Zones de sécurité pour les systèmes locataires
Les zones de sécurité peuvent être configurées avec des systèmes locataires. Pour plus d’informations, consultez les rubriques suivantes :
Présentation des zones pour les systèmes locataires
Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Les zones de sécurité peuvent être configurées sur les systèmes locataires par l’administrateur. Sur un système locataire, l’administrateur peut configurer plusieurs zones de sécurité, en divisant le réseau en segments de réseau auxquels diverses options de sécurité peuvent être appliquées.
L’administrateur principal configure le nombre maximal et réservé de zones de sécurité pour le système locataire. Ensuite, l’administrateur du système locataire peut créer les zones de sécurité dans le système locataire et affecter des interfaces à chaque zone de sécurité. Le nombre de zones configurées dans le système de locataire compte dans le nombre maximal de zones disponibles sur l’appareil. La show system security-profile zones commande permet d’afficher le nombre de zones de sécurité allouées au système locataire et la show interfaces commande d’afficher les interfaces affectées au système locataire.
Vous pouvez configurer les fonctionnalités suivantes dans une zone de sécurité système client :
Interfaces faisant partie d’une zone de sécurité.
Options d’écran : pour chaque zone de sécurité, vous pouvez activer un ensemble d’options d’écran prédéfinies qui détectent et bloquent divers types de trafic que l’appareil considère comme potentiellement dangereux.
TCP-Reset—Lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur RESET défini lorsque le trafic arrive qui ne correspond pas à une session existante et dont l’indicateur de synchronisation n’est pas défini.
Trafic entrant de l’hôte : cette fonctionnalité spécifie les types de trafic qui peuvent atteindre l’équipement à partir de systèmes directement connectés à ses interfaces. Vous pouvez configurer ces paramètres au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone, ou au niveau de l’interface. La configuration de l’interface remplace celle de la zone.
Il n’existe aucune zone de sécurité préconfigurée dans le système de location.
La zone fonctionnelle de gestion (MGT) peut être configurée pour le système locataire. L’interface de gestion allouée au système de locataire est allouée par appareil.
L’administrateur du système client peut configurer et afficher tous les attributs d’une zone de sécurité dans un système client. Tous les attributs de zone de sécurité d’un système client sont également visibles par l’administrateur principal.
Exemple : configuration de zones dans le système locataire
Cet exemple montre comment configurer les zones pour le système de locataires.
Exigences
Avant de commencer la configuration :
Configurez les interfaces créées par l’administrateur principal. Voir Exemple : Configuration d’interfaces et d’instances de routage pour un système client.
Aperçu
Dans cet exemple, vous pouvez configurer des zones pour les systèmes locataires. Les zones de sécurité sont les éléments constitutifs des politiques ; Ce sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Le [edit tenants tenant-name security zones] niveau hiérarchique permet de configurer les zones de sécurité. Cet exemple configure les stratégies et les zones de sécurité décrites dans le tableau 1.
Fonction |
Paramètres de configuration |
|---|---|
Zones 1 |
|
Zone 2 |
|
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set tenants TN1 security zones security-zone trust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone trust interfaces xe-0/0/1.0 set tenants TN1 security zones security-zone untrust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone untrust interfaces xe-0/0/3.0
Procédure étape par étape
L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer les zones de sécurité dans le système client :
Définissez le nom du système de locataire comme TN1.
[edit] user@host# set tenants TN1
Configurez une zone de sécurité en tant qu’approbation qui autorise le trafic provenant de l’approbation de zone et affectez-le à une interface.
[edit tenants TN1 security zones security-zone trust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/1.0
Configurez une zone de sécurité comme non-trust qui autorise le trafic provenant de zone untrust et affectez-le à une interface.
[edit tenants TN1 security zones security-zone untrust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/3.0
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show tenants tenant-name security policies commande et show tenants tenant-name security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show tenants TN1 security zones
security-zone trust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/3.0;
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez la tâche suivante :
Vérification de la configuration de la zone
But
Vérifiez les informations sur les zones de sécurité.
Action
Pour vérifier que la configuration fonctionne correctement, entrez la show security zones tenant all commande à partir du mode opérationnel.
user@host> show security zones tenant all
Tenant: TN1 Security zone: Host Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces: Security zone: abc Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces:xe-0/0/1.0 Security zone: def Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 1 Interfaces:xe-0/0/3.0
Sens
La sortie affiche les informations des zones de sécurité configurées sur le système locataire.