Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 장비에 대한 보안 존(Security Zone) 및 보안 정책

레이어 2 보안 존 이해

레이어 2 보안 존은 Layer 2 인터페이스를 호스팅하는 존입니다. 보안 존은 Layer 2 또는 Layer 3 존이 될 수 있습니다. 모든 Layer 2 인터페이스 또는 모든 Layer 3 인터페이스를 호스팅할 수 있지만, 레이어 2 및 레이어 3 인터페이스 혼합을 포함할 수는 없습니다.

보안 존 유형(Layer 2 또는 Layer 3)은 보안 존을 위해 구성된 첫 번째 인터페이스에서 암시적으로 설정됩니다. 동일한 보안 존을 위해 구성된 후속 인터페이스는 첫 번째 인터페이스와 동일한 유형이 되어야 합니다.

주:

Layer 2 및 Layer 3 보안 존 모두로 디바이스를 구성할 수 없습니다.

레이어 2 보안 존에 대해 다음과 같은 속성을 구성할 수 있습니다.

  • 인터페이스—존의 인터페이스 목록.

  • 정책—트래픽이 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에서 수행해야 하는 조치 측면에서 전송 트래픽에 대한 규칙을 적용하는 액티브 보안 정책.

  • 스크린—주니퍼 네트웍스 stateful 방화벽은 보안 존을 통과해야 하는 모든 연결 시도를 검사하고 허용 또는 거부하여 네트워크를 보호합니다. 모든 보안 존과 MGT 존에 대해 디바이스가 잠재적으로 유해한 것으로 판단되는 다양한 유형의 트래픽을 탐지하고 차단하는 사전 정의된 스크린 옵션을 사용할 수 있습니다.

    주:

    Layer 3 보안 존과 레이어 2 보안 동일한 스크린 옵션을 구성할 수 있습니다.

  • 주소 교재—구성원을 식별하여 해당 구성원에 정책을 적용할 수 있도록 주소 책을 만드는 IP 주소 및 주소 집합

  • TCP-RST—이 기능이 활성화되면 기존 세션과 일치하지 않는 트래픽이 도착하고 동기화 플래그 집합이 없는 트래픽이 도착하면 시스템이 리셋 플래그가 설정된 TCP 세그먼트를 전송합니다.

또한 호스트 인바운드 트래픽에 대해 레이어 2 존을 구성할 수 있습니다. 이를 통해 존의 인터페이스에 직접 연결된 시스템에서 장비에 도달할 수 있는 트래픽의 종류를 지정할 수 있습니다. 디바이스 인터페이스에 직접 연결된 디바이스의 인바운드 트래픽이 기본적으로 드롭되어 있기 때문에 예상되는 모든 호스트 인바운드 트래픽을 지정해야 합니다.

예를 들면 다음과 같습니다. 레이어 2 보안 존 구성

이 예에서는 존을 구성하는 레이어 2 보안 보여줍니다.

요구 사항

시작하기 전에 레이어 2 보안 속성을 결정해야 합니다. 레이어 2 보안 존 이해 를 참조합니다.

개요

이 예에서는 보안 존 l2-zone1을 ge-3/0/0.0으로 불리는 Layer 2 논리적 인터페이스를 포함하도록 구성하고 보안 존 l2-zone2는 ge-3/0/1.0이라고 하는 Layer 2 논리적 인터페이스를 포함합니다. 그런 다음 지원되는 모든 애플리케이션 서비스(SSH, Telnet, SNMP 등)를 호스트 인바운드 트래픽으로 허용하도록 l2-zone2를 구성합니다.

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

여러 레이어 2 보안 존을 구성하는 경우:

  1. 레이어 2 보안 존을 생성하고 인터페이스에 할당합니다.

  2. 여러 영역 중 레이어 2 보안 구성합니다.

  3. 디바이스 구성이 완료되면 구성을 커밋합니다.

확인

구성이 제대로 작동하고 있는지 확인하려면 명령을 show security zones 입력합니다.

Transparent 모드에서 보안 정책 이해

Transparent 모드에서는 레이어 2 존 간에만 보안 정책을 구성할 수 있습니다. 패킷이 VLAN을 통해 전달될 때 보안 정책은 보안 존 간에 적용됩니다. Transparent 모드에 대한 보안 정책은 다음과 같은 예외를 제외하고 Layer 3 존에 구성된 정책과 유사합니다.

  • 네트워크 주소 변환(NAT) 지원되지 않습니다.

  • IPsec VPN은 지원되지 않습니다.

  • 애플리케이션 ANY는 지원되지 않습니다.

장치에 명시적으로 구성된 정책이 없는 한 Layer 2 포우링은 Interzone 트래픽을 허용하지 않습니다. 기본적으로 레이어 2 포우링은 다음과 같은 작업을 수행합니다.

  • 구성된 정책에 의해 지정된 트래픽을 허용하거나 거부합니다.

  • ARP(Address Resolution Protocol) 및 Layer 2 비 IP 멀티캐스트 및 브로드캐스트 트래픽 지원

  • 모든 비 IP 및 비 ARP 유니캐스트 트래픽을 계속 차단합니다.

이더넷 스위칭 패킷 흐름에 대해 J-Web 또는 CLI 에디터를 사용하여 이러한 기본 동작을 변경할 수 있습니다.

  • 멀티캐스트 및 브로드캐스트 트래픽을 포함하여 모든 Layer 2 비 IP 및 비 ARP 트래픽을 block-non-ip-all 차단하는 옵션을 구성합니다.

  • 모든 Layer 2 비 IP 트래픽이 장치를 통과하도록 허용하는 bypass-non-ip-unicast 옵션을 구성합니다.

주:

동시에 두 옵션을 모두 구성할 수 없습니다.

릴리스 Junos OS 릴리스 12.3X48-D10 Junos OS 릴리스 17.3R1 레이어 2 및 레이어 3 인터페이스에 대해 혼합 모드(기본 모드)의 별도의 보안 존을 생성할 수 있습니다. 그러나 IRB 인터페이스 간에, IRB 인터페이스와 Layer 3 인터페이스 간에는 라우팅이 없습니다. 따라서 레이어 2 및 레이어 3 존 간에 보안 정책을 구성할 수 없습니다. Layer 2 존 간에, 또는 Layer 3 존 간에만 보안 정책을 구성할 수 있습니다.

예를 들면 다음과 같습니다. Transparent 모드에서 보안 정책 구성

다음 예제는 레이어 2 존 간의 투명 모드에서 보안 정책을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 이전 존에 포함할 정책 동작을 레이어 2 보안 결정해야 합니다. Transparent 모드에서 보안 정책 이해를 참조하십시오.

개요

이 예에서는 l2–zone 1 보안 존의 192.0.0.2.0/24 서브네트워크에서 l2–zone2 보안 존에서 192.0.2.1/24에서 서버에 HTTP 트래픽을 허용하도록 보안 정책을 구성합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

Transparent 모드에서 보안 정책을 구성하기:

  1. 정책을 생성하고 존의 인터페이스에 주소를 할당합니다.

  2. 애플리케이션에 대한 정책을 설정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show security policies 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

Layer 2 보안 정책 검증

목적

네트워크 정책이 레이어 2 보안 있는지 확인합니다.

실행

구성 모드에서 명령을 show security policies 입력합니다.

Transparent 모드에서 방화벽 사용자 인증 이해

방화벽 사용자는 방화벽을 통해 연결을 시작할 때 인증을 위해 사용자 이름과 암호를 제공해야 하는 네트워크 사용자입니다. 관리자는 방화벽 사용자 인증을 통해 소스 IP 주소 및 기타 자격 증명을 기반으로 방화벽 뒤에서 보호된 리소스에 액세스하는 사용자를 제한하고 허용할 수 있습니다. Junos OS 투명 모드에서는 다음과 같은 유형의 방화벽 사용자 인증을 지원하며,

  • 통과 인증—한 존의 호스트 또는 사용자가 다른 존의 리소스에 액세스합니다. 보호된 리소스의 IP 주소에 액세스하고 방화벽에 의해 인증하려면 FTP, Telnet 또는 HTTP 클라이언트를 사용해야 합니다. 이 장치는 FTP, Telnet 또는 HTTP를 사용하여 사용자 이름 및 암호 정보를 수집하고, 이 인증 결과에 따라 사용자 또는 호스트의 후속 트래픽을 허용 또는 거부합니다.

  • 웹 인증—웹 인증을 위해 활성화된 IRB 인터페이스의 IP 주소에 HTTP를 사용하여 연결을 시도합니다. 디바이스에서 검증된 사용자 이름과 암호를 묻는 메시지가 표시됩니다. 사용자 또는 호스트에서 보호된 리소스로의 후속 트래픽은 이 인증 결과에 따라 허용 또는 거부됩니다.

출시 내역 표
릴리스
설명
12.3X48-D10
릴리스 Junos OS 릴리스 12.3X48-D10 Junos OS 릴리스 17.3R1 레이어 2 및 레이어 3 인터페이스에 대해 혼합 모드(기본 모드)의 별도의 보안 존을 생성할 수 있습니다.