AUF DIESER SEITE
Sicherheitszonen
Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, für die die Regulierung des ein- und ausgehenden Datenverkehrs über Richtlinien erforderlich ist. Sicherheitszonen sind logische Einheiten, an die eine oder mehrere Schnittstellen gebunden sind. Sie können mehrere Sicherheitszonen festlegen, deren genaue Anzahl Sie je nach Ihren Netzwerkanforderungen bestimmen.
Übersicht über Sicherheitszonen
Schnittstellen fungieren als Tür, durch die der Datenverkehr ein Gerät von Juniper Networks eindringt und verlässt. Viele Schnittstellen können dieselben Sicherheitsanforderungen erfüllen. Unterschiedliche Schnittstellen können jedoch auch unterschiedliche Sicherheitsanforderungen für ein- und ausgehende Datenpakete haben. Schnittstellen mit identischen Sicherheitsanforderungen können zu einer einzigen Sicherheitszone zusammengefasst werden.
Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, für die die Regulierung des ein- und ausgehenden Datenverkehrs über Richtlinien erforderlich ist.
Sicherheitszonen sind logische Einheiten, an die eine oder mehrere Schnittstellen gebunden sind. Mit vielen Arten von Geräten von Juniper Networks können Sie mehrere Sicherheitszonen definieren, deren anzahl Sie genau auf Grundlage Ihrer Netzwerkanforderungen bestimmen.
Auf einem einzigen Gerät können Sie mehrere Sicherheitszonen konfigurieren und das Netzwerk in Segmente aufteilen, auf die Sie verschiedene Sicherheitsoptionen anwenden können, um die Anforderungen jedes Segments zu erfüllen. Sie müssen mindestens zwei Sicherheitszonen definieren, um einen Bereich des Netzwerks von dem anderen zu schützen. Auf einigen Sicherheitsplattformen können Sie viele Sicherheitszonen definieren, wodurch ihr Netzwerksicherheitsdesign detailgenauer wird – und das ohne mehrere Sicherheits-Appliances.
Aus Der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und geht in eine andere Sicherheitszone aus. Diese Kombination aus a from-zone
und a to-zone
wird als Kontext definiert. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Weitere Informationen zu Richtlinien finden Sie unter Übersicht über Sicherheitsrichtlinien.
Dieses Thema umfasst die folgenden Abschnitte:
- Verstehen von Sicherheitszonenschnittstellen
- Verständnis von Funktionszonen
- Verstehen von Sicherheitszonen
Verstehen von Sicherheitszonenschnittstellen
Eine Schnittstelle für eine Sicherheitszone kann als Tür betrachtet werden, durch die der TCP/IP-Datenverkehr zwischen dieser zone und jeder anderen Zone passieren kann.
Mithilfe der von Ihnen definierten Richtlinien können Sie den Datenverkehr zwischen Zonen in eine Richtung oder in beide Richtungen fließen lassen. Mit den von Ihnen definierten Routen geben Sie die Schnittstellen an, die der Datenverkehr von einer Zone zur anderen verwenden muss. Da Sie mehrere Schnittstellen an eine Zone binden können, sind die Routen, die Sie erstellen, für die Weiterleitung des Datenverkehrs an die Schnittstellen Ihrer Wahl wichtig.
Eine Schnittstelle kann mit einer IPv4-Adresse, IPv6-Adresse oder beides konfiguriert werden.
Verständnis von Funktionszonen
Eine Funktionszone wird für spezielle Zwecke wie Managementschnittstellen verwendet. Derzeit wird nur die Managementzone (MGT) unterstützt. Managementzonen verfügen über die folgenden Eigenschaften:
Managementzonen hosten Managementschnittstellen.
Datenverkehr, der in Verwaltungszonen eindringt, entspricht nicht den Richtlinien; Daher kann der Datenverkehr nicht von einer anderen Schnittstelle übertragen werden, wenn er in der Verwaltungsschnittstelle empfangen wurde.
Managementzonen können nur für dedizierte Managementschnittstellen verwendet werden.
Verstehen von Sicherheitszonen
Sicherheitszonen sind die Bausteine für Richtlinien; sie sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sicherheitszonen bieten die Möglichkeit, Gruppen von Hosts (Benutzersystemen und anderen Hosts, z. B. Servern) und deren Ressourcen voneinander zu unterscheiden, um unterschiedliche Sicherheitsmaßnahmen auf sie anzuwenden.
Sicherheitszonen haben die folgenden Eigenschaften:
Richtlinien: Aktive Sicherheitsrichtlinien, die Regeln für den Transitdatenverkehr durchsetzen, in Bezug darauf, welcher Datenverkehr die Firewall passieren kann, und die Aktionen, die auf dem Datenverkehr stattfinden müssen, während er durch die Firewall geleitet wird. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.
Bildschirme: Eine Stateful Firewall von Juniper Networks sichert ein Netzwerk, indem sie alle Verbindungsversuche, die den Übergang von einer Sicherheitszone zur anderen erfordern, inspiziert und dann zulässt oder verweigert. Für jede Sicherheitszone können Sie eine Reihe von vordefinierten Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, den das Gerät als potenziell schädlich angibt. Weitere Informationen finden Sie unter Reconnaissance Deterrence Übersicht.
Adressbücher: IP-Adressen und Adresssätze, aus denen ein Adressbuch besteht, um seine Mitglieder zu identifizieren, damit Sie Richtlinien auf diese anwenden können. Adressbucheinträge können eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen und DNS-Namen (Domain Name System) enthalten. Weitere Informationen finden Sie unter Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
TCP-RST: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem RESET-Flag, wenn der Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und das SYNchronize-Flag nicht festgelegt hat.
Schnittstellen – Liste der Schnittstellen in der Zone.
Sicherheitszonen verfügen über die folgende vorkonfigurierte Zone:
Vertrauenszone: Nur in der Werkskonfiguration verfügbar und wird für die erste Verbindung zum Gerät verwendet. Nachdem Sie eine Konfiguration committen, kann die Trust Zone außer Kraft gesetzt werden.
Beispiel: Erstellen von Sicherheitszonen
In diesem Beispiel wird gezeigt, wie Zonen konfiguriert und Schnittstellen zugewiesen werden. Wenn Sie eine Sicherheitszone konfigurieren, können Sie viele ihrer Parameter gleichzeitig angeben.
Anforderungen
Konfigurieren Sie netzwerkschnittstellen, bevor Sie beginnen. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Übersicht
Eine Schnittstelle für eine Sicherheitszone kann als Tür betrachtet werden, durch die der TCP/IP-Datenverkehr zwischen dieser zone und jeder anderen Zone passieren kann.
Schnittstellen befinden sich standardmäßig in der Nullzone. Die Schnittstellen leiten den Datenverkehr erst weiter, wenn sie einer Zone zugewiesen wurden.
Sie können 2000 Schnittstellen innerhalb einer Sicherheitszone auf SrX3400-, SRX3600-, SRX4600-, SRX5400-, SRX5600- oder SRX5800-Geräten konfigurieren, abhängig von der Junos OS-Version in Ihrer Installation.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit]
CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So erstellen Sie Zonen und weisen ihnen Schnittstellen zu:
Konfigurieren Sie eine Ethernet-Schnittstelle und weisen Sie ihr eine IPv4-Adresse zu.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Konfigurieren Sie eine Ethernet-Schnittstelle und weisen Sie ihr eine IPv6-Adresse zu.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Konfigurieren Sie eine Sicherheitszone, und weisen Sie sie einer Ethernet-Schnittstelle zu.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Ergebnisse
Bestätigen Sie ihre Konfiguration vom Konfigurationsmodus aus, indem Sie die Befehle und show interfaces ge-0/0/1
die Befehle show security zones security-zone ABC
eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Aus Gründen der Kürze enthält diese show
Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Jede andere Konfiguration des Systems wurde durch Ellipsen ersetzt (...).
[edit] user@host# show security zones security-zone ABC ... interfaces { ge-0/0/1.0 { ... } } [edit] user@host# show interfaces ge-0/0/1 ... unit 0 { family inet { address 203.0.113.1/24; } family inet6 { address 2001:db8:1::1/64; } }
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit
.
Unterstützte Systemservices für hostgebundenen Datenverkehr
In diesem Thema werden die unterstützten Systemdienste für den Host-eingehenden Datenverkehr in der angegebenen Zone oder Schnittstelle beschrieben.
Nehmen wir zum Beispiel an, ein Benutzer, dessen System mit einer Schnittstelle 203.0.113.4
in Zone ABC
verbunden war, wollte telnet in zone schnittstelle 198.51.100.4
ABC
in . Damit diese Aktion zulässig ist, muss die Telnet-Anwendung als zulässiger Eingehender Dienst auf beiden Schnittstellen konfiguriert werden, und eine Richtlinie muss die Übertragung des Datenverkehrs zulassen.
Im Abschnitt Optionen im Abschnitt Systemservices (Sicherheitszonen Host-eingehender Datenverkehr) finden Sie die Systemservices, die für den Host-eingehenden Datenverkehr verwendet werden können.
Bei Services Gateways der SRX-Serie ist das xnm-clear-text
Feld in der Werkseinstellungen aktiviert. Diese Einstellung ermöglicht den eingehenden Datenverkehr des Junos XML-Protokolls in der Vertrauenszone für das Gerät, wenn das Gerät mit Werkseinstellungen arbeitet. Wir empfehlen, dass Sie die Werkseinstellungen durch eine benutzerdefinierte Konfiguration ersetzen, die nach der Konfiguration des Feldes zusätzliche Sicherheit bietet. Sie müssen das xnm-clear-text
Feld manuell mithilfe des CLI-Befehls delete system services xnm-clear-text
löschen.
Im Abschnitt Optionen in Protokollen (Security Zones Interfaces) finden Sie die unterstützten Protokolle, die für den Host-eingehenden Datenverkehr verwendet werden können.
Alle Dienste (außer DHCP und BOOTP) können entweder pro Zone oder pro Schnittstelle konfiguriert werden. Ein DHCP-Server wird nur pro Schnittstelle konfiguriert, da die eingehende Schnittstelle vom Server bekannt sein muss, um DHCP-Antworten senden zu können.
Sie müssen Neighbor Discovery Protocol (NDP) nicht für den Host-eingehenden Datenverkehr konfigurieren, da die NDP standardmäßig aktiviert ist.
Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption lautet set protocol neighbor-discovery onlink-subnet-only
Befehl. Diese Option verhindert, dass das Gerät von einem Präfix, das nicht als eines der Geräteschnittstellenpräfixe enthalten war, auf eine Neighbor Solicitation (NS) reagiert.
Die Routing-Engine muss neu gestartet werden, nachdem diese Option festgelegt wurde, um alle Möglichkeiten zu entfernen, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.
Understanding How to Control Inbound Traffic Based on Traffic Types
In diesem Thema wird beschrieben, wie Zonen so konfiguriert werden, dass die Arten von Datenverkehr angegeben werden, der das Gerät von Systemen erreichen kann, die direkt mit seinen Schnittstellen verbunden sind.
Beachten Sie Folgendes:
Sie können diese Parameter auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone oder auf schnittstellenebene aus. (Die Schnittstellenkonfiguration überschreibt die der Zone.)
Sie müssen den gesamten erwarteten Host-eingehenden Datenverkehr aktivieren. Eingehender Datenverkehr, der zu diesem Gerät bestimmt ist, wird standardmäßig abgebrochen.
Sie können auch die Schnittstellen einer Zone so konfigurieren, dass sie von dynamischen Routing-Protokollen verwendet werden können.
Mit dieser Funktion können Sie das Gerät vor Angriffen schützen, die von Systemen gestartet werden, die direkt oder indirekt mit einer ihrer Schnittstellen verbunden sind. Außerdem können Sie das Gerät selektiv so konfigurieren, dass Administratoren es über bestimmte Anwendungen an bestimmten Schnittstellen verwalten können. Sie können die Verwendung anderer Anwendungen auf denselben oder verschiedenen Schnittstellen einer Zone verbieten. Am wahrscheinlichsten möchten Sie beispielsweise sicherstellen, dass Externe die Telnet-Anwendung aus dem Internet nicht zum Anmelden beim Gerät verwenden, da sie keine Verbindung zu Ihrem System herstellen möchten.
Beispiel: Steuerung des eingehenden Datenverkehrs basierend auf Datenverkehrstypen
In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr basierend auf Datenverkehrstypen konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.
Verstehen sie eingehende Datenverkehrstypen. Erfahren Sie, wie Sie eingehenden Datenverkehr basierend auf den Datenverkehrstypen steuern.
Übersicht
Indem Systemservices ausgeführt werden können, können Sie Zonen so konfigurieren, dass verschiedene Arten von Datenverkehr angegeben werden, der das Gerät von Systemen aus erreichen kann, die direkt mit seinen Schnittstellen verbunden sind. Sie können die verschiedenen Systemservices auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone oder auf Schnittstellenebene aus. (Die Schnittstellenkonfiguration überschreibt die der Zone.)
Sie müssen den gesamten erwarteten Host-eingehenden Datenverkehr aktivieren. Der eingehende Datenverkehr von Geräten, die direkt mit den Schnittstellen des Geräts verbunden sind, wird standardmäßig unterbrochen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit]
CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eingehenden Datenverkehr basierend auf Datenverkehrstypen:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie die Sicherheitszone für die Unterstützung des eingehenden Datenverkehrs für alle Systemservices.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Konfigurieren Sie die Telnet-, FTP- und SNMP-Systemdienste auf Schnittstellenebene (nicht auf Zonenebene) für die erste Schnittstelle.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Konfigurieren Sie die Sicherheitszone, um eingehenden Datenverkehr für alle Systemservices für eine zweite Schnittstelle zu unterstützen.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Schließen Sie die FTP- und HTTP-Systemdienste von der zweiten Schnittstelle aus.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration mit der Eingabe der show security zones security-zone ABC
. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security zones security-zone ABC host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.3 { host-inbound-traffic { system-services { ftp; telnet; snmp; } } } ge-0/0/1.0 { host-inbound-traffic { system-services { all; ftp { except; } http { except; } } } } }
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit
.
Understanding How to Control Inbound Traffic Based on Protocols
In diesem Thema werden die eingehenden Systemprotokolle in der angegebenen Zone oder Schnittstelle beschrieben.
Jeder Host-eingehende Datenverkehr, der einem Protokoll entspricht, das unter der Host-Inbound-Datenverkehrsoption aufgeführt ist, ist zulässig. Wenn Sie beispielsweise ein Protokoll an einer beliebigen Stelle in der Konfiguration einer anderen Portnummer als dem Standard zuordnen, können Sie das Protokoll in der Host-Inbound-Datenverkehrsoption angeben und die neue Portnummer wird verwendet. Tabelle 1 listet die unterstützten Protokolle auf. Ein Wert von all
gibt an, dass der Datenverkehr aller folgenden Protokolle an den angegebenen Schnittstellen (der Zone oder einer einzigen angegebenen Schnittstelle) eingehen darf.
Unterstützte Systemservices |
|||
---|---|---|---|
Alle |
Igmp |
Pim |
Sap |
Bfd |
Ldp |
Rip |
VRRP |
Bgp |
MSDP |
Ripng |
nhrp |
Router-Erkennung |
DVMRP |
Ospf |
Rsvp |
Pgm |
OSPF3 |
Wenn DVMRP oder PIM für eine Schnittstelle aktiviert ist, wird IGMP- und MLD-Host-eingehender Datenverkehr automatisch aktiviert. Da IS-IS OSI-Adressierung verwendet und keinen IP-Datenverkehr generieren sollte, gibt es keine Option für den Host-eingehenden Datenverkehr für das IS-IS-Protokoll.
Sie müssen Neighbor Discovery Protocol (NDP) nicht für den Host-eingehenden Datenverkehr konfigurieren, da die NDP standardmäßig aktiviert ist.
Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption lautet set protocol neighbor-discovery onlink-subnet-only
Befehl. Diese Option verhindert, dass das Gerät von einem Präfix, das nicht als eines der Geräteschnittstellenpräfixe enthalten war, auf eine Neighbor Solicitation (NS) reagiert.
Die Routing-Engine muss neu gestartet werden, nachdem diese Option so eingestellt wurde, dass keine Möglichkeit besteht, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.
Beispiel: Steuerung des eingehenden Datenverkehrs basierend auf Protokollen
In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr für eine Schnittstelle aktiviert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Übersicht
Jeder Host-eingehende Datenverkehr, der einem Protokoll entspricht, das unter der Host-Inbound-Datenverkehrsoption aufgeführt ist, ist zulässig. Wenn Sie beispielsweise in der Konfiguration ein Protokoll einer anderen Portnummer als dem Standard zuordnen, können Sie das Protokoll in der Host-Eingehenden Datenverkehrsoption angeben und die neue Portnummer wird verwendet.
Ein Wert von all
gibt an, dass der Datenverkehr von allen Protokollen an den angegebenen Schnittstellen (der Zone oder einer einzigen angegebenen Schnittstelle) eingehen darf.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit]
CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eingehenden Datenverkehr basierend auf Protokollen:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie die Sicherheitszone zur Unterstützung des eingehenden Datenverkehrs basierend auf dem OSPF-Protokoll für eine Schnittstelle.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Konfigurieren Sie die Sicherheitszone zur Unterstützung des eingehenden Datenverkehrs basierend auf dem ospf3-Protokoll für eine Schnittstelle.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration mit der Eingabe der show security zones security-zone ABC
. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security zones security-zone ABC interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { ospf; ospf3; } } } }
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit
.
Beispiel: Konfigurieren des TCP-Reset-Parameters
In diesem Beispiel wird gezeigt, wie der TCP-Reset-Parameter für eine Zone konfiguriert wird.
Anforderungen
Konfigurieren Sie sicherheitszonen, bevor Sie beginnen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Übersicht
Wenn die TCP-Reset-Parameterfunktion aktiviert ist, sendet das System ein TCP-Segment mit dem RESET-Flag, wenn der Datenverkehr ankommt, der nicht mit einer vorhandenen Sitzung übereinstimmt und das SYN-Flag nicht festgelegt ist.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den TCP-Reset-Parameter für eine Zone:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie den TCP-Reset-Parameter für die Zone.
[edit security zones security-zone ABC] user@host# set tcp-rst
Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security zones
Befehl ein.