Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zones de sécurité

Une zone de sécurité est un ensemble d’un ou plusieurs segments de réseau nécessitant la régulation du trafic entrant et sortant par le biais de stratégies. Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Vous pouvez définir plusieurs zones de sécurité, dont le nombre exact est déterminé en fonction de vos besoins réseau.

Présentation des zones de sécurité

Les interfaces agissent comme une porte d’entrée par laquelle le trafic entre et sort d’un équipement Juniper Networks. De nombreuses interfaces peuvent partager exactement les mêmes exigences de sécurité; cependant, différentes interfaces peuvent également avoir des exigences de sécurité différentes pour les paquets de données entrants et sortants. Les interfaces ayant des exigences de sécurité identiques peuvent être regroupées en une seule zone de sécurité.

Une zone de sécurité est un ensemble d’un ou plusieurs segments de réseau nécessitant la régulation du trafic entrant et sortant par le biais de stratégies.

Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Avec de nombreux types d’équipements Juniper Networks, vous pouvez définir plusieurs zones de sécurité, dont le nombre exact est déterminé en fonction des besoins de votre réseau.

Sur un seul équipement, vous pouvez configurer plusieurs zones de sécurité, en divisant le réseau en segments auxquels vous pouvez appliquer diverses options de sécurité pour répondre aux besoins de chaque segment. Au minimum, vous devez définir deux zones de sécurité, essentiellement pour protéger une zone du réseau de l’autre. Sur certaines plates-formes de sécurité, vous pouvez définir de nombreuses zones de sécurité, ce qui améliore la granularité de votre conception de la sécurité réseau, et ce sans avoir à déployer plusieurs équipements de sécurité.

Du point de vue des stratégies de sécurité, le trafic entre dans une zone de sécurité et s’étend sur une autre zone de sécurité. Cette combinaison d’un from-zone et d’un to-zone est définie comme un contexte. Chaque contexte contient une liste ordonnée de stratégies. Pour plus d’informations sur les stratégies, consultez la présentation des stratégies de sécurité.

Cette rubrique comprend les sections suivantes :

Comprendre les interfaces de zone de sécurité

Une interface pour une zone de sécurité peut être considérée comme une porte à travers laquelle le trafic TCP/IP peut transiter entre cette zone et n’importe quelle autre zone.

Grâce aux stratégies que vous définissez, vous pouvez autoriser le trafic entre les zones à circuler dans une direction ou dans les deux. Avec les routes que vous définissez, vous spécifiez les interfaces que le trafic d’une zone à une autre doit utiliser. Étant donné que vous pouvez lier plusieurs interfaces à une zone, les routes que vous tracez sont importantes pour diriger le trafic vers les interfaces de votre choix.

Une interface peut être configurée avec une adresse IPv4, une adresse IPv6, ou les deux.

Comprendre les zones fonctionnelles

Une zone fonctionnelle est utilisée à des fins spéciales, comme les interfaces de gestion. Actuellement, seule la zone de gestion (MGT) est prise en charge. Les zones de gestion ont les propriétés suivantes :

  • Les zones de gestion hébergent des interfaces de gestion.

  • Le trafic entrant dans les zones de gestion ne correspond pas aux stratégies ; Par conséquent, le trafic ne peut pas transiter hors d’une autre interface s’il a été reçu dans l’interface de gestion.

  • Seules les interfaces de gestion dédiées permettent d’utiliser des zones de gestion.

Comprendre les zones de sécurité

Les zones de sécurité sont les éléments de base des stratégies; ce sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Les zones de sécurité permettent de distinguer les groupes d’hôtes (systèmes utilisateurs et autres hôtes, tels que les serveurs) et leurs ressources les uns des autres afin de leur appliquer différentes mesures de sécurité.

Les zones de sécurité ont les propriétés suivantes :

  • Stratégies : des stratégies de sécurité actives qui appliquent des règles pour le trafic de transit, en termes de trafic pouvant transiter par le pare-feu, et les actions qui doivent être effectuées sur le trafic à mesure qu’il passe par le pare-feu. Pour plus d’informations, consultez la présentation des stratégies de sécurité.

  • Écrans : un pare-feu dynamique de Juniper Networks sécurise un réseau en inspectant, puis en autorisant ou en refusant toutes les tentatives de connexion nécessitant un passage d’une zone de sécurité à une autre. Pour chaque zone de sécurité, vous pouvez activer un ensemble d’options d’écran prédéfinies qui détectent et bloquent divers types de trafic que l’équipement détermine potentiellement nuisibles. Pour plus d’informations, consultez la présentation de reconnaissance de la dissuasion.

  • Carnets d’adresses : adresses IP et jeux d’adresses qui composent un carnet d’adresses afin d’identifier ses membres afin que vous puissiez leur appliquer des stratégies. Les entrées du carnet d’adresses peuvent inclure n’importe quelle combinaison d’adresses IPv4, d’adresses IPv6 et de noms DNS (Domain Name System). Pour plus d’informations, consultez l’exemple : Configuration des carnets d’adresses et des ensembles d’adresses.

  • TCP-RST : lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur RESET (RÉINITIALISATION) lorsque le trafic arrive et qui ne correspond pas à une session existante et ne dispose pas de l’indicateur SYNchronize.

  • Interfaces : liste des interfaces de la zone.

Les zones de sécurité disposent de la zone préconfigurée suivante :

  • Zone de confiance : disponible uniquement dans la configuration en usine et utilisée pour la connexion initiale à l’équipement. Une fois la configuration valide, la zone de confiance peut être remplacée.

Exemple : création de zones de sécurité

Cet exemple montre comment configurer des zones et leur attribuer des interfaces. Lorsque vous configurez une zone de sécurité, vous pouvez spécifier plusieurs de ses paramètres en même temps.

Exigences

Avant de commencer, configurez les interfaces réseau. Consultez le Guide de l’utilisateur des interfaces pour les équipements de sécurité.

Aperçu

Une interface pour une zone de sécurité peut être considérée comme une porte à travers laquelle le trafic TCP/IP peut transiter entre cette zone et n’importe quelle autre zone.

Note:

Par défaut, les interfaces sont dans la zone NULL. Les interfaces ne transitent pas le trafic tant qu’elles n’ont pas été attribuées à une zone.

Note:

Vous pouvez configurer 2 000 interfaces au sein d’une zone de sécurité sur les équipements SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 ou SRX5800, en fonction de la version Junos OS de votre installation.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode (Utilisation de l’éditeur de cli en mode configuration ) dans le guide de l’utilisateur cli.

Pour créer des zones et leur attribuer des interfaces :

  1. Configurez une interface Ethernet et attribuez-lui une adresse IPv4.

  2. Configurez une interface Ethernet et attribuez-lui une adresse IPv6.

  3. Configurez une zone de sécurité et attribuez-la à une interface Ethernet.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show security zones security-zone ABC show interfaces ge-0/0/1 commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Par souci de brièveté, cette show sortie inclut uniquement la configuration pertinente dans cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Résolution des problèmes liés aux journaux

But

Utilisez ces journaux pour identifier les problèmes.

Action

Dans le mode opérationnel, saisissez la show log messages commande et la show log dcd commande.

Services système pris en charge pour le trafic entrant hôte

Cette rubrique décrit les services système pris en charge pour le trafic entrant hôte sur la zone ou l’interface spécifiée.

Prenons l’exemple d’un utilisateur dont le système était connecté à l’interface 203.0.113.4 de la zone ABC et qui souhaitait entrer telnet dans l’interface 198.51.100.4 de la zone ABC. Pour que cette action soit autorisée, l’application Telnet doit être configurée en tant que service entrant autorisé sur les deux interfaces et une stratégie doit autoriser la transmission du trafic.

Reportez-vous à la section Options dans les services système (Zones de sécurité Trafic entrant de l’hôte) pour afficher les services système pouvant être utilisés pour le trafic entrant hôte.

Note:

Sur les passerelles de services SRX Series, le xnm-clear-text champ est activé dans la configuration par défaut définie en usine. Ce paramètre active le trafic du protocole XML Junos entrant dans la zone de confiance de l’équipement lorsque l’équipement fonctionne avec les paramètres par défaut définis en usine. Il est recommandé de remplacer les paramètres par défaut définis en usine par une configuration définie par l’utilisateur qui fournit une sécurité supplémentaire une fois la zone configurée. Vous devez supprimer le xnm-clear-text champ manuellement à l’aide de la commande delete system services xnm-clear-textCLI .

Reportez-vous à la section Options dans les protocoles (interfaces des zones de sécurité) pour afficher les protocoles pris en charge pour le trafic entrant hôte.

Note:

Tous les services (sauf DHCP et BOOTP) peuvent être configurés par zone ou par interface. Un serveur DHCP est configuré uniquement par interface, car l’interface entrante doit être connue par le serveur pour pouvoir envoyer des réponses DHCP.

Note:

Vous n’avez pas besoin de configurer le protocole Neighbor Discovery Protocol (NDP) sur le trafic entrant de l’hôte, car le NDP est activé par défaut.

L’option de configuration du protocole NDP (Neighbor Discovery Protocol) IPv6 est disponible. L’option de configuration est set protocol neighbor-discovery onlink-subnet-only commande. Cette option empêche l’équipement de répondre à une sollicitation de voisinage (NS) à partir d’un préfixe qui n’a pas été inclus comme l’un des préfixes d’interface de l’équipement.

Note:

Après avoir paramétré cette option, le moteur de routage doit être redémarré afin de supprimer toute possibilité qu’une entrée IPv6 antérieure reste dans la table de transfert.

Comprendre comment contrôler le trafic entrant en fonction des types de trafic

Cette rubrique décrit comment configurer des zones afin de spécifier les types de trafic pouvant atteindre l’équipement à partir de systèmes directement connectés à ses interfaces.

Notez ce qui suit :

  • Vous pouvez configurer ces paramètres au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)

  • Vous devez activer tout le trafic entrant de l’hôte attendu. Le trafic entrant destiné à cet équipement est supprimé par défaut.

  • Vous pouvez également configurer les interfaces d'une zone afin qu'elle puisse être utilisée par des protocoles de routage dynamiques.

Cette fonctionnalité vous permet de protéger l’équipement contre les attaques lancées à partir de systèmes directement ou indirectement connectés à l’une de ses interfaces. Il vous permet également de configurer l’équipement de manière sélective afin que les administrateurs puissent le gérer à l’aide de certaines applications sur certaines interfaces. Vous pouvez interdire l’utilisation d’autres applications sur les mêmes ou différentes interfaces d’une zone. Par exemple, il est très probable que vous souhaitiez vous assurer que les utilisateurs extérieurs n’utilisent pas l’application Telnet à partir d’Internet pour se connecter à l’équipement, car vous ne souhaitez pas qu’ils se connectent à votre système.

Exemple : contrôle du trafic entrant en fonction des types de trafic

Cet exemple montre comment configurer le trafic entrant en fonction des types de trafic.

Exigences

Avant de commencer :

Aperçu

En permettant l’exécution des services système, vous pouvez configurer des zones afin de spécifier différents types de trafic pouvant atteindre l’équipement à partir de systèmes directement connectés à ses interfaces. Vous pouvez configurer les différents services système au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)

Vous devez activer tout le trafic entrant de l’hôte attendu. Le trafic entrant provenant des équipements directement connectés aux interfaces de l'équipement est supprimé par défaut.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode (Utilisation de l’éditeur de cli en mode configuration ) dans le guide de l’utilisateur cli.

Pour configurer le trafic entrant en fonction des types de trafic :

  1. Configurez une zone de sécurité.

  2. Configurez la zone de sécurité pour prendre en charge le trafic entrant pour tous les services système.

  3. Configurez les services système Telnet, FTP et SNMP au niveau de l’interface (et non au niveau de la zone) pour la première interface.

  4. Configurez la zone de sécurité pour prendre en charge le trafic entrant pour tous les services système pendant une seconde interface.

  5. Excluez les services du système FTP et HTTP de la deuxième interface.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le . show security zones security-zone ABC Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Résolution des problèmes liés aux journaux

But

Utilisez ces journaux pour identifier les problèmes.

Action

Dans le mode opérationnel, saisissez la show log messages commande et la show log dcd commande.

Comprendre comment contrôler le trafic entrant en fonction de protocoles

Cette rubrique décrit les protocoles système entrants sur la zone ou l’interface spécifiée.

Tout trafic entrant de l’hôte correspondant à un protocole répertorié dans l’option de trafic entrant de l’hôte est autorisé. Par exemple, si, n’importe où dans la configuration, vous mappez un protocole à un numéro de port autre que celui par défaut, vous pouvez spécifier le protocole dans l’option de trafic entrant de l’hôte, et le nouveau numéro de port sera utilisé. Le tableau 1 répertorie les protocoles pris en charge. Une valeur indique all que le trafic provenant de tous les protocoles suivants est autorisé en entrée sur les interfaces spécifiées (de la zone, ou une seule interface spécifiée).

Tableau 1 : Protocoles système entrants pris en charge

Services système pris en charge

Tous

Igmp

Pim

Sap

Bfd

Ldp

Rip

Vrrp

Bgp

msdp

ripng

Nhrp

détection de routeur

dvmrp

Ospf

Rsvp

Pgm

ospf3

   
Note:

Si DVMRP ou PIM est activé pour une interface, le trafic IGMP et MLD entrant dans l’hôte est automatiquement activé. IS-IS utilise l’adressage OSI et ne doit pas générer de trafic IP, il n’existe aucune option de trafic entrant de l’hôte pour le protocole IS-IS.

Note:

Vous n’avez pas besoin de configurer le protocole Neighbor Discovery Protocol (NDP) sur le trafic entrant de l’hôte, car le NDP est activé par défaut.

L’option de configuration du protocole NDP (Neighbor Discovery Protocol) IPv6 est disponible. L’option de configuration est set protocol neighbor-discovery onlink-subnet-only commande. Cette option empêche l’équipement de répondre à une sollicitation de voisinage (NS) à partir d’un préfixe qui n’a pas été inclus comme l’un des préfixes d’interface de l’équipement.

Note:

Après avoir paramétré cette option, le moteur de routage doit être redémarré afin de supprimer toute possibilité qu’une entrée IPv6 antérieure reste dans la table de transfert.

Exemple : contrôle du trafic entrant en fonction des protocoles

Cet exemple montre comment activer le trafic entrant pour une interface.

Exigences

Avant de commencer :

Aperçu

Tout trafic entrant de l’hôte correspondant à un protocole répertorié dans l’option de trafic entrant de l’hôte est autorisé. Par exemple, si, n’importe où dans la configuration, vous mappez un protocole à un numéro de port autre que celui par défaut, vous pouvez spécifier le protocole dans l’option de trafic entrant de l’hôte, et le nouveau numéro de port sera utilisé.

Une valeur indique all que le trafic provenant de tous les protocoles est autorisé entrant sur les interfaces spécifiées (de la zone, ou une seule interface spécifiée).

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode (Utilisation de l’éditeur de cli en mode configuration ) dans le guide de l’utilisateur cli.

Pour configurer le trafic entrant en fonction des protocoles :

  1. Configurez une zone de sécurité.

  2. Configurez la zone de sécurité pour prendre en charge le trafic entrant en fonction du protocole ospf pour une interface.

  3. Configurez la zone de sécurité pour prendre en charge le trafic entrant en fonction du protocole ospf3 pour une interface.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le . show security zones security-zone ABC Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Résolution des problèmes liés aux journaux

But

Utilisez ces journaux pour identifier les problèmes.

Action

Dans le mode opérationnel, saisissez la show log messages commande et la show log dcd commande.

Exemple : Configuration du paramètre de réinitialisation TCP

Cet exemple montre comment configurer le paramètre TCP-Reset pour une zone.

Exigences

Avant de commencer, configurez les zones de sécurité. Voir l’exemple : création de zones de sécurité.

Aperçu

Lorsque la fonction de paramètres TCP-Reset est activée, le système envoie un segment TCP avec l’indicateur RESET lorsque le trafic arrive et qui ne correspond pas à une session existante et ne dispose pas du flag SYN.

Configuration

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode (Utilisation de l’éditeur de cli en mode configuration ) dans le guide de l’utilisateur cli.

Pour configurer le paramètre TCP-Reset pour une zone :

  1. Configurez une zone de sécurité.

  2. Configurez le paramètre TCP-Reset pour la zone.

  3. Si vous avez terminé la configuration de l’unité, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show security zones commande.