Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zones de sécurité et stratégies de sécurité sur les équipements de sécurité

Comprendre les zones de sécurité de couche 2

Une sécurité de couche 2 est une zone qui héberge des interfaces de couche 2. Une zone de sécurité peut être une zone de couche 2 ou 3 ; il peut héberger toutes les interfaces de couche 2 ou toutes les interfaces de couche 3, mais il ne peut pas contenir une combinaison d’interfaces de couche 2 et de couche 3.

Le type de zone de sécurité (couche 2 ou couche 3) est implicitement configuré à partir de la première interface configurée pour la zone de sécurité. Les interfaces suivantes configurées pour la même zone de sécurité doivent être du même type que la première interface.

Remarque :

Vous ne pouvez pas configurer un équipement avec des zones de sécurité de couche 2 et 3.

Vous pouvez configurer les propriétés suivantes pour sécurité de couche 2 zones:

  • Interfaces: liste des interfaces dans la zone.

  • Stratégies: stratégies de sécurité actives qui appliquent des règles pour le trafic de transit, en termes de ce que le trafic peut passer par le pare-feu et des actions qui doivent avoir lieu sur le trafic à mesure qu’il passe par le pare-feu.

  • Écrans: un pare-feu Juniper Networks sécurisé un réseau en inspectant et en refusant toutes les tentatives de connexion nécessitant un passage d’une zone de sécurité à une autre. Pour chaque zone de sécurité et la zone MGT, vous pouvez activer un ensemble d’options d’écran prédéfines qui détectent et bloquent divers types de trafic que l’équipement détermine comme potentiellement dangereux.

    Remarque :

    Vous pouvez configurer les mêmes options d’écran pour une zone de sécurité sécurité de couche 2 que pour une zone de sécurité de couche 3.

  • Carnets d’adresses: adresses IP et jeux d’adresses qui créent un carnet d’adresses permettant d’identifier les membres afin d’y appliquer des stratégies.

  • TCP-RST: lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur de réinitialisation lorsque le trafic arrive et ne correspond pas à une session existante et ne dispose pas de l’ensemble de indicateur synchronisé.

En outre, vous pouvez configurer une zone de couche 2 pour le trafic entrant de l’hôte. Cela vous permet de spécifier le type de trafic qui peut atteindre l’équipement à partir de systèmes directement connectés aux interfaces de la zone. Vous devez spécifier tout le trafic entrant hôte attendu car le trafic entrant provenant d’équipements connectés directement aux interfaces de l’équipement est supprimé par défaut.

Exemple: Configuration des zones de sécurité de couche 2

Cet exemple montre comment configurer sécurité de couche 2 zones d’accès.

Conditions préalables

Avant de commencer, déterminez les propriétés que vous souhaitez configurer pour la zone sécurité de couche 2 temps de travail. Découvrez les zones de sécurité de couche 2.

Présentation

Dans cet exemple, vous configurez la zone de sécurité l2-zone1 pour inclure une interface logique de couche 2 appelée ge-3/0/0.0 et une zone de sécurité l2-zone2 afin d’inclure une interface logique de couche 2 appelée ge-3/0/1.0. Vous configurez ensuite la zone 2 afin d’autoriser tous les services d’applications pris en charge (comme SSH, Telnet et SNMP) en tant que trafic entrant par l’hôte.

Configuration

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer sécurité de couche 2 zones:

  1. Créez une sécurité de couche 2 et attribuez des interfaces à cette zone.

  2. Configurez l’une sécurité de couche 2 zones d’ombre.

  3. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show security zones commande.

Comprendre les stratégies de sécurité en mode transparent

En mode transparent, les stratégies de sécurité peuvent être configurées uniquement entre les zones de couche 2. Lorsque les paquets sont transmis via le VLAN, les stratégies de sécurité sont appliquées entre les zones de sécurité. Une stratégie de sécurité en mode transparent s’apparente à une stratégie configurée pour les zones de couche 3, avec les exceptions suivantes:

  • NAT n’est pas pris en charge.

  • Le VPN IPsec n’est pas pris en charge.

  • L’utilisation des applications ANY n’est pas prise en charge.

Le forwarding de couche 2 n’autorise aucun trafic interzone à moins qu’une stratégie ne soit expressément configurée sur l’équipement. Par défaut, le forwarding de couche 2 effectue les actions suivantes:

  • Permet ou refuse le trafic spécifié par la stratégie configurée.

  • Autorise le protocole ARP (Address Resolution Protocol) et le trafic de diffusion et multicast non IP de couche 2.

  • Continue de bloquer tout le trafic unicast non IP et non ARP.

Ce comportement par défaut peut être modifié pour le flux de paquets de commutation Ethernet en utilisant J-Web ou l’éditeur CLI configuration réseau:

  • Configurez l’option pour bloquer tout le trafic de couche 2 non-IP et non ARP, y compris le multicast et le trafic block-non-ip-all de diffusion.

  • Configurez l’option pour permettre à tout le trafic non IP de couche 2 de bypass-non-ip-unicast passer par l’équipement.

Remarque :

Vous ne pouvez pas configurer ces deux options en même temps.

Depuis Junos OS Release 12.3X48-D10 et Junos OS Release 17.3R1, vous pouvez créer une zone de sécurité distincte en mode mixte (mode par défaut) pour les interfaces de couche 2 et 3. Toutefois, il n’y a aucun routage parmi les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3. Par conséquent, vous ne pouvez pas configurer des stratégies de sécurité entre les zones de couche 2 et de couche 3. Vous pouvez uniquement configurer des stratégies de sécurité entre les zones de couche 2 ou entre les zones de couche 3.

Exemple: Configuration transparente des stratégies de sécurité

Cet exemple montre comment configurer des stratégies de sécurité en mode transparent entre les zones de couche 2.

Conditions préalables

Avant de commencer, déterminez le comportement de la stratégie que vous souhaitez inclure dans sécurité de couche 2 zone. Découvrez la compréhension des stratégies de sécurité en mode transparent.

Présentation

Dans cet exemple, vous configurez une stratégie de sécurité afin d’autoriser le trafic HTTP à partir du sous-réseau 192.0.2.0/24 de la zone de sécurité l2–zone1 au serveur à 192.0.2.1/24 dans la zone de sécurité l2–zone 2.

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la manière de vous y rendre, consultez le manuel Using the CLI Editor in Configuration Mode dans le CLI User Guide.

Pour configurer les stratégies de sécurité en mode transparent:

  1. Créez des stratégies et attribuez des adresses aux interfaces des zones.

  2. Définissez des stratégies pour l’application.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérification des politiques de sécurité de couche 2

But

Vérifiez que les stratégies sécurité de couche 2 sont configurées correctement.

Action

À partir du mode de configuration, saisissez la show security policies commande.

Compréhension de l’authentification des utilisateurs du pare-feu en mode transparent

Un utilisateur d’un pare-feu est un utilisateur réseau qui doit fournir un nom d’utilisateur et un mot de passe pour l’authentification lors de l’initier à une connexion sur l’ensemble du pare-feu. L’authentification des utilisateurs du pare-feu permet aux administrateurs de limiter et de autoriser les utilisateurs à accéder aux ressources protégées derrière un pare-feu en fonction de leur adresse IP source et d’autres informations d’identification. Junos OS prend en charge les types d’authentification utilisateur par pare-feu suivants en mode transparent sur l SRX Series de l’équipement:

  • Authentification par passage: un hôte ou un utilisateur d’une zone tente d’accéder aux ressources sur une autre zone. Vous devez utiliser un client FTP, Telnet ou HTTP pour accéder à l’adresse IP de la ressource protégée et être authentifié par le pare-feu. L’équipement utilise FTP, Telnet ou HTTP pour collecter des informations de nom d’utilisateur et de mot de passe, et le trafic provenant de l’utilisateur ou de l’hôte est autorisé ou refusé en fonction du résultat de cette authentification.

  • Authentification Web: les utilisateurs essaient de se connecter, en utilisant HTTP, à une adresse IP sur l’interface IRB activée pour l’authentification Web. Vous êtes invité à obtenir le nom d’utilisateur et le mot de passe vérifiés par l’équipement. Le trafic suivant, de l’utilisateur ou de l’hôte, vers la ressource protégée est autorisé ou refusé selon le résultat de cette authentification.

Tableau de l'historique des versions
Version
Description
12.3X48-D10
Depuis Junos OS Release 12.3X48-D10 et Junos OS Release 17.3R1, vous pouvez créer une zone de sécurité distincte en mode mixte (mode par défaut) pour les interfaces de couche 2 et 3.