안전한 로컬 브랜치 연결 구성

로컬 브랜치 연결 목표

그림 1 은 이러한 절차에서 사용되는 로컬 지사 연결 목표를 자세히 설명합니다.

다음과 같은 목표를 달성할 수 있습니다.

• 직원을 Trust VLAN()/trustzone에vlan-trust 배치합니다. 완전한 인터넷 액세스와 존 내 장치에 contractors 대한 특정 연결을 시작하는 기능을 지원합니다.
• 브랜치는 소매 판매를 처리하고 후원자에게 무료 Wi-Fi를 제공합니다. 존에 guests VLAN을 guests 배치하고 제한된 인터넷 액세스를 허용합니다.
• 계약업체는 로컬 지사에서 새로운 웹 기반 비즈니스 애플리케이션을 제공하고 있습니다. 계약자를 VLAN/존에 contractors 배치하고 인터넷 액세스를 허용하지 않습니다. 계약자는 해당 지역 또는 guests 구역으로 통신을 trust 개시할 수 없습니다.

다음 표는 VLAN 연결 요구 사항을 요약합니다.

표 1: VLAN 연결 요구 사항

VLAN ID	이름/존	서브넷	인터넷 액세스?	보안 정책
3 *	vlan-trust/trust *	192.168.2.0/24 *	전체 *	신뢰할 수 없는 신뢰 * 소스 NAT * 로컬 호스트, 모든 서비스 및 프로토콜에 대한 신뢰 * 계약자, HTTP/HTTPS 및 핑에 대한 신뢰
20	손님	192.168.20.0/24	HTTP 및 HTTPS 전용	신뢰할 수 없는 게스트, HTTP/HTTPS 및 핑 소스 NAT 로컬 호스트, DHCP 및 핑에만 게스트
30	계약자	192.168.30.0/24	아니요	계약자가 신뢰, 게스트 또는 신뢰할 수 없는 영역으로 시작할 수 없습니다. 로컬 호스트, DHCP 및 핑 전용 계약자

메모:

"*" vlan-trust 로 표시된 테이블의 항목은 공장 기본 구성을 통해 이미 설정되었습니다. 우리는 이것이 쉬울 것이라고 말했습니다! 공장 기본 trust 존에 필요한 것은 존에서 trust 존까지 지정된 프로토콜을 허용하는 보안 정책을 추가하는 것입니다 contractors .

명시된 연결 목표를 달성하려면 존에서 존 contractors 까지 특정 트래픽(HTTP/HTTPS 및 핑)을 trust 허용하는 보안 정책을 만듭니다. 보안 어플라이언스인 SRX는 상호 존(inter-zone) 트래픽에 대한 기본 거부 정책을 가지고 있습니다. 공장 기본 구성에서는 트래픽이 존 간에 trust untrust 만 허용됩니다.

메모:

이 예에서는 단순하게 유지하며 모든 소스 또는 대상 IP 주소와 일치합니다. 여기에서는 정책 제어를 위해 소스 존과 대상 존에 맞추기만 하면 됩니다. 보안을 향상하기 위해 이 지사에서 192.168.2.0/24 및 contractors 192.168.30.0/24 접두사인 및 서브넷에 대한 주소록 항목을 trust 정의하는 것을 고려해 보십시오. 주소록 항목에서 일치 source-address trust 할 수 있습니다destination-address contractors.

또한 호스트별 주소록 항목을 추가하여 존 간에 통신할 수 있는 특정 IP 주소를 제어할 수 있습니다. 정책에서 호스트별 IP 주소를 사용하는 경우, 정적 IP 주소를 관련 호스트에 할당해야 합니다. 기억하시는다면 이 예에서 DHCP를 사용합니다. 따라서 리스 시간이 부족하거나 클라이언트 시스템이 재부팅되는 경우, 관련 호스트에 정적 IP 주소를 할당하지 않는 한 클라이언트 머신에 새 IP 주소가 자동으로 할당됩니다.

게스트를 시작해보겠습니다. 결국, 그들은 할 웹 쇼핑이! 높은 수준에서 이 작업에는 다음과 같은 핵심 부분이 포함됩니다.

• VLAN을 guest 정의하고 하나 이상의 LAN 인터페이스와 연결
• VLAN의 IRB(Integrated Routing and Bridging) 인터페이스 정의
• VLAN의 구성원에게 IP 주소를 할당하도록 DHCP 서버를 구성합니다.
• VLAN에 대한 연결 요구에 따라 보안 존 및 정책 정의

1. SRX 디바이스에 루트로 로그인합니다. 콘솔 또는 SSH 액세스를 사용할 수 있습니다. CLI를 시작하고 구성 모드를 입력합니다.
2. VLAN을 guests 정의하고 IRB 인터페이스와 연결합니다. 이 IRB 인터페이스는 VLAN상의 디바이스를 위한 기본 게이트웨이 역할을 합니다.
3. ge-0/0/1 인터페이스를 VLAN에 배치합니다 guests . 기본 구성에서 이 인터페이스는 대부분과 마찬가지로 VLAN에 trust 속합니다. 먼저 인터페이스의 현재 VLAN 연결을 삭제하여 업데이트 guests 된 VLAN으로 교체할 수 있습니다.
4. VLAN에 대한 IRB 인터페이스를 구성합니다 guests . 이 단계에서는 VLAN에 IP 서브넷을 할당합니다. 이 예에서는 VLAN ID를 IRB 단위 번호와 일치시기 때문에 보다 쉽게 기억할 수 있습니다. 이 연결은 편리하게만 가능합니다. 이 단계에 사용하지 않은 단위 번호를 사용할 수 있습니다.
5. VLAN에 대한 DHCP 서버를 구성합니다 guests . VLAN의 IRB 인터페이스는 DHCP 서버 인터페이스로 구성됩니다. 이 구성은 지정된 범위의 IP 주소를 할당하고 클라이언트에 기본 경로 및 공용 DNS 서버 주소를 할당합니다. 기본 경로는 모든 비-로컬(VLAN 간 및 LAN에서 WAN 간) 트래픽에 대한 다음 홉으로서 VLAN의 IRB를 가리킵니다.
6. VLAN의 guests 구성원은 인터넷 액세스를 제공합니다. 로컬 브랜치에서 로컬 사용 전용 RFC-1918 IP 주소를 사용하기 때문에 인터넷 액세스를 위해서는 SRX가 WAN 인터페이스 IP 주소로 소스 NAT를 수행해야 합니다. 전 세계적으로 라우팅이 가능한 IP 주소만 인터넷을 통해 사용될 수 있습니다. VLAN에 대한 guests 소스 NAT 정책을 정의하는 방법은 다음과 같습니다.
7. 거의 끝났습니다. 다음으로 보안 존을 만듭니다 guests . 이 프로세스의 일환으로 관련 VLAN의 IRB를 새 존에 배치합니다. 존의 정의 중 하나는 해당 존에서 SRX 디바이스의 컨트롤 플레인으로 흐를 수 있는 프로토콜과 서비스를 지정하는 것입니다.

   이 예에서는 VLAN의 guests 사용자가 로컬 컨트롤 플레인에 DHCP 및 핑 트래픽을 시작할 수 있도록 허용합니다. 이를 통해 게스트는 DHCP를 사용하여 IP 주소를 요청하고 디버깅 목적으로 VLAN의 IRB를 핑하는 동시에 다른 모든 서비스와 프로토콜을 로컬 호스트로 차단할 수 있습니다. 결과적으로 존의 guest 사용자는 Telnet 또는 SSH를 브랜치 SRX로 시작하지 못하도록 차단됩니다. 이와 반대로 존의 trust 사용자는 SRX에 대한 SSH 연결을 시작할 수 있습니다.

8. 마지막 단계는 VLAN에 대한 guests 보안 정책을 정의하는 것입니다. 구성 문장을 짧게 유지하기 위해 우리는 계층 구조에 [edit security policies] "주차"합니다. 인터넷 액세스를 제한하기 위해 정책은 HTTP, HTTPS, DNS 및 핑에 대해서만 지원을 제공합니다.

게스트 VLAN 빠른 구성

여기 VLAN과 보안 정책을 세트 형식으로 정의하기 guests 위한 전체 구성이 있습니다. 빠르게 시작 및 실행하려면 필요에 따라 구성 명령문을 편집하고 SRX에 붙여넣기만 하면 됩니다.

하청업체 VLAN 빠른 구성

contractors VLAN 및 관련 보안 존은 VLAN에 대해 guests 위에서 설명한 것과 유사합니다. VLAN을 위한 빠른 구성으로 직진하여 일부 용지를 저장합니다contractors.

메모:

존에 대한 보안 정책 정의의 contractors 부재는 매우 중요합니다. 명시적 정책을 적용하면 기본 거부 모든 정책이 이 존에서 시작된 모든 영역 간 트래픽에 대해 완전한 효과를 발휘합니다! 그 결과 존에서 contractors 시작되는 모든 트래픽이 다른 모든 존에 진입하지 못하도록 차단됩니다.

SRX 디바이스의 변경을 활성화하기 위해 구성을 커밋해야 합니다.

보안 VLAN 구성의 결과는 Junos Curly brace 형식으로 표시됩니다. 간결성을 위해 아래의 기본 공장 구성을 생략했습니다.

다음으로, 로컬 지사 통신을 보호하기 위해 구성이 예상대로 작동하는지 확인하는 방법을 보여 드리겠습니다.