Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre les ensembles de zones

Les zones de sécurité sont les éléments constitutifs des politiques ; Il s’agit d’entités logiques auxquelles une ou plusieurs interfaces sont liées. Sécurité zones permettent de distinguer les groupes d’hôtes (systèmes utilisateurs et serveurs) et leurs ressources les uns des autres afin de leur appliquer des mesures de sécurité différentes.

Un ensemble de zones est un regroupement d’au moins deux zones dans un réseau visant à réguler et sécuriser le trafic via la plate-forme de sécurité exécutant Junos OS. Avec la sécurité basée sur les zones, vous pouvez définir plusieurs zones de sécurité, regrouper des interfaces similaires et appliquer les mêmes stratégies à toutes les zones. Les ensembles de zones sont référencés dans le groupe de pare-feu global afin d’éviter de créer plusieurs politiques sur chaque interface possible.

Remarque :

Dans Security Director, un ensemble de zones est un groupe de plusieurs zones et non un objet au niveau de l’équipement.

La figure 1 montre un ensemble de zones avec trois zones, Zone 1, Zone 2 et Zone 3. La zone 1 permet d’accéder aux données du serveur S1 à partir des hôtes H1 et H3. La zone 2 permet d’accéder depuis l’hôte H3 aux données résidant sur le serveur S2. La zone 3 permet d’accéder depuis l’hôte H2 aux données résidant sur le serveur S2.

Figure 1 : Hiérarchie de l’ensemble de zones, des zones et des membres Zoning configuration in a SAN showing Zone Set with Zone 1 H1 H2 S1 Zone 2 H3 S2 Zone 3 H2 S2 highlighting device communication. de la zone

Les interfaces agissent comme une porte par laquelle le trafic entre et sort d’un équipement de Juniper Networks. Plusieurs interfaces peuvent répondre exactement aux mêmes exigences de sécurité. Cependant, différentes interfaces peuvent également avoir des exigences de sécurité différentes pour les paquets de données entrants et sortants. Les interfaces ayant des exigences de sécurité identiques peuvent être regroupées dans une seule zone de sécurité. La figure 2 illustre une topologie de zone de base comprenant un routeur connecté à trois interfaces.

Figure 2 : topologie Network architecture diagram showing private zone with servers, DMZ with web servers, internet cloud, and central firewall/router for security. de zone de base

La figure 2 montre une topologie de zone de base avec trois zones : le LAN privé, le DMZ et l’Internet public. Un routeur dans la zone vers trois interfaces :

  • Une interface connectée à l’Internet public

  • Une interface connectée à un LAN privé qui ne doit pas être accessible depuis l’Internet public

  • Une interface connectée à une zone démilitarisée de service Internet (DMZ), où un serveur Web, un serveur DNS (Domain Name System) et un serveur de messagerie doivent être accessibles à l’Internet public

Chaque interface de ce réseau est affectée à sa propre zone, bien que vous souhaitiez autoriser un accès différent de l’Internet public à des hôtes spécifiques dans le DMZ et des stratégies d’utilisation des applications variées pour les hôtes du LAN protégé.

Dans ce réseau, il existe trois politiques principales :

  • Connectivité des zones privées à Internet

  • Connectivité de zone privée aux hôtes DMZ

  • Connectivité de la zone Internet aux hôtes DMZ

Si une interface supplémentaire est ajoutée à la zone privée, les hôtes connectés à la nouvelle interface de la zone peuvent transmettre le trafic à tous les hôtes de l’interface existante dans la même zone. De plus, le trafic des hôtes vers les hôtes d’autres zones est également affecté par les stratégies existantes.

Documentation connexe