammsystem (Systemebene) konfigurieren lookup-intact-on-commit file-serialization . Die Konfiguration auf der Ebene des logischen Systems und des Mandantensystems wird nicht unterstützt. Wenn Sie diese Einstellungen jedoch auf Stammebene konfigurieren, werden durch die Konfiguration auch Richtlinien optimiert, die auf der Ebene des logischen Systems und des Mandantensystems konfiguriert sind.
Grundlegendes zu den Sicherheitsrichtlinien für den eigenen Datenverkehr
Auf den Geräten werden Sicherheitsrichtlinien so konfiguriert, dass Dienste auf den Datenverkehr angewendet werden, der durch das Gerät fließt. Beispielsweise werden UAC- und Content Security-Richtlinien so konfiguriert, dass Dienste auf den vorübergehenden Datenverkehr angewendet werden.
Eigenverkehr oder Host-Datenverkehr ist der eingehende Host-Datenverkehr; d. h. der Datenverkehr, der auf dem Gerät endet, oder der ausgehende Hostdatenverkehr, d. h. der Datenverkehr, der vom Gerät ausgeht. Sie können jetzt Richtlinien konfigurieren, um Dienste auf den eigenen Datenverkehr anzuwenden. Services wie der SSL-Stack-Service, der die SSL-Verbindung von einem Remote-Gerät beenden und eine Verarbeitung für diesen Datenverkehr ausführen muss, IDP-Services für eingehenden Hostdatenverkehr oder IPsec-Verschlüsselung für ausgehenden Hostdatenverkehr müssen über die für den Eigendatenverkehr konfigurierten Sicherheitsrichtlinien angewendet werden.
Wenn Sie eine Sicherheitsrichtlinie für den Eigendatenverkehr konfigurieren, wird der Datenverkehr, der durch das Gerät fließt, zuerst anhand der Richtlinie und dann anhand der Option überprüft, die host-inbound-traffic für die an die Zone gebundenen Schnittstellen konfiguriert ist.
Sie können die Sicherheitsrichtlinie für den Selbstdatenverkehr so konfigurieren, dass Dienste auf den Selbstdatenverkehr angewendet werden. Die Richtlinien für ausgehenden Hostverkehr funktionieren nur in Fällen, in denen das vom Hostgerät stammende Paket den Datenstrom durchläuft und die eingehende Schnittstelle dieses Pakets auf lokal gesetzt ist.
Die Vorteile der Nutzung des Self-Traffics sind:
Sie können den größten Teil der vorhandenen Richtlinien- oder Datenstrominfrastruktur nutzen, die für den Transitdatenverkehr verwendet wird.
Sie benötigen keine separate IP-Adresse, um einen Dienst zu aktivieren.
Sie können Services oder Richtlinien auf jeden eingehenden Host-Datenverkehr mit der Ziel-IP-Adresse einer beliebigen Schnittstelle auf dem Gerät anwenden.
Die standardmäßigen Sicherheitsrichtlinienregeln wirken sich nicht auf den eigenen Datenverkehr aus.
Sie können die Sicherheitsrichtlinie nur für den eigenen Datenverkehr mit relevanten Diensten konfigurieren. Beispielsweise ist es nicht relevant, den fwauth-Dienst für ausgehenden Datenverkehr des Hosts zu konfigurieren, und gprs-gtp-Dienste sind für die Sicherheitsrichtlinien für den eigenen Datenverkehr nicht relevant.
Die Sicherheitsrichtlinien für den eigenen Datenverkehr werden in der neuen Standardsicherheitszone konfiguriert, die junos-host als Zone bezeichnet wird. Die junos-host-Zone ist Teil der junos-defaults-Konfiguration, sodass Benutzer sie nicht löschen können. Die vorhandenen Zonenkonfigurationen, wie z. B. Schnittstellen, Bildschirm, tcp-RST und Host-Inbound-Traffic-Optionen, sind für die junos-host-Zone nicht von Bedeutung. Daher gibt es keine dedizierte Konfiguration für die junos-host-Zone.
Sie können host-inbound-traffic verwenden, um eingehende Verbindungen zu einem Gerät zu steuern. Es schränkt jedoch nicht den Datenverkehr ein, der das Gerät verlässt. Mit junos-host-zone können Sie die Anwendung Ihrer Wahl auswählen und den ausgehenden Datenverkehr einschränken. Beispielsweise können Services wie NAT, IDP, Inhaltssicherheit usw. jetzt mithilfe von junos-host-zone für Datenverkehr aktiviert werden, der in das Gerät ein- oder ausgeht.
Konfigurationsübersicht für Sicherheitsrichtlinien
Sie müssen die folgenden Aufgaben ausführen, um eine Sicherheitsrichtlinie zu erstellen:
Erstellen von Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch mit Adressen für die Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.
Erstellen Sie die Richtlinie. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs, Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des ausgewählten Datenverkehrs und Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des Platzhalteradressdatenverkehrs.
Erstellen Sie Planer, wenn Sie diese für Ihre Richtlinien verwenden möchten. Siehe Beispiel: Konfigurieren von Schedulern für einen Tagesplan mit Ausnahme eines Tages.
Mit dem Firewall-Richtlinien-Assistenten können Sie die grundlegende Konfiguration von Sicherheitsrichtlinien durchführen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.
Siehe auch
Best Practices für die Definition von Richtlinien auf Geräten der SRX-Serie
Ein sicheres Netzwerk ist für ein Unternehmen von entscheidender Bedeutung. Um ein Netzwerk zu schützen, muss ein Netzwerkadministrator eine Sicherheitsrichtlinie erstellen, die alle Netzwerkressourcen innerhalb dieses Unternehmens und die erforderliche Sicherheitsstufe für diese Ressourcen beschreibt. Die Sicherheitsrichtlinie wendet die Sicherheitsregeln auf den Transitdatenverkehr innerhalb eines Kontexts an (von Zone zu Bis-Zone), und jede Richtlinie wird anhand ihres Namens eindeutig identifiziert. Der Datenverkehr wird klassifiziert, indem die Quell- und Zielzonen, die Quell- und Zieladressen sowie die Anwendung, die der Datenverkehr in seinen Protokollheadern trägt, mit der Richtliniendatenbank in der Datenebene abgeglichen werden.
Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.
Beachten Sie, dass mit zunehmender Anzahl von Adressen und Anwendungen in den einzelnen Regeln auch die Menge an Arbeitsspeicher zunimmt, die von der Richtliniendefinition verwendet wird, und dass dem System manchmal der Arbeitsspeicher mit weniger als 80.000 Richtlinien ausgeht.
Um die tatsächliche Speicherauslastung einer Richtlinie auf der Packet Forwarding Engine (PFE) und der Routing-Engine (RE) zu erhalten, müssen Sie verschiedene Komponenten der Speicherstruktur berücksichtigen. Die Speicherstruktur enthält die folgenden beiden Komponenten:
Richtlinienkontext: Wird verwendet, um alle Richtlinien in diesem Kontext zu organisieren. Der Richtlinienkontext umfasst Variablen wie Quell- und Zielzonen.
Richtlinienentität: Wird verwendet, um die Richtliniendaten zu speichern. Die Richtlinienentität berechnet den Arbeitsspeicher anhand von Parametern wie Richtlinienname, IP-Adressen, Anzahl der Adressen, Anwendungen, Firewall-Authentifizierung, WebAuth, IPsec, Anzahl, Anwendungsservices und Junos Services Framework (JSF).
Darüber hinaus verwenden die Datenstrukturen, die zum Speichern von Richtlinien, Regelsätzen und anderen Komponenten verwendet werden, unterschiedlichen Speicher auf der Packet Forwarding Engine und auf der Routing-Engine. Beispielsweise werden Adressnamen für jede Adresse in der Richtlinie auf der Routing-Engine gespeichert, aber auf der Ebene der Packet Forwarding Engine wird kein Arbeitsspeicher zugewiesen. Ebenso werden Portbereiche zu Präfix- und Maskenpaaren erweitert und in der Packet Forwarding Engine gespeichert, aber kein solcher Speicher wird der Routing-Engine zugewiesen.
Dementsprechend unterscheiden sich je nach Richtlinienkonfiguration die Richtlinienbeitragenden für die Routing-Engine von denen für die Packet Forwarding Engine, und der Arbeitsspeicher wird dynamisch zugewiesen.
Der Arbeitsspeicher wird auch durch den Status "verzögertes Löschen" belegt. Wenn ein Gerät im Status "Zurückgestelltes Löschen" eine Richtlinienänderung anwendet, kommt es zu einer vorübergehenden Spitzenauslastung, bei der sowohl die alte als auch die neue Richtlinie vorhanden sind. Daher sind für kurze Zeit sowohl alte als auch neue Richtlinien auf der Packet Forwarding Engine vorhanden, die doppelt so viel Speicherbedarf beanspruchen.
Daher gibt es keine definitive Möglichkeit, eindeutig abzuleiten, wie viel Arbeitsspeicher von einer der beiden Komponenten (Packet Forwarding Engine oder Routing-Engine) zu einem bestimmten Zeitpunkt belegt wird, da der Speicherbedarf von bestimmten Richtlinienkonfigurationen abhängt und Arbeitsspeicher dynamisch zugewiesen wird.
Die folgenden bewährten Methoden für die Richtlinienimplementierung ermöglichen es Ihnen, den Systemspeicher besser zu nutzen und die Richtlinienkonfiguration zu optimieren:
Verwenden Sie einzelne Präfixe für Quell- und Zieladressen. Anstatt z. B. /32-Adressen zu verwenden und jede Adresse separat hinzuzufügen, verwenden Sie ein großes Subnetz, das die meisten der erforderlichen IP-Adressen abdeckt.
Verwenden Sie nach Möglichkeit die Anwendung "beliebig". Jedes Mal, wenn Sie eine einzelne Anwendung in der Richtlinie definieren, können Sie zusätzliche 52 Byte verwenden.
Verwenden Sie weniger IPv6-Adressen, da IPv6-Adressen mehr Arbeitsspeicher verbrauchen.
Verwenden Sie weniger Zonenpaare in Richtlinienkonfigurationen. Jede Quell- oder Zielzone verwendet etwa 16.048 Byte Arbeitsspeicher.
Die folgenden Parameter können ändern, wie der Arbeitsspeicher von den angegebenen Bytes belegt wird:
Firewall-Authentifizierung: ca. 16 Byte oder mehr (nicht behoben)
Webauthentifizierung: ca. 16 Byte oder mehr (nicht fixiert)
IPsec–12 Byte
Anwendungsdienste: 28 Byte
Anzahl: 64 Byte
Überprüfen Sie die Speicherauslastung vor und nach dem Kompilieren von Richtlinien.
Anmerkung:Der Speicherbedarf ist für jedes Gerät unterschiedlich. Einige Geräte unterstützen standardmäßig 512.000 Sitzungen, und der Startspeicher liegt normalerweise bei 72 bis 73 Prozent. Andere Geräte können bis zu 1 Million Sitzungen haben und der Startspeicher kann bis zu 83 bis 84 Prozent betragen. Um etwa 80.000 Richtlinien in der SPU zu unterstützen, sollte die SPU im schlimmsten Fall mit einem Kernel-Speicherverbrauch von bis zu 82 Prozent und mindestens 170 MB verfügbarem Arbeitsspeicher gestartet werden.
Siehe auch
Konfigurieren von Richtlinien mit dem Firewall-Assistenten
Mit dem Firewall-Richtlinien-Assistenten können Sie die grundlegende Konfiguration von Sicherheitsrichtlinien durchführen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.
So konfigurieren Sie Richtlinien mit dem Firewall-Richtlinien-Assistenten:
- Wählen Sie in der J-Web-Oberfläche aus
Configure>Tasks>Configure FW Policy. - Klicken Sie auf die Schaltfläche Firewall-Richtlinien-Assistenten starten, um den Assistenten zu starten.
- Folgen Sie den Anweisungen des Assistenten.
Der obere linke Bereich der Assistentenseite zeigt an, wo Sie sich im Konfigurationsprozess befinden. Im unteren linken Bereich der Seite wird feldsensitive Hilfe angezeigt. Wenn Sie unter der Überschrift Ressourcen auf einen Link klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument in einem neuen Tab geöffnet wird, stellen Sie sicher, dass Sie beim Schließen des Dokuments nur den Tab (nicht das Browserfenster) schließen.
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass der gesamte Datenverkehr zugelassen oder verweigert wird.
Anforderungen
Bevor Sie beginnen:
Erstellen von Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch, und erstellen Sie Adressen für die Verwendung in der Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.
Überblick
Im Junos OS setzen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, in Bezug darauf, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr auf dem Weg durch das Gerät ausgeführt werden müssen. Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie die vertrauenswürdigen und nicht vertrauenswürdigen Schnittstellen ge-0/0/2 und ge-0/0/1. Siehe Abbildung 1.
Dieses Konfigurationsbeispiel zeigt, wie Sie:
Zulassen oder Verweigern des gesamten Datenverkehrs von der Vertrauenszone zur nicht vertrauenswürdigen Zone, aber blockieren Sie alles von der nicht vertrauenswürdigen Zone bis zur Vertrauenszone.
Zulassen oder Verweigern des ausgewählten Datenverkehrs von einem Host in der Vertrauenszone zu einem Server in der nicht vertrauenswürdigen Zone zu einem bestimmten Zeitpunkt.
Topologie
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Sicherheitsrichtlinie, um den gesamten Datenverkehr zuzulassen oder abzulehnen:
Konfigurieren Sie die Schnittstellen und Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr von der nicht vertrauenswürdigen Zone in die Vertrauenszone zu verweigern.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Bei dem Konfigurationsbeispiel handelt es sich um eine standardmäßige Genehmigung für alle von der Vertrauenszone in die nicht vertrauenswürdige Zone.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
Bedeutung
In der Ausgabe werden Informationen zu den auf dem System konfigurierten Richtlinien angezeigt. Überprüfen Sie die folgenden Informationen:
Von- und Bis-Zonen
Quell- und Zieladressen
Übereinstimmungskriterien
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von ausgewähltem Datenverkehr
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass ausgewählter Datenverkehr zugelassen oder verweigert wird.
Anforderungen
Bevor Sie beginnen:
Erstellen von Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch, und erstellen Sie Adressen für die Verwendung in der Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.
Zulassen von Datenverkehr zu und von vertrauenswürdigen und nicht vertrauenswürdigen Zonen. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs.
Überblick
In Junos OS setzen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr beim Passieren des Geräts ausgeführt werden müssen. Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie eine bestimmte Sicherheitsrichtlinie so, dass nur E-Mail-Datenverkehr von einem Host in der Vertrauenszone zu einem Server in der nicht vertrauenswürdigen Zone zugelassen wird. Kein anderer Datenverkehr ist zulässig. Siehe Abbildung 2.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Sicherheitsrichtlinie, um ausgewählten Datenverkehr zuzulassen:
Konfigurieren Sie die Schnittstellen und Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Erstellen Sie Adressbucheinträge sowohl für den Client als auch für den Server. Fügen Sie außerdem Sicherheitszonen an die Adressbücher an.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
Definieren Sie die Richtlinie, um E-Mail-Verkehr zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies detail Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
Bedeutung
In der Ausgabe werden Informationen zu den auf dem System konfigurierten Richtlinien angezeigt. Überprüfen Sie die folgenden Informationen:
Von- und Bis-Zonen
Quell- und Zieladressen
Übereinstimmungskriterien
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von Platzhalteradressdatenverkehr
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass der Datenverkehr mit Platzhalteradressen zugelassen oder verweigert wird.
Anforderungen
Bevor Sie beginnen:
Grundlegendes zu Platzhalteradressen. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitsrichtlinienregeln.
Erstellen von Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch, und erstellen Sie Adressen für die Verwendung in der Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.
Zulassen von Datenverkehr zu und von vertrauenswürdigen und nicht vertrauenswürdigen Zonen. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern des gesamten Datenverkehrs.
Zulassen von E-Mail-Datenverkehr zu und von vertrauenswürdigen und nicht vertrauenswürdigen Zonen. Siehe Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Zulassen oder Verweigern von ausgewähltem Datenverkehr
Überblick
Im Betriebssystem Junos (Junos OS) setzen Sicherheitsrichtlinien Regeln für den Transitdatenverkehr durch, d. h. festlegen, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr ausgeführt werden müssen, wenn er das Gerät passiert. Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und verlässt eine andere Sicherheitszone. In diesem Beispiel konfigurieren Sie eine bestimmte Sicherheit so, dass nur Datenverkehr von Platzhalteradressen von einem Host in der Vertrauenszone in die nicht vertrauenswürdige Zone zugelassen wird. Kein anderer Datenverkehr ist zulässig.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Sicherheitsrichtlinie, um ausgewählten Datenverkehr zuzulassen:
Konfigurieren Sie die Schnittstellen und Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Erstellen Sie einen Adressbucheintrag für den Host, und fügen Sie das Adressbuch einer Zone hinzu.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
Definieren Sie die Richtlinie, um den Datenverkehr mit Platzhalteradressen zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security policies Befehle und show security zones eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies policy-name permit-wildcard detail Befehl ein, um Details zur auf dem Gerät konfigurierten Sicherheitsrichtlinie für Platzhalter zum Zulassen anzuzeigen.
Bedeutung
Die Ausgabe zeigt Informationen über die auf dem System konfigurierte Permit-Platzhalter-Richtlinie an. Überprüfen Sie die folgenden Informationen:
Von- und Bis-Zonen
Quell- und Zieladressen
Übereinstimmungskriterien
Beispiel: Konfigurieren einer Sicherheitsrichtlinie zum Umleiten von Datenverkehrsprotokollen an einen externen Systemprotokollserver
In diesem Beispiel wird gezeigt, wie eine Sicherheitsrichtlinie so konfiguriert wird, dass auf dem Gerät generierte Datenverkehrsprotokolle an einen externen Systemprotokollserver gesendet werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Client, der mit einem SRX5600 Gerät an der Schnittstelle ge-4/0/5 verbunden ist
Ein Server, der mit dem SRX5600 Gerät an der Schnittstelle ge-4/0/1 verbunden ist
Die auf dem SRX5600 Gerät generierten Protokolle werden auf einem Linux-basierten Systemprotokollserver gespeichert.
Ein SRX5600 Gerät, das mit dem Linux-basierten Server über die Schnittstelle ge-4/0/4 verbunden ist
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.
Überblick
In diesem Beispiel konfigurieren Sie eine Sicherheitsrichtlinie auf dem SRX5600 Gerät, um Datenverkehrsprotokolle, die vom Gerät während der Datenübertragung generiert werden, an einen Linux-basierten Server zu senden. In den Datenverkehrsprotokollen werden Details zu jeder Sitzung aufgezeichnet. Die Protokolle werden während des Sitzungsaufbaus und -beendigung zwischen dem Quell- und dem Zielgerät generiert, die mit dem SRX5600 Gerät verbunden sind.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Gehen Sie wie folgt vor, um eine Sicherheitsrichtlinie zum Senden von Datenverkehrsprotokollen an einen externen Systemprotokollserver zu konfigurieren:
Konfigurieren Sie Sicherheitsprotokolle, um die auf dem SRX5600 Gerät generierten Datenverkehrsprotokolle an einen externen Systemprotokollserver mit der IP-Adresse 203.0.113.2 zu übertragen. Die IP-Adresse 127.0.0.1 ist die Loopback-Adresse des SRX5600 Geräts.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
Konfigurieren Sie eine Sicherheitszone und geben Sie die Datenverkehrstypen und Protokolle an, die auf der Schnittstelle ge-4/0/5.0 des SRX5600 Geräts zulässig sind.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
Konfigurieren Sie eine weitere Sicherheitszone und geben Sie die Datenverkehrstypen an, die auf den Schnittstellen ge-4/0/4.0 und ge-4/0/1.0 des SRX5600-Geräts zulässig sind.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
Erstellen Sie eine Richtlinie, und geben Sie die Übereinstimmungskriterien für diese Richtlinie an. Die Übereinstimmungskriterien geben an, dass das Gerät Datenverkehr von jeder Quelle, zu jedem Ziel und in jeder Anwendung zulassen kann.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
Aktivieren Sie die Richtlinie, um Datenverkehrsdetails zu Beginn und am Ende der Sitzung zu protokollieren.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security log Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, gelangen Sie commit aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren von Zonen
Zweck
Vergewissern Sie sich, dass die Sicherheitszone aktiviert ist oder nicht.
Aktion
Geben Sie im Betriebsmodus den show security zones Befehl ein.
TAP-Modus für Sicherheitszonen und -richtlinien
Der Terminal Access Point (TAP)-Modus für Sicherheitszonen und -richtlinien ermöglicht es Ihnen, den Datenverkehrsfluss über ein Netzwerk über einen Switch, SPAN oder Mirror-Port passiv zu überwachen.
- Grundlegendes zur Unterstützung des TAP-Modus für Sicherheitszonen und -richtlinien
- Beispiel: Konfigurieren von Sicherheitszonen und Richtlinien im TAP-Modus
Grundlegendes zur Unterstützung des TAP-Modus für Sicherheitszonen und -richtlinien
Der Terminal Access Point (TAP)-Modus ist ein Standby-Gerät, das den gespiegelten Datenverkehr durch den Switch überprüft. Wenn Sicherheitszonen und -richtlinien konfiguriert sind, überprüft der TAP-Modus den ein- und ausgehenden Datenverkehr, indem er die TAP-Schnittstelle konfiguriert und einen Sicherheitsprotokollbericht erstellt, in dem die Anzahl der erkannten Bedrohungen und die Benutzernutzung angezeigt werden. Wenn ein Paket in der Tap-Schnittstelle verloren geht, beenden die Sicherheitszonen und -richtlinien die Verbindung, sodass kein Bericht für diese Verbindung generiert wird. Die Konfiguration der Sicherheitszone und der Richtlinie bleibt die gleiche wie im Nicht-TAP-Modus.
Wenn Sie ein Gerät für den Betrieb im TAP-Modus konfigurieren, generiert das Gerät Sicherheitsprotokollinformationen, um die Informationen zu erkannten Bedrohungen, Anwendungsnutzung und Benutzerdetails anzuzeigen. Wenn das Gerät für den Betrieb im TAP-Modus konfiguriert ist, empfängt es Pakete nur von der konfigurierten TAP-Schnittstelle. Mit Ausnahme der konfigurierten TAP-Schnittstelle werden andere Schnittstellen für die normale Schnittstelle konfiguriert, die als Managementschnittstelle verwendet oder mit dem externen Server verbunden ist. Das Gerät generiert einen Sicherheitsbericht oder ein Sicherheitsprotokoll entsprechend dem eingehenden Datenverkehr.
Die Sicherheitszone und die Standardsicherheitsrichtlinie werden nach der Konfiguration der TAP-Schnittstelle konfiguriert. Sie können bei Bedarf andere Zonen oder Richtlinien konfigurieren. Wenn eine Schnittstelle für die Verbindung eines Servers verwendet wird, müssen auch die IP-Adresse, die Routing-Schnittstelle und die Sicherheitskonfiguration konfiguriert werden.
Sie können nur eine TAP-Schnittstelle konfigurieren, wenn Sie das Gerät im TAP-Modus betreiben.
Beispiel: Konfigurieren von Sicherheitszonen und Richtlinien im TAP-Modus
Dieses Beispiel zeigt, wie Sicherheitszonen und Richtlinien konfiguriert werden, wenn die Firewall der SRX-Serie im TAP-Modus (Terminal Access Point) konfiguriert ist.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 19.1R1
Bevor Sie beginnen:
Lesen Sie das Grundlegendes zur Unterstützung des TAP-Modus für Sicherheitszonen und -richtlinien , um zu verstehen, wie und wo dieses Verfahren in die allgemeine Unterstützung für Sicherheitszonen und -richtlinien passt.
Überblick
In diesem Beispiel konfigurieren Sie die Firewall der SRX-Serie für den Betrieb im TAP-Modus. Wenn Sie die Firewall der SRX-Serie für den Betrieb im TAP-Modus konfigurieren, generiert das Gerät Sicherheitsprotokollinformationen, um die Informationen zu erkannten Bedrohungen, Anwendungsnutzung und Benutzerdetails anzuzeigen.
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und geben Sie dann den Commit-Befehl aus dem Konfigurationsmodus ein.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Zonen im TAP-Modus:
Konfigurieren Sie die Tap-Zone-Schnittstelle für die Sicherheitszone.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
Konfigurieren Sie die Anwendungsverfolgung für die Zugriffszone auf die Zone.
user@host# set security zones security-zone tap-zone application-tracking
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von Zone Tap-Zone zu Zone Tap-Zone-Richtlinie zulässt, tippen Sie auf und konfigurieren Sie die Übereinstimmungsbedingung.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen der Richtlinienkonfiguration im TAP-Modus
Zweck
Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies detail Befehl ein.
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Bedeutung
Zeigt eine Zusammenfassung aller Sicherheitsrichtlinien an, die auf dem Gerät im TAP-Modus konfiguriert sind.
Dynamische Adressgruppen in Sicherheitsrichtlinien
Das manuelle Hinzufügen von Adresseintragen zu einer Richtlinie kann zeitaufwändig sein. Es gibt externe Quellen, die Listen von IP-Adressen bereitstellen, die einen bestimmten Zweck haben (z. B. eine Blockliste) oder die ein gemeinsames Attribut aufweisen (z. B. einen bestimmten Standort oder ein bestimmtes Verhalten, das eine Bedrohung darstellen könnte). Sie können die externe Quelle verwenden, um Bedrohungsquellen anhand ihrer IP-Adresse zu identifizieren, diese Adressen dann in einem dynamischen Adresseintrag zu gruppieren und diesen Eintrag in einer Sicherheitsrichtlinie zu referenzieren. Dadurch können Sie den Datenverkehr von und zu diesen Adressen steuern. Jede dieser IP-Adressgruppen wird als dynamischer Adresseintrag bezeichnet.
Die folgenden Arten von IP-Adressen werden unterstützt:
-
Einzelne IP-Adresse. Beispiel: 192.0.2.0
-
IP-Bereich. Zum Beispiel: 192.0.2.0- 192.0.2.10
-
CIDR. Beispiel: 192.0.2.0/24
Jeder Eintrag nimmt eine Zeile ein. Ab Junos OS Version 19.3R1 müssen IP-Adressbereiche nicht mehr in aufsteigender Reihenfolge sortiert werden, und die Werte der IP-Einträge können sich in derselben Feed-Datei überschneiden. In Junos OS-Versionen vor 19.3R1 müssen IP-Adressbereiche in aufsteigender Reihenfolge sortiert werden, und die Werte der IP-Einträge dürfen sich in derselben Feed-Datei nicht überschneiden.
Bei einem dynamischen Adresseintrag handelt es sich um eine Gruppe von IP-Adressen, nicht um ein einzelnes IP-Präfix. Eine dynamische Adresserfassung unterscheidet sich von den Sicherheitsadresskonzepten von Adressbüchern und Adresserfassungsadressen.
Im Folgenden sind die Vorteile der Bereitstellung dynamischer Adresseinträge in Sicherheitsrichtlinien aufgeführt:
-
Der Netzwerkadministrator hat mehr Kontrolle über den Datenverkehr von und zu Gruppen von IP-Adressen.
-
Der externe Server stellt aktualisierte IP-Adress-Feeds für die Firewall der SRX-Serie bereit.
-
Der Aufwand des Administrators wird drastisch reduziert. In einer Legacy-Sicherheitsrichtlinienkonfiguration wären beispielsweise für das Hinzufügen von 1000 Adresseinträgen für eine zu verweisende Richtlinie etwa 2000 Konfigurationszeilen erforderlich. Durch die Definition eines dynamischen Adresseintrags und dessen Referenzierung in einer Sicherheitsrichtlinie können ohne großen zusätzlichen Konfigurationsaufwand bis zu Millionen von Einträgen in die Firewall der SRX-Serie einfließen.
-
Für das Hinzufügen neuer Adressen ist kein Commit-Prozess erforderlich. Das Hinzufügen von Tausenden von Adressen zu einer Konfiguration über eine Legacy-Methode nimmt viel Zeit in Anspruch. Alternativ stammen IP-Adressen in einem dynamischen Adresseintrag aus einem externen Feed, sodass kein Commit-Prozess erforderlich ist, wenn sich die Adressen in einem Eintrag ändern.
Abbildung 3 zeigt eine funktionale Übersicht, wie der dynamische Adresseintrag in einer Sicherheitsrichtlinie funktioniert.
Eine Sicherheitsrichtlinie verweist auf den dynamischen Adresseintrag in einem Quell- oder Zieladressfeld (ähnlich wie eine Sicherheitsrichtlinie auf einen Legacy-Adresseintrag).
Abbildung 4 zeigt eine Richtlinie, die einen dynamischen Adresseintrag im Feld "Zieladresse" verwendet.
In Abbildung 4 verwendet Richtlinie 1 die Zieladresse 10.10.1.1, bei der es sich um einen Legacy-Sicherheitsadresseintrag handelt. In Richtlinie 2 wird die Zieladresse "Vendor Blocklist" verwendet, bei der es sich um einen dynamischen Adresseintrag handelt, der vom Netzwerkadministrator benannt wird. Ihr Inhalt ist die Liste der IP-Adressen, die aus einer externen Feed-Datei abgerufen wurden. Pakete, die alle fünf Kriterien erfüllen (die Von-Zone mit dem Namen "nicht vertrauenswürdig", die "An-Zone" mit dem Namen "Engineer", eine beliebige Quelladresse, eine Ziel-IP-Adresse, die zum dynamischen Adresseintrag "Vendor Blocklist" gehört, und die E-Mail-Anwendung) werden gemäß den Richtlinienaktionen behandelt, die das Paket ablehnen und protokollieren sollen.
Die Namen der dynamischen Adresseinträge haben denselben Namensraum wie die Legacy-Sicherheitsadresseinträge, daher verwenden Sie nicht denselben Namen für mehr als einen Eintrag. Der Junos OS-Commit-Prozess überprüft, ob Namen nicht dupliziert werden, um Konflikte zu vermeiden.
Dynamische Adressgruppen unterstützen die folgenden Datenfeeds:
-
Benutzerdefinierte Listen (Zulassungslisten und Blocklisten)
-
GeoIP
Feed-Server
-
Feedserver enthalten dynamische Adresseinträge in einer Feeddatei. Sie können benutzerdefinierte Feeds erstellen, die lokal oder remote sein können. Informationen zum Erstellen von benutzerdefinierten Feeds finden Sie unter Erstellen von benutzerdefinierten Feeds
-
Konfigurieren Sie die Firewall der SRX-Serie für die Verwendung der Feeds. Siehe feed-server zur Konfiguration der Firewall der SRX-Serie.
Bundle-Feeds
IP-Adressen, IP-Präfixe oder IP-Bereiche, die in einem dynamischen Adresseintrag enthalten sind, können regelmäßig aktualisiert werden, indem ein externer Feed heruntergeladen wird. Firewalls der SRX-Serie initiieren regelmäßig eine Verbindung zum Feed-Server, um die IP-Listen, die die aktualisierten dynamischen Adressen enthalten, herunterzuladen und zu aktualisieren.
Ab Junos OS Version 19.3R1 können Sie eine einzelne TGZ-Datei vom Server herunterladen und in mehrere untergeordnete Feeddateien extrahieren. Jede einzelne Datei entspricht einem Feed. Lassen Sie einzelne dynamische Adressen auf den Feed in der Bundle-Datei verweisen. Die Bundle-Datei reduziert den CPU-Overhead, wenn zu viele Feeds konfiguriert sind, wobei mehrere untergeordnete Feeds in eine .tgz-Datei komprimiert werden
Die folgenden Bundle-Feed-Modi werden unterstützt:
Archivierungsmodus
Im Archivierungsmodus müssen Sie alle Feed-Dateien für die Firewall der SRX-Serie in eine TGZ-Datei komprimieren. Die Firewall der SRX-Serie lädt diese Datei herunter und extrahiert nach der Extraktion alle Feeds. Dieser Prozess wird im Folgenden erläutert:
-
Wenn die URL des Feed-Servers eine URL einer Datei mit dem Suffix .tgz anstelle der ursprünglichen URL des Ordners ist, bedeutet dies, dass dieser Server eine einzige Datei verwendet, um alle seine Feeds für die Bereitstellung dynamischer Adressen der Firewall der SRX-Serie zu übertragen. In diesem Fall erben Feeds unter diesem Server das Update-Intervall oder das Hold-Interval vom Server. Jede Benutzerkonfiguration des Aktualisierungsintervalls oder des Halteintervalls für diesen Feed wird ignoriert.
-
Führen Sie nach dieser Änderung die folgenden Schritte aus, um Server-Feeds wie im folgenden Beispiel zu verwalten.
Das folgende Beispiel zeigt die Schritte, die zum Verwalten der Server-Feeds erforderlich sind:
-
Legen Sie alle Feed-Dateien für die Firewall der SRX-Serie im Ordner feeds-4-srx ab.
-
Generieren Sie alle Feed-Dateien fd1 fd2 fd3 .. fdN im Ordner feeds-4-srx
-
Hinzufügen oder Entfernen der IP-Bereiche aus den Feeds
-
Greifen Sie auf die Dateien zu, indem Sie den folgenden Befehl ausführen:
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
Nach Schritt 4 steht die Datei feeds-4-srx.tgz zum Download auf der Firewall der SRX-Serie bereit und enthält denselben Ordner, der die Datei feeds-4-srx.tgz enthält. Nach dem Download werden die extrahierten Dateien im selben Ordner wie feeds-4-srx.tgz abgelegt. Das folgende Beispiel zeigt eine Samle-Konfiguration auf einer Firewall der SRX-Serie:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
Der Parameter path erfordert den relativen Pfad des Feeds innerhalb des Bundle-Archivs.
-
Wenn die Datei tar -zxf feeds-4-srx.tgz einen Ordner feeds-4-srx generiert und dieser Ordner die Feed-Datei fd1 enthält, verwenden Sie den folgenden Befehl, um den Feed zu konfigurieren:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
Wenn die Datei tar -zxf feeds-4-srx.tgz die Datei fd1 direkt extrahiert, verwenden Sie den folgenden Befehl, um den Feed zu konfigurieren:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
Flatfile-Modus
Der Flatfile-Modus bietet ultimative Simplizität für Benutzer, indem eine Syntaxänderung im vorhandenen Feeddateiformat eingeführt wird. Der Inhalt aller Feeddateien wird in eine einzige Datei mit dem Suffix .bundle kompiliert. Auf diese Weise können Sie eine einzelne Datei verwalten. Die Firewall der SRX-Serie klassifiziert IP-Bereiche in dieser Paketdatei in zahlreiche Feed-Dateien. Sie können diese Datei wie .bundle.gz gzippen, wenn Sie etwas Bandbreite für die Übertragung sparen können. Zusätzlich zum zuvor definierten Dateiformat wird ein Tag FEED: in Großbuchstaben gefolgt vom Feed-Namen eingeführt. Die Zeilen unter diesem Tag werden als IP-Bereiche betrachtet, die zum Feed gehören. Im Folgenden finden Sie ein Beispiel für das Aussehen des Dateiformats:
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
Die Konfiguration einer Firewall der SRX-Serie ähnelt dem Archivierungsmodus und ist unten angegeben:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Der Unterschied zwischen dem flachen Modus und dem Archivmodus ist das Suffix der Datei und das Layout innerhalb der Datei. Sie können den Modus auswählen, der für Sie am bequemsten ist.
Da die Feed-Dateien im Nur-Text-Format vorliegen, kann gzip die Dateigröße reduzieren. Wenn zwischen einem Server und einer Firewall der SRX-Serie eine WAN-Verbindung besteht, verwenden Sie eine kleinere Datei, die über das Netzwerk übertragen werden soll. In diesem Fall gzipieren Sie die Bundle-Datei und konfigurieren Sie die folgenden Befehle:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Konfigurationsverhalten für plattformspezifische Sicherheitsrichtlinien
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgenden Tabellen, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:
- Verhalten plattformspezifischer Konfigurationsregeln für Sicherheitsrichtlinien
- Synchronisierungsverhalten für die plattformspezifische Richtlinienkonfiguration
- Plattformspezifisches IDP-Unterstützungsverhalten
- Plattformspezifischer Firewall-Richtlinien-Assistent Unterstützungsverhalten
Verhalten plattformspezifischer Konfigurationsregeln für Sicherheitsrichtlinien
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie |
|
Synchronisierungsverhalten für die plattformspezifische Richtlinienkonfiguration
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie und vSRX3.0 |
|
Plattformspezifisches IDP-Unterstützungsverhalten
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie |
|
Plattformspezifischer Firewall-Richtlinien-Assistent Unterstützungsverhalten
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie |
|
Zusätzliche Plattforminformationen
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.
| Geräte der SRX-Serie und Virtuelle Firewall vSRX 3.0, die den Dateifeed-Server unterstützen, unterstützen: |
SRX300, SRX320, SRX340, SRX345, SRX550 und SRX550M |
SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 Geräte und Virtuelle Firewall vSRX 3.0 |
SRX1500 |
|---|---|---|---|
| Maximale Anzahl von Feedservern |
10 |
100 |
40 |
| Maximale Anzahl von Feeds |
500 |
5000 |
200 |
| Maximale Anzahl dynamischer Adresseinträge |
500 |
5000 |
200 |
| Geräte der SRX-Serie, die Policy Object unterstützen, unterstützen: |
SRX300 und SRX320 |
SRX340-KARTON |
SRX345 und SRX380 |
SRX550M |
SRX1500, SRX1600 und SRX4100 |
SRX4200 und SRX4300 |
SRX4600 |
SRX4700, SRX5400, SRX5600 und SRX5800 |
|---|---|---|---|---|---|---|---|---|
| Adress-Objekte |
2048 |
2048 |
2048 |
2048 |
4096 |
4096 |
4096 |
16384 |
| Anwendungsobjekte |
128 |
128 |
128 |
128 |
3072 |
3072 |
3072 |
3072 |
| Sicherheitsrichtlinien |
1024 |
2048 |
4096 |
10240 |
16000 |
60000 |
80000 |
100000 |
| Richtlinienkontexte (Zonenpaare) |
256 |
512 |
1024 |
2048 |
4096 |
4096 |
8192 |
8192 |
| Richtlinien pro Kontext |
1024 |
2048 |
4096 |
10240 |
16000 |
60000 |
80000 |
100000 |
| Richtlinien mit aktivierter Zählung |
256 |
256 |
256 |
10240 |
1024 |
1024 |
1024 |
1024 |
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.