AUF DIESER SEITE
Unterstützte Systemservices für den eingehenden Hostdatenverkehr
Informationen zur Steuerung des eingehenden Datenverkehrs auf der Grundlage von Datenverkehrstypen
Beispiel: Eingehenden Datenverkehr basierend auf Datenverkehrstypen steuern
Informationen zur protokollbasierten Steuerung des eingehenden Datenverkehrs
Beispiel: Steuerung des eingehenden Datenverkehrs auf der Grundlage von Protokollen
Plattformspezifisches Erstellungsverhalten für Sicherheitszonen
Sicherheitszonen
Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, die die Regulierung des ein- und ausgehenden Datenverkehrs durch Richtlinien erfordern. Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sie können mehrere Sicherheitszonen definieren, deren genaue Anzahl Sie basierend auf Ihren Netzwerkanforderungen festlegen.
Sicherheitszonen – Übersicht
Schnittstellen fungieren als Tür, durch die Datenverkehr in ein Gerät von Juniper Networks ein- und ausgeht. Viele Schnittstellen können genau die gleichen Sicherheitsanforderungen haben. Unterschiedliche Schnittstellen können aber auch unterschiedliche Sicherheitsanforderungen an ein- und ausgehende Datenpakete stellen. Schnittstellen mit identischen Sicherheitsanforderungen können in einer einzigen Sicherheitszone zusammengefasst werden.
Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, die die Regulierung des ein- und ausgehenden Datenverkehrs durch Richtlinien erfordern.
Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Bei vielen Gerätetypen von Juniper Networks können Sie mehrere Sicherheitszonen definieren, deren genaue Anzahl Sie basierend auf Ihren Netzwerkanforderungen festlegen.
Auf einem einzigen Gerät können Sie mehrere Sicherheitszonen konfigurieren und das Netzwerk in Segmente unterteilen, auf die Sie verschiedene Sicherheitsoptionen anwenden können, um die Anforderungen jedes Segments zu erfüllen. Sie müssen mindestens zwei Sicherheitszonen definieren, um einen Bereich des Netzwerks vor dem anderen zu schützen. Auf einigen Sicherheitsplattformen können Sie viele Sicherheitszonen definieren, um Ihr Netzwerksicherheitsdesign detaillierter zu gestalten – und das ohne den Einsatz mehrerer Sicherheits-Appliances.
Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und wird in einer anderen Sicherheitszone wieder verlassen. Diese Kombination aus a from-zone und a to-zone wird als Kontext definiert. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Weitere Informationen zu Richtlinien finden Sie unter Übersicht über Sicherheitsrichtlinien.
Dieses Thema enthält die folgenden Abschnitte:
- Grundlegendes zu Sicherheitszonenschnittstellen
- Grundlegendes zu Funktionszonen
- Grundlegendes zu Sicherheitszonen
Grundlegendes zu Sicherheitszonenschnittstellen
Eine Schnittstelle für eine Sicherheitszone kann als Tor betrachtet werden, durch das TCP/IP-Datenverkehr zwischen dieser Zone und jeder anderen Zone übertragen werden kann.
Mithilfe der von Ihnen definierten Richtlinien können Sie zulassen, dass der Datenverkehr zwischen Zonen in eine Richtung oder in beide Richtungen fließt. Mit den Routen, die Sie definieren, geben Sie die Schnittstellen an, die der Datenverkehr von einer Zone in eine andere verwenden muss. Da Sie mehrere Schnittstellen an eine Zone binden können, sind die von Ihnen erfassten Routen wichtig, um den Datenverkehr an die Schnittstellen Ihrer Wahl weiterzuleiten.
Eine Schnittstelle kann mit einer IPv4-Adresse, einer IPv6-Adresse oder beidem konfiguriert werden.
Grundlegendes zu Funktionszonen
Eine Funktionszone wird für spezielle Zwecke verwendet, z. B. für Verwaltungsschnittstellen. Derzeit wird nur die Verwaltungszone (MGT) unterstützt. Verwaltungszonen haben die folgenden Eigenschaften:
Verwaltungszonen und Hostverwaltungsschnittstellen.
Der Datenverkehr, der in Verwaltungszonen gelangt, entspricht nicht den Richtlinien. Daher kann Datenverkehr nicht aus einer anderen Schnittstelle übertragen werden, wenn er in der Verwaltungsschnittstelle empfangen wurde.
Verwaltungszonen können nur für dedizierte Verwaltungsschnittstellen verwendet werden.
Grundlegendes zu Sicherheitszonen
Sicherheitszonen sind die Bausteine für Richtlinien; Dabei handelt es sich um logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sicherheitszonen bieten ein Mittel, um Gruppen von Hosts (Benutzersysteme und andere Hosts, z. B. Server) und ihre Ressourcen voneinander zu unterscheiden, um unterschiedliche Sicherheitsmaßnahmen auf sie anzuwenden.
Sicherheitszonen haben die folgenden Eigenschaften:
Richtlinien: Aktive Sicherheitsrichtlinien, die Regeln für den Transitdatenverkehr durchsetzen, in Bezug darauf, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.
Bildschirme: Eine Stateful-Firewall von Juniper Networks schützt ein Netzwerk, indem sie alle Verbindungsversuche, die den Übergang von einer Sicherheitszone in eine andere erfordern, inspiziert und dann zulässt oder ablehnt. Für jede Sicherheitszone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, die das Gerät als potenziell schädlich einstuft. Weitere Informationen finden Sie unter Übersicht über die Abschreckung durch Aufklärung.
Adressbücher: IP-Adressen und Adresssätze, die ein Adressbuch bilden, um dessen Mitglieder zu identifizieren, damit Sie Richtlinien auf sie anwenden können. Adressbucheinträge können eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen und DNS-Namen (Domain Name System) enthalten. Weitere Informationen finden Sie unter Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
TCP-RST: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit gesetztem RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das SYNchronize-Flag nicht gesetzt ist.
Schnittstellen: Liste der Schnittstellen in der Zone.
Sicherheitszonen verfügen über die folgende vorkonfigurierte Zone:
Vertrauenszone: Nur in der Werkskonfiguration verfügbar und wird für die erste Verbindung mit dem Gerät verwendet. Nachdem Sie einen Commit für eine Konfiguration ausgeführt haben, kann die Vertrauenszone überschrieben werden.
Beispiel: Erstellen von Sicherheitszonen
In diesem Beispiel wird gezeigt, wie Zonen konfiguriert und ihnen Schnittstellen zugewiesen werden. Wenn Sie eine Sicherheitszone konfigurieren, können Sie viele ihrer Parameter gleichzeitig angeben.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheitsgeräte der Schnittstelle.
Überblick
Eine Schnittstelle für eine Sicherheitszone kann als Tor betrachtet werden, durch das TCP/IP-Datenverkehr zwischen dieser Zone und jeder anderen Zone übertragen werden kann.
Standardmäßig befinden sich Schnittstellen in der NULL-Zone. Die Schnittstellen leiten den Datenverkehr erst weiter, wenn sie einer Zone zugewiesen wurden.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So erstellen Sie Zonen und weisen ihnen Schnittstellen zu:
Konfigurieren Sie eine Ethernet-Schnittstelle und weisen Sie ihr eine IPv4-Adresse zu.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Konfigurieren Sie eine Ethernet-Schnittstelle und weisen Sie ihr eine IPv6-Adresse zu.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Konfigurieren Sie eine Sicherheitszone und weisen Sie sie einer Ethernet-Schnittstelle zu.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones security-zone ABC Befehle und show interfaces ge-0/0/1 eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Unterstützte Systemservices für den eingehenden Hostdatenverkehr
In diesem Thema werden die unterstützten Systemdienste für den eingehenden Hostdatenverkehr in der angegebenen Zone oder Schnittstelle beschrieben.
Angenommen, ein Benutzer, dessen System mit einer Schnittstelle 203.0.113.4 in der Zone ABC verbunden war, möchte eine Telnet-Verbindung mit einer Schnittstelle 198.51.100.4 in der Zone ABCherstellen. Damit diese Aktion zugelassen wird, muss die Telnet-Anwendung auf beiden Schnittstellen als zulässiger eingehender Dienst konfiguriert sein, und eine Richtlinie muss die Übertragung des Datenverkehrs zulassen.
Im Abschnitt Optionen unter system-services (Security Zones, Host Inbound Traffic) finden Sie die Systemdienste, die für den eingehenden Hostdatenverkehr verwendet werden können.
Das xnm-clear-text Feld ist in der werkseitigen Standardkonfiguration aktiviert. Diese Einstellung aktiviert eingehenden Junos XML-Protokolldatenverkehr in der Vertrauenszone für das Gerät, wenn das Gerät mit den werkseitigen Standardeinstellungen arbeitet. Es wird empfohlen, die werkseitigen Standardeinstellungen durch eine benutzerdefinierte Konfiguration zu ersetzen, die zusätzliche Sicherheit bietet, sobald das Gerät konfiguriert ist. Sie müssen das xnm-clear-text Feld manuell mit dem CLI-Befehl delete system services xnm-clear-textlöschen.
Im Abschnitt "Optionen " unter Protokolle (Sicherheitszonen, Schnittstellen) finden Sie Informationen zu den unterstützten Protokollen, die für den eingehenden Datenverkehr des Hosts verwendet werden können.
Alle Dienste (außer DHCP und BOOTP) können entweder pro Zone oder pro Schnittstelle konfiguriert werden. Ein DHCP-Server wird nur pro Schnittstelle konfiguriert, da die eingehende Schnittstelle dem Server bekannt sein muss, um DHCP-Antworten senden zu können.
Sie müssen Neighbor Discovery Protocol (NDP) nicht für eingehenden Hostdatenverkehr konfigurieren, da NDP standardmäßig aktiviert ist.
Eine Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption ist set protocol neighbor-discovery onlink-subnet-only command. Diese Option verhindert, dass das Gerät auf eine Neighbor Solicitation (NS) von einem Präfix reagiert, das nicht als eines der Geräteschnittstellenpräfixe enthalten war.
Die Routing-Engine muss nach dem Setzen dieser Option neu gestartet werden, um die Möglichkeit zu entfernen, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.
Informationen zur Steuerung des eingehenden Datenverkehrs auf der Grundlage von Datenverkehrstypen
In diesem Thema wird beschrieben, wie Zonen konfiguriert werden, um die Arten von Datenverkehr anzugeben, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind.
Beachten Sie Folgendes:
Sie können diese Parameter auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. (Die Schnittstellenkonfiguration hat Vorrang vor der Konfiguration der Zone.)
Sie müssen den gesamten erwarteten eingehenden Hostdatenverkehr aktivieren. Eingehender Datenverkehr, der für dieses Gerät bestimmt ist, wird standardmäßig verworfen.
Sie können auch die Schnittstellen einer Zone so konfigurieren, dass sie von dynamischen Routing-Protokollen verwendet werden können.
Mit dieser Funktion können Sie das Gerät vor Angriffen schützen, die von Systemen gestartet werden, die direkt oder indirekt mit einer seiner Schnittstellen verbunden sind. Außerdem können Sie das Gerät selektiv konfigurieren, sodass Administratoren es mit bestimmten Anwendungen auf bestimmten Schnittstellen verwalten können. Sie können die Verwendung anderer Anwendungen auf derselben oder auf anderen Schnittstellen einer Zone verbieten. Beispielsweise möchten Sie höchstwahrscheinlich sicherstellen, dass Außenstehende die Telnet-Anwendung nicht aus dem Internet verwenden, um sich bei dem Gerät anzumelden, da Sie nicht möchten, dass sie eine Verbindung zu Ihrem System herstellen.
Beispiel: Eingehenden Datenverkehr basierend auf Datenverkehrstypen steuern
In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr basierend auf Datenverkehrstypen konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Grundlegendes zu den Typen des eingehenden Datenverkehrs Weitere Informationen finden Sie unter Grundlegendes zur Steuerung des eingehenden Datenverkehrs basierend auf Datenverkehrstypen.
Überblick
Indem Sie die Ausführung von Systemdiensten zulassen, können Sie Zonen konfigurieren, um verschiedene Datenverkehrstypen anzugeben, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind. Sie können die verschiedenen Systemdienste auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. (Die Schnittstellenkonfiguration hat Vorrang vor der Konfiguration der Zone.)
Sie müssen den gesamten erwarteten eingehenden Hostdatenverkehr aktivieren. Eingehender Datenverkehr von Geräten, die direkt mit den Schnittstellen des Geräts verbunden sind, wird standardmäßig verworfen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eingehenden Datenverkehr basierend auf Datenverkehrstypen:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr für alle Systemdienste unterstützt wird.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Konfigurieren Sie die Telnet-, FTP- und SNMP-Systemdienste auf Schnittstellenebene (nicht auf Zonenebene) für die erste Schnittstelle.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr für alle Systemdienste für eine zweite Schnittstelle unterstützt wird.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Schließen Sie die FTP- und HTTP-Systemdienste von der zweiten Schnittstelle aus.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die . show security zones security-zone ABC Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Informationen zur protokollbasierten Steuerung des eingehenden Datenverkehrs
In diesem Thema werden die eingehenden Systemprotokolle in der angegebenen Zone oder Schnittstelle beschrieben.
Jeder eingehende Hostdatenverkehr, der einem Protokoll entspricht, das unter der Option hosteingehender Datenverkehr aufgeführt ist, ist zulässig. Wenn Sie z. B. irgendwo in der Konfiguration ein Protokoll einer anderen Portnummer als der Standardportnummer zuordnen, können Sie das Protokoll in der Option Host-eingehender Datenverkehr angeben, und die neue Portnummer wird verwendet. Tabelle 1 listet die unterstützten Protokolle auf. Der Wert von all gibt an, dass Datenverkehr aus allen folgenden Protokollen auf den angegebenen Schnittstellen (der Zone oder einer einzelnen angegebenen Schnittstelle) eingehend zulässig ist.
Unterstützte Systemservices |
|||
|---|---|---|---|
alle |
igmp |
Pim |
Saft |
Bfd |
Ldp |
zerreißen |
VRRP |
Bgp |
MSDP |
ripng |
NHRP |
Router-Erkennung |
DVMRP |
ospf |
u.A.w.g |
PGM |
OSPF3-KARTON |
||
Wenn DVMRP oder PIM für eine Schnittstelle aktiviert ist, wird der eingehende IGMP- und MLD-Hostdatenverkehr automatisch aktiviert. Da IS-IS OSI-Adressierung verwendet und keinen IP-Datenverkehr generieren sollte, gibt es für das IS-IS-Protokoll keine Option für eingehenden Hostdatenverkehr.
Sie müssen Neighbor Discovery Protocol (NDP) nicht für eingehenden Hostdatenverkehr konfigurieren, da NDP standardmäßig aktiviert ist.
Eine Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption ist set protocol neighbor-discovery onlink-subnet-only command. Diese Option verhindert, dass das Gerät auf eine Neighbor Solicitation (NS) von einem Präfix reagiert, das nicht als eines der Geräteschnittstellenpräfixe enthalten war.
Die Routing-Engine muss nach dem Setzen dieser Option neu gestartet werden, um die Möglichkeit zu entfernen, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.
Beispiel: Steuerung des eingehenden Datenverkehrs auf der Grundlage von Protokollen
In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr für eine Schnittstelle aktiviert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren von Netzwerkschnittstellen. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheitsgeräte der Schnittstelle.
Überblick
Jeder eingehende Hostdatenverkehr, der einem Protokoll entspricht, das unter der Option hosteingehender Datenverkehr aufgeführt ist, ist zulässig. Wenn Sie z. B. an einer beliebigen Stelle in der Konfiguration ein Protokoll einer anderen Portnummer als der Standardportnummer zuordnen, können Sie das Protokoll in der Option Host-eingehender Datenverkehr angeben, und die neue Portnummer wird verwendet.
Der Wert von all gibt an, dass Datenverkehr von allen Protokollen auf den angegebenen Schnittstellen (der Zone oder einer einzelnen angegebenen Schnittstelle) eingehend zugelassen wird.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eingehenden Datenverkehr basierend auf Protokollen:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr basierend auf dem ospf-Protokoll für eine Schnittstelle unterstützt wird.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr basierend auf dem ospf3-Protokoll für eine Schnittstelle unterstützt wird.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die . show security zones security-zone ABC Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Beispiel: Konfigurieren des TCP-Reset-Parameters
In diesem Beispiel wird gezeigt, wie der TCP-Reset-Parameter für eine Zone konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Überblick
Wenn die Funktion TCP-Reset-Parameter aktiviert ist, sendet das System ein TCP-Segment mit gesetztem RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das SYN-Flag nicht festgelegt ist.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den TCP-Reset-Parameter für eine Zone:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie den TCP-Reset-Parameter für die Zone.
[edit security zones security-zone ABC] user@host# set tcp-rst
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl show security zones ein.
Plattformspezifisches Erstellungsverhalten für Sicherheitszonen
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie |
|