Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zones de sécurité et stratégies de sécurité sur les équipements sécurisés

Comprendre les zones de sécurité de couche 2

Une zone de sécurité de couche 2 est une zone qui héberge des interfaces de couche 2. Une zone de sécurité peut être une zone de couche 2 ou de couche 3 ; il peut héberger toutes les interfaces de couche 2 ou toutes les interfaces de couche 3, mais il ne peut pas contenir un mélange d’interfaces de couche 2 et de couche 3.

Le type de zone de sécurité (couche 2 ou couche 3) est implicitement défini à partir de la première interface configurée pour la zone de sécurité. Les interfaces suivantes configurées pour la même zone de sécurité doivent être du même type que la première interface.

REMARQUE :

Vous ne pouvez pas configurer un appareil avec des zones de sécurité de couche 2 et de couche 3.

Vous pouvez configurer les propriétés suivantes pour les zones de sécurité de couche 2 :

  • Interfaces : liste des interfaces de la zone.

  • Stratégies : stratégies de sécurité actives qui appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer à travers le pare-feu et d’actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu.

  • Écrans : un pare-feu dynamique de Juniper Networks sécurise un réseau en inspectant, puis en autorisant ou en refusant toutes les tentatives de connexion nécessitant le passage d’une zone de sécurité à une autre. Pour chaque zone de sécurité, et la zone MGT, vous pouvez activer un ensemble d’options d’écran prédéfinies qui détectent et bloquent divers types de trafic que l’équipement détermine comme potentiellement dangereux.

    REMARQUE :

    Vous pouvez configurer les mêmes options d’écran pour une zone de sécurité de couche 2 que pour une zone de sécurité de couche 3.

  • Carnets d’adresses : adresses IP et ensembles d’adresses qui composent un carnet d’adresses pour identifier ses membres afin que vous puissiez leur appliquer des stratégies.

  • TCP-RST : lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur de réinitialisation défini à l’arrivée du trafic qui ne correspond pas à une session existante et dont l’indicateur de synchronisation n’est pas défini.

En outre, vous pouvez configurer une zone de couche 2 pour le trafic entrant de l’hôte. Cela vous permet de spécifier les types de trafic qui peuvent atteindre l’appareil à partir de systèmes directement connectés aux interfaces de la zone. Vous devez spécifier tout le trafic entrant de l’hôte attendu, car le trafic entrant des périphériques directement connectés aux interfaces de l’appareil est abandonné par défaut.

Exemple : Configuration des zones de sécurité de couche 2

Cet exemple montre comment configurer des zones de sécurité de couche 2.

Conditions préalables

Avant de commencer, déterminez les propriétés à configurer pour la zone de sécurité de couche 2. Reportez-vous à la section Présentation des zones de sécurité de couche 2.

Présentation

Dans cet exemple, vous configurez la zone de sécurité l2-zone1 pour inclure une interface logique de couche 2 appelée ge-3/0/0.0 et la zone de sécurité l2-zone2 pour inclure une interface logique de couche 2 appelée ge-3/0/1.0. Ensuite, vous configurez l2-zone2 pour autoriser tous les services applicatifs pris en charge (tels que SSH, Telnet et SNMP) en tant que trafic entrant de l’hôte.

Configuration

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.

Pour configurer les zones de sécurité de couche 2 :

  1. Créez une zone de sécurité de couche 2 et attribuez-lui des interfaces.

  2. Configurez l’une des zones de sécurité de couche 2.

  3. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la show security zones commande.

Comprendre les stratégies de sécurité en mode transparent

En mode transparent, les stratégies de sécurité peuvent être configurées uniquement entre les zones de couche 2. Lorsque des paquets sont transférés via le VLAN, les stratégies de sécurité sont appliquées entre les zones de sécurité. Une stratégie de sécurité pour le mode transparent est similaire à une stratégie configurée pour les zones de couche 3, avec les exceptions suivantes :

  • Le NAT n’est pas pris en charge.

  • Le VPN IPsec n’est pas pris en charge.

  • L’application ANY n’est pas prise en charge.

Le transfert de couche 2 n’autorise aucun trafic interzone, sauf si une stratégie est explicitement configurée sur l’appareil. Par défaut, le transfert de couche 2 effectue les actions suivantes :

  • Autorise ou refuse le trafic spécifié par la stratégie configurée.

  • Autorise le protocole ARP (Address Resolution Protocol) et le trafic de diffusion non-multicast IP de couche 2.

  • Continue de bloquer tout le trafic unicast non-IP et non-ARP.

Ce comportement par défaut peut être modifié pour le flux de paquets de commutation Ethernet à l’aide de J-Web ou de l’éditeur de configuration CLI :

  • Configurez l’option pour bloquer tout le trafic non-IP et non-ARP de couche 2, y compris le block-non-ip-all trafic multicast et de diffusion.

  • Configurez l’option permettant d’autoriser tout le trafic non IP de couche 2 à passer par l’appareil bypass-non-ip-unicast .

REMARQUE :

Vous ne pouvez pas configurer les deux options en même temps.

À partir de Junos OS version 12.3X48-D10 et Junos OS version 17.3R1, vous pouvez créer une zone de sécurité distincte en mode mixte (mode par défaut) pour les interfaces de couche 2 et de couche 3. Cependant, il n’y a pas de routage entre les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3. Par conséquent, vous ne pouvez pas configurer de stratégies de sécurité entre les zones de couche 2 et de couche 3. Vous ne pouvez configurer les stratégies de sécurité qu’entre les zones de couche 2 ou entre les zones de couche 3.

Exemple : Configuration des stratégies de sécurité en mode transparent

Cet exemple montre comment configurer des stratégies de sécurité en mode transparent entre les zones de couche 2.

Conditions préalables

Avant de commencer, déterminez le comportement de stratégie à inclure dans la zone de sécurité de couche 2. Reportez-vous à la section Comprendre les stratégies de sécurité en mode transparent.

Présentation

Dans cet exemple, vous configurez une stratégie de sécurité pour autoriser le trafic HTTP du sous-réseau 192.0.2.0/24 dans la zone de sécurité l2-zone1 vers le serveur 192.0.2.1/24 dans la zone de sécurité l2-zone2.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur CLI.

Pour configurer les stratégies de sécurité en mode transparent :

  1. Créez des stratégies et attribuez des adresses aux interfaces des zones.

  2. Définissez des stratégies pour l’application.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification des stratégies de sécurité de couche 2

But

Vérifiez que les stratégies de sécurité de couche 2 sont correctement configurées.

Action

À partir du mode configuration, entrez la show security policies commande.

Comprendre l’authentification des utilisateurs de pare-feu en mode transparent

Un utilisateur de pare-feu est un utilisateur du réseau qui doit fournir un nom d’utilisateur et un mot de passe pour s’authentifier lorsqu’il établit une connexion via le pare-feu. L’authentification des utilisateurs de pare-feu permet aux administrateurs de restreindre et d’autoriser les utilisateurs à accéder aux ressources protégées derrière un pare-feu en fonction de leur adresse IP source et d’autres informations d’identification. Junos OS prend en charge les types suivants d’authentification des utilisateurs de pare-feu pour le mode transparent sur le pare-feu SRX Series :

  • Authentification directe : un hôte ou un utilisateur d’une zone tente d’accéder aux ressources d’une autre zone. Vous devez utiliser un client FTP, Telnet ou HTTP pour accéder à l’adresse IP de la ressource protégée et être authentifié par le pare-feu. L’appareil utilise FTP, Telnet ou HTTP pour collecter des informations de nom d’utilisateur et de mot de passe, et le trafic ultérieur de l’utilisateur ou de l’hôte est autorisé ou refusé en fonction du résultat de cette authentification.

  • Authentification Web : les utilisateurs tentent de se connecter, à l’aide de HTTP, à une adresse IP sur l’interface IRB activée pour l’authentification Web. Vous êtes invité à entrer le nom d’utilisateur et le mot de passe qui sont vérifiés par l’appareil. Le trafic ultérieur de l’utilisateur ou de l’hôte vers la ressource protégée est autorisé ou refusé en fonction du résultat de cette authentification.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
12.3X48-D10
À partir de Junos OS version 12.3X48-D10 et Junos OS version 17.3R1, vous pouvez créer une zone de sécurité distincte en mode mixte (mode par défaut) pour les interfaces de couche 2 et de couche 3.