SUR CETTE PAGE
Services système pris en charge pour le trafic entrant de l’hôte
Comprendre comment contrôler le trafic entrant en fonction des types de trafic
Exemple : Contrôle du trafic entrant en fonction des types de trafic
Comprendre comment contrôler le trafic entrant en fonction des protocoles
Exemple : Contrôle du trafic entrant en fonction de protocoles
Zones de sécurité
Une zone de sécurité est un ensemble d’un ou plusieurs segments de réseau nécessitant la régulation du trafic entrant et sortant par le biais de stratégies. Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Vous pouvez définir plusieurs zones de sécurité, dont vous déterminez le nombre exact en fonction des besoins de votre réseau.
Vue d’ensemble des zones de sécurité
Les interfaces agissent comme une porte par laquelle le trafic entre et sort d’un équipement Juniper Networks. De nombreuses interfaces peuvent partager exactement les mêmes exigences de sécurité. Toutefois, différentes interfaces peuvent également avoir des exigences de sécurité différentes pour les paquets de données entrants et sortants. Des interfaces ayant des exigences de sécurité identiques peuvent être regroupées dans une seule zone de sécurité.
Une zone de sécurité est un ensemble d’un ou plusieurs segments de réseau nécessitant la régulation du trafic entrant et sortant par le biais de stratégies.
Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Avec de nombreux types de périphériques Juniper Networks, vous pouvez définir plusieurs zones de sécurité dont vous déterminez le nombre exact en fonction de vos besoins réseau.
Sur un même équipement, vous pouvez configurer plusieurs zones de sécurité, en divisant le réseau en segments auxquels vous pouvez appliquer différentes options de sécurité pour répondre aux besoins de chaque segment. Au minimum, vous devez définir deux zones de sécurité, essentiellement pour protéger une zone du réseau de l’autre. Sur certaines plates-formes de sécurité, vous pouvez définir de nombreuses zones de sécurité, ce qui permet d’affiner la conception de la sécurité de votre réseau, le tout sans avoir à déployer plusieurs appliances de sécurité à cet effet.
Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et sort dans une autre zone de sécurité. Cette combinaison de a from-zone
et a to-zone
est définie comme un contexte. Chaque contexte contient une liste ordonnée de stratégies. Pour plus d’informations sur les stratégies, consultez Vue d’ensemble des stratégies de sécurité.
Cette rubrique comprend les sections suivantes :
- Comprendre les interfaces de zone de sécurité
- Comprendre les zones fonctionnelles
- Comprendre les zones de sécurité
Comprendre les interfaces de zone de sécurité
L’interface d’une zone de sécurité peut être considérée comme une porte par laquelle le trafic TCP/IP peut passer entre cette zone et n’importe quelle autre zone.
Grâce aux stratégies que vous définissez, vous pouvez autoriser le trafic entre les zones à s’écouler dans une direction ou dans les deux. Avec les routes que vous définissez, vous spécifiez les interfaces que le trafic d’une zone à une autre doit utiliser. Étant donné que vous pouvez lier plusieurs interfaces à une zone, les itinéraires que vous tracez sont importants pour diriger le trafic vers les interfaces de votre choix.
Une interface peut être configurée avec une adresse IPv4, une adresse IPv6 ou les deux.
Comprendre les zones fonctionnelles
Une zone fonctionnelle est utilisée à des fins particulières, telles que les interfaces de gestion. Actuellement, seule la zone de gestion (MGT) est prise en charge. Les zones de gestion ont les propriétés suivantes :
Zones de gestion, interfaces de gestion des hôtes.
Le trafic entrant dans les zones de gestion ne correspond pas aux stratégies. Par conséquent, le trafic ne peut pas sortir d’une autre interface s’il a été reçu dans l’interface de gestion.
Les zones de gestion ne peuvent être utilisées que pour des interfaces de gestion dédiées.
Comprendre les zones de sécurité
Les zones de sécurité sont les éléments constitutifs des politiques. Il s’agit d’entités logiques auxquelles sont liées une ou plusieurs interfaces. Les zones de sécurité permettent de distinguer les groupes d’hôtes (systèmes utilisateurs et autres hôtes, tels que les serveurs) et leurs ressources les uns des autres afin de leur appliquer différentes mesures de sécurité.
Les zones de sécurité ont les propriétés suivantes :
Stratégies : stratégies de sécurité actives qui appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer à travers le pare-feu et d’actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu. Pour plus d’informations, consultez Vue d’ensemble des stratégies de sécurité.
Écrans : un pare-feu dynamique de Juniper Networks sécurise un réseau en inspectant, puis en autorisant ou en refusant toutes les tentatives de connexion nécessitant le passage d’une zone de sécurité à une autre. Pour chaque zone de sécurité, vous pouvez activer un ensemble d’options d’écran prédéfinies qui détectent et bloquent les différents types de trafic que l’appareil juge potentiellement dangereux. Pour plus d’informations, voir Vue d’ensemble de la dissuasion de reconnaissance.
Carnets d’adresses : adresses IP et ensembles d’adresses qui composent un carnet d’adresses pour identifier ses membres afin que vous puissiez leur appliquer des stratégies. Les entrées du carnet d’adresses peuvent inclure n’importe quelle combinaison d’adresses IPv4, d’adresses IPv6 et de noms DNS (Domain Name System). Pour plus d’informations, reportez-vous à la rubrique Exemple : configuration des carnets d’adresses et des ensembles d’adresses.
TCP-RST : lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur RESET défini à l’arrivée du trafic qui ne correspond pas à une session existante et pour lequel l’indicateur SYNchronize n’est pas défini.
Interfaces : liste des interfaces de la zone.
Les zones de sécurité ont la zone préconfigurée suivante :
Zone de confiance : disponible uniquement dans la configuration d’usine et utilisée pour la connexion initiale à l’appareil. Une fois que vous avez validé une configuration, la zone de confiance peut être remplacée.
Exemple : Création de zones de sécurité
Cet exemple montre comment configurer des zones et leur attribuer des interfaces. Lorsque vous configurez une zone de sécurité, vous pouvez spécifier plusieurs de ses paramètres en même temps.
Exigences
Avant de commencer, configurez les interfaces réseau. Reportez-vous au Guide d’utilisation des interfaces pour les équipements de sécurité.
Aperçu
L’interface d’une zone de sécurité peut être considérée comme une porte par laquelle le trafic TCP/IP peut passer entre cette zone et n’importe quelle autre zone.
Par défaut, les interfaces sont dans la zone nulle. Les interfaces ne transmettent pas le trafic tant qu’elles n’ont pas été affectées à une zone.
Vous pouvez configurer 2000 interfaces au sein d’une zone de sécurité sur des périphériques SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 ou SRX5800, en fonction de la version Junos OS de votre installation.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour créer des zones et leur attribuer des interfaces, procédez comme suit :
Configurez une interface Ethernet et attribuez-lui une adresse IPv4.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Configurez une interface Ethernet et attribuez-lui une adresse IPv6.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Configurez une zone de sécurité et attribuez-la à une interface Ethernet.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security zones security-zone ABC
commandes et show interfaces ge-0/0/1
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette show
sortie inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit] user@host# show security zones security-zone ABC ... interfaces { ge-0/0/1.0 { ... } } [edit] user@host# show interfaces ge-0/0/1 ... unit 0 { family inet { address 203.0.113.1/24; } family inet6 { address 2001:db8:1::1/64; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Services système pris en charge pour le trafic entrant de l’hôte
Cette rubrique décrit les services système pris en charge pour le trafic entrant de l’hôte sur la zone ou l’interface spécifiée.
Par exemple, supposons qu’un utilisateur dont le système a été connecté à l’interface 203.0.113.4
dans la zone ABC
veuille se connecter à l’interface 198.51.100.4
dans la zone ABC
. Pour que cette action soit autorisée, l’application Telnet doit être configurée en tant que service entrant autorisé sur les deux interfaces et une stratégie doit autoriser la transmission du trafic.
Reportez-vous à la section Options dans system-services (Security Zones Host Inbound Traffic) pour afficher les services système qui peuvent être utilisés pour le trafic entrant de l’hôte.
Sur les pare-feu SRX Series, le xnm-clear-text
champ est activé dans la configuration d’usine par défaut. Ce paramètre active le trafic entrant du protocole XML Junos dans la zone de confiance du périphérique lorsque celui-ci fonctionne avec les paramètres d’usine par défaut. Nous vous recommandons de remplacer les paramètres d’usine par défaut par une configuration définie par l’utilisateur qui offre une sécurité supplémentaire une fois le boîtier configuré. Vous devez supprimer le xnm-clear-text
champ manuellement à l’aide de la commande delete system services xnm-clear-text
CLI .
Reportez-vous à la section Options des protocoles (Interfaces des zones de sécurité) pour afficher les protocoles pris en charge qui peuvent être utilisés pour le trafic entrant de l’hôte.
Tous les services (à l’exception de DHCP et BOOTP) peuvent être configurés par zone ou par interface. Un serveur DHCP n’est configuré que par interface, car l’interface entrante doit être connue du serveur pour pouvoir envoyer des réponses DHCP.
Vous n’avez pas besoin de configurer le protocole NDP (Neighbor Discovery Protocol) sur le trafic entrant de l’hôte, car le NDP est activé par défaut.
L’option de configuration pour le protocole NDP (Neighbor Discovery Protocol) IPv6 est disponible. L’option de configuration est set protocol neighbor-discovery onlink-subnet-only
commande. Cette option empêchera l’appareil de répondre à une sollicitation de voisinage (NS) à partir d’un préfixe qui n’a pas été inclus comme l’un des préfixes d’interface de périphérique.
Le moteur de routage doit être redémarré après avoir défini cette option pour supprimer toute possibilité qu’une entrée IPv6 précédente reste dans la table de transfert.
Comprendre comment contrôler le trafic entrant en fonction des types de trafic
Cette rubrique explique comment configurer des zones pour spécifier les types de trafic qui peuvent atteindre l’équipement à partir de systèmes directement connectés à ses interfaces.
Notez les points suivants :
Vous pouvez configurer ces paramètres au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone, ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)
Vous devez activer tout le trafic entrant prévu sur l’hôte. Le trafic entrant destiné à cet équipement est abandonné par défaut.
Vous pouvez également configurer les interfaces d'une zone pour permettre l'utilisation de protocoles de routage dynamiques.
Cette fonctionnalité vous permet de protéger l’appareil contre les attaques lancées à partir de systèmes directement ou indirectement connectés à l’une de ses interfaces. Il vous permet également de configurer l’appareil de manière sélective afin que les administrateurs puissent le gérer à l’aide de certaines applications sur certaines interfaces. Vous pouvez interdire l’utilisation d’autres applications sur la même interface ou sur des interfaces différentes d’une zone. Par exemple, vous voudrez probablement vous assurer que les personnes extérieures n’utilisent pas l’application Telnet à partir d’Internet pour se connecter à l’appareil, car vous ne voudriez pas qu’elles se connectent à votre système.
Exemple : Contrôle du trafic entrant en fonction des types de trafic
Cet exemple montre comment configurer le trafic entrant en fonction des types de trafic.
Exigences
Avant de commencer :
Configurez les interfaces réseau. Reportez-vous au Guide d’utilisation des interfaces pour les équipements de sécurité.
Comprendre les types de trafic entrant. Reportez-vous à la section Comprendre comment contrôler le trafic entrant en fonction des types de trafic.
Aperçu
En autorisant l’exécution des services système, vous pouvez configurer des zones pour spécifier différents types de trafic pouvant atteindre l’équipement à partir de systèmes directement connectés à ses interfaces. Vous pouvez configurer les différents services système au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone, ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)
Vous devez activer tout le trafic entrant prévu sur l’hôte. Le trafic entrant des appareils directement connectés aux interfaces des appareils est abandonné par défaut.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer le trafic entrant en fonction des types de trafic :
Configurez une zone de sécurité.
[edit] user@host# edit security zones security-zone ABC
Configurez la zone de sécurité pour qu’elle prenne en charge le trafic entrant pour tous les services système.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Configurez les services système Telnet, FTP et SNMP au niveau de l’interface (et non au niveau de la zone) pour la première interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Configurez la zone de sécurité afin qu’elle prenne en charge le trafic entrant pour tous les services système d’une deuxième interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Excluez les services système FTP et HTTP de la deuxième interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant le show security zones security-zone ABC
fichier . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security zones security-zone ABC host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.3 { host-inbound-traffic { system-services { ftp; telnet; snmp; } } } ge-0/0/1.0 { host-inbound-traffic { system-services { all; ftp { except; } http { except; } } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Comprendre comment contrôler le trafic entrant en fonction des protocoles
Cette rubrique décrit les protocoles système entrants sur la zone ou l’interface spécifiée.
Tout trafic entrant hôte correspondant à un protocole répertorié sous l’option trafic entrant hôte est autorisé. Par exemple, si n’importe où dans la configuration, vous mappez un protocole à un numéro de port autre que le numéro par défaut, vous pouvez spécifier le protocole dans l’option de trafic entrant de l’hôte, et le nouveau numéro de port sera utilisé. Le Tableau 1 répertorie les protocoles pris en charge. La valeur de all
indique que le trafic provenant de tous les protocoles suivants est autorisé à entrer sur les interfaces spécifiées (de la zone ou d’une seule interface spécifiée).
Services système pris en charge |
|||
---|---|---|---|
Tous |
Igmp |
Pim |
Sap |
Bfd |
Ldp |
Rip |
Vrrp |
Bgp |
MSDP (en anglais) |
ripng |
Nhrp |
découverte de routeur |
DVMRP (en anglais) |
Ospf |
Rsvp |
Pgm |
OSPF3 |
Si DVMRP ou PIM est activé pour une interface, le trafic entrant IGMP et MLD est activé automatiquement. Étant donné qu’IS-IS utilise l’adressage OSI et ne doit pas générer de trafic IP, il n’existe pas d’option de trafic entrant hôte pour le protocole IS-IS.
Vous n’avez pas besoin de configurer le protocole NDP (Neighbor Discovery Protocol) sur le trafic entrant de l’hôte, car le NDP est activé par défaut.
L’option de configuration pour le protocole NDP (Neighbor Discovery Protocol) IPv6 est disponible. L’option de configuration est set protocol neighbor-discovery onlink-subnet-only
commande. Cette option empêchera l’appareil de répondre à une sollicitation de voisinage (NS) à partir d’un préfixe qui n’a pas été inclus comme l’un des préfixes d’interface de périphérique.
Le moteur de routage doit être redémarré après avoir défini cette option pour supprimer toute possibilité qu’une entrée IPv6 précédente reste dans la table de transfert.
Exemple : Contrôle du trafic entrant en fonction de protocoles
Cet exemple montre comment activer le trafic entrant pour une interface.
Exigences
Avant de commencer :
Configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez les interfaces réseau. Reportez-vous au Guide d’utilisation des interfaces pour les équipements de sécurité.
Aperçu
Tout trafic entrant hôte correspondant à un protocole répertorié sous l’option trafic entrant hôte est autorisé. Par exemple, si n’importe où dans la configuration vous mappez un protocole à un numéro de port autre que le numéro par défaut, vous pouvez spécifier le protocole dans l’option de trafic entrant de l’hôte, et le nouveau numéro de port sera utilisé.
La valeur de all
indique que le trafic de tous les protocoles est autorisé à entrer sur les interfaces spécifiées (de la zone ou d’une seule interface spécifiée).
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer le trafic entrant en fonction des protocoles :
Configurez une zone de sécurité.
[edit] user@host# edit security zones security-zone ABC
Configurez la zone de sécurité pour qu’elle prenne en charge le trafic entrant en fonction du protocole ospf d’une interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Configurez la zone de sécurité pour qu’elle prenne en charge le trafic entrant en fonction du protocole ospf3 d’une interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant le show security zones security-zone ABC
fichier . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show security zones security-zone ABC interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { ospf; ospf3; } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Exemple : Configuration du paramètre TCP-Reset
Cet exemple montre comment configurer le paramètre TCP-Reset pour une zone.
Exigences
Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Aperçu
Lorsque la fonction de paramètre TCP-Reset est activée, le système envoie un segment TCP avec l’indicateur RESET défini à l’arrivée du trafic qui ne correspond pas à une session existante et dont l’indicateur SYN n’est pas défini.
Configuration
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la façon de procéder, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer le paramètre TCP-Reset d’une zone :
Configurez une zone de sécurité.
[edit] user@host# edit security zones security-zone ABC
Configurez le paramètre TCP-Reset pour la zone.
[edit security zones security-zone ABC] user@host# set tcp-rst
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security zones
commande.