Carnets d’adresses et ensembles d’adresses
Un carnet d’adresses est un ensemble d’adresses et d’ensembles d’adresses. Les carnets d’adresses sont comme des composants ou des blocs de construction, qui sont référencés dans d’autres configurations telles que les stratégies de sécurité et les zones de sécurité. Vous pouvez ajouter des adresses aux carnets d’adresses ou utiliser les adresses prédéfinies disponibles pour chaque carnet d’adresses par défaut
Un carnet d’adresses au sein d’une zone peut être constitué d’adresses individuelles ou d’ensembles d’adresses. Un jeu d’adresses est un ensemble d’une ou plusieurs adresses définies dans un carnet d’adresses. À l’aide des jeux d’adresses, vous pouvez organiser les adresses en groupes logiques. Les jeux d’adresses sont utiles lorsque vous devez faire référence à un groupe d’adresses plusieurs fois dans une stratégie de sécurité, dans une zone de sécurité ou dans une configuration NAT.
Comprendre les carnets d’adresses
Un carnet d’adresses est un ensemble d’adresses et d’ensembles d’adresses. Junos OS vous permet de configurer plusieurs carnets d’adresses. Vous pouvez ajouter des adresses aux carnets d’adresses ou utiliser les adresses prédéfinies disponibles pour chaque carnet d’adresses par défaut.
Les entrées du carnet d’adresses incluent les adresses des hôtes et des sous-réseaux dont le trafic est autorisé, bloqué, chiffré ou authentifié par l’utilisateur. Il peut s’agir de n’importe quelle combinaison d’adresses IPv4, d’adresses IPv6, d’adresses génériques ou de noms DNS (Domain Name System).
- Adresses prédéfinies
- Préfixes réseau dans les carnets d’adresses
- Adresses génériques dans les carnets d’adresses
- Noms DNS dans les carnets d’adresses
Adresses prédéfinies
Vous pouvez créer des adresses ou utiliser l’une des adresses prédéfinies suivantes, disponibles par défaut :
Any: cette adresse correspond à n’importe quelle adresse IP. Lorsque cette adresse est utilisée comme adresse source ou de destination dans une configuration de stratégie, elle correspond à l’adresse source et à l’adresse de destination de n’importe quel paquet.Any-ipv4: cette adresse correspond à n’importe quelle adresse IPv4.Any-ipv6: cette adresse correspond à n’importe quelle adresse IPv6.
Préfixes réseau dans les carnets d’adresses
Vous pouvez spécifier des adresses en tant que préfixes réseau au format préfixe/longueur. Par exemple, 203.0.113.0/24 est une adresse de carnet d’adresses acceptable, car elle se traduit par un préfixe réseau. Toutefois, 203.0.113.4/24 n’est pas acceptable pour un carnet d’adresses, car il dépasse la longueur du sous-réseau de 24 bits. Tout ce qui se trouve au-delà de la longueur du sous-réseau doit être saisi sous la valeur 0 (zéro). Dans des scénarios particuliers, vous pouvez entrer un nom d’hôte, car il peut utiliser toute la longueur de l’adresse 32 bits.
Un préfixe d’adresse IPv6 est une combinaison d’un préfixe IPv6 (adresse) et d’une longueur de préfixe. Le préfixe prend la forme ipv6-prefix/prefix-length et représente un bloc d’espace d’adressage (ou un réseau). La variable de préfixe ipv6 suit les règles générales d’adressage IPv6. La variable /prefix-length est une valeur décimale qui indique le nombre de bits contigus d’ordre supérieur de l’adresse qui composent la partie réseau de l’adresse. Par exemple, 2001 :db8 ::/32 est un préfixe IPv6 possible. Pour plus d’informations sur la représentation textuelle des adresses IPv6 et des préfixes d’adresse, consultez RFC 4291, IP Version 6 Addressing Architecture.
Adresses génériques dans les carnets d’adresses
Outre les adresses IP et les noms de domaine, vous pouvez spécifier une adresse générique dans un carnet d’adresses. Une adresse générique est représentée sous la forme A.B.C.D/wildcard-mask. Le masque générique détermine lesquels des bits de l’adresse IP A.B.C.D doivent être ignorés. Par exemple, l’adresse IP source 192.168.0.11/255.255.0.255 dans une stratégie de sécurité implique que les critères de correspondance de la politique de sécurité peuvent ignorer le troisième octet de l’adresse IP (représenté symboliquement par 192.168.*.11). Par conséquent, les paquets avec des adresses IP sources telles que 192.168.1.11 et 192.168.22.11 sont conformes aux critères de correspondance. Cependant, les paquets avec des adresses IP sources telles que 192.168.0.1 et 192.168.1.21 ne répondent pas aux critères de correspondance.
L’utilisation des adresses génériques n’est pas limitée aux octets entiers. Vous pouvez configurer n’importe quelle adresse générique. Par exemple, l’adresse générique 192.168.7.1/255.255.7.255 implique que vous devez ignorer uniquement les 5 premiers bits du troisième octet de l’adresse générique lors de la correspondance de stratégie. Si l’utilisation de l’adresse générique est limitée aux octets entiers uniquement, les masques génériques avec 0 ou 255 dans chacun des quatre octets uniquement seront autorisés.
Noms DNS dans les carnets d’adresses
Par défaut, vous pouvez résoudre les adresses IPv4 et IPv6 pour un DNS. Si des adresses IPv4 ou IPv6 sont désignées, vous pouvez résoudre uniquement ces adresses à l’aide des mots-clés ipv4-only et ipv6-only, respectivement.
Tenez compte des éléments suivants lorsque vous configurez l’adresse source pour DNS :
-
Une seule adresse source peut être configurée comme adresse source pour chaque nom de serveur DNS.
-
Les adresses source IPv6 sont prises en charge pour les serveurs DNS IPv6, et seules les adresses IPv4 sont prises en charge pour les serveurs IPv4. Vous ne pouvez pas configurer une adresse IPv4 pour un serveur DNS IPv6 ou une adresse IPv6 pour un serveur DNS IPv4.
Pour que tout le trafic de gestion provienne d’une adresse source spécifique, configurez le serveur de noms système et l’adresse source. Par exemple:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
Avant de pouvoir utiliser des noms de domaine pour les entrées d’adresses, vous devez configurer le périphérique de sécurité pour les services DNS. Pour plus d’informations sur le DNS, consultez Présentation du DNS.
Comprendre les carnets d’adresses globaux
Un carnet d’adresses dit « global » est toujours présent sur votre système. Comme les autres carnets d’adresses, le carnet d’adresses global peut inclure n’importe quelle combinaison d’adresses IPv4, d’adresses IPv6, d’adresses génériques ou de noms DNS (Domain Name System).
Vous pouvez créer des adresses dans le carnet d’adresses global ou utiliser les adresses prédéfinies (any, any-ipv4 et any-ipv6). Toutefois, pour utiliser les adresses du carnet d’adresses global, vous n’avez pas besoin d’y attacher les zones de sécurité. Le carnet d’adresses global est disponible pour toutes les zones de sécurité auxquelles aucun carnet d’adresses n’est rattaché.
Les carnets d’adresses globaux sont utilisés dans les cas suivants :
Configurations NAT : les règles NAT ne peuvent utiliser des objets d’adresse que du carnet d’adresses global. Ils ne peuvent pas utiliser les adresses des carnets d’adresses par zone.
Stratégies globales : les adresses utilisées dans une stratégie globale doivent être définies dans le carnet d’adresses global. Les objets du carnet d’adresses global n’appartiennent à aucune zone particulière.
Comprendre les ensembles d’adresses
Un carnet d’adresses peut contenir un grand nombre d’adresses et devenir difficile à gérer. Vous pouvez créer des groupes d’adresses appelés ensembles d’adresses pour gérer des carnets d’adresses volumineux. À l’aide des jeux d’adresses, vous pouvez organiser les adresses en groupes logiques et les utiliser pour configurer facilement d’autres fonctionnalités, telles que les stratégies et les règles NAT.
Le jeu d’adresses prédéfini, any, qui contient les deux any-ipv4 adresses et any-ipv6 , est automatiquement créé pour chaque zone de sécurité.
Vous pouvez créer des ensembles d’adresses avec des utilisateurs existants ou créer des ensembles d’adresses vides et les remplir ultérieurement avec des utilisateurs. Lorsque vous créez des ensembles d’adresses, vous pouvez combiner des adresses IPv4 et IPv6, mais les adresses doivent se trouver dans la même zone de sécurité.
Vous pouvez également créer un jeu d’adresses à l’intérieur d’un ensemble d’adresses. Cela vous permet d’appliquer les stratégies plus efficacement. Par exemple, si vous souhaitez appliquer une stratégie à deux ensembles d’adresses et set2que , au lieu d’utiliser deux instructions, vous pouvez utiliser une seule instruction pour appliquer la stratégie à un nouvel ensemble d’adressesset1, set3, qui inclut les jeux set1 d’adresses et set2.
Lorsque vous ajoutez des adresses à des stratégies, le même sous-ensemble d’adresses peut parfois être présent dans plusieurs stratégies, ce qui rend difficile la gestion de la manière dont les stratégies affectent chaque entrée d’adresse. Référencez une entrée de jeu d’adresses dans une stratégie, telle qu’une entrée de carnet d’adresses individuelle, pour vous permettre de gérer un petit nombre d’ensembles d’adresses, plutôt que de gérer un grand nombre d’entrées d’adresses individuelles.
Configuration des adresses et des ensembles d’adresses
Vous pouvez définir des adresses et des ensembles d’adresses dans un carnet d’adresses, puis les utiliser pour configurer différentes fonctionnalités. Vous pouvez également utiliser les adresses anyprédéfinies , any-ipv4, et any-ipv6 qui sont disponibles par défaut. Cependant, vous ne pouvez pas ajouter l’adresse any prédéfinie à un carnet d’adresses.
Une fois les carnets d’adresses et les ensembles configurés, ils sont utilisés pour configurer différentes fonctionnalités, telles que les stratégies de sécurité, les zones de sécurité et le NAT.
- Adresses et ensembles d’adresses
- Carnets d’adresses et zones de sécurité
- Carnets d’adresses et politiques de sécurité
Adresses et ensembles d’adresses
Vous pouvez définir des adresses IPv4, des adresses IPv6, des adresses génériques ou des noms DNS (Domain Name System) en tant qu’entrées d’adresses dans un carnet d’adresses.
L’exemple de carnet d’adresses appelé book1 suivant contient différents types d’adresses et de jeux d’adresses. Une fois définies, vous pouvez exploiter ces adresses et ensembles d’adresses lorsque vous configurez des zones de sécurité, des stratégies ou des règles NAT.
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
Lorsque vous définissez des adresses et des ensembles d’adresses, suivez les instructions suivantes :
-
Les ensembles d’adresses ne peuvent contenir que des noms d’adresses appartenant à la même zone de sécurité.
-
Les noms
anyd’adresses sontany-ipv4any-ipv6réservés, vous ne pouvez pas les utiliser pour créer des adresses. -
Les adresses et les ensembles d’adresses dans la même zone doivent avoir des noms distincts.
-
Les noms d’adresses ne peuvent pas être identiques aux noms d’ensembles d’adresses. Par exemple, si vous configurez une adresse avec le nom
add1, ne créez pas le jeu d’adresses avec le nomadd1. -
Lors de la suppression d’une entrée individuelle du carnet d’adresses, vous devez supprimer l’adresse (quel que soit l’endroit où elle est référencée) de tous les ensembles d’adresses ; sinon, le système provoquera un échec de validation.
Carnets d’adresses et zones de sécurité
Une zone de sécurité est un groupe logique d’interfaces ayant des exigences de sécurité identiques. Vous associez des zones de sécurité aux carnets d’adresses qui contiennent des entrées pour les réseaux adressables et les hôtes finaux (et, par conséquent, les utilisateurs) appartenant à la zone.
Une zone peut utiliser deux carnets d’adresses à la fois : le carnet d’adresses global et le carnet d’adresses auquel la zone est rattachée. Lorsqu’une zone de sécurité n’est rattachée à aucun carnet d’adresses, elle utilise automatiquement le carnet d’adresses global. Ainsi, lorsqu’une zone de sécurité est rattachée à un carnet d’adresses, le système recherche des adresses à partir de ce carnet d’adresses attaché ; Dans le cas contraire, le système recherche les adresses du carnet d’adresses global par défaut. Le carnet d’adresses global est disponible pour toutes les zones de sécurité par défaut ; Vous n’avez pas besoin d’attacher des zones au carnet d’adresses global.
Les consignes suivantes s’appliquent lors de l’attachement de zones de sécurité à des carnets d’adresses :
-
Les adresses rattachées à une zone de sécurité sont conformes aux exigences de sécurité de la zone.
-
Le carnet d’adresses que vous associez à une zone de sécurité doit contenir toutes les adresses IP accessibles dans cette zone.
-
Lorsque vous configurez des stratégies entre deux zones, vous devez définir les adresses de chacun des carnets d'adresses de la zone.
-
Les adresses d’un carnet d’adresses défini par l’utilisateur ont une priorité de recherche plus élevée que les adresses du carnet d’adresses global. Ainsi, pour une zone de sécurité rattachée à un carnet d’adresses défini par l’utilisateur, le système effectue d’abord une recherche dans le carnet d’adresses défini par l’utilisateur. Si aucune adresse n’est trouvée, il effectue une recherche dans le carnet d’adresses global.
Carnets d’adresses et politiques de sécurité
Les adresses et les jeux d’adresses sont utilisés pour spécifier les critères de correspondance d’une stratégie. Avant de pouvoir configurer des stratégies pour autoriser, refuser ou tunneliser le trafic à destination et en provenance d’hôtes et de sous-réseaux individuels, vous devez les saisir dans des carnets d’adresses. Vous pouvez définir différents types d’adresses, tels que les adresses IPv4, les adresses IPv6, les adresses génériques et les noms DNS, en tant que critères de correspondance pour les stratégies de sécurité.
Les stratégies contiennent à la fois des adresses source et de destination. Vous pouvez faire référence à une adresse ou à une adresse définie dans une stratégie par le nom que vous lui donnez dans le carnet d’adresses rattaché à la zone spécifiée dans la stratégie.
-
Lorsque le trafic est envoyé vers une zone, la zone et l’adresse vers lesquelles il est envoyé sont utilisées comme zone de destination et critères de correspondance d’adresse dans les stratégies.
-
Lorsque le trafic est envoyé à partir d’une zone, la zone et l’adresse à partir desquelles le trafic est envoyé sont utilisées comme zone source et critères de correspondance d’adresse dans les stratégies.
- Adresses disponibles pour les stratégies de sécurité
- Application de stratégies à des ensembles d’adresses
Adresses disponibles pour les stratégies de sécurité
Lorsque vous configurez les adresses source et de destination d’une règle de stratégie, vous pouvez taper un point d’interrogation dans l’interface de ligne de commande pour répertorier toutes les adresses disponibles parmi lesquelles vous pouvez choisir.
Vous pouvez utiliser le même nom d’adresse pour différentes adresses qui se trouvent dans des carnets d’adresses différents. Toutefois, la CLI ne répertorie qu’une seule de ces adresses, soit l’adresse dont la priorité de recherche est la plus élevée.
Par exemple, supposons que vous configuriez des adresses dans deux carnets d’adresses etglobal book1. Ensuite, affichez les adresses que vous pouvez configurer en tant qu’adresses source ou de destination dans une stratégie (voir le tableau 1).
| Adresses configurées |
Adresses affichées dans la CLI |
|---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
Les adresses affichées dans cet exemple illustrent :
-
Les adresses d’un carnet d’adresses défini par l’utilisateur ont une priorité de recherche plus élevée que les adresses du carnet d’adresses global.
-
Les adresses d’un carnet d’adresses global ont une priorité plus élevée que les adresses
anyprédéfinies ,any-ipv4, etany-ipv6. -
Lorsque le même nom d’adresse est configuré pour deux adresses différentes ou plus, seule l’adresse de priorité la plus élevée, basée sur la recherche d’adresse, est disponible. Dans cet exemple, l’interface de ligne de commande affiche l’adresse
a1debook1(203.0.113.128/25), car cette adresse a une priorité de recherche plus élevée que l’adressea1globale (203.0.113.0/24).
Application de stratégies à des ensembles d’adresses
Lorsque vous spécifiez un jeu d’adresses dans des stratégies, Junos OS applique automatiquement les stratégies à chaque membre du jeu d’adresses, de sorte que vous n’avez pas besoin de les créer une par une pour chaque adresse. En outre, si un jeu d’adresses est référencé dans une stratégie, il ne peut pas être supprimé sans supprimer sa référence dans la stratégie. Il peut cependant être modifié.
Considérez que pour chaque ensemble d’adresses, le système crée des règles individuelles pour ses membres. Il crée une règle interne pour chaque membre du groupe ainsi que pour chaque service configuré pour chaque utilisateur. Si vous configurez des carnets d’adresses sans en tenir compte, vous pouvez dépasser le nombre de ressources de stratégie disponibles, en particulier si les adresses source et de destination sont des groupes d’adresses et que le service spécifié est un groupe de services.
La figure 1 montre comment les stratégies sont appliquées aux ensembles d’adresses.
Utilisation d’adresses et de jeux d’adresses dans la configuration NAT
Une fois que vous avez défini des adresses dans les carnets d’adresses, vous pouvez les spécifier dans les règles NAT source, de destination ou statiques. Il est plus simple de spécifier des noms d’adresse significatifs au lieu de préfixes IP en tant qu’adresses source et de destination dans la configuration de la règle NAT. Par exemple, au lieu de spécifier 10.208.16.0/22 comme adresse source, vous pouvez spécifier une adresse appelée local qui inclut l’adresse 10.208.16.0/22.
Vous pouvez également spécifier des jeux d’adresses dans des règles NAT, ce qui vous permet d’ajouter plusieurs adresses au sein d’un jeu d’adresses et donc de gérer un petit nombre d’ensembles d’adresses, plutôt que de gérer un grand nombre d’entrées d’adresses individuelles. Lorsque vous spécifiez un jeu d’adresses dans une règle NAT, Junos OS applique automatiquement la règle à chaque membre du jeu d’adresses, de sorte que vous n’avez pas besoin de spécifier chaque adresse une par une.
Les adresses et les types de jeux d’adresses suivants ne sont pas pris en charge dans les règles NAT : les adresses génériques, les noms DNS et une combinaison d’adresses IPv4 et IPv6.
Lorsque vous configurez des carnets d’adresses avec NAT, suivez les instructions suivantes :
-
Dans une règle NAT, vous ne pouvez spécifier des adresses qu’à partir d’un carnet d’adresses global. Les carnets d’adresses définis par l’utilisateur ne sont pas pris en charge par le NAT.
-
Vous pouvez configurer un jeu d’adresses en tant que nom d’adresse source dans une règle NAT source. Toutefois, vous ne pouvez pas configurer un jeu d’adresses en tant que nom d’adresse de destination dans une règle NAT de destination.
Les exemples d’instructions NAT suivants montrent les types d’adresse et de jeu d’adresses qui sont pris en charge par les règles NAT source et de destination :
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
Dans une règle NAT statique, vous ne pouvez pas configurer un jeu d’adresses en tant que nom d’adresse source ou de destination. Les exemples d’instructions NAT suivants montrent les types d’adresses qui sont pris en charge par les règles NAT statiques :
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
Exemple : Configuration de carnets d’adresses et de jeux d’adresses
Cet exemple montre comment configurer des adresses et des ensembles d’adresses dans les carnets d’adresses. Il montre également comment joindre des carnets d’adresses aux zones de sécurité.
Exigences
Avant de commencer :
Configurez les équipements de sécurité Juniper Networks pour la communication réseau.
Configurez les interfaces réseau sur le serveur et les équipements membres. Reportez-vous au Guide de l’utilisateur des interfaces pour les dispositifs de sécurité.
Configurez les services DNS (Domain Name System). Pour plus d’informations sur le DNS, consultez Présentation du DNS.
Aperçu
Dans cet exemple, vous configurez un carnet d’adresses avec des adresses et des ensembles d’adresses (voir Figure 2) pour simplifier la configuration du réseau de votre entreprise. Vous créez un carnet d’adresses appelé Eng-dept et ajoutez les adresses des membres du département d’ingénierie. Vous créez un autre carnet d’adresses appelé Web et ajoutez-y un nom DNS. Ensuite, vous attachez une zone de sécurité au carnet d’adresses Eng-dept et une zone de sécurité de non-confiance au carnet d’adresses Web . Vous pouvez également créer des jeux d’adresses pour regrouper les adresses logicielles et matérielles dans le département Ingénierie. Vous prévoyez d’utiliser ces adresses comme adresses source et de destination dans vos futures configurations de stratégie.
En outre, vous ajoutez une adresse au carnet d’adresses global, afin qu’elle soit disponible pour toute zone de sécurité à laquelle aucun carnet d’adresses n’est rattaché.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 set security zones security-zone trust interfaces ge-0/0/0 set security zones security-zone untrust interfaces ge-0/0/1 set security address-book Eng-dept address a1 203.0.113.1 set security address-book Eng-dept address a2 203.0.113.2 set security address-book Eng-dept address a3 203.0.113.3 set security address-book Eng-dept address a4 203.0.113.4 set security address-book Eng-dept address-set sw-eng address a1 set security address-book Eng-dept address-set sw-eng address a2 set security address-book Eng-dept address-set hw-eng address a3 set security address-book Eng-dept address-set hw-eng address a4 set security address-book Eng-dept attach zone trust set security address-book Web address Intranet dns-name www-int.device1.example.com set security address-book Web attach zone untrust set security address-book global address g1 198.51.100.2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer des adresses et des ensembles d’adresses :
Configurez les interfaces Ethernet et attribuez-leur des adresses IPv4.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
Créez des zones de sécurité et attribuez-leur des interfaces.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1
Créez un carnet d’adresses et définissez-y des adresses.
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4
Créez des ensembles d’adresses.
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4
Attachez le carnet d’adresses à une zone de sécurité.
[edit security address-book Eng-dept] user@host# set attach zone trust
Créez un autre carnet d’adresses et rattachez-le à une zone de sécurité.
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust
Définissez une adresse dans le carnet d’adresses global.
[edit] user@host# set security address-book global address g1 198.51.100.2
Résultats
En mode configuration, confirmez votre configuration en entrant les show security zones commandes and show security address-book . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration du carnet d’adresses
- Vérification de la configuration du carnet d’adresses global
Vérification de la configuration du carnet d’adresses
But
Affichez des informations sur les carnets d’adresses et les adresses configurés.
Action
À partir du mode configuration, entrez la show security address-book commande.
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
Vérification de la configuration du carnet d’adresses global
But
Affichez des informations sur les adresses configurées dans le carnet d’adresses global.
Action
À partir du mode configuration, entrez la show security address-book global commande.
user@host# show security address-book global
address g1 198.51.100.2/32;Exclusion d’adresses des stratégies
Junos OS permet aux utilisateurs d’ajouter autant d’adresses source et de destination qu’ils le souhaitent à une stratégie. Si vous devez exclure certaines adresses d’une stratégie, vous pouvez les configurer en tant qu’adresses annulées. Lorsqu’une adresse est configurée en tant qu’adresse annulée, elle est exclue d’une stratégie. Vous ne pouvez toutefois pas exclure les adresses IP suivantes d’une stratégie :
Génériques
IPv6 (en anglais)
quelconque
Tout-IPv4
TOUT-UNIVERSEL-IPv6
0.0.0.0
Lorsqu’une plage d’adresses ou une seule adresse est niée, elle peut être divisée en plusieurs adresses. Ces adresses annulées sont affichées sous la forme d’un préfixe ou d’une longueur qui nécessite plus de mémoire pour le stockage sur un moteur de transfert de paquets.
Chaque plate-forme a un nombre limité de politiques avec des adresses annulées. Une stratégie peut contenir 10 adresses source ou de destination. La capacité de la stratégie dépend du nombre maximal de stratégies prises en charge par la plateforme.
Avant de configurer une adresse source, une adresse de destination ou les deux, effectuez les tâches suivantes :
Créez un carnet d’adresses source, de destination ou les deux.
Créez des noms d’adresse et attribuez-leur des adresses source et de destination.
Créez des ensembles d’adresses pour regrouper les noms d’adresse source, de destination ou les deux.
Attachez les carnets d’adresses source et de destination aux zones de sécurité. Par exemple, attachez le carnet d’adresses source à l’approbation de la zone d’origine et le carnet d’adresses de destination à l’approbation de la zone d’à.
Spécifiez la source de correspondance, la destination ou les deux noms d’adresse.
Exécutez les commandes source-address-excluded, destination-address excluded, ou les deux. Une adresse source, une adresse de destination ou les deux ajoutées dans les carnets d’adresses source, de destination ou des deux seront exclues de la stratégie.
Le carnet d’adresses global n’a pas besoin d’être rattaché à une zone de sécurité.
Exemple : Exclusion d’adresses des stratégies
Cet exemple montre comment configurer des adresses source et de destination annulées. Il montre également comment configurer les carnets d’adresses et les ensembles d’adresses.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
UN PC
Junos OS version 12.1X45-D10
Avant de commencer, configurez les carnets d’adresses et les ensembles d’adresses. Reportez-vous à la section Exemple : Configuration de carnets d’adresses et de jeux d’adresses.
Aperçu
Dans cet exemple, vous créez des carnets d’adresses source et de destination, SOUR-ADDR et DES-ADDR, et vous y ajoutez des adresses source et de destination. Vous créez des jeux d’adresses source et de destination, as1 et as2, et vous y regroupez les adresses source et de destination. Ensuite, vous attachez le carnet d’adresses source à l’approbation de la zone de sécurité et le carnet d’adresses de destination à l’approbation de la zone de sécurité.
Vous créez des zones de sécurité : de confiance de zone et de zone de non-confiance. Vous spécifiez le nom de la stratégie sur p1, puis vous définissez le nom de l’adresse source de correspondance sur as1 et l’adresse de destination de correspondance sur as2. Vous spécifiez les commandes source -address-excluded et destination -address-excluded pour exclure les adresses source et de destination configurées dans la stratégie p1. Enfin, vous définissez la stratégie p1 pour autoriser le trafic de l’approbation de zone vers l’approbation de la zone d’à.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer les adresses annulées :
Créez un carnet d’adresses source et des noms d’adresses. Ajoutez les adresses sources au carnet d’adresses.
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
Créez un jeu d’adresses pour regrouper les noms d’adresses source.
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
Attachez le carnet d’adresses source à la zone de sécurité de.
[edit security address book ] user@host# set SOU-ADDR attach zone trust
Créez un carnet d’adresses de destination et des noms d’adresses. Ajoutez les adresses de destination au carnet d’adresses.
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
Créez un autre jeu d’adresses pour regrouper les noms d’adresses de destination.
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
Attachez le carnet d’adresses de destination à la zone de sécurité.
[edit security address book ] user@host# set DES-ADDR attach zone untrust
Spécifiez le nom de la stratégie et l’adresse source.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
Excluez les adresses sources de la stratégie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
Spécifiez l’adresse de destination.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
Exclure les adresses de destination de la stratégie.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
Configurez l’application de la stratégie de sécurité.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
Autorisez le trafic de l’approbation de zone vers l’approbation de zone d’à.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address as1;
destination-address as2;
source-address-excluded;
destination-address-excluded;
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration de la stratégie
- Vérification des détails de configuration de la stratégie
Vérification de la configuration de la stratégie
But
Vérifiez que la configuration de la stratégie est correcte.
Action
À partir du mode opérationnel, entrez la show security policies policy-name p1 commande.
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
Cette sortie résume la configuration de la stratégie.
Vérification des détails de configuration de la stratégie
But
Vérifiez que la stratégie et les configurations d’adresses source et de destination annulées sont correctes.
Action
À partir du mode opérationnel, entrez la show security policies policy-name p1 detail commande.
user@host>show security policies policy-name p1 detail
Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses(excluded):
ad1(SOU-ADDR): 255.255.255.255/32
ad2(SOU-ADDR): 203.0.113.130/25
ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116
ad4(SOU-ADDR): 192.0.2.128/25
Destination addresses(excluded):
ad8(DES-ADDR): 198.51.100.1/24
ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199
ad10(DES-ADDR): 198.51.100.0/24
ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No
Cette sortie résume la configuration de la stratégie et affiche les noms des adresses source et de destination exclues de la stratégie.
Comportement des carnets d’adresses et des ensembles d’adresses spécifiques à la plate-forme
- Comportement des noms DNS spécifiques à la plate-forme dans les carnets d’adresses
- Adresses et comportements des ensembles d’adresses spécifiques à la plate-forme
Comportement des noms DNS spécifiques à la plate-forme dans les carnets d’adresses
Utilisez les carnets d’adresses et l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour examiner le comportement spécifique à votre plate-forme :
| Plateforme |
Différence |
|---|---|
| SRX Series et vSRX3.0 |
|
Adresses et comportements des ensembles d’adresses spécifiques à la plate-forme
| Plateforme |
Différence |
|
|---|---|---|
| SRX Series |
Il existe une limite au nombre d’objets d’adresse qu’une stratégie peut référencer ; Le nombre maximal d’objets d’adresse par stratégie varie selon les plateformes, comme indiqué dans le tableau ci-dessous. Pour plus d’informations sur le nombre maximal de stratégies par contexte pour les pare-feu SRX Series, reportez-vous à la section Meilleures pratiques pour la définition de stratégies sur les équipements SRX Series . |
|