Stratégies de sécurité pour les systèmes logiques
Les stratégies de sécurité sont utilisées pour sécuriser l’entreprise et contrôler l’accès aux ressources LAN. Un accès sécurisé est requis à la fois au sein de l’entreprise sur le LAN et dans ses interactions avec des réseaux externes tels qu’Internet. Junos OS fournit des fonctionnalités de sécurité réseau puissantes grâce à son pare-feu à états, son pare-feu d’application et son pare-feu d’identité utilisateur. Les trois types de pare-feu sont mis en œuvre par le biais de stratégies de sécurité. Pour plus d’informations, consultez les sujets suivants :
Comprendre les stratégies de sécurité des systèmes logiques
- Stratégies de sécurité dans les systèmes logiques
- Délais d’expiration des applications
- Allocation des stratégies de sécurité
Stratégies de sécurité dans les systèmes logiques
Les stratégies de sécurité appliquent des règles relatives à ce que le trafic peut passer par le pare-feu et aux actions qui doivent avoir lieu sur le trafic au fur et à mesure qu’il passe par le pare-feu. Du point de vue des politiques de sécurité, le trafic pénètre dans une zone de sécurité et sort d’une autre zone de sécurité.
Par défaut, un système logique refuse tout trafic dans toutes les directions, y compris les directions intra-zone et inter-zone. Grâce à la création de stratégies de sécurité, l’administrateur système logique peut contrôler le flux de trafic d’une zone à l’autre en définissant les types de trafic autorisés à passer de sources spécifiées vers des destinations spécifiées.
Les stratégies de sécurité peuvent être configurées dans le système logique principal et dans les systèmes logiques des utilisateurs. La configuration d’une stratégie de sécurité dans un système logique est la même que la configuration d’une stratégie de sécurité sur un équipement qui n’est pas configuré pour les systèmes logiques. Les stratégies de sécurité, les règles de stratégie, les carnets d’adresses, les applications, les ensembles d’applications et les planificateurs créés dans un système logique ne sont applicables qu’à ce système logique. Seules les applications et ensembles d’applications prédéfinis, tels que junos-ftp, peuvent être partagés entre des systèmes logiques.
Dans un système logique, vous ne pouvez pas spécifier global la zone d’un ou l’autre dans une stratégie de sécurité.
L’administrateur système logique utilisateur peut configurer et afficher tous les attributs des stratégies de sécurité dans un système logique utilisateur. Tous les attributs d’une stratégie de sécurité dans un système logique utilisateur sont également visibles par l’administrateur principal.
À partir de la version 18.4R1 de Junos OS, l’utilisateur peut créer une adresse dynamique au sein d’un système logique. Une entrée d’adresse dynamique contient des adresses IP et des préfixes extraits de sources externes. Les stratégies de sécurité utilisent l’adresse dynamique dans le champ source-adresse ou dans le champ adresse de destination.
Une entrée d’adresse dynamique (DAE) est un groupe d’adresses IP pouvant être saisies manuellement ou importées à partir de sources externes dans des systèmes logiques. La fonctionnalité DAE permet d’utiliser des objets IP basés sur des flux dans les stratégies de sécurité pour refuser ou autoriser le trafic en fonction de critères IP source ou de destination.
Le nombre maximal de DAE dépend des adresses dynamiques attribuées aux systèmes logiques. À partir de Junos 18.4R1, la set security dynamic-address feed-server commande peut être configurée sous les systèmes logiques.
Délais d’expiration des applications
La valeur de délai d’expiration d’une application définie pour une application détermine le délai d’expiration de session. Le comportement du délai d’expiration des applications est le même dans un système logique qu’au niveau racine. Toutefois, les administrateurs système logiques des utilisateurs peuvent utiliser des applications prédéfinies dans des stratégies de sécurité, mais ne peuvent pas modifier la valeur de délai d’expiration des applications prédéfinies. En effet, les applications prédéfinies sont partagées par le système logique principal et tous les systèmes logiques de l’utilisateur, de sorte que l’administrateur logique du système utilisateur n’est pas autorisé à modifier son comportement. Les valeurs de délai d’expiration des applications sont stockées dans la base de données d’entrée d’application et dans les tables de timeout basées sur les ports TCP et UDP du système logique correspondant.
Si l’application correspondant au trafic a une valeur de délai d’expiration, cette valeur est utilisée. Dans le cas contraire, la recherche se déroule dans l’ordre suivant jusqu’à ce qu’une valeur de délai d’expiration de l’application soit trouvée :
Le système logique TCP et les tables de délai d’expiration basées sur les ports UDP sont recherchés pour trouver une valeur de délai d’expiration.
La table de délai d’expiration tcp et UDP racine est recherchée pour trouver une valeur de délai d’expiration.
La table de délai d’expiration par défaut basée sur le protocole est recherchée pour trouver une valeur de délai d’expiration.
Allocation des stratégies de sécurité
L’administrateur principal configure le nombre maximal et réservé de stratégies de sécurité pour chaque système logique utilisateur. L’administrateur système logique utilisateur peut ensuite créer des stratégies de sécurité dans le système logique de l’utilisateur. À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser la show system security-profile policy commande pour afficher le nombre de stratégies de sécurité allouées au système logique utilisateur.
L’administrateur principal peut configurer un profil de sécurité pour le système logique principal qui spécifie le nombre maximal et réservé de stratégies de sécurité appliquées au système logique principal. Le nombre de stratégies configurées dans le système logique principal compte dans le nombre maximal de stratégies disponibles sur l’équipement.
Voir aussi
Exemple : configuration des stratégies de sécurité dans un système logique utilisateur
Cet exemple montre comment configurer des stratégies de sécurité pour un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique. Voir la présentation de la configuration des systèmes logiques des utilisateurs.
Utilisez la
show system security-profiles policycommande pour voir les ressources de stratégie de sécurité allouées au système logique.Configurez les zones et les carnets d’adresses. Voir l’exemple : configuration de zones de sécurité pour un système logique utilisateur.
Aperçu
Cet exemple configure le système logique utilisateur ls-product-design illustré dans l’exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple configure les stratégies de sécurité décrites dans le tableau 1.
Nom |
Paramètres de configuration |
|---|---|
permis tout-à-d’autreslsys |
Autorisez le trafic suivant :
|
permit-all-from-otherlsysys |
Autorisez le trafic suivant :
|
Topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer des stratégies de sécurité dans un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez une stratégie de sécurité qui autorise le trafic de la zone de confiance ls-product-design-un trust à la zone ls-product-design-untrust.
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-product-design-untrust à la zone de confiance ls-product-design-trust.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration des stratégies
But
Vérifiez les informations sur les stratégies et les règles.
Action
Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un récapitulatif de toutes les stratégies configurées sur le système logique.
Configuration d’adresse dynamique pour les systèmes logiques
Une entrée d’adresse dynamique dans les systèmes logiques fournit des informations d’adresse IP dynamiques aux stratégies de sécurité. Pour utiliser l’adresse dynamique, vous devez spécifier les informations de base de l’adresse dynamique, y compris les noms, les flux et les propriétés d’un système logique.
Lisez l’exemple : Configurer les stratégies de sécurité dans un système logique utilisateur pour comprendre comment et où cette procédure convient pour configurer la stratégie de sécurité.
Pour configurer une adresse dynamique dans des réseaux IPv4 dans un système logique :
Pour configurer les stratégies de sécurité dans le système logique :
Définissez le nom du système logique LSYS1.
[edit] user@host# set logical-systems LSYS1
Créez une stratégie de sécurité p1 qui autorise le trafic de zone d’approbation à zone de non-confiance et configurez la condition de correspondance.
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
Confirmez votre configuration en entrant la
show logical-systems LSYS1 security policiescommande.[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }