SUR CETTE PAGE
Services système pris en charge pour le trafic entrant de l’hôte
Comprendre comment contrôler le trafic entrant en fonction des types de trafic
Exemple : Contrôle du trafic entrant en fonction des types de trafic
Comprendre comment contrôler le trafic entrant en fonction de protocoles
Exemple : Contrôle du trafic entrant en fonction de protocoles
Comportement de création de zones de sécurité spécifiques à la plate-forme
Zones de sécurité
Une zone de sécurité est un ensemble d’un ou plusieurs segments de réseau nécessitant la régulation du trafic entrant et sortant par le biais de stratégies. Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Vous pouvez définir plusieurs zones de sécurité, dont vous déterminez le nombre exact en fonction de vos besoins réseau.
Vue d’ensemble des zones de sécurité
Les interfaces agissent comme une porte par laquelle le trafic entre et sort d’un équipement Juniper Networks. De nombreuses interfaces peuvent partager exactement les mêmes exigences de sécurité. Toutefois, différentes interfaces peuvent également avoir des exigences de sécurité différentes pour les paquets de données entrants et sortants. Les interfaces ayant des exigences de sécurité identiques peuvent être regroupées dans une seule zone de sécurité.
Une zone de sécurité est un ensemble d’un ou plusieurs segments de réseau nécessitant la régulation du trafic entrant et sortant par le biais de stratégies.
Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Avec de nombreux types d’équipements Juniper Networks, vous pouvez définir plusieurs zones de sécurité, dont vous déterminez le nombre exact en fonction de vos besoins réseau.
Sur un même équipement, vous pouvez configurer plusieurs zones de sécurité, divisant le réseau en segments auxquels vous pouvez appliquer différentes options de sécurité pour répondre aux besoins de chaque segment. Au minimum, vous devez définir deux zones de sécurité, essentiellement pour protéger une zone du réseau de l’autre. Sur certaines plates-formes de sécurité, vous pouvez définir plusieurs zones de sécurité, ce qui permet d’affiner la conception de la sécurité de votre réseau, le tout sans déployer plusieurs appliances de sécurité à cet effet.
Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et sort sur une autre zone de sécurité. Cette combinaison de a from-zone et a to-zone est définie comme un contexte. Chaque contexte contient une liste ordonnée de stratégies. Pour plus d’informations sur les stratégies, consultez Présentation des stratégies de sécurité.
Cette rubrique comprend les sections suivantes :
- Comprendre les interfaces de zone de sécurité
- Comprendre les zones fonctionnelles
- Comprendre les zones de sécurité
Comprendre les interfaces de zone de sécurité
L’interface d’une zone de sécurité peut être considérée comme une porte d’entrée par laquelle le trafic TCP/IP peut passer entre cette zone et n’importe quelle autre zone.
Grâce aux stratégies que vous définissez, vous pouvez autoriser le trafic entre les zones à s’écouler dans un sens ou dans les deux. Avec les routes que vous définissez, vous spécifiez les interfaces que le trafic d’une zone à une autre doit utiliser. Étant donné que vous pouvez lier plusieurs interfaces à une zone, les itinéraires que vous tracez sont importants pour diriger le trafic vers les interfaces de votre choix.
Une interface peut être configurée avec une adresse IPv4, une adresse IPv6 ou les deux.
Comprendre les zones fonctionnelles
Une zone fonctionnelle est utilisée à des fins spéciales, telles que les interfaces de gestion. Actuellement, seule la zone de gestion (MGT) est prise en charge. Les zones de gestion ont les propriétés suivantes :
Zones de gestion, interfaces de gestion de l’hôte.
Le trafic entrant dans les zones de gestion ne correspond pas aux stratégies. Par conséquent, le trafic ne peut pas sortir d’une autre interface s’il a été reçu dans l’interface de gestion.
Les zones de gestion ne peuvent être utilisées que pour des interfaces de gestion dédiées.
Comprendre les zones de sécurité
Les zones de sécurité sont les éléments constitutifs des stratégies. Il s’agit d’entités logiques auxquelles une ou plusieurs interfaces sont liées. Les zones de sécurité permettent de distinguer les groupes d’hôtes (systèmes utilisateurs et autres hôtes, tels que les serveurs) et leurs ressources les uns des autres afin de leur appliquer différentes mesures de sécurité.
Les zones de sécurité ont les propriétés suivantes :
Stratégies : stratégies de sécurité actives qui appliquent des règles pour le trafic de transit, en termes de trafic pouvant passer à travers le pare-feu et d’actions qui doivent être effectuées sur le trafic lorsqu’il traverse le pare-feu. Pour plus d’informations, consultez Présentation des stratégies de sécurité.
Écrans : un pare-feu dynamique de Juniper Networks sécurise un réseau en inspectant, puis en autorisant ou en refusant toutes les tentatives de connexion nécessitant le passage d’une zone de sécurité à une autre. Pour chaque zone de sécurité, vous pouvez activer un ensemble d’options d’écran prédéfinies qui détectent et bloquent les différents types de trafic que l’appareil juge potentiellement dangereux. Pour plus d’informations, voir Présentation de la dissuasion de reconnaissance.
Carnets d’adresses : adresses IP et ensembles d’adresses qui composent un carnet d’adresses pour identifier ses membres et leur appliquer des stratégies. Les entrées du carnet d’adresses peuvent inclure n’importe quelle combinaison d’adresses IPv4, d’adresses IPv6 et de noms DNS (Domain Name System). Pour plus d’informations, reportez-vous à la section Exemple : configuration de carnets d’adresses et de jeux d’adresses.
TCP-RST : lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur RESET défini à l’arrivée du trafic qui ne correspond pas à une session existante et pour lequel l’indicateur SYNchronize n’est pas défini.
Interfaces : liste des interfaces de la zone.
Les zones de sécurité ont la zone préconfigurée suivante :
Zone de confiance : disponible uniquement dans la configuration d’usine et utilisée pour la connexion initiale à l’appareil. Une fois que vous avez validé une configuration, la zone de confiance peut être remplacée.
Exemple : Création de zones de sécurité
Cet exemple montre comment configurer des zones et leur affecter des interfaces. Lorsque vous configurez une zone de sécurité, vous pouvez spécifier plusieurs de ses paramètres en même temps.
Exigences
Avant de commencer, configurez les interfaces réseau. Reportez-vous au Guide de l’utilisateur des interfaces pour les dispositifs de sécurité.
Aperçu
L’interface d’une zone de sécurité peut être considérée comme une porte d’entrée par laquelle le trafic TCP/IP peut passer entre cette zone et n’importe quelle autre zone.
Par défaut, les interfaces se trouvent dans la zone nulle. Les interfaces ne transmettent pas le trafic tant qu’elles n’ont pas été affectées à une zone.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour créer des zones et leur attribuer des interfaces :
Configurez une interface Ethernet et attribuez-lui une adresse IPv4.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Configurez une interface Ethernet et attribuez-lui une adresse IPv6.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Configurez une zone de sécurité et attribuez-la à une interface Ethernet.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Résultats
En mode configuration, confirmez votre configuration en entrant les show security zones security-zone ABC commandes and show interfaces ge-0/0/1 . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de concision, cette show sortie inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Services système pris en charge pour le trafic entrant de l’hôte
Cette rubrique décrit les services système pris en charge pour le trafic entrant de l’hôte sur la zone ou l’interface spécifiée.
Par exemple, supposons qu’un utilisateur dont le système est connecté à l’interface 203.0.113.4 dans la zone ABC veuille passer au telnet dans l’interface 198.51.100.4 dans la zone ABC. Pour que cette action soit autorisée, l’application Telnet doit être configurée en tant que service entrant autorisé sur les deux interfaces et une stratégie doit autoriser la transmission du trafic.
Reportez-vous à la section Options de System-Services (Zones de sécurité, Trafic entrant hôte) pour afficher les services système qui peuvent être utilisés pour le trafic entrant de l’hôte.
Le xnm-clear-text champ est activé dans la configuration d’usine par défaut. Ce paramètre active le trafic entrant du protocole XML Junos dans la zone de confiance de l’équipement lorsque celui-ci fonctionne avec les paramètres d’usine par défaut. Nous vous recommandons de remplacer les paramètres d’usine par défaut par une configuration définie par l’utilisateur qui offre une sécurité supplémentaire une fois le boîtier configuré. Vous devez supprimer le xnm-clear-text champ manuellement à l’aide de la commande delete system services xnm-clear-textCLI .
Reportez-vous à la section Options de la section Protocoles (zones de sécurité, interfaces) pour afficher les protocoles pris en charge qui peuvent être utilisés pour le trafic entrant de l’hôte.
Tous les services (à l’exception de DHCP et BOOTP) peuvent être configurés par zone ou par interface. Un serveur DHCP n’est configuré que par interface, car l’interface entrante doit être connue du serveur pour pouvoir envoyer des réponses DHCP.
Vous n’avez pas besoin de configurer le protocole NDP (Neighbor Discovery Protocol) sur le trafic entrant de l’hôte, car le NDP est activé par défaut.
L’option de configuration du protocole NDP (Neighbor Discovery Protocol) IPv6 est disponible. L’option de configuration est set protocol neighbor-discovery onlink-subnet-only commande. Cette option empêchera l’appareil de répondre à une sollicitation de voisinage (NS) à partir d’un préfixe qui n’a pas été inclus comme l’un des préfixes d’interface de périphérique.
Le moteur de routage doit être redémarré après avoir défini cette option pour supprimer toute possibilité qu’une entrée IPv6 précédente reste dans la table de transfert.
Comprendre comment contrôler le trafic entrant en fonction des types de trafic
Cette rubrique explique comment configurer des zones pour spécifier les types de trafic pouvant atteindre l’équipement à partir de systèmes directement connectés à ses interfaces.
Notez les points suivants :
Vous pouvez configurer ces paramètres au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone, ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)
Vous devez activer tout le trafic entrant de l’hôte attendu. Le trafic entrant destiné à cet équipement est abandonné par défaut.
Vous pouvez également configurer les interfaces d'une zone pour qu'elles puissent être utilisées par des protocoles de routage dynamiques.
Cette fonctionnalité vous permet de protéger l’appareil contre les attaques lancées à partir de systèmes directement ou indirectement connectés à l’une de ses interfaces. Il vous permet également de configurer l’appareil de manière sélective afin que les administrateurs puissent le gérer à l’aide de certaines applications sur certaines interfaces. Vous pouvez interdire l’utilisation d’autres applications sur la même interface ou sur des interfaces différentes d’une zone. Par exemple, vous voudrez probablement vous assurer que les personnes extérieures n’utilisent pas l’application Telnet à partir d’Internet pour se connecter à l’appareil, car vous ne voudriez pas qu’ils se connectent à votre système.
Exemple : Contrôle du trafic entrant en fonction des types de trafic
Cet exemple montre comment configurer le trafic entrant en fonction des types de trafic.
Exigences
Avant de commencer :
Configurez les interfaces réseau. Reportez-vous au Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Comprendre les types de trafic entrant. Reportez-vous à la section Comprendre comment contrôler le trafic entrant en fonction des types de trafic.
Aperçu
En autorisant l’exécution des services système, vous pouvez configurer des zones pour spécifier différents types de trafic pouvant atteindre l’équipement à partir de systèmes directement connectés à ses interfaces. Vous pouvez configurer les différents services système au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone, ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)
Vous devez activer tout le trafic entrant de l’hôte attendu. Le trafic entrant provenant d'appareils directement connectés aux interfaces de ces appareils est abandonné par défaut.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer le trafic entrant en fonction des types de trafic :
Configurez une zone de sécurité.
[edit] user@host# edit security zones security-zone ABC
Configurez la zone de sécurité afin qu’elle prenne en charge le trafic entrant pour tous les services système.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Configurez les services système Telnet, FTP et SNMP au niveau de l’interface (et non au niveau de la zone) de la première interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Configurez la zone de sécurité afin qu’elle prenne en charge le trafic entrant pour tous les services système pour une deuxième interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Excluez les services système FTP et HTTP de la deuxième interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant le show security zones security-zone ABCfichier . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Comprendre comment contrôler le trafic entrant en fonction de protocoles
Cette rubrique décrit les protocoles système entrants sur la zone ou l’interface spécifiée.
Tout trafic entrant de l’hôte correspondant à un protocole répertorié sous l’option trafic entrant de l’hôte est autorisé. Par exemple, si n’importe où dans la configuration, vous mappez un protocole à un numéro de port autre que le numéro par défaut, vous pouvez spécifier le protocole dans l’option de trafic entrant de l’hôte, et le nouveau numéro de port sera utilisé. Le Tableau 1 répertorie les protocoles pris en charge. La valeur de indique all que le trafic provenant de tous les protocoles suivants est autorisé à entrer sur les interfaces spécifiées (de la zone ou d’une seule interface spécifiée).
Services système pris en charge |
|||
|---|---|---|---|
tout |
Igmp |
Pim |
sève |
Bfd |
Ldp |
déchirer |
VRRP (en anglais) |
Bgp |
Le MSDP |
Ripng |
NHRP (en anglais seulement) |
routeur-découverte |
DVMRP |
Ospf |
Rsvp |
pgm (en anglais) |
OSPF3 |
||
Si DVMRP ou PIM est activé pour une interface, le trafic entrant IGMP et MLD est activé automatiquement. Étant donné qu’IS-IS utilise l’adressage OSI et ne doit pas générer de trafic IP, il n’existe pas d’option de trafic entrant hôte pour le protocole IS-IS.
Vous n’avez pas besoin de configurer le protocole NDP (Neighbor Discovery Protocol) sur le trafic entrant de l’hôte, car le NDP est activé par défaut.
L’option de configuration du protocole NDP (Neighbor Discovery Protocol) IPv6 est disponible. L’option de configuration est set protocol neighbor-discovery onlink-subnet-only commande. Cette option empêchera l’appareil de répondre à une sollicitation de voisinage (NS) à partir d’un préfixe qui n’a pas été inclus comme l’un des préfixes d’interface de périphérique.
Le moteur de routage doit être redémarré après avoir défini cette option pour supprimer toute possibilité qu’une entrée IPv6 précédente reste dans la table de transfert.
Exemple : Contrôle du trafic entrant en fonction de protocoles
Cet exemple montre comment activer le trafic entrant pour une interface.
Exigences
Avant de commencer :
Configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Configurez les interfaces réseau. Reportez-vous au Guide de l’utilisateur des interfaces pour les dispositifs de sécurité.
Aperçu
Tout trafic entrant de l’hôte correspondant à un protocole répertorié sous l’option trafic entrant de l’hôte est autorisé. Par exemple, si, n’importe où dans la configuration, vous mappez un protocole à un numéro de port autre que le numéro par défaut, vous pouvez spécifier le protocole dans l’option de trafic entrant de l’hôte, et le nouveau numéro de port sera utilisé.
La valeur de indique all que le trafic de tous les protocoles est autorisé à entrer sur les interfaces spécifiées (de la zone ou d’une seule interface spécifiée).
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer le trafic entrant en fonction des protocoles :
Configurez une zone de sécurité.
[edit] user@host# edit security zones security-zone ABC
Configurez la zone de sécurité pour qu’elle prenne en charge le trafic entrant en fonction du protocole ospf d’une interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Configurez la zone de sécurité pour qu’elle prenne en charge le trafic entrant en fonction du protocole ospf3 d’une interface.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant le show security zones security-zone ABCfichier . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Exemple : configuration du paramètre TCP-reset
Cet exemple montre comment configurer le paramètre TCP-Reset pour une zone.
Exigences
Avant de commencer, configurez les zones de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Aperçu
Lorsque la fonction de paramètre TCP-Reset est activée, le système envoie un segment TCP avec l’indicateur RESET défini à l’arrivée du trafic qui ne correspond pas à une session existante et pour lequel l’indicateur SYN n’est pas défini.
Configuration
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le guide de l’utilisateur CLI.
Pour configurer le paramètre TCP-Reset d’une zone :
Configurez une zone de sécurité.
[edit] user@host# edit security zones security-zone ABC
Configurez le paramètre TCP-Reset pour la zone.
[edit security zones security-zone ABC] user@host# set tcp-rst
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security zones commande.
Comportement de création de zones de sécurité spécifiques à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour examiner le comportement spécifique à votre plate-forme :
| Plateforme |
Différence |
|---|---|
| SRX Series |
|