SUR CETTE PAGE
Améliorations de la synchronisation de la configuration des stratégies
Comprendre les stratégies de sécurité pour le trafic en libre-service
Meilleures pratiques pour définir des stratégies sur les équipements SRX Series
Configuration des stratégies à l’aide de l’assistant de pare-feu
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné
Groupes d’adresses dynamiques dans les stratégies de sécurité
Comportement de configuration de la politique de sécurité spécifique à la plate-forme
Configuration des stratégies de sécurité
Pour sécuriser un réseau, un administrateur réseau doit créer une stratégie de sécurité qui décrit toutes les ressources réseau de cette entreprise et le niveau de sécurité requis pour ces ressources. Junos OS vous permet de configurer des politiques de sécurité. Les stratégies de sécurité appliquent des règles pour le trafic de transit, en ce qui concerne le trafic qui peut passer à travers le pare-feu et les actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu.
Comprendre les éléments d’une stratégie de sécurité
Une stratégie de sécurité est un ensemble d’instructions qui contrôle le trafic d’une source spécifiée vers une destination spécifiée à l’aide d’un service spécifié. Une stratégie autorise, refuse ou tunnelise des types de trafic spécifiés de manière unidirectionnelle entre deux points.
Chaque police comprend :
Nom unique de la stratégie.
A
from-zoneet ato-zone, par exemple : user@host#set security policies from-zone untrust to-zone untrustEnsemble de critères de correspondance définissant les conditions qui doivent être remplies pour appliquer la règle de stratégie. Les critères de correspondance sont basés sur une adresse IP source, une adresse IP de destination et des applications. Le pare-feu d’identité utilisateur offre une plus grande granularité en incluant un tuple supplémentaire, source-identity, dans l’énoncé de stratégie.
Ensemble d’actions à effectuer en cas de correspondance : autoriser, refuser ou rejeter.
Éléments de comptabilité et d’audit : comptage, journalisation ou journalisation des systèmes structurés.
Si l’équipement reçoit un paquet correspondant à ces spécifications, il effectue l’action spécifiée dans la stratégie.
Les stratégies de sécurité appliquent un ensemble de règles pour le trafic de transit, identifiant quel trafic peut passer à travers le pare-feu et les actions entreprises sur le trafic lorsqu’il traverse le pare-feu. Les actions pour le trafic correspondant aux critères spécifiés incluent l’autorisation, le refus, le rejet, l’enregistrement ou le comptage.
Comprendre les règles de la stratégie de sécurité
La stratégie de sécurité applique les règles de sécurité au trafic de transit dans un contexte (from-zone à to-zone). Chaque police est identifiée de manière unique par son nom. Le trafic est classé en faisant correspondre ses zones source et de destination, les adresses source et de destination, ainsi que l’application qu’il transporte dans ses en-têtes de protocole avec la base de données de stratégies du plan de données.
Chaque politique est associée aux caractéristiques suivantes :
Une zone source
Une zone de destination
Un ou plusieurs noms d’adresses sources ou d’ensembles d’adresses
Un ou plusieurs noms d’adresses de destination ou d’ensembles d’adresses
Un ou plusieurs noms d’application ou d’ensemble d’applications
Ces caractéristiques sont appelées critères de correspondance. Chaque stratégie est également associée à des actions : autoriser, refuser, rejeter, compter, journaliser et tunnel VPN. Vous devez spécifier les arguments de condition de correspondance lorsque vous configurez une stratégie, l’adresse source, l’adresse de destination et le nom de l’application.
Vous pouvez spécifier de configurer une stratégie avec des adresses IPv4 ou IPv6 à l’aide de l’entrée anygénérique . Lorsque la prise en charge des flux n’est pas activée pour le trafic IPv6, any correspond aux adresses IPv4. Lorsque la prise en charge des flux est activée pour le trafic IPv6, any correspond aux adresses IPv4 et IPv6. Pour activer le transfert basé sur les flux pour le trafic IPv6, utilisez la set security forwarding-options family inet6 mode flow-based commande. Vous pouvez également spécifier le caractère any-ipv4 générique ou any-ipv6 les critères de correspondance des adresses source et de destination pour inclure uniquement les adresses IPv4 ou IPv6, respectivement.
Lorsque la prise en charge du trafic IPv6 par flux est activée, le nombre maximal d’adresses IPv4 ou IPv6 que vous pouvez configurer dans une stratégie de sécurité est basé sur les critères de correspondance suivants :
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
La raison de ces critères de correspondance est qu’une adresse IPv6 utilise quatre fois plus d’espace mémoire qu’une adresse IPv4.
Vous pouvez configurer une stratégie de sécurité avec des adresses IPv6 uniquement si la prise en charge du trafic IPv6 par flux est activée sur l’appareil.
Si vous ne souhaitez pas spécifier d’application spécifique, saisissez-la any comme application par défaut. Pour rechercher les applications par défaut, à partir du mode de configuration, entrez show groups junos-defaults | find applications (predefined applications). Par exemple, si vous ne fournissez pas de nom d’application, la stratégie est installée avec l’application en tant que caractère générique (par défaut). Par conséquent, tout trafic de données qui correspond au reste des paramètres d’une stratégie donnée correspondra à la stratégie, quel que soit le type d’application du trafic de données.
Si une stratégie est configurée avec plusieurs applications et que plusieurs d’entre elles correspondent au trafic, l’application qui répond le mieux aux critères de correspondance est sélectionnée.
L’action de la première stratégie à laquelle le trafic correspond est appliquée au paquet. S’il n’existe pas de stratégie de correspondance, le paquet est abandonné. Les stratégies font l’objet d’une recherche de haut en bas, il est donc judicieux de placer des stratégies plus spécifiques en haut de la liste. Vous devez également placer les stratégies de tunnel VPN IPsec en haut de la page. Placez les stratégies plus générales, telles que celle qui permettrait à certains utilisateurs d’accéder à toutes les applications Internet, au bas de la liste. Par exemple, placez les stratégies de refus ou de rejet tout en bas de l’écran, une fois que toutes les stratégies spécifiques ont été analysées et que le trafic légitime a été autorisé/compté/journalisé.
La prise en charge des adresses IPv6 a été ajoutée dans Junos OS version 10.2. La prise en charge des adresses IPv6 dans les configurations de clusters de châssis actif/actif (en plus de la prise en charge existante des configurations de clusters de châssis actif/passif) a été ajoutée dans Junos OS version 10.4.
La recherche de stratégie détermine la zone de destination, l’adresse de destination et l’interface de sortie.
Lorsque vous créez une stratégie, les règles de stratégie suivantes s’appliquent :
Les stratégies de sécurité sont configurées dans le sens à
from-zoneto-zone. Sous une direction de zone spécifique, chaque stratégie de sécurité contient un nom, des critères de correspondance, une action et diverses options.Le nom de la stratégie, les critères de correspondance et l’action sont obligatoires.
Le nom de la stratégie est un mot-clé.
L’adresse source dans les critères de correspondance est composée d’un ou plusieurs noms d’adresse ou de jeux d’adresses dans le
from-zonefichier .L’adresse de destination des critères de correspondance est composée d’un ou de plusieurs noms d’adresses ou de jeux d’adresses dans le
to-zonefichier .Le nom de l’application dans les critères de correspondance est composé du nom d’une ou plusieurs applications ou ensembles d’applications.
L’une des actions suivantes est requise : autoriser, refuser ou rejeter.
Des éléments de comptabilité et d’audit peuvent être spécifiés : comptage et log.
Vous pouvez activer la journalisation à la fin d’une session à l’aide de la
session-closecommande, ou au début de la session à l’aide de lasession-initcommande.Lorsque l’alarme de comptage est activée, spécifiez les seuils d’alarme en octets par seconde ou en kilo-octets par minute.
Vous ne pouvez pas spécifier
globalen tant que lefrom-zoneou le sauf dans lato-zonecondition suivante :Toute stratégie configurée avec le comme zone globale doit avoir une adresse de destination unique pour indiquer que le
to-zoneNAT statique ou le NAT entrant a été configuré dans la stratégie.L’option d’autorisation de stratégie avec NAT est simplifiée. Chaque stratégie indique éventuellement si elle autorise la traduction NAT, si elle n’autorise pas la traduction NAT ou si elle ne s’en soucie pas.
Les noms d’adresse ne peuvent pas commencer par les préfixes réservés suivants. Ceux-ci ne sont utilisés que pour la configuration NAT d’adresse :
static_nat_incoming_nat_junos_
Les noms d’application ne peuvent pas commencer par le
junos_préfixe réservé.
Présentation des adresses génériques
Les adresses source et de destination sont deux des cinq critères de correspondance qui doivent être configurés dans une stratégie de sécurité. Vous pouvez désormais configurer des adresses génériques pour les critères de correspondance des adresses source et de destination dans une stratégie de sécurité. Une adresse générique est représentée sous la forme A.B.C.D/wildcard-mask. Le masque générique détermine lesquels des bits de l’adresse IP A.B.C.D doivent être ignorés par les critères de correspondance de la stratégie de sécurité. Par exemple, l’adresse IP source 192.168.0.11/255.255.0.255 dans une stratégie de sécurité implique que les critères de correspondance de la politique de sécurité peuvent ignorer le troisième octet de l’adresse IP (représenté symboliquement par 192.168.*.11). Par conséquent, les paquets avec des adresses IP sources telles que 192.168.1.11 et 192.168.22.11 sont conformes aux critères de correspondance. Cependant, les paquets avec des adresses IP sources telles que 192.168.0.1 et 192.168.1.21 ne répondent pas aux critères de correspondance.
L’utilisation des adresses génériques n’est pas limitée aux octets entiers. Vous pouvez configurer n’importe quelle adresse générique. Par exemple, l’adresse générique 192.168. 7.1/255.255.7.255 implique que vous devez ignorer uniquement les 5 premiers bits du troisième octet de l’adresse générique lors de la correspondance de la stratégie. Si l’utilisation de l’adresse générique est limitée aux octets entiers uniquement, les masques génériques avec 0 ou 255 dans chacun des quatre octets uniquement seront autorisés.
Le premier octet du masque générique doit être supérieur à 128. Par exemple, un masque générique représenté par 0.255.0.255 ou 1.255.0.255 n’est pas valide.
Une stratégie de sécurité générique est une stratégie de pare-feu simple qui vous permet d’autoriser, de refuser et de rejeter le trafic qui tente de passer d’une zone de sécurité à une autre. Vous ne devez pas configurer de règles de stratégie de sécurité à l’aide d’adresses génériques pour des services tels que Content Security .
La sécurité du contenu pour les sessions IPv6 n’est pas prise en charge. Si votre stratégie de sécurité actuelle utilise des règles avec le caractère générique d’adresse IP any et que les fonctionnalités de sécurité du contenu sont activées, vous rencontrerez des erreurs de validation de configuration, car les fonctionnalités de sécurité du contenu ne prennent pas encore en charge les adresses IPv6. Pour résoudre les erreurs, modifiez la règle renvoyant l’erreur afin que le caractère générique any-ipv4 soit utilisé ; et créer des règles distinctes pour le trafic IPv6 qui n’incluent pas de fonctionnalités de sécurité du contenu.
La configuration de stratégies de sécurité génériques sur un périphérique affecte les performances et l’utilisation de la mémoire en fonction du nombre de stratégies génériques configurées par contexte de zone de départ et de destination. Par conséquent, vous ne pouvez configurer qu’un maximum de 480 stratégies génériques pour un contexte de zone de départ et de zone de destination spécifique.
Voir aussi
Améliorations de la synchronisation de la configuration des stratégies
Le mécanisme amélioré de synchronisation des configurations des stratégies améliore la façon dont les configurations des stratégies sont synchronisées entre le moteur de routage (RE) et le moteur de transfert de paquets (PFE), améliorant ainsi la fiabilité et la sécurité du système. Ce mécanisme garantit une synchronisation automatique et précise des stratégies. De plus, le système empêche efficacement toute perte de flux pendant le processus de modification de la configuration de la stratégie de sécurité.
- Sérialisation des fichiers
- Empêcher l’interruption de session de flux lors des modifications de configuration de stratégie
Sérialisation des fichiers
Effectuez la propagation des modifications de stratégie vers le plan de données à l’aide de la sérialisation des fichiers. En sérialisant les configurations des stratégies dans des fichiers, le système s’assure qu’elles sont lues et appliquées par le PFE de manière contrôlée et fiable. Ces fichiers sérialisés sont stockés dans des répertoires désignés et sont automatiquement supprimés une fois l’application réussie, offrant une méthode de synchronisation plus efficace et plus respectueuse de la bande passante. Cette approche basée sur les fichiers réduit le risque d’incompatibilité des stratégies de sécurité et améliore la fiabilité du système.
Par défaut, la sérialisation basée sur les fichiers est activée. Vous pouvez désactiver la sérialisation des fichiers à l’aide de l’instruction suivante :
[edit] user@host# set security policies no-file-serialization
Pour réactiver la fonctionnalité de sérialisation de fichiers, utilisez l’instruction suivante :
[edit] user@host# delete security policies no-file-serialization
Vous pouvez également utiliser l’affirmation suivante :
[edit] user@host# set security policies file-serialization
Empêcher l’interruption de session de flux lors des modifications de configuration de stratégie
Vous pouvez éviter toute interruption de session de flux lors de la validation des modifications de configuration de la stratégie de sécurité. Les modifications de configuration, telles que des modifications de la condition de correspondance ou de l’action de la stratégie, l’ajout ou la suppression d’une stratégie, l’échange de stratégie ou la modification de l’ordre des stratégies, interrompent les sessions de flux. Ces modifications affectent les données de configuration PFE, ce qui peut avoir un impact sur les recherches de stratégies en cours et peut conduire à une sélection incorrecte ou par défaut des stratégies. En d’autres termes, lors de la brève transition de l’ancienne à la nouvelle stratégie, les sessions peuvent correspondre à des structures de données partiellement créées, ce qui entraîne des correspondances de stratégies incorrectes.
Pour éviter les perturbations causées par la modification de la stratégie de sécurité, vous pouvez utiliser l’instruction suivante :
[edit] user@host# set security policies lookup-intact-on-commit
Lorsque vous configurez l’option lookup-intact-on-commit , redémarrez le plan de transfert sur l’équipement ou dans une configuration de cluster de châssis.
Utilisez la commande suivante pour vérifier l’état et l’éligibilité de l’appareil avant d’activer l’option lookup-intact-on-commit .
[edit] user@host> show security policies lookup-intact-on-commit
La sortie de la commande s’affiche si l’option lookup-intact-on-commit est déjà configurée sur l’appareil et affiche l’éligibilité de l’appareil en termes de stockage de mémoire disponible pour l’activation lookup-intact-on-commit de l’option.
Mémoire et gestion des erreurs
Pour implémenter ces nouveaux mécanismes de synchronisation, votre système doit répondre à des exigences spécifiques en matière de mémoire. Plus précisément, vous avez besoin d’au moins 5 % de tas de noyau libre et de 1 % de tas d’utilisateur libre pour activer la fonctionnalité de recherche d’intact lors de la validation. Cela garantit qu’il y a suffisamment de mémoire disponible pour la synchronisation basée sur les fichiers et les opérations de double mémoire. En cas d’échec de synchronisation, le système est conçu pour revenir automatiquement à la méthode traditionnelle.
Vous pouvez utiliser la show security policies lookup-intact-on-commit eligibilitycommande pour vérifier la disponibilité de la mémoire du système par FPC. Cette sortie indique si le FPC particulier est éligible pour la configuration de la set security policies lookup-intact-on-commit configuration.
Prise en charge du système logique et du système de location
Vous pouvez configurer lookup-intact-on-commit et file-serialization au niveau du système logique racine (niveau système) uniquement. La configuration au niveau du système logique et du système de locataire n’est pas prise en charge. Toutefois, si vous configurez ces paramètres au niveau racine, la configuration optimise également les stratégies configurées au niveau du système logique et du système de locataire.
Comprendre les stratégies de sécurité pour le trafic en libre-service
Les stratégies de sécurité sont configurées sur les appareils pour appliquer des services au trafic qui les traverse. Par exemple, les stratégies de contrôle de compte d’utilisateur et de sécurité du contenu sont configurées pour appliquer des services au trafic transitoire.
Le trafic autonome ou trafic de l’hôte est le trafic entrant de l’hôte ; c’est-à-dire le trafic se terminant sur l’appareil ou le trafic sortant de l’hôte, c’est-à-dire le trafic provenant de l’appareil. Vous pouvez désormais configurer des stratégies pour appliquer des services sur le trafic en libre-service. Des services tels que le service de pile SSL qui doit mettre fin à la connexion SSL à partir d’un périphérique distant et effectuer un traitement sur ce trafic, les services IDP sur le trafic entrant de l’hôte ou le chiffrement IPsec sur le trafic sortant de l’hôte doivent être appliqués par le biais des stratégies de sécurité configurées sur le trafic personnel.
Lorsque vous configurez une stratégie de sécurité pour le trafic libre-service, le trafic transitant par l’équipement est d’abord vérifié par rapport à la stratégie, puis par rapport à l’option host-inbound-traffic configurée pour les interfaces liées à la zone.
Vous pouvez configurer la stratégie de sécurité pour le trafic en libre-service afin qu’elle applique des services au trafic en libre-service. Les stratégies de trafic sortant de l’hôte ne fonctionnent que dans les cas où le paquet provenant de l’équipement hôte passe par le flux et que l’interface entrante de ce paquet est définie sur local.
Les avantages de l’utilisation du self-traffic sont les suivants :
Vous pouvez tirer parti de la majeure partie de l’infrastructure de stratégie ou de flux existante utilisée pour le trafic de transit.
Vous n’avez pas besoin d’une adresse IP distincte pour activer un service.
Vous pouvez appliquer des services ou des stratégies à n’importe quel trafic entrant sur l’hôte avec l’adresse IP de destination de n’importe quelle interface de l’équipement.
Les règles de stratégie de sécurité par défaut n’affectent pas le trafic personnel.
Vous pouvez configurer la stratégie de sécurité pour le trafic en libre-service avec les services appropriés uniquement. Par exemple, il n’est pas pertinent de configurer le service fwauth sur le trafic sortant de l’hôte, et les services gprs-gtp ne sont pas pertinents pour les stratégies de sécurité du trafic libre.
Les stratégies de sécurité pour le trafic en libre-service sont configurées dans la nouvelle zone de sécurité par défaut appelée junos-host zone. La zone junos-host fera partie de la configuration junos-defaults, de sorte que les utilisateurs ne peuvent pas la supprimer. Les configurations de zone existantes, telles que les interfaces, l’écran, tcp-rst et les options host-inbound-traffic, ne sont pas significatives pour la zone junos-host. Il n’y a donc pas de configuration dédiée pour la zone hôte junos.
Vous pouvez utiliser host-inbound-traffic pour contrôler les connexions entrantes à un périphérique ; Toutefois, il ne restreint pas le trafic sortant de l’appareil. En revanche, junos-host-zone vous permet de sélectionner l’application de votre choix et de restreindre le trafic sortant. Par exemple, des services tels que NAT, IDP, Content Security, etc. peuvent désormais être activés pour le trafic entrant ou sortant de l’appareil à l’aide de junos-host-zone.
Présentation de la configuration des stratégies de sécurité
Pour créer une stratégie de sécurité, vous devez effectuer les tâches suivantes :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses avec les adresses de la stratégie. Reportez-vous à la section Exemple : Configuration de carnets d’adresses et de jeux d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Créez la stratégie. Voir Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic, Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné et Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic d’adresses génériques.
Créez des planificateurs si vous prévoyez de les utiliser pour vos stratégies. Reportez-vous à la section Exemple : Configuration de planificateurs pour une planification quotidienne excluant un jour.
L’assistant de stratégie de pare-feu vous permet de configurer les stratégies de sécurité de base. Pour une configuration plus avancée, utilisez l’interface J-Web ou la CLI.
Voir aussi
Meilleures pratiques pour définir des stratégies sur les équipements SRX Series
Un réseau sécurisé est vital pour une entreprise. Pour sécuriser un réseau, un administrateur réseau doit créer une stratégie de sécurité qui décrit toutes les ressources réseau de cette entreprise et le niveau de sécurité requis pour ces ressources. La stratégie de sécurité applique les règles de sécurité au trafic de transit dans un contexte donné (de la zone à la zone de) et chaque stratégie est identifiée de manière unique par son nom. Le trafic est classé en faisant correspondre les zones source et de destination, les adresses source et de destination, ainsi que l’application qu’il transporte dans ses en-têtes de protocole avec la base de données de stratégies du plan de données.
La prise en charge de la plate-forme dépend de la version de Junos OS de votre installation.
Notez qu’à mesure que vous augmentez le nombre d’adresses et d’applications dans chaque règle, la quantité de mémoire utilisée par la définition de stratégie augmente, et parfois le système manque de mémoire avec moins de 80 000 stratégies.
Pour obtenir l’utilisation réelle de la mémoire d’une stratégie sur le moteur de transfert de paquets (PFE) et le moteur de routage (RE), vous devez prendre en compte divers composants de l’arborescence de la mémoire. L’arborescence de la mémoire comprend les deux composants suivants :
Contexte de la stratégie : permet d’organiser toutes les stratégies dans ce contexte. Le contexte de la stratégie inclut des variables telles que les zones source et de destination.
Entité de stratégie : utilisée pour conserver les données de stratégie. L’entité de stratégie calcule la mémoire à l’aide de paramètres tels que le nom de la stratégie, les adresses IP, le nombre d’adresses, les applications, l’authentification du pare-feu, WebAuth, IPsec, le nombre, les services applicatifs et Junos Services Framework (JSF).
En outre, les structures de données utilisées pour stocker les stratégies, les ensembles de règles et d’autres composants utilisent une mémoire différente sur le moteur de transfert de paquets et sur le moteur de routage. Par exemple, les noms d’adresse de chaque adresse de la stratégie sont stockés dans le moteur de routage, mais aucune mémoire n’est allouée au niveau du moteur de transfert de paquets. De même, les plages de ports sont étendues aux paires de préfixes et de masques et sont stockées sur le moteur de transfert de paquets, mais aucune mémoire de ce type n’est allouée sur le moteur de routage.
Par conséquent, en fonction de la configuration de la stratégie, les contributeurs de stratégie au moteur de routage sont différents de ceux du moteur de transfert de paquets, et la mémoire est allouée dynamiquement.
La mémoire est également consommée par l’état « suppression différée ». Dans l’état de suppression différée, lorsqu’un appareil applique une modification de stratégie, il y a un pic d’utilisation transitoire dans lequel l’ancienne et la nouvelle stratégie sont présentes. Ainsi, pendant une brève période, des stratégies anciennes et nouvelles existent sur le moteur de transfert de paquets, ce qui occupe deux fois plus de mémoire.
Par conséquent, il n’existe aucun moyen définitif de déterminer clairement la quantité de mémoire utilisée par l’un ou l’autre des composants (moteur de transfert de paquets ou moteur de routage) à un moment donné, car les besoins en mémoire dépendent de configurations spécifiques des stratégies et la mémoire est allouée dynamiquement.
Les bonnes pratiques suivantes pour la mise en œuvre des stratégies vous permettent d’optimiser l’utilisation de la mémoire système et d’optimiser la configuration des stratégies :
Utilisez des préfixes uniques pour les adresses source et de destination. Par exemple, au lieu d’utiliser des adresses /32 et d’ajouter chaque adresse séparément, utilisez un sous-réseau de grande taille qui couvre la plupart des adresses IP dont vous avez besoin.
Utilisez l’application « any » dans la mesure du possible. Chaque fois que vous définissez une application individuelle dans la stratégie, vous pouvez utiliser 52 octets supplémentaires.
Utilisez moins d’adresses IPv6, car elles consomment plus de mémoire.
Utilisez moins de paires de zones dans les configurations de stratégie. Chaque zone source ou de destination utilise environ 16 048 octets de mémoire.
Les paramètres suivants peuvent modifier la façon dont la mémoire est consommée par les octets comme spécifié :
Authentification par pare-feu : environ 16 octets ou plus (non corrigé)
Authentification Web : environ 16 octets ou plus (non fixe)
IPsec à 12 octets
Services applicatifs : 28 octets
Nombre : 64 octets
Vérifiez l’utilisation de la mémoire avant et après la compilation des stratégies.
Note:Les besoins en mémoire sont différents pour chaque appareil. Certains appareils prennent en charge 512 000 sessions par défaut, et la mémoire de démarrage est généralement de 72 à 73 %. D’autres appareils peuvent avoir jusqu’à 1 million de sessions et la mémoire de démarrage peut atteindre 83 à 84 %. Dans le pire des cas, pour prendre en charge environ 80 000 stratégies dans le SPU, l’USP doit démarrer avec une consommation de mémoire du noyau coutumée allant jusqu’à 82 % et avec au moins 170 mégaoctets de mémoire disponible.
Voir aussi
Configuration des stratégies à l’aide de l’assistant de pare-feu
L’assistant de stratégie de pare-feu vous permet de configurer les stratégies de sécurité de base. Pour une configuration plus avancée, utilisez l’interface J-Web ou la CLI.
Pour configurer des stratégies à l’aide de l’assistant de stratégie de pare-feu :
- Sélectionnez
Configure>Tasks>Configure FW Policydans l’interface J-Web. - Cliquez sur le bouton Lancer l’assistant de stratégie de pare-feu pour lancer l’assistant.
- Suivez les instructions de l’assistant.
La partie supérieure gauche de la page de l’Assistant indique où vous en êtes dans le processus de configuration. La partie inférieure gauche de la page affiche l’aide adaptée aux champs. Lorsque vous cliquez sur un lien sous l’en-tête Ressources, le document s’ouvre dans votre navigateur. Si le document s’ouvre dans un nouvel onglet, assurez-vous de fermer uniquement l’onglet (et non la fenêtre du navigateur) lorsque vous fermez le document.
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser ou refuser tout le trafic.
Exigences
Avant de commencer :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie. Reportez-vous à la section Exemple : Configuration de carnets d’adresses et de jeux d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par le périphérique et des actions qui doivent être effectuées sur le trafic lorsqu’il traverse le périphérique. Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et en ressort par une autre. Dans cet exemple, vous configurez les interfaces de confiance et de non-confiance, ge-0/0/2 et ge-0/0/1. Reportez-vous à la Figure 1.
Cet exemple de configuration montre comment :
Autorisez ou refusez tout le trafic de la zone de confiance vers la zone de non-confiance, mais bloquez tout ce qui se trouve de la zone de non-confiance vers la zone de confiance.
Autorisez ou refusez le trafic sélectionné d’un hôte dans la zone de confiance vers un serveur de la zone de non-confiance à un moment donné.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’autoriser ou de refuser tout le trafic :
Configurez les interfaces et les zones de sécurité.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone de non-confiance.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
Créez la stratégie de sécurité pour refuser le trafic de la zone non approuvée vers la zone de confiance.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
Résultats
En mode configuration, confirmez votre configuration en entrant les show security policies commandes and show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
L’exemple de configuration est un allow-all par défaut de la zone de confiance à la zone de non-confiance.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifiez les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies detail commande pour afficher un résumé de toutes les stratégies de sécurité configurées sur l’appareil.
Signification
La sortie affiche des informations sur les stratégies configurées sur le système. Vérifiez les informations suivantes :
Zones de départ et d’arrivée
Adresses source et de destination
Critères de correspondance
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné.
Exigences
Avant de commencer :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie. Reportez-vous à la section Exemple : Configuration de carnets d’adresses et de jeux d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Autorisez le trafic à destination et en provenance des zones de confiance et de défiance. Voir Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par le périphérique et les actions qui doivent être effectuées sur le trafic lors de son passage. Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et en ressort par une autre. Dans cet exemple, vous configurez une stratégie de sécurité spécifique pour autoriser uniquement le trafic de courrier électronique d’un hôte dans la zone de confiance vers un serveur de la zone non approuvée. Aucun autre trafic n’est autorisé. Reportez-vous à la Figure 2.
sélectionné
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’autoriser le trafic sélectionné :
Configurez les interfaces et les zones de sécurité.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Créez des entrées de carnet d’adresses pour le client et le serveur. Attachez également des zones de sécurité aux carnets d’adresses.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
Définissez la stratégie d’autorisation du trafic de messagerie.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security policies commandes and show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifiez les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies detail commande pour afficher un résumé de toutes les stratégies de sécurité configurées sur l’appareil.
Signification
La sortie affiche des informations sur les stratégies configurées sur le système. Vérifiez les informations suivantes :
Zones de départ et d’arrivée
Adresses source et de destination
Critères de correspondance
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic d’adresses génériques
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser ou refuser le trafic d’adresses génériques.
Exigences
Avant de commencer :
Comprendre les adresses génériques. Reportez-vous à la section Présentation des règles de stratégie de sécurité.
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie. Reportez-vous à la section Exemple : Configuration de carnets d’adresses et de jeux d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Autorisez le trafic à destination et en provenance des zones de confiance et de défiance. Voir Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic.
Autorisez le trafic de messagerie à destination et en provenance des zones de confiance et de déconfiance. Voir Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné
Aperçu
Dans le système d’exploitation Junos (Junos OS), les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par l’équipement et d’actions qui doivent être effectuées sur le trafic lors de son passage. Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et en ressort par une autre. Dans cet exemple, vous configurez une sécurité spécifique pour autoriser uniquement le trafic d’adresses génériques d’un hôte de la zone de confiance vers la zone de non-confiance. Aucun autre trafic n’est autorisé.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode configuration.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’autoriser le trafic sélectionné :
Configurez les interfaces et les zones de sécurité.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Créez une entrée de carnet d’adresses pour l’hôte et joignez le carnet d’adresses à une zone.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
Définissez la stratégie d’autorisation du trafic d’adresses génériques.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security policies commandes and show security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifiez les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies policy-name permit-wildcard detail commande pour afficher des détails sur la stratégie de sécurité allow-wildcard configurée sur l’appareil.
Signification
La sortie affiche des informations sur la stratégie allow-wildcard configurée sur le système. Vérifiez les informations suivantes :
Zones de départ et d’arrivée
Adresses source et de destination
Critères de correspondance
Exemple : Configuration d’une stratégie de sécurité pour rediriger les journaux de trafic vers un serveur de journaux système externe
Cet exemple montre comment configurer une stratégie de sécurité pour envoyer les journaux de trafic générés sur l’appareil à un serveur de journaux système externe.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un client connecté à un appareil SRX5600 à l’interface ge-4/0/5
Un serveur connecté à l’appareil SRX5600 à l’interface ge-4/0/1
Les journaux générés sur le périphérique SRX5600 sont stockés sur un serveur de journaux système basé sur Linux.
Un périphérique SRX5600 connecté au serveur basé sur Linux à l’interface ge-4/0/4
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous configurez une stratégie de sécurité sur l’appareil SRX5600 afin d’envoyer les journaux de trafic générés par l’appareil lors de la transmission des données à un serveur Linux. Les journaux de trafic enregistrent les détails de chaque session. Les journaux sont générés lors de l’établissement et de la fermeture de session entre l’équipement source et l’équipement de destination connectés à l’équipement SRX5600.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode configuration.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’envoyer les journaux de trafic à un serveur de journaux système externe :
Configurez les journaux de sécurité pour transférer les journaux de trafic générés sur le périphérique SRX5600 vers un serveur de journaux système externe avec l’adresse IP 203.0.113.2. L’adresse IP 127.0.0.1 est l’adresse de bouclage du périphérique SRX5600.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
Configurez une zone de sécurité et spécifiez les types de trafic et les protocoles autorisés sur l’interface ge-4/0/5.0 du périphérique SRX5600.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
Configurez une autre zone de sécurité et spécifiez les types de trafic autorisés sur les interfaces ge-4/0/4.0 et ge-4/0/1.0 du périphérique SRX5600.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
Créez une stratégie et spécifiez les critères de correspondance de cette stratégie. Les critères de correspondance spécifient que l’appareil peut autoriser le trafic de n’importe quelle source, vers n’importe quelle destination et sur n’importe quelle application.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
Activez la stratégie pour consigner les détails du trafic au début et à la fin de la session.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security log commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des zones
But
Vérifiez que la zone de sécurité est activée ou non.
Action
À partir du mode opérationnel, entrez la show security zones commande.
Mode TAP pour les zones et les stratégies de sécurité
Le mode TAP (Terminal Access Point) pour les zones de sécurité et la stratégie vous permet de surveiller passivement les flux de trafic sur un réseau par le biais d’un commutateur, d’un SPAN ou d’un port miroir.
- Comprendre la prise en charge des zones et des stratégies de sécurité en mode TAP
- Exemple : Configuration des zones de sécurité et des stratégies en mode TAP
Comprendre la prise en charge des zones et des stratégies de sécurité en mode TAP
Le mode point d’accès au terminal (TAP) est un appareil de veille qui vérifie le trafic en miroir via le commutateur. Si des zones et des stratégies de sécurité sont configurées, le mode TAP inspecte le trafic entrant et sortant en configurant l’interface TAP et en générant un rapport de journal de sécurité pour afficher le nombre de menaces détectées et l’utilisation par l’utilisateur. Si un paquet est perdu dans l’interface TAP, les zones de sécurité et les politiques mettent fin à la connexion, de sorte qu’aucun rapport n’est généré pour cette connexion. La configuration de la zone de sécurité et de la stratégie reste la même qu’en mode non-TAP.
Lorsqu’un équipement est configuré pour qu’il fonctionne en mode TAP, il génère des informations sur le journal de sécurité pour afficher des informations sur les menaces détectées, l’utilisation des applications et les détails de l’utilisateur. Lorsque l’appareil est configuré pour fonctionner en mode TAP, il reçoit des paquets uniquement à partir de l’interface TAP configurée. À l’exception de l’interface TAP configurée, les autres interfaces sont configurées sur l’interface normale qui est utilisée comme interface de gestion ou connectée au serveur externe. L’appareil génère un rapport ou un journal de sécurité en fonction du trafic entrant.
La zone de sécurité et la politique de sécurité par défaut seront configurées après la configuration de l’interface TAP. Vous pouvez configurer d’autres zones ou stratégies si nécessaire. Si une interface est utilisée pour connecter un serveur, l’adresse IP, l’interface de routage et la configuration de la sécurité doivent également être configurées.
Vous ne pouvez configurer qu’une seule interface TAP lorsque vous utilisez l’appareil en mode TAP.
Exemple : Configuration des zones de sécurité et des stratégies en mode TAP
Cet exemple montre comment configurer des zones de sécurité et des stratégies lorsque le pare-feu SRX Series est configuré en mode TAP (point d’accès à terminal).
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
Junos OS version 19.1R1
Avant de commencer :
Lisez la section Présentation de la prise en charge du mode TAP pour les zones et stratégies de sécurité pour comprendre comment et où cette procédure s’intègre dans la prise en charge globale des zones et stratégies de sécurité.
Aperçu
Dans cet exemple, vous configurez le pare-feu SRX Series pour qu’il fonctionne en mode TAP. Lorsque vous configurez le pare-feu SRX Series pour qu’il fonctionne en mode TAP, l’équipement génère des informations de journal de sécurité qui affichent des informations sur les menaces détectées, l’utilisation des applications et les détails utilisateur.
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez valider à partir du mode de configuration.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer des zones en mode TAP :
Configurez l’interface de zone de contact de la zone de sécurité.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
Configurez le suivi des applications de la zone de contact de la zone de sécurité.
user@host# set security zones security-zone tap-zone application-tracking
Configurez la stratégie de sécurité qui autorise le trafic d’une zone à l’autre. Appuyez sur la condition de correspondance et configurez la condition de correspondance.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Résultats
En mode configuration, confirmez votre configuration en entrant les show security zones commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration des stratégies en mode TAP
But
Vérifiez les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies detail commande.
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Signification
Affiche un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil en mode TAP.
Groupes d’adresses dynamiques dans les stratégies de sécurité
L’ajout manuel d’entrées d’adresses dans une stratégie peut prendre beaucoup de temps. Il existe des sources externes qui fournissent des listes d’adresses IP qui ont un but spécifique (comme une liste de blocage) ou qui ont un attribut commun (comme un emplacement ou un comportement particulier qui pourrait constituer une menace). Vous pouvez utiliser la source externe pour identifier les sources de menaces par leur adresse IP, puis regrouper ces adresses dans une entrée d’adresse dynamique et référencer cette entrée dans une stratégie de sécurité. Ainsi, vous pouvez contrôler le trafic à destination et en provenance de ces adresses. Chacun de ces groupes d’adresses IP est appelé une entrée d’adresse dynamique.
Les types d’adresses IP suivants sont pris en charge :
-
IP unique. Par exemple : 192.0.2.0
-
Plage d’adresses IP. Par exemple : 192.0.2.0- 192.0.2.10
-
CIDR. Par exemple : 192.0.2.0/24
Chaque entrée occupe une ligne. À partir de la version 19.3R1 de Junos OS, les plages d’adresses IP n’ont pas besoin d’être triées par ordre croissant et la valeur des entrées IP peut se chevaucher dans le même fichier de flux. Dans les versions de Junos OS antérieures à la version 19.3R1, les plages d’adresses IP doivent être triées par ordre croissant et la valeur des entrées IP ne peut pas se chevaucher dans le même fichier de flux.
Une entrée d’adresse dynamique est un groupe d’adresses IP, et non un préfixe IP unique. Une saisie d’adresse dynamique est différente des concepts d’adresses de sécurité des carnets d’adresses et des adresses d’entrée.
Voici les avantages du déploiement d’entrées d’adresses dynamiques dans les stratégies de sécurité :
-
L’administrateur réseau a davantage de contrôle sur le trafic à destination et en provenance de groupes d’adresses IP.
-
Le serveur externe transmet les adresses IP mises à jour au pare-feu SRX Series.
-
Les efforts de l’administrateur sont considérablement réduits. Par exemple, dans une configuration de stratégie de sécurité héritée, l’ajout de 1 000 entrées d’adresse pour qu’une stratégie puisse se référer nécessiterait environ 2 000 lignes de configuration. En définissant une entrée d’adresse dynamique et en la référençant dans une stratégie de sécurité, jusqu’à des millions d’entrées peuvent affluer dans le pare-feu SRX Series sans effort de configuration supplémentaire.
-
Aucun processus de validation n’est requis pour ajouter de nouvelles adresses. L’ajout de milliers d’adresses à une configuration par le biais d’une méthode héritée prend beaucoup de temps à valider. Alternativement, les adresses IP d’une entrée d’adresse dynamique proviennent d’un flux externe, de sorte qu’aucun processus de validation n’est requis lorsque les adresses d’une entrée changent.
La figure 3 illustre une vue d’ensemble fonctionnelle du fonctionnement de la saisie d’adresse dynamique dans une stratégie de sécurité.
de sécurité
Une stratégie de sécurité fait référence à l’entrée d’adresse dynamique dans un champ d’adresse source ou de destination (de la même manière qu’une stratégie de sécurité fait référence à une entrée d’adresse héritée).
La figure 4 illustre une stratégie qui utilise une entrée d’adresse dynamique dans le champ Adresse de destination.
de sécurité
Dans la figure 4, la stratégie 1 utilise l’adresse de destination 10.10.1.1, qui est une entrée d’adresse de sécurité héritée. La stratégie 2 utilise la liste de blocage des fournisseurs d’adresses de destination, qui est une entrée d’adresse dynamique nommée par l’administrateur réseau. Son contenu est la liste des adresses IP extraites d’un fichier de flux externe. Les paquets qui répondent aux cinq critères (la zone de départ nommée untrust, la zone de destination nommé ingénieur, n’importe quelle adresse source, une adresse IP de destination appartenant à l’entrée d’adresse dynamique de la liste de blocage du fournisseur et l’application de messagerie) sont traités conformément aux actions de stratégie, qui consistent à refuser et à consigner le paquet.
Les noms d’entrée d’adresse dynamique partagent le même espace de noms que les entrées d’adresses de sécurité héritées, de sorte qu’ils n’utilisent pas le même nom pour plusieurs entrées. Le processus de validation de Junos OS vérifie que les noms ne sont pas dupliqués afin d’éviter tout conflit.
Les groupes d’adresses dynamiques prennent en charge les flux de données suivants :
-
Listes personnalisées (listes d’autorisation et de blocage)
-
GéoIP
Serveurs de flux
-
Les serveurs de flux contiennent des entrées d’adresses dynamiques dans un fichier de flux. Vous pouvez créer des flux personnalisés qui peuvent être locaux ou distants. Pour la création de flux personnalisés, reportez-vous à la section Création de flux personnalisés
-
Configurez le pare-feu SRX Series pour l’utilisation des flux. Reportez-vous à la section serveur de flux pour configurer le pare-feu SRX Series.
Flux groupés
Les adresses IP, les préfixes IP ou les plages d’adresses IP contenus dans une entrée d’adresse dynamique peuvent être mis à jour régulièrement en téléchargeant un flux externe. Les pare-feu SRX Series établissent régulièrement une connexion au serveur de flux pour télécharger et mettre à jour les listes d’adresses IP contenant les adresses dynamiques mises à jour.
À partir de la version 19.3R1 de Junos OS, vous pouvez télécharger un seul fichier tgz à partir du serveur et l’extraire dans plusieurs fichiers de flux pour enfants. Chaque fichier individuel correspond à un flux. Permettez aux adresses dynamiques individuelles de référencer le flux à l’intérieur du fichier groupé. Le fichier bundle réduit la surcharge du processeur lorsque trop de flux sont configurés, où plusieurs flux enfants sont compressés dans un seul fichier .tgz
Les modes d’alimentation groupés suivants sont pris en charge :
Mode d’archivage
En mode d’archivage, vous devez compresser tous les fichiers de flux du pare-feu SRX Series en un seul fichier tgz. Le pare-feu SRX Series télécharge ce fichier et extrait tous les flux après extraction. Ce processus est expliqué ci-dessous :
-
Lorsque l'url du serveur de flux est l'url d'un fichier avec le suffixe .tgz au lieu de l'url d'origine du dossier, cela signifie que ce serveur utilise un seul fichier pour transporter tous ses flux pour le déploiement d'adresses dynamiques du pare-feu SRX Series. Dans ce cas, les flux de ce serveur héritent de l’intervalle de mise à jour ou de l’intervalle de maintien du serveur. Toute configuration utilisateur de l’intervalle de mise à jour ou de l’intervalle d’attente pour ce flux est ignorée.
-
Après cette modification, suivez les étapes ci-dessous pour gérer les flux du serveur comme dans l’exemple ci-dessous.
L’exemple ci-dessous montre les étapes requises pour gérer les flux du serveur :
-
Placez tous les fichiers de flux du pare-feu SRX Series dans le dossier feeds-4-srx
-
Générer tous les fichiers de flux fd1 fd2 fd3 .. fdN dans le dossier feeds-4-srx
-
Ajouter ou supprimer les plages d’adresses IP des flux
-
Accédez aux fichiers en exécutant la commande suivante :
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
Après l’étape 4, le fichier feeds-4-srx.tgz est prêt à être téléchargé sur le pare-feu SRX Series et contient le même dossier que le fichier feeds-4-srx.tgz . Après le téléchargement, les fichiers extraits sont placés dans le même dossier que feeds-4-srx.tgz. L’exemple suivant illustre une configuration samle sur un pare-feu SRX Series :
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
Le paramètre path requiert le chemin relatif du flux à l’intérieur de l’archive de bundles.
-
Si le fichier tar -zxf feeds-4-srx.tgz génère un dossier feeds-4-srx et que ce dossier contient le fichier de flux fd1, utilisez la commande suivante pour configurer le flux :
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
Si le fichier tar -zxf feeds-4-srx.tgz extrait directement le fichier fd1 , utilisez la commande suivante pour configurer le flux :
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
Mode fichier plat
Le mode fichier plat offre une simplicité ultime à l’utilisateur en introduisant un changement de syntaxe dans le format de fichier de flux existant. Le contenu de tous les fichiers de flux est compilé dans un seul fichier, avec .bundle comme suffixe. Cela vous permet de gérer un seul fichier. Le pare-feu SRX Series classe les plages d’adresses IP de ce fichier groupé en de nombreux fichiers de flux. Vous pouvez compresser ce fichier sous forme .bundle.gz si vous pouvez économiser de la bande passante pour la transmission. En plus du format de fichier défini précédemment, une balise FEED : en majuscules suivie du nom du flux est introduite. Les lignes situées en dessous de cette balise sont considérées comme des plages d’adresses IP appartenant au flux. Vous trouverez ci-dessous un exemple du format de fichier :
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
La configuration d’un pare-feu SRX Series est similaire au mode d’archivage et est donnée ci-dessous :
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
La différence entre le mode plat et le mode d’archivage est le suffixe du fichier et la mise en page à l’intérieur du fichier. Vous pouvez sélectionner le mode qui vous convient le mieux.
Comme les fichiers de flux sont au format texte brut, gzip peut réduire la taille du fichier. Si un serveur et un pare-feu SRX Series ont une liaison WAN entre les deux, utilisez un fichier de plus petite taille à transmettre sur le réseau, dans ce cas, compressez le fichier bundle et configurez les commandes suivantes :
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Comportement de configuration de la politique de sécurité spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez les tableaux suivants pour examiner le comportement spécifique à votre plate-forme :
- Comportement des règles de configuration de la politique de sécurité spécifique à la plate-forme
- Comportement de synchronisation de la configuration des stratégies spécifique à la plate-forme
- Comportement de prise en charge IDP spécifique à la plate-forme
- Comportement de prise en charge de l’assistant de stratégie de pare-feu spécifique à la plate-forme
Comportement des règles de configuration de la politique de sécurité spécifique à la plate-forme
| Plateforme |
Différence |
|---|---|
| SRX Series |
|
Comportement de synchronisation de la configuration des stratégies spécifique à la plate-forme
| Plateforme |
Différence |
|---|---|
| SRX Series et vSRX3.0 |
|
Comportement de prise en charge IDP spécifique à la plate-forme
| Plateforme |
Différence |
|---|---|
| SRX Series |
|
Comportement de prise en charge de l’assistant de stratégie de pare-feu spécifique à la plate-forme
| Plateforme |
Différence |
|---|---|
| SRX Series |
|
Informations supplémentaires sur la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version. D’autres plates-formes peuvent être prises en charge.
| Les périphériques SRX Series et le pare-feu virtuel vSRX 3.0 qui prennent en charge le serveur de flux de fichiers prennent en charge : |
SRX300, SRX320, SRX340, SRX345, SRX550 et SRX550M |
appareils SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 et Pare-feu virtuel vSRX 3.0 |
SRX1500 |
|---|---|---|---|
| Nombre maximal de serveurs de flux |
10 |
100 |
40 |
| Nombre maximal de flux |
500 |
5000 |
200 |
| Nombre maximal d’entrées d’adresses dynamiques |
500 |
5000 |
200 |
| Les équipements SRX Series qui prennent en charge Policy Object prennent en charge : |
SRX300 et SRX320 |
Le SRX340 |
SRX345 et SRX380 |
SRX550M |
SRX1500, SRX1600 et SRX4100 |
SRX4200 et SRX4300 |
SRX4600 |
SRX4700, SRX5400, SRX5600 et SRX5800 |
|---|---|---|---|---|---|---|---|---|
| Objets d’adresse |
2048 |
2048 |
2048 |
2048 |
4096 |
4096 |
4096 |
16384 |
| Objets d’application |
128 |
128 |
128 |
128 |
3072 |
3072 |
3072 |
3072 |
| Politiques de sécurité |
1024 |
2048 |
4096 |
10240 |
16000 |
60000 |
80000 |
100000 |
| Contextes de stratégie (paires de zones) |
256 |
512 |
1024 |
2048 |
4096 |
4096 |
8192 |
8192 |
| Stratégies par contexte |
1024 |
2048 |
4096 |
10240 |
16000 |
60000 |
80000 |
100000 |
| Stratégies pour lesquelles le comptage est activé |
256 |
256 |
256 |
10240 |
1024 |
1024 |
1024 |
1024 |
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.