이 페이지에서
테넌트 시스템을 위한 보안 영역
보안 영역은 테넌트 시스템으로 구성할 수 있습니다. 자세한 내용은 다음 주제를 참조하십시오.
테넌트 시스템을 위한 영역 이해
보안 영역은 하나 이상의 인터페이스가 바인딩된 논리적 엔터티입니다. 보안 영역은 관리자가 테넌트 시스템에 구성할 수 있습니다. 테넌트 시스템에서 관리자는 여러 보안 영역을 구성하여 네트워크를 다양한 보안 옵션을 적용할 수 있는 네트워크 세그먼트로 나눌 수 있습니다.
기본 관리자는 테넌트 시스템의 최대 및 예약된 보안 영역 수를 구성합니다. 그런 다음 테넌트 시스템의 관리자는 테넌트 시스템에서 보안 영역을 생성하고 각 보안 영역에 인터페이스를 할당할 수 있습니다. 테넌트 시스템에서 구성된 영역 수는 디바이스에서 사용 가능한 최대 영역 수에 따라 계산됩니다. 명령은 show system security-profile zones 테넌트 시스템에 할당된 보안 영역의 수와 show interfaces 테넌트 시스템에 할당된 인터페이스를 보기 위한 명령을 보는 데 사용됩니다.
테넌트 시스템 보안 영역에서 다음 기능을 구성할 수 있습니다.
- 보안 영역의 일부인 인터페이스입니다.
화면 옵션 - 모든 보안 영역에서 디바이스가 잠재적으로 유해하다고 판단하는 다양한 종류의 트래픽을 감지하고 차단하는 사전 정의된 화면 옵션 집합을 활성화할 수 있습니다.
TCP-Reset - 이 기능이 활성화되면 시스템은 기존 세션과 일치하지 않고 동기화 플래그 세트가 없는 트래픽이 도착하면 RESET 플래그가 설정된 TCP 세그먼트를 보냅니다.
호스트 인바운드 트래픽 - 이 기능은 인터페이스에 직접 연결된 시스템에서 디바이스에 도달할 수 있는 트래픽 종류를 지정합니다. 영역 수준에서 이러한 매개 변수를 구성할 수 있으며, 이 경우 해당 매개 변수는 영역의 모든 인터페이스 또는 인터페이스 수준에 영향을 줍니다. 인터페이스 구성은 영역보다 우선합니다.
테넌트 시스템에는 사전 구성된 보안 영역이 없습니다.
테넌트 시스템에 대해 관리 기능 영역(MGT)을 구성할 수 있습니다. 테넌트 시스템에 할당된 디바이스당 관리 인터페이스가 있습니다.
테넌트 시스템의 관리자는 테넌트 시스템의 보안 영역에 대한 모든 속성을 구성하고 볼 수 있습니다. 테넌트 시스템의 모든 보안 영역 속성은 기본 관리자에게도 표시됩니다.
예: 테넌트 시스템에서 영역 구성
이 예는 테넌트 시스템의 영역을 구성하는 방법을 보여줍니다.
요구 사항
구성을 시작하기 전에 다음을 수행합니다.
기본 관리자가 생성한 인터페이스를 구성합니다. 예: 테넌트 시스템에 대한 인터페이스 및 라우팅 인스턴스 구성을 참조하십시오.
개요
이 예에서는 테넌트 시스템의 영역을 구성할 수 있습니다. 보안 영역은 정책의 구성 요소입니다. 하나 이상의 인터페이스가 바인딩된 논리적 엔터티입니다. [edit tenants tenant-name security zones] 계층 수준은 보안 영역을 구성하는 데 사용됩니다. 이 예는 표 1에 설명된 보안 정책 및 영역을 구성합니다.
기능 |
구성 매개 변수 |
|---|---|
존 1 |
|
존 2 |
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set tenants TN1 security zones security-zone trust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone trust interfaces xe-0/0/1.0 set tenants TN1 security zones security-zone untrust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone untrust interfaces xe-0/0/3.0
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
테넌트 시스템에서 보안 영역을 구성하려면 다음을 수행합니다.
테넌트 시스템 이름을 TN1로 정의합니다.
[edit] user@host# set tenants TN1
영역 신뢰에서 트래픽을 허용하는 신뢰로 보안 영역을 구성하고 인터페이스에 할당합니다.
[edit tenants TN1 security zones security-zone trust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/1.0
보안 영역을 신뢰할 수 없는 것으로 구성하여 영역의 트래픽을 신뢰할 수 없는 것으로 구성하고 인터페이스에 할당합니다.
[edit tenants TN1 security zones security-zone untrust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/3.0
결과
구성 모드에서 및 show tenants tenant-name security zones 명령을 입력하여 구성을 show tenants tenant-name security policies 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show tenants TN1 security zones
security-zone trust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/3.0;
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
영역 구성 확인
목적
보안 영역에 대한 정보를 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 운영 모드에서 명령을 입력 show security zones tenant all 합니다.
user@host> show security zones tenant all
Tenant: TN1 Security zone: Host Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces: Security zone: abc Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces:xe-0/0/1.0 Security zone: def Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 1 Interfaces:xe-0/0/3.0
의미
출력에는 테넌트 시스템에 구성된 보안 영역의 정보가 표시됩니다.