보안 영역 및 보안 디바이스의 보안 정책
레이어 2 보안 영역 이해
레이어 2 보안 영역은 레이어 2 인터페이스를 호스팅하는 영역입니다. 보안 영역은 레이어 2 또는 레이어 3 영역일 수 있습니다. 모든 레이어 2 인터페이스 또는 모든 레이어 3 인터페이스를 호스팅할 수 있지만 레이어 2와 레이어 3 인터페이스를 혼합하여 포함할 수는 없습니다.
보안 영역 유형(레이어 2 또는 레이어 3)은 보안 영역에 대해 구성된 첫 번째 인터페이스에서 암시적으로 설정됩니다. 동일한 보안 영역에 대해 구성된 후속 인터페이스는 첫 번째 인터페이스와 동일한 유형이어야 합니다.
레이어 2 및 레이어 3 보안 영역을 모두 갖춘 디바이스를 구성할 수는 없습니다.
레이어 2 보안 영역에 대해 다음과 같은 속성을 구성할 수 있습니다.
Interfaces(인터페이스) - 영역의 인터페이스 목록입니다.
정책 - 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용하는 활성 보안 정책입니다.
화면 - 주니퍼 네트웍스 스테이트풀 방화벽은 한 보안 영역에서 다른 보안 영역으로 통과해야 하는 모든 연결 시도를 검사한 후 허용 또는 거부하여 네트워크를 보호합니다. 모든 보안 영역과 MGT 영역에 대해 디바이스가 잠재적으로 유해한 것으로 판단하는 다양한 종류의 트래픽을 탐지하고 차단하는 사전 정의된 화면 옵션 집합을 활성화할 수 있습니다.
주:레이어 2 보안 영역에 대해 레이어 3 보안 영역과 동일한 화면 옵션을 구성할 수 있습니다.
주소록 - 정책을 적용할 수 있도록 구성원을 식별하기 위해 주소록을 구성하는 IP 주소 및 주소 집합입니다.
TCP-RST - 이 기능이 활성화되면 기존 세션과 일치하지 않고 동기화 플래그가 설정되지 않은 트래픽이 도착할 때 시스템에서 재설정 플래그가 설정된 TCP 세그먼트를 전송합니다.
또한 호스트 인바운드 트래픽에 대한 계층 2 영역을 구성할 수 있습니다. 이를 통해 영역의 인터페이스에 직접 연결된 시스템에서 디바이스에 도달할 수 있는 트래픽 종류를 지정할 수 있습니다. 디바이스의 인터페이스에 직접 연결된 디바이스의 인바운드 트래픽은 기본적으로 삭제되므로 예상되는 모든 host-inbound 트래픽을 지정해야 합니다.
참조
예: 계층 2 보안 영역 구성
이 예에서는 레이어 2 보안 영역을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 계층 2 보안 영역에 대해 구성할 속성을 결정합니다. 레이어 2 보안 영역 이해를 참조하십시오.
개요
이 예에서는 ge-3/0/0.0이라는 레이어 2 논리적 인터페이스를 포함하도록 보안 영역 l2-zone1을 구성하고 ge-3/0/1.0이라는 레이어 2 논리적 인터페이스를 포함하도록 보안 영역 l2-zone2를 구성합니다. 그런 다음 지원되는 모든 애플리케이션 서비스(예: SSH, Telnet 및 SNMP)를 호스트 인바운드 트래픽으로 허용하도록 l2-zone2를 구성합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
레이어 2 보안 영역 구성 방법:
레이어 2 보안 영역을 생성하고 인터페이스를 할당합니다.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
레이어 2 보안 영역 중 하나를 구성합니다.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 .show security zones
투명 모드의 보안 정책 이해
투명 모드에서는 레이어 2 영역 간에만 보안 정책을 구성할 수 있습니다. 패킷이 VLAN을 통해 전달되면 보안 영역 간에 보안 정책이 적용됩니다. 투명 모드에 대한 보안 정책은 레이어 3 영역에 대해 구성된 정책과 유사하지만, 다음과 같은 예외가 있습니다.
NAT는 지원되지 않습니다.
IPsec VPN은 지원되지 않습니다.
애플리케이션 ANY는 지원되지 않습니다.
레이어 2 포워딩은 디바이스에 명시적으로 구성된 정책이 없는 한 영역 간 트래픽을 허용하지 않습니다. 기본적으로 레이어 2 포워딩은 다음 작업을 수행합니다.
구성된 정책에 의해 지정된 트래픽을 허용하거나 거부합니다.
ARP(Address Resolution Protocol) 및 레이어 2 비 IP 멀티캐스트 및 브로드캐스트 트래픽을 허용합니다.
모든 비 IP 및 비 ARP 유니캐스트 트래픽을 계속 차단합니다.
이 기본 동작은 J-Web 또는 CLI 구성 편집기를 사용하여 이더넷 스위칭 패킷 플로우에 대해 변경할 수 있습니다.
멀티캐스트 및 브로드캐스트 트래픽을 포함하여 모든 레이어 2 non-IP 및 non-ARP 트래픽을 차단하도록 옵션을 구성합니다.
block-non-ip-all모든 레이어 2 비 IP 트래픽이 디바이스를 통과하도록 옵션을 구성합니다.
bypass-non-ip-unicast
두 옵션을 동시에 구성할 수는 없습니다.
Junos OS 릴리스 12.3X48-D10 및 Junos OS 릴리스 17.3R1부터 레이어 2 및 레이어 3 인터페이스에 대한 혼합 모드(기본 모드)에서 별도의 보안 영역을 생성할 수 있습니다. 그러나 IRB 인터페이스 간에, 그리고 IRB 인터페이스와 레이어 3 인터페이스 간에는 라우팅이 없습니다. 따라서 레이어 2와 레이어 3 영역 간에는 보안 정책을 구성할 수 없습니다. 레이어 2 영역 간 또는 레이어 3 영역 간에만 보안 정책을 구성할 수 있습니다.
참조
예: 투명 모드에서 보안 정책 구성
이 예는 레이어 2 영역 간 투명 모드에서 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 레이어 2 보안 영역에 포함할 정책 동작을 결정합니다. 투명 모드의 보안 정책 이해를 참조하십시오.
개요
이 예에서는 l2–zone1 보안 영역의 192.0.2.0/24 서브네트워크에서 l2–zone2 보안 영역의 192.0.2.1/24에 있는 서버로의 HTTP 트래픽을 허용하도록 보안 정책을 구성합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
투명 모드에서 보안 정책을 구성하려면 다음을 수행합니다.
정책을 생성하고 영역의 인터페이스에 주소를 할당합니다.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
응용 프로그램에 대한 정책을 설정합니다.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
결과
구성 모드에서 show security policies 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
투명 모드의 방화벽 사용자 인증 이해
방화벽 사용자는 방화벽을 통해 연결을 시작할 때 인증을 위해 사용자 이름과 암호를 제공해야 하는 네트워크 사용자입니다. 방화벽 사용자 인증을 통해 관리자는 사용자가 소스 IP 주소 및 기타 자격 증명을 기반으로 방화벽 뒤의 보호된 리소스에 액세스하는 것을 제한 및 허용할 수 있습니다. Junos OS는 SRX 시리즈 방화벽의 투명 모드에 대해 다음과 같은 유형의 방화벽 사용자 인증을 지원합니다.
통과 인증—한 영역의 호스트 또는 사용자가 다른 영역의 리소스에 액세스하려고 시도합니다. FTP, Telnet 또는 HTTP 클라이언트를 사용하여 보호된 자원의 IP 주소에 액세스하고 방화벽의 인증을 받아야 합니다. 디바이스는 FTP, Telnet 또는 HTTP를 사용하여 사용자 이름 및 비밀번호 정보를 수집하며, 이 인증 결과에 따라 사용자 또는 호스트의 후속 트래픽이 허용되거나 거부됩니다.
Web authentication(웹 인증) - 사용자는 HTTP를 사용하여 웹 인증에 활성화된 IRB 인터페이스의 IP 주소에 연결을 시도합니다. 디바이스에서 확인한 사용자 이름과 암호를 입력하라는 메시지가 표시됩니다. 사용자 또는 호스트에서 보호된 리소스로의 후속 트래픽은 이 인증의 결과에 따라 허용되거나 거부됩니다.
참조
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.