SUR CETTE PAGE
Comprendre les stratégies de sécurité pour le trafic en libre-service
Meilleures pratiques pour définir des stratégies sur les équipements SRX Series
Configuration des stratégies à l’aide de l’assistant de pare-feu
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné
Groupes d’adresses dynamiques dans les stratégies de sécurité
Activer des politiques de sécurité pour l’inspection des tunnels de flux de paquets de Genève
Configuration des stratégies de sécurité
Pour sécuriser un réseau, un administrateur réseau doit créer une stratégie de sécurité qui décrit toutes les ressources réseau de cette entreprise et le niveau de sécurité requis pour ces ressources. Junos OS vous permet de configurer des stratégies de sécurité. Les stratégies de sécurité appliquent des règles pour le trafic de transit, c’est-à-dire le type de trafic qui peut passer à travers le pare-feu et les actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu.
Comprendre les éléments d’une stratégie de sécurité
Une stratégie de sécurité est un ensemble d’instructions qui contrôle le trafic d’une source spécifiée vers une destination spécifiée à l’aide d’un service spécifié. Une stratégie autorise, refuse ou tunnelise des types de trafic spécifiés de manière unidirectionnelle entre deux points.
Chaque police comprend :
Nom unique de la stratégie.
A
from-zone
et ato-zone
, par exemple : user@host#set security policies from-zone untrust to-zone untrust
Ensemble de critères de correspondance définissant les conditions qui doivent être remplies pour appliquer la règle de stratégie. Les critères de correspondance sont basés sur une adresse IP source, une adresse IP de destination et des applications. Le pare-feu d’identité des utilisateurs offre une plus grande granularité en incluant un tuple supplémentaire, source-identity, dans l’instruction de stratégie.
Ensemble d’actions à effectuer en cas de correspondance : autoriser, refuser ou rejeter.
Éléments de comptabilité et d’audit : comptage, journalisation ou journalisation du système structuré.
Si la solution SRX Series reçoit un paquet correspondant à ces spécifications, elle effectue l’action spécifiée dans la stratégie.
Les stratégies de sécurité appliquent un ensemble de règles pour le trafic de transit, identifiant quel trafic peut passer à travers le pare-feu et les actions entreprises sur le trafic lorsqu’il traverse le pare-feu. Les actions pour le trafic correspondant aux critères spécifiés incluent l’autorisation, le refus, le rejet, la journalisation ou le comptage.
Pour les équipements SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550M, une politique de sécurité par défaut est fournie qui :
-
Autorise tout le trafic de la zone de confiance vers la zone de non-confiance.
-
Autorise tout le trafic entre les zones de confiance, c’est-à-dire de la zone de confiance vers les zones de confiance intrazone.
Refuse tout le trafic de la zone d’approbation vers la zone d’approbation.
Comprendre les règles de stratégie de sécurité
La stratégie de sécurité applique les règles de sécurité au trafic de transit dans un contexte (from-zone
à to-zone
). Chaque police est identifiée de manière unique par son nom. Le trafic est classé en faisant correspondre ses zones source et de destination, les adresses source et de destination, ainsi que l’application qu’il transporte dans ses en-têtes de protocole avec la base de données de stratégies du plan de données.
Chaque politique est associée aux caractéristiques suivantes :
Une zone source
Une zone de destination
Un ou plusieurs noms d’adresses sources ou de jeux d’adresses
Un ou plusieurs noms d’adresses de destination ou de jeux d’adresses
Un ou plusieurs noms d’application ou d’ensemble d’applications
Ces caractéristiques sont appelées les critères de correspondance. Chaque stratégie est également associée à des actions : autoriser, refuser, rejeter, compter, journaliser et tunneliser VPN. Vous devez spécifier les arguments de condition de correspondance lorsque vous configurez une stratégie, l’adresse source, l’adresse de destination et le nom de l’application.
Vous pouvez spécifier de configurer une stratégie avec des adresses IPv4 ou IPv6 à l’aide de l’entrée any
générique . Lorsque la prise en charge des flux n’est pas activée pour le trafic IPv6, any
correspond aux adresses IPv4. Lorsque la prise en charge de flux est activée pour le trafic IPv6, any
correspond aux adresses IPv4 et IPv6. Pour activer le transfert basé sur le flux pour le trafic IPv6, utilisez la set security forwarding-options family inet6 mode flow-based
commande. Vous pouvez également spécifier le caractère any-ipv4
générique ou any-ipv6
les critères de correspondance des adresses source et de destination pour inclure uniquement les adresses IPv4 ou IPv6, respectivement.
Lorsque la prise en charge du trafic IPv6 par les flux est activée, le nombre maximal d’adresses IPv4 ou IPv6 que vous pouvez configurer dans une stratégie de sécurité est basé sur les critères de correspondance suivants :
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
La raison pour laquelle les critères de correspondance sont qu’une adresse IPv6 utilise quatre fois plus d’espace mémoire qu’une adresse IPv4.
Vous pouvez configurer une stratégie de sécurité avec des adresses IPv6 uniquement si la prise en charge du trafic IPv6 par les flux est activée sur l’appareil.
Si vous ne souhaitez pas spécifier d’application spécifique, saisissez-la any
comme application par défaut. Pour rechercher les applications par défaut, à partir du mode de configuration, entrez show groups junos-defaults | find applications (predefined applications)
. Par exemple, si vous ne fournissez pas de nom d’application, la stratégie est installée avec l’application en tant que caractère générique (par défaut). Par conséquent, tout trafic de données qui correspond au reste des paramètres d’une stratégie donnée correspondra à la stratégie, quel que soit le type d’application du trafic de données.
Si une stratégie est configurée avec plusieurs applications et que plusieurs d’entre elles correspondent au trafic, l’application qui répond le mieux aux critères de correspondance est sélectionnée.
L’action de la première stratégie à laquelle le trafic correspond est appliquée au paquet. S’il n’y a pas de stratégie de correspondance, le paquet est abandonné. Les stratégies font l’objet d’une recherche de haut en bas, il est donc judicieux de placer des stratégies plus spécifiques en haut de la liste. Vous devez également placer les stratégies de tunnel VPN IPsec en haut de la page. Placez les politiques plus générales, telles que celle qui permettrait à certains utilisateurs d’accéder à toutes les applications Internet, au bas de la liste. Par exemple, placez les stratégies de refus de tout ou de rejet tout en bas de la page une fois que toutes les stratégies spécifiques ont été analysées auparavant et que le trafic légitime a été autorisé/compté/journalisé.
La prise en charge des adresses IPv6 a été ajoutée dans Junos OS version 10.2. La prise en charge des adresses IPv6 dans les configurations de clusters de châssis actifs/actifs (en plus de la prise en charge existante des configurations de clusters de châssis actifs/passifs) a été ajoutée dans Junos OS version 10.4.
Les stratégies sont consultées pendant le traitement du flux, une fois que les filtres et les écrans de pare-feu ont été traités et que la recherche de route a été effectuée par l’unité de traitement des services (SPU) (pour les équipements SRX5400, SRX5600 et SRX5800). La recherche de stratégie détermine la zone de destination, l’adresse de destination et l’interface de sortie.
Lorsque vous créez une stratégie, les règles de stratégie suivantes s’appliquent :
Les stratégies de sécurité sont configurées dans le sens a
from-zone
to-zone
. Sous une direction de zone spécifique, chaque stratégie de sécurité contient un nom, des critères de correspondance, une action et diverses options.Le nom de la stratégie, les critères de correspondance et l’action sont obligatoires.
Le nom de la stratégie est un mot-clé.
L’adresse source dans les critères de correspondance est composée d’un ou de plusieurs noms d’adresse ou de jeux d’adresses dans le
from-zone
fichier .L’adresse de destination des critères de correspondance est composée d’un ou de plusieurs noms d’adresse ou de jeux d’adresses dans le
to-zone
fichier .Le nom de l’application dans les critères de correspondance est composé du nom d’une ou de plusieurs applications ou ensembles d’applications.
L’une des actions suivantes est requise : autoriser, refuser ou rejeter.
Des éléments de comptabilité et d’audit peuvent être spécifiés : comptage et journalisation.
Vous pouvez activer la journalisation à la fin d’une session à l’aide de la
session-close
commande, ou au début de la session à l’aide de lasession-init
commande.Lorsque l’alarme de comptage est activée, spécifiez les seuils d’alarme en octets par seconde ou en kilo-octets par minute.
Vous ne pouvez pas spécifier
global
en tant que le ou le sauf dans lafrom-zone
to-zone
condition suivante :Toute stratégie configurée avec le
to-zone
comme zone globale doit avoir une adresse de destination unique pour indiquer que le NAT statique ou le NAT entrant a été configuré dans la stratégie.Dans les pare-feu SRX Series, l’option d’autorisation de stratégie avec NAT est simplifiée. Chaque stratégie indiquera éventuellement si elle autorise la traduction NAT, si elle n’autorise pas la traduction NAT ou si elle ne s’en soucie pas.
Les noms d’adresse ne peuvent pas commencer par les préfixes réservés suivants. Ceux-ci ne sont utilisés que pour la configuration NAT d’adresse :
static_nat_
incoming_nat_
junos_
Les noms d’application ne peuvent pas commencer par le
junos_
préfixe réservé.
Comprendre les adresses génériques
Les adresses source et de destination sont deux des cinq critères de correspondance qui doivent être configurés dans une stratégie de sécurité. Vous pouvez désormais configurer des adresses génériques pour les critères de correspondance des adresses source et de destination dans une stratégie de sécurité. Une adresse générique est représentée par A.B.C.D/wildcard-mask. Le masque générique détermine lesquels des bits de l’adresse IP A.B.C.D doivent être ignorés par les critères de correspondance de la stratégie de sécurité. Par exemple, l’adresse IP source 192.168.0.11/255.255.0.255 dans une stratégie de sécurité implique que les critères de correspondance de la stratégie de sécurité peuvent ignorer le troisième octet de l’adresse IP (représenté symboliquement par 192.168.*.11). Par conséquent, les paquets avec des adresses IP sources telles que 192.168.1.11 et 192.168.22.11 sont conformes aux critères de correspondance. Cependant, les paquets avec des adresses IP sources telles que 192.168.0.1 et 192.168.1.21 ne satisfont pas aux critères de correspondance.
L’utilisation des adresses génériques n’est pas limitée aux octets complets. Vous pouvez configurer n’importe quelle adresse générique. Par exemple, l’adresse générique 192.168. 7.1/255.255.7.255 implique que vous devez ignorer uniquement les 5 premiers bits du troisième octet de l’adresse générique lors de la correspondance de la stratégie. Si l’utilisation de l’adresse générique est limitée aux octets entiers uniquement, les masques génériques avec 0 ou 255 dans chacun des quatre octets uniquement seront autorisés.
Le premier octet du masque générique doit être supérieur à 128. Par exemple, un masque générique représenté par 0.255.0.255 ou 1.255.0.255 n’est pas valide.
Une stratégie de sécurité générique est une stratégie de pare-feu simple qui vous permet d’autoriser, de refuser et de rejeter le trafic qui tente de passer d’une zone de sécurité à une autre. Vous ne devez pas configurer les règles de stratégie de sécurité à l’aide d’adresses génériques pour des services tels que Content Security .
Seule la prévention d’intrusion (IDP) pour les sessions IPv6 est prise en charge pour tous les appareils SRX5400, SRX5600 et SRX5800. La sécurité du contenu pour les sessions IPv6 n’est pas prise en charge. Si votre stratégie de sécurité actuelle utilise des règles avec le caractère générique d’adresse IP any et que les fonctionnalités de sécurité du contenu sont activées, vous rencontrerez des erreurs de validation de configuration, car les fonctionnalités de sécurité du contenu ne prennent pas encore en charge les adresses IPv6. Pour résoudre les erreurs, modifiez la règle renvoyant l’erreur afin que le caractère générique any-ipv4 soit utilisé ; et créer des règles distinctes pour le trafic IPv6 qui n’incluent pas de fonctionnalités de sécurité du contenu.
La configuration de stratégies de sécurité génériques sur un appareil affecte les performances et l’utilisation de la mémoire en fonction du nombre de stratégies génériques configurées par contexte de zone de départ et de zone. Par conséquent, vous ne pouvez configurer qu’un maximum de 480 stratégies génériques pour un contexte spécifique de zone de départ et de zone.
Voir aussi
Comprendre les stratégies de sécurité pour le trafic en libre-service
Les stratégies de sécurité sont configurées sur les appareils pour appliquer des services au trafic qui transite par l’appareil. Par exemple, les stratégies UAC et Content Security sont configurées pour appliquer des services au trafic transitoire.
Le trafic d’auto-trafic ou trafic hôte, c’est le trafic entrant de l’hôte ; c’est-à-dire le trafic qui se termine sur l’équipement ou le trafic sortant de l’hôte, c’est-à-dire le trafic provenant de l’équipement. Vous pouvez désormais configurer des stratégies pour appliquer des services sur le trafic en libre-service. Des services tels que le service de pile SSL qui doit mettre fin à la connexion SSL à partir d’un périphérique distant et effectuer un traitement sur ce trafic, les services IDP sur le trafic entrant de l’hôte ou le chiffrement IPsec sur le trafic sortant de l’hôte doivent être appliqués via les stratégies de sécurité configurées sur le trafic autonome.
Lorsque vous configurez une stratégie de sécurité pour le trafic libre-service, le trafic circulant via l’équipement est d’abord vérifié par rapport à la stratégie, puis par rapport à l’option host-inbound-traffic
configurée pour les interfaces liées à la zone.
Vous pouvez configurer la stratégie de sécurité pour le trafic en libre-service afin d’appliquer des services au trafic en libre-service. Les stratégies de trafic sortant de l’hôte ne fonctionnent que dans les cas où le paquet provenant de l’équipement hôte passe par le flux et que l’interface entrante de ce paquet est définie sur local.
Les avantages de l’utilisation du self-traffic sont les suivants :
Vous pouvez tirer parti de la plupart des stratégies existantes ou de l’infrastructure de flux utilisée pour le trafic de transit.
Vous n’avez pas besoin d’une adresse IP distincte pour activer un service.
Vous pouvez appliquer des services ou des stratégies à tout trafic entrant de l’hôte dont l’adresse IP de destination est celle de n’importe quelle interface de l’équipement.
Sur les pare-feu SRX Series, les règles de stratégie de sécurité par défaut n’affectent pas le trafic personnel.
Vous ne pouvez configurer la stratégie de sécurité que pour le trafic en libre-service avec les services concernés. Par exemple, il n’est pas pertinent de configurer le service fwauth sur le trafic sortant de l’hôte, et les services gprs-gtp ne sont pas pertinents pour les stratégies de sécurité pour le trafic libre-service.
Les stratégies de sécurité pour le trafic en libre-service sont configurées sous la nouvelle zone de sécurité par défaut appelée junos-host zone. La zone junos-host fera partie de la configuration junos-defaults, de sorte que les utilisateurs ne peuvent pas la supprimer. Les configurations de zone existantes, telles que les interfaces, l’écran, tcp-rst et les options host-inbound-traffic, ne sont pas significatives pour la zone junos-host. Par conséquent, il n’y a pas de configuration dédiée pour la zone hôte junos.
Vous pouvez utiliser host-inbound-traffic pour contrôler les connexions entrantes à un périphérique ; Cependant, il ne restreint pas le trafic sortant de l’appareil. En revanche, junos-host-zone vous permet de sélectionner l’application de votre choix et de restreindre le trafic sortant. Par exemple, des services tels que NAT, IDP, Content Security, etc. peuvent désormais être activés pour le trafic entrant ou sortant du pare-feu SRX Series à l’aide de junos-host-zone.
Présentation de la configuration des stratégies de sécurité
Pour créer une stratégie de sécurité, vous devez effectuer les tâches suivantes :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses avec les adresses de la stratégie. Reportez-vous à la section Exemple : Configuration des carnets d’adresses et des ensembles d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Créez la stratégie. Voir Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic, Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné et Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic d’adresses génériques.
Créez des planificateurs si vous prévoyez de les utiliser pour vos stratégies. Reportez-vous à la section Exemple : Configuration des planificateurs pour une planification quotidienne à l’exclusion d’un jour.
L’assistant de stratégie de pare-feu vous permet de configurer les stratégies de sécurité de base. Pour une configuration plus avancée, utilisez l’interface J-Web ou la CLI.
Voir aussi
Meilleures pratiques pour définir des stratégies sur les équipements SRX Series
Un réseau sécurisé est vital pour une entreprise. Pour sécuriser un réseau, un administrateur réseau doit créer une stratégie de sécurité qui décrit toutes les ressources réseau de cette entreprise et le niveau de sécurité requis pour ces ressources. La stratégie de sécurité applique les règles de sécurité au trafic de transit dans un contexte donné (de la zone à la zone d’à) et chaque stratégie est identifiée de manière unique par son nom. Le trafic est classé en faisant correspondre les zones source et de destination, les adresses source et de destination, ainsi que l’application qu’il transporte dans ses en-têtes de protocole avec la base de données de stratégies du plan de données.
Le Tableau 1 présente les limitations de stratégie pour les équipements SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 et SRX5800. La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.
À compter de Junos OS version 12.3X48-D15 et de Junos OS version 17.3R1, le nombre maximal d’objets d’adresse par stratégie pour les périphériques SRX5400, SRX5600 et SRX5800 passe de 1024 à 4096, et le nombre maximal de stratégies par contexte passe de 10240 à 80 000.
À partir de Junos OS version 17.3R1, le nombre de stratégies de sécurité et le nombre maximal de stratégies par contexte pour les équipements SRX5400, SRX5600 et SRX5800 passe de 80 000 à 100 000.
À compter de Junos OS version 15.1X49-D120, le nombre d’objets d’adresse par stratégie pour SRX5400, SRX5600 et SRX5800 passe de 4096 à 16 000.
Équipements SRX Series |
Objets d’adresse |
Objets d’application |
Stratégies de sécurité |
Contextes de stratégie (paires de zones) |
Stratégies par contexte |
Stratégies pour lesquelles le comptage est activé |
---|---|---|---|---|---|---|
SRX300SRX320 |
2048 |
128 |
1024 |
256 |
1024 |
256 |
Le SRX340 |
2048 |
128 |
2048 |
512 |
2048 |
256 |
Le SRX345 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
Le SRX380 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX550M |
2048 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX1500 |
4096 |
3072 |
16000 |
4096 |
16000 |
1024 |
SRX4100 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4200 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4600 |
4096 |
3072 |
80000 |
8192 |
80000 |
1024 |
SRX5400 SRX5600 SRX5800 |
16384 |
3072 |
100000 |
8192 |
100000 |
1024 |
Par conséquent, à mesure que vous augmentez le nombre d’adresses et d’applications dans chaque règle, la quantité de mémoire utilisée par la définition de stratégie augmente, et parfois le système manque de mémoire avec moins de 80 000 stratégies.
Pour obtenir l’utilisation réelle de la mémoire d’une stratégie sur le moteur de transfert de paquets (PFE) et le moteur de routage (RE), vous devez prendre en considération divers composants de l’arborescence de mémoire. L’arborescence de mémoire comprend les deux composants suivants :
Contexte de la stratégie : permet d’organiser toutes les stratégies dans ce contexte. Le contexte de la stratégie inclut des variables telles que les zones source et de destination.
Entité de stratégie : utilisée pour contenir les données de stratégie. L’entité de stratégie calcule la mémoire à l’aide de paramètres tels que le nom de la stratégie, les adresses IP, le nombre d’adresses, les applications, l’authentification du pare-feu, WebAuth, IPsec, le nombre, les services d’application et Junos Services Framework (JSF).
En outre, les structures de données utilisées pour stocker les stratégies, les ensembles de règles et d’autres composants utilisent une mémoire différente sur le moteur de transfert de paquets et sur le moteur de routage. Par exemple, les noms d’adresse de chaque adresse de la stratégie sont stockés dans le moteur de routage, mais aucune mémoire n’est allouée au niveau du moteur de transfert de paquets. De même, les plages de ports sont étendues à des paires de préfixes et de masques et sont stockées sur le moteur de transfert de paquets, mais aucune mémoire de ce type n’est allouée sur le moteur de routage.
Par conséquent, selon la configuration de stratégie, les contributeurs de stratégie au moteur de routage sont différents de ceux du moteur de transfert de paquets et la mémoire est allouée dynamiquement.
La mémoire est également consommée par l’état « suppression différée ». Dans l’état de suppression différée, lorsqu’un pare-feu SRX Series applique une modification de stratégie, il y a un pic d’utilisation transitoire dans lequel les anciennes et nouvelles stratégies sont présentes. Ainsi, pendant une brève période, les anciennes et les nouvelles stratégies existent sur le moteur de transfert de paquets, occupant deux fois plus de mémoire.
Par conséquent, il n’existe aucun moyen définitif de déduire clairement la quantité de mémoire utilisée par l’un ou l’autre composant (moteur de transfert de paquets ou moteur de routage) à un moment donné, car les exigences en mémoire dépendent de configurations spécifiques de stratégies et la mémoire est allouée dynamiquement.
Les bonnes pratiques suivantes pour l’implémentation des stratégies vous permettent d’optimiser l’utilisation de la mémoire système et d’optimiser la configuration des stratégies :
Utilisez des préfixes uniques pour les adresses source et de destination. Par exemple, au lieu d’utiliser des adresses /32 et d’ajouter chaque adresse séparément, utilisez un grand sous-réseau qui couvre la plupart des adresses IP dont vous avez besoin.
Utilisez l’application « any » dans la mesure du possible. Chaque fois que vous définissez une application individuelle dans la stratégie, vous pouvez utiliser 52 octets supplémentaires.
Utilisez moins d’adresses IPv6, car elles consomment plus de mémoire.
Utilisez moins de paires de zones dans les configurations de stratégie. Chaque zone source ou de destination utilise environ 16 048 octets de mémoire.
Les paramètres suivants peuvent modifier la façon dont la mémoire est consommée par les octets comme spécifié :
Authentification par pare-feu : environ 16 octets ou plus (non corrigé)
Authentification Web : environ 16 octets ou plus (non corrigé)
IPsec – 12 octets
Services applicatifs : 28 octets
Nombre : 64 octets
Vérifiez l’utilisation de la mémoire avant et après la compilation des stratégies.
Note:Les besoins en mémoire de chaque appareil sont différents. Certains appareils prennent en charge 512 000 sessions par défaut, et la mémoire de démarrage est généralement de 72 à 73 %. D’autres appareils peuvent avoir jusqu’à 1 million de sessions et la mémoire de démarrage peut atteindre 83 à 84 %. Dans le pire des cas, pour prendre en charge environ 80 000 stratégies dans le SPU, le SPU doit démarrer avec une consommation de mémoire du noyau fluide allant jusqu’à 82 % et avec au moins 170 mégaoctets de mémoire disponible.
Voir aussi
Configuration des stratégies à l’aide de l’assistant de pare-feu
L’assistant de stratégie de pare-feu vous permet de configurer les stratégies de sécurité de base sur les appareils SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550M. Pour une configuration plus avancée, utilisez l’interface J-Web ou la CLI.
Pour configurer les stratégies à l’aide de l’Assistant Stratégie de pare-feu :
- Sélectionnez
Configure>Tasks>Configure FW Policy
dans l’interface J-Web. - Cliquez sur le bouton Lancer l’assistant de stratégie de pare-feu pour lancer l’assistant.
- Suivez les instructions de l’assistant.
La partie supérieure gauche de la page de l’assistant indique où vous en êtes dans le processus de configuration. La zone inférieure gauche de la page affiche l’aide sensible au champ. Lorsque vous cliquez sur un lien sous l’en-tête Ressources, le document s’ouvre dans votre navigateur. Si le document s’ouvre dans un nouvel onglet, assurez-vous de fermer uniquement l’onglet (et non la fenêtre du navigateur) lorsque vous fermez le document.
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser ou refuser tout le trafic.
Exigences
Avant de commencer :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie. Reportez-vous à la section Exemple : Configuration des carnets d’adresses et des ensembles d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par l’équipement et d’actions qui doivent être effectuées sur le trafic lorsqu’il traverse l’équipement. Dans l’optique des stratégies de sécurité, le trafic entre dans une zone de sécurité et en sort par une autre. Dans cet exemple, vous configurez les interfaces d’approbation et de non-confiance, ge-0/0/2 et ge-0/0/1. Reportez-vous à la figure 1.
Cet exemple de configuration montre comment :
Autorisez ou refusez tout le trafic de la zone de confiance vers la zone de confiance, mais bloquez tout, de la zone de confiance vers la zone de confiance.
Autorisez ou refusez le trafic sélectionné d’un hôte dans la zone de confiance à un serveur de la zone de non-confiance à un moment donné.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’autoriser ou de refuser tout le trafic :
Configurez les interfaces et les zones de sécurité.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance vers la zone de méfiance.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
Créez une stratégie de sécurité pour refuser le trafic de la zone d’approbation vers la zone d’approbation.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies
commandes et show security zones
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
L’exemple de configuration est un permit-all par défaut de la zone de confiance vers la zone de non-confiance.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifier les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies detail
commande pour afficher un résumé de toutes les stratégies de sécurité configurées sur l’appareil.
Sens
La sortie affiche des informations sur les stratégies configurées sur le système. Vérifiez les informations suivantes :
Zones de départ et d’arrivée
Adresses source et de destination
Critères de correspondance
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné.
Exigences
Avant de commencer :
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie. Reportez-vous à la section Exemple : Configuration des carnets d’adresses et des ensembles d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Autorisez le trafic à destination et en provenance des zones de confiance et de défiance. Reportez-vous à la section Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par le périphérique et des actions qui doivent être effectuées sur le trafic lorsqu’il traverse le périphérique. Dans l’optique des stratégies de sécurité, le trafic entre dans une zone de sécurité et en sort par une autre. Dans cet exemple, vous configurez une stratégie de sécurité spécifique pour autoriser uniquement le trafic de courrier électronique d’un hôte dans la zone d’approbation vers un serveur dans la zone d’approbation. Aucun autre trafic n’est autorisé. Reportez-vous à la figure 2.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’autoriser le trafic sélectionné :
Configurez les interfaces et les zones de sécurité.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Créez des entrées de carnet d’adresses pour le client et le serveur. Associez également des zones de sécurité aux carnets d’adresses.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
Définissez la stratégie d’autorisation du trafic de messagerie.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies
commandes et show security zones
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifier les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies detail
commande pour afficher un résumé de toutes les stratégies de sécurité configurées sur l’appareil.
Sens
La sortie affiche des informations sur les stratégies configurées sur le système. Vérifiez les informations suivantes :
Zones de départ et d’arrivée
Adresses source et de destination
Critères de correspondance
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic d’adresses génériques
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser ou refuser le trafic d’adresses génériques.
Exigences
Avant de commencer :
Comprendre les adresses génériques. Reportez-vous à la section Présentation des règles de stratégie de sécurité.
Créez des zones. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez un carnet d’adresses et créez des adresses à utiliser dans la stratégie. Reportez-vous à la section Exemple : Configuration des carnets d’adresses et des ensembles d’adresses.
Créez une application (ou un ensemble d’applications) qui indique que la stratégie s’applique au trafic de ce type. Reportez-vous à la section Exemple : Configuration d’applications et d’ensembles d’applications de stratégie de sécurité.
Autorisez le trafic à destination et en provenance des zones de confiance et de défiance. Reportez-vous à la section Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser tout le trafic.
Autorisez le trafic de messagerie à destination et en provenance des zones de confiance et de défiance. Voir Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic sélectionné
Aperçu
Dans le système d’exploitation Junos (Junos OS), les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de trafic pouvant passer par l’équipement et d’actions qui doivent avoir lieu sur le trafic lorsqu’il traverse l’équipement. Dans l’optique des stratégies de sécurité, le trafic entre dans une zone de sécurité et en sort par une autre. Dans cet exemple, vous configurez une sécurité spécifique pour n’autoriser que le trafic d’adresses génériques d’un hôte de la zone de confiance vers la zone de non-confiance. Aucun autre trafic n’est autorisé.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’autoriser le trafic sélectionné :
Configurez les interfaces et les zones de sécurité.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Créez une entrée de carnet d’adresses pour l’hôte et joignez le carnet d’adresses à une zone.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
Définissez la stratégie d’autorisation du trafic d’adresses génériques.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies
commandes et show security zones
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zones
security-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-book
book1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifier les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la commande pour afficher les show security policies policy-name permit-wildcard detail
détails de la stratégie de sécurité allow-wildcard configurée sur l’appareil.
Sens
La sortie affiche des informations sur la stratégie permit-wildcard configurée sur le système. Vérifiez les informations suivantes :
Zones de départ et d’arrivée
Adresses source et de destination
Critères de correspondance
Exemple : Configuration d’une stratégie de sécurité pour rediriger les journaux de trafic vers un serveur de journaux système externe
Cet exemple montre comment configurer une stratégie de sécurité pour envoyer les journaux de trafic générés sur l’appareil à un serveur de journaux système externe.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un client connecté à un périphérique SRX5600 à l’interface ge-4/0/5
Un serveur connecté à l’appareil SRX5600 à l’interface ge-4/0/1
Les journaux générés sur l’appareil SRX5600 sont stockés sur un serveur de journaux système basé sur Linux.
Un périphérique SRX5600 connecté au serveur Linux à l’interface ge-4/0/4
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous configurez une stratégie de sécurité sur l’appareil SRX5600 pour envoyer les journaux de trafic, générés par l’appareil lors de la transmission de données, à un serveur Linux. Les journaux de trafic enregistrent les détails de chaque session. Les journaux sont générés lors de l’établissement et de la fin de session entre l’équipement source et l’équipement de destination qui sont connectés à l’équipement SRX5600.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une stratégie de sécurité afin d’envoyer les journaux de trafic à un serveur de journaux système externe :
Configurez les journaux de sécurité pour transférer les journaux de trafic générés au niveau de l’équipement SRX5600 vers un serveur de journaux système externe avec l’adresse IP 203.0.113.2. L’adresse IP 127.0.0.1 est l’adresse de bouclage du périphérique SRX5600.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
Configurez une zone de sécurité et spécifiez les types de trafic et les protocoles autorisés sur l’interface ge-4/0/5.0 du périphérique SRX5600.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
Configurez une autre zone de sécurité et spécifiez les types de trafic autorisés sur les interfaces ge-4/0/4.0 et ge-4/0/1.0 du périphérique SRX5600.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
Créez une stratégie et spécifiez les critères de correspondance de cette stratégie. Le critère de correspondance spécifie que l’équipement peut autoriser le trafic de n’importe quelle source, vers n’importe quelle destination et sur n’importe quelle application.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
Activez la stratégie pour consigner les détails du trafic au début et à la fin de la session.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security log
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security log format syslog; source-address 127.0.0.1; stream trafficlogs { severity debug; host { 203.0.113.2; } }
Si vous avez terminé de configurer l’appareil, entrez-le commit
à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des zones
But
Vérifiez que la zone de sécurité est activée ou non.
Action
À partir du mode opérationnel, entrez la show security zones
commande.
Mode TAP pour les zones et stratégies de sécurité
Le mode TAP (Terminal Access Point) pour les zones de sécurité et la stratégie vous permet de surveiller passivement les flux de trafic sur un réseau par le biais d’un commutateur, d’un SPAN ou d’un port miroir.
- Comprendre la prise en charge du mode TAP pour les zones et les stratégies de sécurité
- Exemple : Configuration des zones et stratégies de sécurité en mode TAP
Comprendre la prise en charge du mode TAP pour les zones et les stratégies de sécurité
Le mode point d’accès au terminal (TAP) est un périphérique de veille qui vérifie le trafic en miroir via le commutateur. Si des zones et des stratégies de sécurité sont configurées, le mode TAP inspecte le trafic entrant et sortant en configurant l’interface TAP et en générant un rapport de journal de sécurité pour afficher le nombre de menaces détectées et l’utilisation par l’utilisateur. Si un paquet se perd dans l’interface TAP, les zones de sécurité et les politiques mettent fin à la connexion, de sorte qu’aucun rapport n’est généré pour cette connexion. La configuration de la zone de sécurité et de la stratégie reste la même qu’en mode non-TAP.
Lorsque vous configurez un pare-feu SRX Series pour qu’il fonctionne en mode TAP, l’équipement génère des informations sur le journal de sécurité qui affichent des informations sur les menaces détectées, l’utilisation des applications et les détails utilisateur. Lorsque l’équipement est configuré pour fonctionner en mode TAP, le pare-feu SRX Series reçoit uniquement les paquets de l’interface TAP configurée. À l’exception de l’interface TAP configurée, les autres interfaces sont configurées sur l’interface normale qui est utilisée comme interface de gestion ou connectée au serveur externe. Le pare-feu SRX Series génère un rapport ou un journal de sécurité en fonction du trafic entrant.
La zone de sécurité et la stratégie de sécurité par défaut seront configurées après la configuration de l’interface TAP. Vous pouvez configurer d’autres zones ou stratégies si nécessaire. Si une interface est utilisée pour connecter un serveur, l’adresse IP, l’interface de routage et la configuration de sécurité doivent également être configurées.
Vous ne pouvez configurer qu’une seule interface TAP lorsque vous utilisez l’appareil en mode TAP.
Exemple : Configuration des zones et stratégies de sécurité en mode TAP
Cet exemple montre comment configurer les zones de sécurité et les stratégies lorsque le pare-feu SRX Series est configuré en mode TAP (point d’accès terminal).
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
Junos OS version 19.1R1
Avant de commencer :
Lisez le document Comprendre la prise en charge du mode TAP pour les zones et les stratégies de sécurité pour comprendre comment et où cette procédure s’inscrit dans la prise en charge globale des zones et des stratégies de sécurité.
Aperçu
Dans cet exemple, vous allez configurer le pare-feu SRX Series pour qu’il fonctionne en mode TAP. Lorsque vous configurez le pare-feu SRX Series pour qu’il fonctionne en mode TAP, l’équipement génère des informations de journal de sécurité pour afficher des informations sur les menaces détectées, l’utilisation des applications et les détails utilisateur.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis entrez valider à partir du mode de configuration.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer les zones en mode TAP :
Configurez l’interface de zone de contact de zone de sécurité.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
Configurez le suivi des applications dans les zones de sécurité.
user@host# set security zones security-zone tap-zone application-tracking
Configurez la stratégie de sécurité qui autorise le trafic de zone tap-zone à zone tap-zone policy appuyez et configurez la condition de correspondance.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security zones
commandes et show security policies
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit] user@host#show security zones security-zone tap-zone { interfaces { ge-0/0/0.0; } application-tracking; } [edit] user@host#show security policies from-zone tap-zone to-zone tap-zone { policy tap-policy { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration des stratégies en mode TAP
But
Vérifier les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies detail
commande.
user@host> show security policies detail node0: -------------------------------------------------------------------------- Default policy: permit-all Pre ID default policy: permit-all Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: izone, To zone: ozone Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: ozone, To zone: izone Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close
Sens
Affiche un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil en mode TAP.
Groupes d’adresses dynamiques dans les stratégies de sécurité
L’ajout manuel d’entrées d’adresses dans une stratégie peut prendre beaucoup de temps. Il existe des sources externes qui fournissent des listes d’adresses IP qui ont un objectif spécifique (comme une liste de blocage) ou qui ont un attribut commun (comme un emplacement ou un comportement particulier qui pourrait constituer une menace). Vous pouvez utiliser la source externe pour identifier les sources de menaces par leur adresse IP, puis regrouper ces adresses dans une entrée d’adresse dynamique et référencer cette entrée dans une stratégie de sécurité. Ainsi, vous pouvez contrôler le trafic à destination et en provenance de ces adresses. Chacun de ces groupes d’adresses IP est appelé entrée d’adresse dynamique.
Les types d’adresses IP suivants sont pris en charge :
-
IP unique. Par exemple : 192.0.2.0
-
Plage d’adresses IP. Par exemple : 192.0.2.0- 192.0.2.10
-
CIDR. Par exemple : 192.0.2.0/24
Chaque entrée occupe une ligne. À partir de Junos OS version 19.3R1, les plages d’adresses IP n’ont plus besoin d’être triées par ordre croissant et la valeur des entrées IP peut se chevaucher dans le même fichier de flux. Dans les versions de Junos OS antérieures à la version 19.3R1, les plages d’adresses IP doivent être triées par ordre croissant et la valeur des entrées IP ne peut pas se chevaucher dans le même fichier de flux.
Une entrée d’adresse dynamique est un groupe d’adresses IP, et non un préfixe IP unique. Une saisie d’adresse dynamique est différente des concepts d’adresses de sécurité des carnets d’adresses et des adresses d’entrée d’adresses.
Voici les avantages du déploiement d’entrées d’adresses dynamiques dans les stratégies de sécurité :
-
L’administrateur réseau a davantage de contrôle sur le trafic en provenance et à destination des groupes d’adresses IP.
-
Le serveur externe fournit des flux d’adresses IP mis à jour au pare-feu SRX Series.
-
Les efforts de l’administrateur sont considérablement réduits. Par exemple, dans une configuration de stratégie de sécurité héritée, l’ajout de 1 000 entrées d’adresse pour qu’une stratégie soit référencée nécessite environ 2 000 lignes de configuration. En définissant une entrée d’adresse dynamique et en la référençant dans une stratégie de sécurité, jusqu’à des millions d’entrées peuvent affluer dans le pare-feu SRX Series sans effort de configuration supplémentaire.
-
Aucun processus de validation n’est requis pour ajouter de nouvelles adresses. L’ajout de milliers d’adresses à une configuration par le biais d’une méthode héritée prend beaucoup de temps à valider. Alternativement, les adresses IP d’une entrée d’adresse dynamique proviennent d’un flux externe, de sorte qu’aucun processus de validation n’est nécessaire lorsque les adresses d’une entrée changent.
La figure 3 illustre une vue d’ensemble fonctionnelle du fonctionnement de l’entrée d’adresse dynamique dans une stratégie de sécurité.
Une stratégie de sécurité fait référence à l’entrée d’adresse dynamique dans un champ d’adresse source ou d’adresse de destination (de la même manière qu’une stratégie de sécurité fait référence à une entrée d’adresse héritée).
La figure 4 illustre une stratégie qui utilise une entrée d’adresse dynamique dans le champ Adresse de destination.
Dans la Figure 4, la stratégie 1 utilise l’adresse de destination 10.10.1.1, qui est une entrée d’adresse de sécurité héritée. La stratégie 2 utilise l’adresse de destination Liste de blocage des fournisseurs, qui est une entrée d’adresse dynamique nommée par l’administrateur réseau. Son contenu est la liste des adresses IP récupérées à partir d’un fichier de flux externe. Les paquets qui répondent aux cinq critères (la zone de départ nommée untrust, la zone de destination nommée ingénieur, n’importe quelle adresse source, une adresse IP de destination appartenant à l’entrée d’adresse dynamique de la liste de blocage du fournisseur et l’application de messagerie) sont traités en fonction des actions de stratégie, qui consistent à refuser et à consigner le paquet.
Les noms d’entrée d’adresse dynamique partagent le même espace de noms que les entrées d’adresses de sécurité héritées, de sorte qu’ils n’utilisent pas le même nom pour plus d’une entrée. Le processus de validation de Junos OS vérifie que les noms ne sont pas dupliqués pour éviter tout conflit.
Les groupes d’adresses dynamiques prennent en charge les flux de données suivants :
-
Listes personnalisées (listes d’autorisation et de blocage)
-
Geoip
Serveurs de flux
-
Les serveurs de flux contiennent des entrées d’adresses dynamiques dans un fichier de flux. Vous pouvez créer des flux personnalisés, qu’ils soient locaux ou distants. Pour la création de flux personnalisés, reportez-vous à la section Création de flux personnalisés
-
Configurez le pare-feu SRX Series pour l’utilisation des flux. Reportez-vous à la section serveur de flux pour configurer le pare-feu SRX Series.
Flux groupés
Les adresses IP, les préfixes IP ou les plages d’adresses IP contenus dans une entrée d’adresse dynamique peuvent être mis à jour périodiquement en téléchargeant un flux externe. Les pare-feu SRX Series établissent régulièrement une connexion au serveur de flux pour télécharger et mettre à jour les listes d’adresses IP contenant les adresses dynamiques mises à jour.
À partir de Junos OS version 19.3R1, vous pouvez télécharger un seul fichier tgz à partir du serveur et l’extraire dans plusieurs fichiers de flux enfants. Chaque fichier individuel correspond à un flux. Laissez les adresses dynamiques individuelles référencer le flux à l’intérieur du fichier de bundle. Le fichier bundle réduit la surcharge du processeur lorsqu’un trop grand nombre de flux sont configurés, où plusieurs flux enfants sont compressés dans un seul fichier .tgz
Les modes d’alimentation de bundle suivants sont pris en charge :
Mode d’archivage
En mode d’archivage, vous devez compresser tous les fichiers de flux pour le pare-feu SRX Series en un seul fichier tgz. Le pare-feu SRX Series télécharge ce fichier et extrait tous les flux après l’extraction. Ce processus est expliqué ci-dessous :
-
Lorsque l'URL du serveur de flux est l'URL d'un fichier avec le suffixe .tgz au lieu de l'URL d'origine du dossier, cela signifie que ce serveur utilise un seul fichier pour transporter tous ses flux pour le déploiement d'adresses dynamiques SRX Series. Dans ce cas, les flux sous ce serveur héritent de l’intervalle de mise à jour ou de maintien du serveur. Toute configuration utilisateur de l’intervalle de mise à jour ou de l’intervalle de maintien pour ce flux est ignorée.
-
Après cette modification, suivez les étapes ci-dessous pour gérer les flux du serveur comme dans l’exemple ci-dessous.
L’exemple ci-dessous montre les étapes nécessaires à la gestion des flux du serveur :
-
Placez tous les fichiers de flux pour le pare-feu SRX Series dans le dossier feeds-4-srx
-
Générer tous les fichiers de flux fd1 fd2 fd3 .. fdN dans le dossier feeds-4-srx
-
Ajouter ou supprimer des plages d’adresses IP des flux
-
Accédez aux fichiers en exécutant la commande suivante :
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
Après l’étape 4, le fichier feeds-4-srx.tgz est prêt à être téléchargé sur le pare-feu SRX Series contenant le même dossier que le fichier feeds-4-srx.tgz . Après le téléchargement, les fichiers extraits sont placés dans le même dossier que feeds-4-srx.tgz. L’exemple suivant illustre une configuration samle sur un pare-feu SRX Series :
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgz
set security dynamic-address feed-server server-4-srx feed-name feed1 path fd1
set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2
set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
Le paramètre path requiert le chemin relatif du flux à l’intérieur de l’archive d’ensemble.
-
Si le fichier tar -zxf feeds-4-srx.tgz génère un dossier feeds-4-srx et que ce dossier contient le fichier de flux fd1, utilisez la commande suivante pour configurer le flux :
[edit]
set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1
-
Si le fichier tar -zxf feeds-4-srx.tgz extrait directement le fichier fd1 , utilisez la commande suivante pour configurer le flux :
[edit]
set security dynamic-address feed-server server-4-srx feed fd1 path fd1
Mode fichier plat
Le mode fichier plat offre une simplicité ultime à l’utilisateur en introduisant un changement de syntaxe dans le format de fichier de flux existant. Le contenu de tous les fichiers de flux est compilé en un seul fichier, avec .bundle comme suffixe. Cela vous permet de gérer un seul fichier. Le pare-feu SRX Series classe les plages d’adresses IP de ce fichier groupé en de nombreux fichiers de flux. Vous pouvez compresser ce fichier comme .bundle.gz si vous pouvez économiser de la bande passante pour la transmission. En plus du format de fichier défini précédemment, une balise en majuscules FEED : suivie du nom du flux est introduite. Les lignes situées en dessous de cette balise sont considérées comme des plages d’adresses IP appartenant au flux. Vous trouverez ci-dessous un exemple du format de fichier :
root>cat feeds-4-srx.bundle
FEED:fd1
12.1.1.1-12.1.1.2
11.1.1.1-11.1.1.2
FEED:fd2
14.1.1.1-14.1.1.2
La configuration d’un pare-feu SRX Series est similaire au mode d’archivage et est donnée ci-dessous :
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle
set security dynamic-address feed-server server-4-srx feed-name fd1 path fd1
set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
La différence entre le mode plat et le mode d’archivage est le suffixe du fichier et la mise en page à l’intérieur du fichier. Vous pouvez sélectionner le mode qui vous convient le mieux.
Comme les fichiers de flux sont au format texte brut, gzip peut réduire la taille du fichier. Si un serveur et un pare-feu SRX Series ont une liaison WAN entre les deux, utilisez un fichier de plus petite taille à transmettre sur le réseau, dans ce cas, compressez le fichier bundle et configurez les commandes suivantes :
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gz
set security dynamic-address feed-server server-4-srx feed-name fd1 path fd1
set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Prise en charge des serveurs de flux pour les pare-feu SRX Series
Plate-forme |
Nombre maximal de serveurs de flux |
Nombre maximal de flux |
Nombre maximal d’entrées d’adresses dynamiques |
SRX300, SRX320, SRX340, SRX345, SRX550SRX550MSRX650 |
10 |
500 |
500 |
SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800Pare-feu virtuel vSRX Pare-feu virtuel vSRX3.0 |
100 |
5000 |
5000 |
SRX1500 |
40 |
2000 |
2000 |
Voir aussi
Configurer les stratégies de sécurité pour VXLAN
RÉSUMÉ Utilisez cet exemple pour configurer des stratégies de sécurité pour l’inspection du tunnel EVPN (Ethernet VPN) VXLAN (VXLAN).
Exigences
La prise en charge de VXLAN sur les pare-feu SRX Series offre la flexibilité nécessaire pour apporter un pare-feu de niveau entreprise afin de connecter les terminaux de leurs environnements de campus, de centre de données, de filiale et de cloud public tout en fournissant une sécurité intégrée.
Cet exemple utilise les composants matériels et logiciels suivants :
SRX4600 appareil
Junos OS version 20.4R1
Avant de commencer :
Assurez-vous de bien comprendre le fonctionnement des protocoles EVPN et VXLAN.
Aperçu
La solution EVPN fournit aux grandes entreprises une structure commune pour gérer leurs réseaux de campus et de centres de données. Une architecture EVPN-VXLAN prend en charge une connectivité réseau efficace de couche 2 et de couche 3 avec évolutivité, simplicité et agilité. La Figure 5 illustre une topologie simplifiée de flux de trafic VXLAN.
Topologie
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security zones security-zone cloud-1 set security zones security-zone dc set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r1 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r2 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r3 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r4 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 policy-set pset1 set security tunnel-inspection vni r1 vni-range 160 to 200 set security tunnel-inspection vni r2 vni-id 155 set security tunnel-inspection vni r3 vni-range 300 to 399 set security tunnel-inspection vni r4 vni-range 100 to 120 set security tunnel-inspection vni v1 vni-range 1 to 100 set security policies from-zone dc to-zone cloud-1 policy p1 match source-address any set security policies from-zone dc to-zone cloud-1 policy p1 match destination-address any set security policies from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan set security policies from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection ins-pf1 set security policies from-zone cloud-1 to-zone dc policy p1 match source-address any set security policies from-zone cloud-1 to-zone dc policy p1 match destination-address any set security policies from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan set security policies from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1 set security policies policy-set pset1 policy pset_p1 match source-address any set security policies policy-set pset1 policy pset_p1 match destination-address any set security policies policy-set pset1 policy pset_p1 match application any set security policies policy-set pset1 policy pset_p1 then permit set security policies default-policy deny-all
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer VXLAN :
Définir des zones de sécurité.
[edit security zones] user@host# set security-zone cloud-1 user@host# set zones security-zone dc
Définir le profil d’inspection du tunnel.
[edit security tunnel-inspection] user@host# set inspection-profile ins-pf1 vxlan vx1 vni r1 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r2 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r3 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r4 user@host# set inspection-profile ins-pf1 vxlan vx1 policy-set pset1 user@host# set vni r1 vni-range 160 to 200 user@host# set vni r2 vni-id 155 user@host# set vni r3 vni-range 300 to 399 user@host# set vni r4 vni-range 100 to 120 user@host# set vni v1 vni-range 1 to 100
Définissez des stratégies de session externe.
[edit security policies] user@host# set from-zone dc to-zone cloud-1 policy p1 match source-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match destination-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan user@host# set from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection profile-1 user@host# set from-zone cloud-1 to-zone dc policy p1 match source-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match destination-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan user@host# set from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1
Définir un ensemble de stratégies.
[edit security policies] user@host# set policy-set pset1 policy pset_p1 match source-address any user@host# set policy-set pset1 policy pset_p1 destination-address any user@host# set policy-set pset1 policy pset_p1 match application any user@host# set policy-set pset1 policy pset_p1 then permit user@host# set default-policy deny-all
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show security policies
from-zone dc to-zone cloud-1 { policy p1 { match { source-address any; destination-address any; application junos-vxlan; } then { permit { tunnel-inspection { ins-pf1; } } } } } from-zone cloud-1 to-zone dc { policy p1 { match { source-address any; destination-address any; application junos-vxlan; } then { permit { tunnel-inspection { ins-pf1; } } } } } policy-set pset1 { policy pset_p1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }
Si vous avez terminé de configurer la fonctionnalité sur votre appareil, passez commit
en mode de configuration.
Vérification
Vérifier les profils d’inspection des tunnels et VNI
But
Vérifiez que le profil d’inspection de tunnel et le VNI sont configurés.
Action
À partir du mode opérationnel, entrez les show security tunnel-inspection profiles ins-pf1
commandes et show security tunnel-inspection vnis
.
user@host> show security tunnel-inspection profiles ins-pf1 node0: -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ins-pf1 Type: VXLAN Vxlan count: 1 Vxlan name: vx1 VNI count: 4 VNI:r1, r2, r3, r4 Policy set: pset1 Inspection level: 1
user@host> show security tunnel-inspection vnis node0: -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 5 VNI name: r1 VNI id count: 1 [160 - 200] VNI name: r2 VNI id count: 1 [155 - 155] VNI name: r3 VNI id count: 1 [300 - 399] VNI name: r4 VNI id count: 1 [100 - 120] VNI name: v1 VNI id count: 1 [1 - 100]
Sens
La sortie indique que la fonctionnalité VXLAN est activée et qu’il n’y a pas de redirections et de réécritures de recherche sécurisées.
Vérifier la fonction de recherche sécurisée
But
Vérifiez que la fonctionnalité de recherche sécurisée est activée pour les solutions de filtrage Web Content Security.
Action
À partir du mode opérationnel, entrez la Show security flow tunnel-inspection statistic
commande pour afficher les statistiques d’inspection du tunnel.
user@host> show security flow tunnel-inspection statistics node0: -------------------------------------------------------------------------- Flow Tunnel-inspection statistics: Tunnel-inspection statistics of FPC4 PIC1: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 269 overlay session close: 269 underlay session active: 0 underlay session create: 566 underlay session close: 566 input packets: 349717 input bytes: 363418345 output packets: 348701 output bytes: 363226339 bypass packets: 501 bypass bytes: 50890 Tunnel-inspection statistics of FPC4 PIC2: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 270 overlay session close: 270 underlay session active: 0 underlay session create: 586 underlay session close: 586 input packets: 194151 input bytes: 200171306 output packets: 193221 output bytes: 199987258 bypass packets: 617 bypass bytes: 92902 Tunnel-inspection statistics of FPC4 PIC3: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 275 overlay session close: 275 underlay session active: 0 underlay session create: 615 underlay session close: 615 input packets: 216486 input bytes: 222875066 output packets: 213827 output bytes: 222460378 bypass packets: 2038 bypass bytes: 270480 Tunnel-inspection statistics summary: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 814 overlay session close: 814 underlay session active: 0 underlay session create: 1767 underlay session close: 1767 input packets: 760354 input bytes: 786464717 output packets: 755749 output bytes: 785673975 bypass packets: 3156 bypass bytes: 414272 node1: -------------------------------------------------------------------------- Flow Tunnel-inspection statistics: Tunnel-inspection statistics of FPC4 PIC1: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 269 overlay session close: 269 underlay session active: 0 underlay session create: 566 underlay session close: 566 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics of FPC4 PIC2: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 270 overlay session close: 270 underlay session active: 0 underlay session create: 586 underlay session close: 586 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics of FPC4 PIC3: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 275 overlay session close: 275 underlay session active: 0 underlay session create: 615 underlay session close: 615 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics summary: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 814 overlay session close: 814 underlay session active: 0 underlay session create: 1767 underlay session close: 1767 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0
Sens
La sortie indique que la fonctionnalité VXLAN est activée et qu’il n’y a pas de redirections et de réécritures de recherche sécurisées.
Activer des politiques de sécurité pour l’inspection des tunnels de flux de paquets de Genève
RÉSUMÉ Utilisez cette configuration pour activer les stratégies de sécurité sur le pare-feu virtuel vSRX 3.0 pour l’inspection des tunnels de flux de paquets de Genève.
Grâce au support de Genève sur les instances du pare-feu virtuel vSRX 3.0, vous pouvez utiliser vSRX3.0 pour :
-
Connectez les terminaux des environnements de campus, de datacenter et de cloud public, et leurs bancs.
-
Sécurisez ces environnements avec une sécurité intégrée.
- Exigences
- Aperçu
- Configuration (pare-feu virtuel vSRX 3.0 comme point de terminaison de tunnel)
- Configuration (pare-feu virtuel vSRX 3.0 en tant que routeur de transit)
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Pare-feu virtuel vSRX 3.0
-
Junos OS version 23.1R1
Avant de commencer :
-
Assurez-vous de bien comprendre le fonctionnement du protocole de Genève.
Aperçu
À l’aide de cette configuration, vous pouvez :
-
Activez les stratégies de sécurité pour traiter les paquets L3 encapsulés dans le tunnel de Genève.
-
Créer des profils distincts pour le trafic Geneve en fonction des attributs VNI et TLV des fournisseurs - La politique, une fois attachée à un profil d’inspection, dicte le type de trafic Geneve à traiter et les politiques à appliquer au trafic interne.
-
Configurez la stratégie de sécurité standard sur le pare-feu virtuel vSRX 3.0 pour appliquer les services L4 et L7 au trafic interne.
Configuration (pare-feu virtuel vSRX 3.0 comme point de terminaison de tunnel)
- Topologie simplifiée du flux de trafic genevois avec AWS GWLB et le pare-feu virtuel vSRX 3.0 comme point de terminaison de tunnel
- Configuration rapide de l’interface de ligne de commande
- Procédure
- Résultats
- Vérifier le profil d’inspection du tunnel et le VNI
- Vérifier le profil d’inspection du tunnel et le VNI
Topologie simplifiée du flux de trafic genevois avec AWS GWLB et le pare-feu virtuel vSRX 3.0 comme point de terminaison de tunnel
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
Définissez une zone d’approbation et de non-approbation pour autoriser tout le trafic de l’hôte.
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor
set security tunnel-inspection vni vni-vendor vni-id 0
set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve
set security policies from-zone vtepc to-zone junos-host policy self match source-address any
set security policies from-zone vtepc to-zone junos-host policy self match destination-address any
set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set ps-vendor policy self match source-address any
set security policies policy-set ps-vendor policy self match destination-address any
set security policies policy-set ps-vendor policy self match application any
set security policies policy-set ps-vendor policy self then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer la prise en charge des flux de Genève pour l’inspection de tunnel sur le pare-feu virtuel vSRX 3.0 :
-
Définissez une zone d’approbation et de non-approbation pour autoriser tout le trafic de l’hôte sous la [edit security zones] hiérarchie.
-
Définissez le
tunnel-inspection
profil.[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
Définissez des stratégies de session externes aux paquets externes et attachez le profil d’inspection de tunnel référencé
Note:Dans la configuration de la stratégie, la
to-zone
stratégie externe en cas de pare-feu virtuel vSRX 3.0 comme point de terminaison de tunnel doit êtrejunos-host
, qui est une zone intégrée (identificateur réservé) pour traiter le trafic.[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
Définissez une stratégie interne sous
policy-set
pour traiter le paquet décapsulé.[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
Configurez l’interface associée au
from-zone
Virtual Tunnel Endpoint Client (VTEPC) pour recevoir les paquets encapsulés à Genève et les paquets de vérification de l’état.[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy dst-nat-pool-access { match { source-address any; destination-address 233.252.0.1/21; application any; } then { permit; } } } from-zone vtepc to-zone junos-host { policy self { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set ps-vendor { policy self { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } vni v1 { vni-id 0; } vni vni-vendor { vni-id 0; }
Une fois que vous avez terminé de configurer la fonctionnalité sur votre appareil, entrez commit
à partir du mode de configuration.
Vérifier le profil d’inspection du tunnel et le VNI
But
Vérifiez que vous avez configuré le tunnel-inspection
profil et l’identifiant réseau VXLAN (VNI).
Action
À partir du mode opérationnel, entrez les show security tunnel-inspection profiles ti-vendor
commandes et show security tunnel-inspection vnis
.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
Sens
La sortie indique que le profil d’inspection du tunnel de Genève est activé et que l’identifiant de réseau VXLAN (VNI) est configuré.
Vérifier le profil d’inspection du tunnel et le VNI
But
Vérifiez que vous avez configuré le tunnel-inspection
profil et l’identifiant réseau VXLAN (VNI).
Action
À partir du mode opérationnel, entrez les show security tunnel-inspection profiles ti-vendor
commandes et show security tunnel-inspection vnis
.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
Sens
La sortie indique que le profil d’inspection du tunnel de Genève est activé et que l’identifiant de réseau VXLAN (VNI) est configuré.
Configuration (pare-feu virtuel vSRX 3.0 en tant que routeur de transit)
- Topologie de flux de trafic de Genève simplifiée Pare-feu virtuel vSRX 3.0 en tant que routeur de transit
- Configuration rapide de l’interface de ligne de commande
- Procédure
- Résultats
Topologie de flux de trafic de Genève simplifiée Pare-feu virtuel vSRX 3.0 en tant que routeur de transit
Dans ce mode de déploiement, le client de point de terminaison de tunnel virtuel (vtepc) (point de terminaison de tunnel de Genève) doit s’assurer que les paquets destinés à la fois au client et au serveur passent par le serveur de point de terminaison de tunnel virtuel (vteps) (pare-feu virtuel vSRX 3.0). Le port source est sélectionné par le point de terminaison de tunnel virtuel (vtep).
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security tunnel-inspection vni r1 vni-range 1 to 100
set security tunnel-inspection vni r1 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1
set security tunnel-inspection vni r2 vni-range 200 to 400
set security tunnel-inspection vni r2 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve
set security policies from-zone vtepc to-zone vteps policy p1 match source-address any
set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any
set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor
set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve
set security policies from-zone vteps to-zone vtepc policy p1 match source-address any
set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any
set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set pset1 policy pset_p1 match source-address any
set security policies policy-set pset1 policy pset_p1 match destination-address any
set security policies policy-set pset1 policy pset_p1 match application any
set security policies policy-set pset1 policy pset_p1 then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer la prise en charge des flux de Genève pour l’inspection de tunnel sur le pare-feu virtuel vSRX 3.0 (pare-feu virtuel vSRX 3.0 en tant que routeur de transit) :
-
Définissez une zone d’approbation et de non-approbation pour autoriser tout le trafic de l’hôte sous la [edit security zones] hiérarchie.
-
Définissez le
tunnel-inspection
profil.[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
Définissez des stratégies de session externe.
Note:Pour utiliser le pare-feu virtuel vSRX 3.0 comme routeur de transit, vous avez besoin de deux stratégies dans chaque direction. Les
from-zone
etto-zone
sont les zones respectives qui doivent être définies sous les interfaces.[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
Définissez une stratégie interne sous
policy-set
pour traiter le paquet décapsulé.[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
Configurez l’interface associée au
from-zone
Virtual Tunnel Endpoint Client (VTEPC) pour recevoir les paquets encapsulés à Genève et les paquets de vérification de l’état.Note:En mode transit, le pare-feu virtuel vSRX 3.0 doit être configuré avec deux interfaces L3 pour l’entrée et la sortie.
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant la show security policies
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } } from-zone vtepc to-zone vteps { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } from-zone vteps to-zone vtepc { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set pset1 { policy pset_p1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }}
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } inspection-profile pro1; vni r1 { vni-id 500; } vni r2 { vni-id 500; } }
Une fois que vous avez terminé de configurer la fonctionnalité sur votre appareil, entrez commit
à partir du mode de configuration.
Voir aussi
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.