AUF DIESER SEITE
Grundlegendes zur Steuerung des eingehenden Datenverkehrs basierend auf Datenverkehrstypen
Beispiel: Steuern des eingehenden Datenverkehrs basierend auf Datenverkehrstypen
Verstehen, wie man eingehenden Datenverkehr auf der Grundlage von Protokollen steuert
Beispiel: Steuerung des eingehenden Datenverkehrs auf der Grundlage von Protokollen
Sicherheitszonen
Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, die die Regulierung des ein- und ausgehenden Datenverkehrs durch Richtlinien erfordern. Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sie können mehrere Sicherheitszonen definieren, deren genaue Anzahl Sie basierend auf Ihren Netzwerkanforderungen festlegen.
Übersicht über Sicherheitszonen
Schnittstellen fungieren als Tür, durch die der Datenverkehr in ein Gerät von Juniper Networks ein- und ausgeht. Viele Schnittstellen können exakt die gleichen Sicherheitsanforderungen haben. Unterschiedliche Schnittstellen können jedoch auch unterschiedliche Sicherheitsanforderungen an ein- und ausgehende Datenpakete haben. Schnittstellen mit identischen Sicherheitsanforderungen können zu einer einzigen Sicherheitszone zusammengefasst werden.
Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, die die Regulierung des ein- und ausgehenden Datenverkehrs durch Richtlinien erfordern.
Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Bei vielen Gerätetypen von Juniper Networks können Sie mehrere Sicherheitszonen definieren, deren genaue Anzahl Sie basierend auf Ihren Netzwerkanforderungen festlegen.
Auf einem einzelnen Gerät können Sie mehrere Sicherheitszonen konfigurieren und das Netzwerk in Segmente unterteilen, auf die Sie verschiedene Sicherheitsoptionen anwenden können, um die Anforderungen der einzelnen Segmente zu erfüllen. Sie müssen mindestens zwei Sicherheitszonen definieren, um im Wesentlichen einen Bereich des Netzwerks vor dem anderen zu schützen. Auf einigen Sicherheitsplattformen können Sie viele Sicherheitszonen definieren, um Ihr Netzwerksicherheitsdesign feingranularer zu gestalten – ohne dafür mehrere Sicherheits-Appliances bereitstellen zu müssen.
Aus Sicht der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und in eine andere Sicherheitszone hinaus. Diese Kombination aus a from-zone und a to-zone wird als Kontext definiert. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Weitere Informationen zu Richtlinien finden Sie unter Übersicht über Sicherheitsrichtlinien.
Dieses Thema umfasst die folgenden Abschnitte:
- Grundlegendes zu Sicherheitszonenschnittstellen
- Grundlegendes zu Funktionszonen
- Grundlegendes zu Sicherheitszonen
Grundlegendes zu Sicherheitszonenschnittstellen
Eine Schnittstelle für eine Sicherheitszone kann als ein Tor betrachtet werden, durch das TCP/IP-Datenverkehr zwischen dieser Zone und einer beliebigen anderen Zone übertragen werden kann.
Durch die von Ihnen definierten Richtlinien können Sie zulassen, dass der Datenverkehr zwischen Zonen in eine Richtung oder in beide Richtungen fließt. Mit den Routen, die Sie definieren, geben Sie die Schnittstellen an, die für den Datenverkehr von einer Zone in eine andere verwendet werden muss. Da Sie mehrere Schnittstellen an eine Zone binden können, sind die Routen, die Sie grafisch darstellen, wichtig, um den Datenverkehr an die Schnittstellen Ihrer Wahl zu leiten.
Eine Schnittstelle kann mit einer IPv4-Adresse, einer IPv6-Adresse oder beidem konfiguriert werden.
Grundlegendes zu Funktionszonen
Eine Funktionszone wird für spezielle Zwecke, wie z. B. Verwaltungsschnittstellen, verwendet. Derzeit wird nur die Verwaltungszone (MGT) unterstützt. Verwaltungszonen weisen die folgenden Eigenschaften auf:
Verwaltungszonen hosten Verwaltungsschnittstellen.
Der Datenverkehr, der in Verwaltungszonen eindringt, stimmt nicht mit den Richtlinien überein. Daher kann der Datenverkehr nicht von einer anderen Schnittstelle geleitet werden, wenn er in der Verwaltungsschnittstelle empfangen wurde.
Verwaltungszonen können nur für dedizierte Verwaltungsschnittstellen verwendet werden.
Grundlegendes zu Sicherheitszonen
Sicherheitszonen sind die Bausteine für Richtlinien. Sie sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sicherheitszonen bieten eine Möglichkeit, Gruppen von Hosts (Benutzersysteme und andere Hosts, z. B. Server) und deren Ressourcen voneinander zu unterscheiden, um unterschiedliche Sicherheitsmaßnahmen auf sie anzuwenden.
Sicherheitszonen weisen die folgenden Eigenschaften auf:
Richtlinien: Aktive Sicherheitsrichtlinien, die Regeln für den Transitdatenverkehr durchsetzen, d. h. welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.
Bildschirme: Eine Stateful-Firewall von Juniper Networks sichert ein Netzwerk, indem sie alle Verbindungsversuche, die den Übergang von einer Sicherheitszone in eine andere erfordern, überprüft und anschließend zulässt oder verweigert. Für jede Sicherheitszone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, die das Gerät als potenziell schädlich einstuft. Weitere Informationen finden Sie unter Übersicht über die Abschreckung von Aufklärung.
Adressbücher: IP-Adressen und Adresssätze, aus denen ein Adressbuch besteht, um seine Mitglieder zu identifizieren, damit Sie Richtlinien auf sie anwenden können. Adressbucheinträge können eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen und DNS-Namen (Domain Name System) enthalten. Weitere Informationen finden Sie unter Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.
TCP-RST - Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem gesetzten RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das SYNchronize-Flag nicht gesetzt ist.
Schnittstellen: Liste der Schnittstellen in der Zone.
Sicherheitszonen verfügen über die folgende vorkonfigurierte Zone:
Vertrauenszone: Nur in der Werkskonfiguration verfügbar und wird für die Erstverbindung mit dem Gerät verwendet. Nachdem Sie eine Konfiguration festgeschrieben haben, kann die Vertrauenszone überschrieben werden.
Beispiel: Erstellen von Sicherheitszonen
In diesem Beispiel wird gezeigt, wie Zonen konfiguriert und ihnen Schnittstellen zugewiesen werden. Wenn Sie eine Sicherheitszone konfigurieren, können Sie viele ihrer Parameter gleichzeitig angeben.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Übersicht
Eine Schnittstelle für eine Sicherheitszone kann als ein Tor betrachtet werden, durch das TCP/IP-Datenverkehr zwischen dieser Zone und einer beliebigen anderen Zone übertragen werden kann.
Standardmäßig befinden sich Schnittstellen in der NULL-Zone. Die Schnittstellen leiten den Datenverkehr erst weiter, wenn sie einer Zone zugewiesen wurden.
Sie können 2000 Schnittstellen innerhalb einer Sicherheitszone auf SRX3400-, SRX3600-, SRX4600-, SRX5400-, SRX5600- oder SRX5800-Geräten konfigurieren, abhängig von der Junos OS-Version in Ihrer Installation.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So erstellen Sie Zonen und weisen ihnen Schnittstellen zu:
Konfigurieren Sie eine Ethernet-Schnittstelle, und weisen Sie ihr eine IPv4-Adresse zu.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Konfigurieren Sie eine Ethernet-Schnittstelle, und weisen Sie ihr eine IPv6-Adresse zu.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Konfigurieren Sie eine Sicherheitszone und weisen Sie sie einer Ethernet-Schnittstelle zu.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones security-zone ABC Befehle und show interfaces ge-0/0/1 eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Der Kürze halber enthält diese show Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Unterstützte Systemdienste für eingehenden Hostdatenverkehr
In diesem Thema werden die unterstützten Systemdienste für eingehenden Hostdatenverkehr in der angegebenen Zone oder Schnittstelle beschrieben.
Angenommen, ein Benutzer, dessen System mit der Schnittstelle 203.0.113.4 in der Zone ABC verbunden war, möchte eine Telnet-Verbindung in die Schnittstelle 198.51.100.4 in der Zone ABC. Damit diese Aktion zugelassen wird, muss die Telnet-Anwendung auf beiden Schnittstellen als zulässiger eingehender Dienst konfiguriert sein, und eine Richtlinie muss die Datenverkehrsübertragung zulassen.
Im Abschnitt Optionen unter system-services (Security Zones Host Inbound Traffic) finden Sie Informationen zu den Systemservices, die für eingehenden Host-Datenverkehr verwendet werden können.
Bei Firewalls der SRX-Serie ist das xnm-clear-text Feld in der werkseitigen Standardkonfiguration aktiviert. Mit dieser Einstellung wird eingehender Datenverkehr des Junos XML-Protokolls in der Vertrauenszone für das Gerät aktiviert, wenn das Gerät mit den werkseitigen Standardeinstellungen betrieben wird. Es wird empfohlen, die werkseitigen Standardeinstellungen durch eine benutzerdefinierte Konfiguration zu ersetzen, die nach der Konfiguration der Box zusätzliche Sicherheit bietet. Sie müssen das xnm-clear-text Feld manuell mit dem CLI-Befehl delete system services xnm-clear-textlöschen.
Im Abschnitt Optionen unter Protokolle (Sicherheitszonenschnittstellen) finden Sie Informationen zu den unterstützten Protokollen, die für eingehenden Hostdatenverkehr verwendet werden können.
Alle Dienste (außer DHCP und BOOTP) können entweder pro Zone oder pro Schnittstelle konfiguriert werden. Ein DHCP-Server wird nur pro Schnittstelle konfiguriert, da die eingehende Schnittstelle dem Server bekannt sein muss, um DHCP-Antworten senden zu können.
Sie müssen das Neighbor Discovery Protocol (NDP) für eingehenden Datenverkehr des Hosts nicht konfigurieren, da der NDP standardmäßig aktiviert ist.
Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption ist set protocol neighbor-discovery onlink-subnet-only command. Diese Option verhindert, dass das Gerät auf eine Neighbor Solicitation (NS) von einem Präfix antwortet, das nicht als eines der Präfixe der Geräteschnittstelle enthalten war.
Die Routing-Engine muss nach dem Setzen dieser Option neu gestartet werden, um die Möglichkeit auszuschließen, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.
Grundlegendes zur Steuerung des eingehenden Datenverkehrs basierend auf Datenverkehrstypen
In diesem Thema wird beschrieben, wie Zonen konfiguriert werden, um die Arten von Datenverkehr anzugeben, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind.
Beachten Sie Folgendes:
Sie können diese Parameter auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. (Die Schnittstellenkonfiguration überschreibt die der Zone.)
Sie müssen den gesamten erwarteten eingehenden Datenverkehr des Hosts aktivieren. Eingehender Datenverkehr, der für dieses Gerät bestimmt ist, wird standardmäßig verworfen.
Sie können die Schnittstellen einer Zone auch so konfigurieren, dass sie von dynamischen Routing-Protokollen verwendet werden können.
Mit dieser Funktion können Sie das Gerät vor Angriffen schützen, die von Systemen ausgehen, die direkt oder indirekt mit einer seiner Schnittstellen verbunden sind. Außerdem können Sie das Gerät selektiv konfigurieren, sodass Administratoren es mit bestimmten Anwendungen auf bestimmten Schnittstellen verwalten können. Sie können die Verwendung anderer Anwendungen auf derselben oder unterschiedlichen Schnittstellen einer Zone verbieten. Wahrscheinlich möchten Sie z. B. sicherstellen, dass Außenstehende nicht die Telnet-Anwendung aus dem Internet verwenden, um sich bei dem Gerät anzumelden, da Sie nicht möchten, dass sie eine Verbindung zu Ihrem System herstellen.
Beispiel: Steuern des eingehenden Datenverkehrs basierend auf Datenverkehrstypen
In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr basierend auf Datenverkehrstypen konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Verstehen der Arten des eingehenden Datenverkehrs. Weitere Informationen finden Sie unter Grundlegendes zur Steuerung des eingehenden Datenverkehrs basierend auf Datenverkehrstypen.
Übersicht
Indem Sie die Ausführung von Systemdiensten zulassen, können Sie Zonen konfigurieren, um verschiedene Arten von Datenverkehr anzugeben, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind. Sie können die verschiedenen Systemdienste auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. (Die Schnittstellenkonfiguration überschreibt die der Zone.)
Sie müssen den gesamten erwarteten eingehenden Datenverkehr des Hosts aktivieren. Eingehender Datenverkehr von Geräten, die direkt mit den Schnittstellen des Geräts verbunden sind, wird standardmäßig verworfen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie eingehenden Datenverkehr basierend auf Datenverkehrstypen:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr für alle Systemdienste unterstützt wird.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Konfigurieren Sie die Telnet-, FTP- und SNMP-Systemdienste auf Schnittstellenebene (nicht auf Zonenebene) für die erste Schnittstelle.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr für alle Systemdienste für eine zweite Schnittstelle unterstützt wird.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Schließen Sie die FTP- und HTTP-Systemdienste von der zweiten Schnittstelle aus.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die . show security zones security-zone ABC Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verstehen, wie man eingehenden Datenverkehr auf der Grundlage von Protokollen steuert
In diesem Thema werden die eingehenden Systemprotokolle in der angegebenen Zone oder Schnittstelle beschrieben.
Jeglicher eingehender Hostdatenverkehr, der einem Protokoll entspricht, das unter der Option für eingehenden Hostdatenverkehr aufgeführt ist, ist zulässig. Wenn Sie z. B. an einer beliebigen Stelle in der Konfiguration ein Protokoll einer anderen Portnummer als der Standardportnummer zuordnen, können Sie das Protokoll in der Option für eingehenden Datenverkehr hosten, und die neue Portnummer wird verwendet. Tabelle 1 listet die unterstützten Protokolle auf. Der Wert von all gibt an, dass Datenverkehr von allen der folgenden Protokolle an den angegebenen Schnittstellen (der Zone oder einer einzelnen angegebenen Schnittstelle) eingehend zulässig ist.
Unterstützte Systemdienste |
|||
|---|---|---|---|
Alle |
Igmp |
Pim |
Sap |
Bfd |
Ldp |
Rip |
VRRP |
Bgp |
MSDP |
RIPNG |
NHRP |
router-erkennung |
DVMRP |
Ospf |
Rsvp |
Pgm |
OSPF3 |
||
Wenn DVMRP oder PIM für eine Schnittstelle aktiviert ist, wird eingehender IGMP- und MLD-Host-Datenverkehr automatisch aktiviert. Da IS-IS die OSI-Adressierung verwendet und keinen IP-Datenverkehr generieren sollte, gibt es für das IS-IS-Protokoll keine Option für eingehenden Host-Datenverkehr.
Sie müssen das Neighbor Discovery Protocol (NDP) für eingehenden Datenverkehr des Hosts nicht konfigurieren, da der NDP standardmäßig aktiviert ist.
Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption ist set protocol neighbor-discovery onlink-subnet-only command. Diese Option verhindert, dass das Gerät auf eine Neighbor Solicitation (NS) von einem Präfix antwortet, das nicht als eines der Präfixe der Geräteschnittstelle enthalten war.
Die Routing-Engine muss nach dem Setzen dieser Option neu gestartet werden, um die Möglichkeit auszuschließen, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.
Beispiel: Steuerung des eingehenden Datenverkehrs auf der Grundlage von Protokollen
In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr für eine Schnittstelle aktiviert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Übersicht
Jeglicher eingehender Hostdatenverkehr, der einem Protokoll entspricht, das unter der Option für eingehenden Hostdatenverkehr aufgeführt ist, ist zulässig. Wenn Sie z. B. irgendwo in der Konfiguration ein Protokoll einer anderen Portnummer als der Standardportnummer zuordnen, können Sie das Protokoll in der Option für eingehenden Datenverkehr hosten, und die neue Portnummer wird verwendet.
Der Wert von all gibt an, dass eingehender Datenverkehr von allen Protokollen auf den angegebenen Schnittstellen (der Zone oder einer einzelnen angegebenen Schnittstelle) eingehend zulässig ist.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie eingehenden Datenverkehr auf der Grundlage von Protokollen:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr basierend auf dem ospf-Protokoll für eine Schnittstelle unterstützt wird.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr basierend auf dem ospf3-Protokoll für eine Schnittstelle unterstützt wird.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die . show security zones security-zone ABC Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Beispiel: Konfigurieren des TCP-Reset-Parameters
In diesem Beispiel wird gezeigt, wie der TCP-Reset-Parameter für eine Zone konfiguriert wird.
Anforderungen
Bevor Sie beginnen, konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Übersicht
Wenn die TCP-Reset-Parameterfunktion aktiviert ist, sendet das System ein TCP-Segment mit gesetztem RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das SYN-Flag nicht gesetzt ist.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .
So konfigurieren Sie den TCP-Reset-Parameter für eine Zone:
Konfigurieren Sie eine Sicherheitszone.
[edit] user@host# edit security zones security-zone ABC
Konfigurieren Sie den TCP-Reset-Parameter für die Zone.
[edit security zones security-zone ABC] user@host# set tcp-rst
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security zones Befehl ein.