논리적 시스템에 대한 보안 정책
보안 정책은 비즈니스를 보호하고 LAN 리소스에 대한 액세스를 제어하는 데 사용됩니다. LAN을 통해 회사 내부와 인터넷과 같은 외부 네트워크와의 상호 작용 모두에서 보안 액세스가 필요합니다. Junos OS는 스테이트풀 방화벽, 애플리케이션 방화벽, 사용자 아이덴티티 방화벽을 통해 강력한 네트워크 보안 기능을 제공합니다. 세 가지 유형의 방화벽 적용은 모두 보안 정책을 통해 구현됩니다. 자세한 내용은 다음 항목을 참조하십시오.
논리적 시스템 보안 정책 이해
논리적 시스템의 보안 정책
보안 정책은 방화벽을 통과할 수 있는 트래픽과 트래픽이 방화벽을 통과할 때 수행해야 하는 작업에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역에 들어오고 다른 보안 영역을 나갑니다.
기본적으로 논리적 시스템은 영역 내 및 영역 간 방향을 포함하여 모든 방향의 모든 트래픽을 거부합니다. 논리적 시스템 관리자는 보안 정책을 생성함으로써 지정된 소스에서 지정된 목적지로 통과할 수 있는 트래픽의 종류를 정의하여 구역에서 구역으로의 트래픽 플로우를 제어할 수 있습니다.
보안 정책은 기본 논리적 시스템 및 사용자 논리적 시스템에서 구성할 수 있습니다. 논리적 시스템에 보안 정책을 구성하는 것은 논리적 시스템에 대해 구성되지 않은 디바이스에 보안 정책을 구성하는 것과 동일합니다. 논리적 시스템 내에서 생성된 모든 보안 정책, 정책 규칙, 주소록, 애플리케이션 및 애플리케이션 세트, 스케줄러는 해당 논리적 시스템에만 적용할 수 있습니다. 논리적 junos-ftp시스템 간에 사전 정의된 애플리케이션 및 애플리케이션 세트만 공유할 수 있습니다.
논리적 시스템에서는 보안 정책에서 from-zone 또는 to-zone으로 지정할 global 수 없습니다.
사용자 논리적 시스템 관리자는 사용자 논리적 시스템에서 보안 정책에 대한 모든 속성을 구성하고 볼 수 있습니다. 사용자 논리적 시스템에 있는 보안 정책의 모든 속성도 주 관리자에게 표시됩니다.
Junos OS 릴리스 18.4R1부터 사용자는 논리적 시스템 내에서 동적 주소를 생성할 수 있습니다. 동적 주소 항목에는 외부 소스에서 추출된 IP 주소와 접두사가 포함됩니다. 보안 정책은 원본 주소 필드 또는 대상 주소 필드의 동적 주소를 사용합니다.
동적 주소 항목(DAE)은 수동으로 입력하거나 논리적 시스템 내의 외부 소스에서 가져올 수 있는 IP 주소 그룹입니다. DAE 기능을 사용하면 보안 정책에서 피드 기반 IP 개체를 사용하여 소스 또는 대상 IP 기준에 따라 트래픽을 거부 또는 허용할 수 있습니다.
DAE의 최대 수는 논리적 시스템에 할당된 동적 주소에 따라 다릅니다. Junos 18.4R1부터 논리적 시스템 아래에서 set security dynamic-address feed-server 명령을 구성할 수 있습니다.
애플리케이션 시간 초과
애플리케이션에 대해 설정된 애플리케이션 제한시간 값이 세션 제한시간을 판별합니다. 애플리케이션 시간 초과 동작은 논리적 시스템에서와 루트 수준에서 동일합니다. 그러나 사용자 논리적 시스템 관리자는 보안 정책에서 사전 정의된 애플리케이션을 사용할 수 있지만 사전 정의된 애플리케이션의 시간 초과 값은 수정할 수 없습니다. 이는 사전 정의된 애플리케이션이 기본 논리적 시스템과 모든 사용자 논리적 시스템에 의해 공유되기 때문에 사용자 논리적 시스템 관리자는 해당 동작을 변경할 수 없습니다. 애플리케이션 시간 제한 값은 애플리케이션 항목 데이터베이스와 해당 논리적 시스템 TCP 및 UDP 포트 시간 제한 테이블에 저장됩니다.
트래픽과 일치하는 애플리케이션에 시간 제한 값이 있으면 해당 시간 제한 값이 사용됩니다. 그렇지 않으면 애플리케이션 시간 제한 값이 발견될 때까지 다음 순서로 조회가 진행됩니다.
논리적 시스템 TCP 및 UDP 포트 기반 시간 제한 테이블에서 시간 제한 값을 검색합니다.
루트 TCP 및 UDP 포트 기반 시간 제한 테이블에서 시간 제한 값이 검색됩니다.
프로토콜 기반 기본 시간 제한 테이블에서 시간 제한 값이 검색됩니다.
보안 정책 할당
주 관리자는 각 사용자 논리적 시스템에 대한 최대 및 예약된 보안 정책 수를 구성합니다. 그런 다음 사용자 논리적 시스템 관리자는 사용자 논리적 시스템에서 보안 정책을 생성할 수 있습니다. 사용자 논리적 시스템에서 사용자 논리적 시스템 관리자는 명령을 사용하여 show system security-profile policy 사용자 논리적 시스템에 할당된 보안 정책 수를 볼 수 있습니다.
주 관리자는 기본 논리적 시스템에 적용되는 최대 및 예약된 보안 정책 수를 지정하는 기본 논리적 시스템에 대한 보안 프로필을 구성할 수 있습니다. 기본 논리적 시스템에 구성된 정책 수는 디바이스에서 사용할 수 있는 최대 정책 수에 포함됩니다.
또한보십시오
예: 사용자 논리적 시스템에서 보안 정책 구성
이 예에서는 사용자 논리적 시스템에 대한 보안 정책을 구성하는 방법을 보여 줍니다.
요구 사항
시작하기 전에:
사용자 논리적 시스템에 논리적 시스템 관리자로 로그인합니다. 사용자 논리적 시스템 구성 개요를 참조하십시오.
명령을 사용하여
show system security-profiles policy논리적 시스템에 할당된 보안 정책 리소스를 확인합니다.영역 및 주소록을 구성합니다. 예: 사용자 논리적 시스템에 대한 보안 영역 구성을 참조하십시오.
개요
이 예제는 예제 : 사용자 논리 시스템, 해당 관리자, 해당 사용자 및 상호 연결 논리 시스템 생성에 표시된 ls-product-design 사용자 논리 시스템을 구성합니다.
이 예는 표 1에 설명된 보안 정책을 구성합니다.
이름 |
구성 매개 변수 |
|---|---|
모든 허용-to-otherlsys |
다음 트래픽을 허용합니다.
|
다른 시스템에서 모두 허용 |
다음 트래픽을 허용합니다.
|
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템에서 보안 정책을 구성하려면 다음을 수행합니다.
사용자 논리적 시스템에 논리적 시스템 관리자로 로그인하고 구성 모드로 들어갑니다.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ls-product-design-trust 영역에서 ls-product-design-untrust 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
ls-product-design-untrust 영역에서 ls-product-design-trust 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security policies 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
논리적 시스템에 대한 동적 주소 구성
논리적 시스템의 동적 주소 항목은 보안 정책에 동적 IP 주소 정보를 제공합니다. 동적 주소를 사용하려면 논리적 시스템에 대한 이름, 피드 및 속성을 포함하여 동적 주소의 기본 정보를 지정해야 합니다.
사용자 논리적 시스템에서 보안 정책 구성을 읽어보고 이 절차가 보안 정책을 구성하는 데 어떻게 그리고 어디에 적합한지 이해하십시오.
논리적 시스템 내의 IPv4 네트워크에서 동적 주소를 구성하려면 다음을 수행합니다.
논리적 시스템에서 보안 정책을 구성하려면 다음을 수행합니다.
논리 시스템 이름을 LSYS1로 정의합니다.
[edit] user@host# set logical-systems LSYS1
zone trust 에서 zone untrust로의 트래픽을 허용하는 보안 정책을 p1로 생성하고 일치 조건을 구성합니다.
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
명령을 입력하여 구성을 확인합니다.
show logical-systems LSYS1 security policies[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }