Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

주소록 및 주소 집합

주소록은 주소와 주소 집합의 모음입니다. 주소록은 보안 정책 및 보안 영역과 같은 다른 구성에서 참조되는 구성 요소 또는 빌딩 블록과 같습니다. 주소록에 주소를 추가하거나 기본적으로 각 주소록에서 사용할 수 있는 미리 정의된 주소를 사용할 수 있습니다

영역 내의 주소록은 개별 주소 또는 주소 집합으로 구성될 수 있습니다. 주소 집합은 주소록 내에 정의된 하나 이상의 주소 집합입니다. 주소 집합을 사용하여 주소를 논리적 그룹으로 구성할 수 있습니다. 주소 집합은 보안 정책, 보안 영역 또는 NAT 구성에서 주소 그룹을 두 번 이상 참조해야 할 때 유용합니다.

주소록 이해하기

주소록은 주소와 주소 집합의 모음입니다. Junos OS를 통해 여러 주소록을 구성할 수 있습니다. 주소록에 주소를 추가하거나 기본적으로 각 주소록에서 사용할 수 있는 미리 정의된 주소를 사용할 수 있습니다.

주소록 항목에는 트래픽이 허용, 차단, 암호화 또는 사용자 인증된 호스트 및 서브넷의 주소가 포함됩니다. 이러한 주소는 IPv4 주소, IPv6 주소, 와일드카드 주소 또는 DNS(Domain Name System) 이름의 조합일 수 있습니다.

사전 정의된 주소

주소를 만들거나 기본적으로 사용할 수 있는 다음과 같은 미리 정의된 주소 중 하나를 사용할 수 있습니다.

  • Any- 이 주소는 모든 IP 주소와 일치합니다. 이 주소가 정책 구성에서 소스 또는 대상 주소로 사용되는 경우 모든 패킷의 소스 및 대상 주소와 일치합니다.

  • Any-ipv4- 이 주소는 모든 IPv4 주소와 일치합니다.

  • Any-ipv6- 이 주소는 모든 IPv6 주소와 일치합니다.

주소록의 네트워크 접두어

접두사/길이 형식의 네트워크 접두사로 주소를 지정할 수 있습니다. 예를 들어 203.0.113.0/24는 네트워크 접두사로 변환되므로 허용 가능한 주소록 주소입니다. 그러나 203.0.113.4/24는 서브넷 길이인 24비트를 초과하므로 주소록에 사용할 수 없습니다. 서브넷 길이를 초과하는 모든 항목은 0으로 입력해야 합니다. 특별한 시나리오에서는 전체 32비트 주소 길이를 사용할 수 있으므로 호스트 이름을 입력할 수 있습니다.

IPv6 주소 접두사는 IPv6 접두사(주소)와 접두사 길이의 조합입니다. 접두사는 ipv6-prefix/prefix-length 형식을 취하며 주소 공간 블록(또는 네트워크)을 나타냅니다. ipv6-prefix 변수는 일반적인 IPv6 주소 지정 규칙을 따릅니다. /prefix-length 변수는 주소의 네트워크 부분을 구성하는 주소의 연속, 상위 비트 수를 나타내는 10진수 값입니다. 예를 들어 2001:db8::/32는 가능한 IPv6 접두사입니다. IPv6 주소 및 주소 접두사의 텍스트 표현에 대한 자세한 내용은 RFC 4291, IP 버전 6 주소 지정 아키텍처를 참조하십시오.

주소록의 와일드카드 주소

IP 주소와 도메인 이름 외에도 주소록에 와일드카드 주소를 지정할 수 있습니다. 와일드카드 주소는 A.B.C.D/wildcard-mask로 표시됩니다. 와일드카드 마스크는 IP 주소 A.B.C.D에서 어떤 비트를 무시해야 하는지 결정합니다. 예를 들어, 보안 정책의 소스 IP 주소 192.168.0.11/255.255.0.255는 보안 정책 일치 기준이 IP 주소의 세 번째 옥텟(기호적으로 192.168.*.11로 표시)을 삭제할 수 있음을 의미합니다. 따라서 192.168.1.11 및 192.168.22.11과 같은 소스 IP 주소를 가진 패킷은 일치 기준을 따릅니다. 그러나 192.168.0.1 및 192.168.1.21과 같은 소스 IP 주소를 가진 패킷은 일치 기준을 충족하지 않습니다.

와일드카드 주소 사용은 전체 옥텟으로만 제한되지 않습니다. 모든 와일드카드 주소를 구성할 수 있습니다. 예를 들어, 와일드카드 주소 192.168.7.1/255.255.7.255는 정책을 일치시키는 동안 와일드카드 주소의 세 번째 옥텟의 처음 5비트만 무시해야 함을 의미합니다. 와일드카드 주소 사용이 전체 옥텟으로만 제한되는 경우 4개의 옥텟 각각에 0 또는 255가 있는 와일드카드 마스크만 허용됩니다.

주소록의 DNS 이름

기본적으로 DNS의 IPv4 및 IPv6 주소를 확인할 수 있습니다. IPv4 또는 IPv6 주소가 지정된 경우 키워드 ipv4-only 및 ipv6-only를 각각 사용하여 해당 주소만 확인할 수 있습니다.

DNS의 소스 주소를 구성할 때 다음 사항을 고려합니다.

  • 각 DNS 서버 이름의 원본 주소로 하나의 원본 주소만 구성할 수 있습니다.

  • IPv6 DNS 서버에는 IPv6 원본 주소가 지원되며 IPv4 서버에는 IPv4 주소만 지원됩니다. IPv6 DNS 서버의 IPv4 주소 또는 IPv4 DNS 서버의 IPv6 주소를 구성할 수 없습니다.

모든 관리 트래픽이 특정 소스 주소에서 발생하도록 하려면 시스템 이름 서버 및 소스 주소를 구성합니다. 예를 들어:

주소 항목에 도메인 이름을 사용하려면 먼저 DNS 서비스에 대한 보안 디바이스를 구성해야 합니다. DNS에 대한 자세한 내용은 DNS 개요를 참조하십시오.

전체 주소록 이해

"global"이라는 주소록은 항상 시스템에 있습니다. 다른 주소록과 마찬가지로 전체 주소록에는 IPv4 주소, IPv6 주소, 와일드카드 주소 또는 DNS(Domain Name System) 이름의 모든 조합이 포함될 수 있습니다.

전역 주소록에 주소를 생성하거나 미리 정의된 주소(any, any-ipv4 및 any-ipv6)를 사용할 수 있습니다. 그러나 전역 주소록의 주소를 사용하기 위해 보안 영역을 연결할 필요는 없습니다. 전체 주소록은 주소록이 연결되어 있지 않은 모든 보안 영역에서 사용할 수 있습니다.

전체 주소록은 다음과 같은 경우에 사용됩니다.

  • NAT 구성–NAT 규칙은 전체 주소록의 주소 개체만 사용할 수 있습니다. 영역 기반 주소록의 주소는 사용할 수 없습니다.

  • 글로벌 정책 – 글로벌 정책에 사용되는 주소는 글로벌 주소록에 정의되어야 합니다. 전역 주소록 개체가 특정 영역에 속하지 않습니다.

주소 집합 이해하기

주소록은 많은 수의 주소를 포함하도록 증가할 수 있으며 관리하기 어려워질 수 있습니다. 주소 집합이라는 주소 그룹을 만들어 큰 주소록을 관리할 수 있습니다. 주소 집합을 사용하면 주소를 논리적 그룹으로 구성하고 정책 및 NAT 규칙과 같은 다른 기능을 쉽게 구성하는 데 사용할 수 있습니다.

any-ipv6(과) 주소를 모두 any-ipv4 포함하는 사전 정의된 주소 집합any이 각 보안 영역에 대해 자동으로 생성됩니다.

기존 사용자와 함께 주소 집합을 만들거나 빈 주소 집합을 만들고 나중에 사용자로 채울 수 있습니다. 주소 집합을 생성할 때 IPv4 및 IPv6 주소를 결합할 수 있지만 주소는 동일한 보안 영역에 있어야 합니다.

주소 집합 내에 주소 집합을 만들 수도 있습니다. 이를 통해 정책을 보다 효과적으로 적용할 수 있습니다. 예를 들어, 두 개의 주소 집합 set1 set2에 정책을 적용하려는 경우 및 은(는) 두 개의 문을 사용하는 대신 하나의 문만 사용하여 주소 집합 set1set2을 포함하는 새로운 주소 집합set3에 정책을 적용할 수 있습니다.

정책에 주소를 추가할 때 경우에 따라 동일한 주소 하위 집합이 여러 정책에 존재할 수 있으므로 정책이 각 주소 항목에 영향을 미치는 방식을 관리하기가 어렵습니다. 개별 주소록 항목과 같은 정책에서 주소 집합 항목을 참조하면 많은 수의 개별 주소 항목을 관리하는 대신 적은 수의 주소 집합을 관리할 수 있습니다.

주소 및 주소 집합 구성

주소록에서 주소 및 주소 집합을 정의한 다음 다른 기능을 구성할 때 사용할 수 있습니다. 기본적으로 사용할 수 있는 사전 정의된 주소 any, any-ipv4및 을(를 any-ipv6 ) 사용할 수도 있습니다. 그러나 미리 정의된 주소를 any 주소록에 추가할 수는 없습니다.

주소록 및 세트가 구성되면 보안 정책, 보안 영역, NAT와 같은 다양한 기능을 구성하는 데 사용됩니다.

주소 및 주소 집합

IPv4 주소, IPv6 주소, 와일드카드 주소 또는 DNS(Domain Name System) 이름을 주소록의 주소 항목으로 정의할 수 있습니다.

라는 book1 다음 샘플 주소록에는 다양한 유형의 주소와 주소 집합이 포함되어 있습니다. 일단 정의되면 보안 영역, 정책 또는 NAT 규칙을 구성할 때 이러한 주소 및 주소 집합을 활용할 수 있습니다.

주소 및 주소 집합을 정의할 때 다음 지침을 따르십시오.

  • 주소 집합은 동일한 보안 영역에 속하는 주소 이름만 포함할 수 있습니다.

  • 주소 이름 anyany-ipv4 any-ipv6 은(는) 예약되어 있으므로 주소를 만드는 데 사용할 수 없습니다.

  • 동일한 영역에 있는 주소 및 주소 집합은 고유한 이름을 가져야 합니다.

  • 주소 이름은 주소 집합 이름과 같을 수 없습니다. 예를 들어, (이)라는 이름으로 add1주소를 구성하는 경우 ( add1으)로 설정된 주소는 생성하지 마십시오.

  • 주소록에서 개별 주소록 항목을 삭제할 때는 모든 주소 집합에서 주소(참조되는 위치)를 제거해야 합니다. 그렇지 않으면, 시스템은 커밋 실패를 야기할 것입니다.

주소록 및 보안 영역

보안 영역은 동일한 보안 요구 사항을 가진 인터페이스의 논리적 그룹입니다. 주소 지정이 가능한 네트워크 및 영역에 속한 최종 호스트(따라서 사용자)에 대한 항목이 포함된 주소록에 보안 영역을 연결합니다.

영역은 한 번에 두 개의 주소록, 즉 전체 주소록과 영역이 연결된 주소록을 사용할 수 있습니다. 보안 영역이 주소록에 연결되지 않은 경우 자동으로 전체 주소록을 사용합니다. 따라서 보안 영역이 주소록에 연결되면 시스템은 이 연결된 주소록에서 주소를 조회합니다. 그렇지 않으면 시스템은 기본 전체 주소록에서 주소를 조회합니다. 전역 주소록은 기본적으로 모든 보안 영역에서 사용할 수 있습니다. 영역을 전체 주소록에 연결할 필요가 없습니다.

다음 지침은 주소록에 보안 영역을 연결할 때 적용됩니다.

  • 보안 영역에 연결된 주소는 해당 영역의 보안 요구 사항을 준수합니다.

  • 보안 영역에 연결하는 주소록에는 해당 영역 내에서 연결할 수 있는 모든 IP 주소가 포함되어야 합니다.

  • 두 영역 간에 정책을 구성할 때 각 영역의 주소록에 대한 주소를 정의해야 합니다.

  • 사용자 정의 주소록의 주소는 전체 주소록의 주소보다 조회 우선 순위가 높습니다. 따라서 사용자 정의 주소록에 연결된 보안 영역의 경우 시스템은 사용자 정의 주소록을 먼저 검색합니다. 주소를 찾을 수 없으면 전체 주소록을 검색합니다.

주소록 및 보안 정책

주소 및 주소 집합은 정책에 대한 일치 기준을 지정할 때 사용됩니다. 개별 호스트와 서브넷에서 들어오고 나가는 트래픽을 허용, 거부 또는 터널링하도록 정책을 구성하려면 먼저 주소록에 항목을 만들어야 합니다. IPv4 주소, IPv6 주소, 와일드카드 주소 및 DNS 이름과 같은 다양한 유형의 주소를 보안 정책의 일치 기준으로 정의할 수 있습니다.

정책에는 소스 주소와 대상 주소가 모두 포함됩니다. 정책에 지정된 영역에 연결된 주소록에서 지정한 이름으로 정책에 설정된 주소 또는 주소를 참조할 수 있습니다.

  • 트래픽이 영역으로 전송되면 트래픽이 전송되는 영역과 주소가 정책에서 대상 영역 및 주소 일치 기준으로 사용됩니다.

  • 트래픽이 영역에서 전송되면, 트래픽이 전송되는 영역과 주소가 정책에서 소스 영역 및 주소 일치 기준으로 사용됩니다.

보안 정책에 사용할 수 있는 주소

정책 규칙에 대한 소스 및 대상 주소를 구성할 때 CLI에 물음표를 입력하여 선택할 수 있는 사용 가능한 모든 주소를 나열할 수 있습니다.

서로 다른 주소록에 있는 다른 주소에 동일한 주소 이름을 사용할 수 있습니다. 그러나 CLI는 이러한 주소 중 한 곳, 즉 조회 우선 순위가 가장 높은 주소만 나열합니다.

예를 들어, 두 개의 주소록(globalbook1)에 주소를 구성한다고 가정합니다. 그런 다음 정책에서 소스 또는 대상 주소로 구성할 수 있는 주소를 표시합니다( 표 1 참조).

표 1: CLI에 표시된 사용 가능한 주소

구성된 주소

CLI에 표시된 주소

 
[edit security address-book]
set global address a1 203.0.113.0/24; 
set global address a2 198.51.100.0/24;  
set global address a3 192.0.2.0/24;  
set book1 address a1 203.0.113.128/25;

[edit security policies from-zone trust to-zone untrust]
user@host# set policy p1 match set match source-address ?

Possible completions:
  [         Open a set of values
  a1        The address in address book book1
  a2        The address in address book global
  a3        The address in address book global
  any       Any IPv4 or IPv6 address
  any-ipv4  Any IPv4 address
  any-ipv6  Any IPv6 address

이 예에 표시된 주소는 다음과 같습니다.

  • 사용자 정의 주소록의 주소는 전체 주소록의 주소보다 조회 우선 순위가 높습니다.

  • 전역 주소록의 주소는 사전 정의된 주소 any, any-ipv4any-ipv6보다 우선 순위가 높습니다.

  • 두 개 이상의 서로 다른 주소에 대해 동일한 주소 이름이 구성된 경우, 주소 조회를 기반으로 가장 높은 우선 순위의 주소만 사용할 수 있습니다. 이 예에서 CLI는 (book1203.0.113.128/25)의 주소를 a1 표시하는데, 이는 해당 주소가 글로벌 주소 a1 (203.0.113.0/24)보다 조회 우선 순위가 높기 때문입니다.

주소 집합에 정책 적용

정책에서 주소 세트를 지정하면 Junos OS는 각 주소 세트 멤버에게 정책을 자동으로 적용하므로 각 주소에 대해 하나씩 정책을 생성할 필요가 없습니다. 또한 정책 내에서 주소 집합이 참조되는 경우 정책에서 해당 참조를 제거하지 않고는 주소 집합을 제거할 수 없습니다. 그러나 편집할 수 있습니다.

메모:

시스템은 각 주소 집합에 대해 해당 구성원에 대한 개별 규칙을 생성합니다. 그룹의 각 구성원과 각 사용자에 대해 구성된 각 서비스에 대한 내부 규칙을 만듭니다. 이를 고려하지 않고 주소록을 구성하면 특히 원본 주소와 대상 주소가 모두 주소 그룹이고 지정된 서비스가 서비스 그룹인 경우 사용 가능한 정책 리소스 수를 초과할 수 있습니다.

그림 1 은 정책이 주소 집합에 적용되는 방법을 보여줍니다.

그림 1: 주소 집합 Applying Policies to Address Sets 에 정책 적용

NAT 구성에서 주소 및 주소 집합 사용

주소록에서 주소를 정의한 후에는 소스, 대상 또는 정적 NAT 규칙에서 주소를 지정할 수 있습니다. NAT 규칙 구성에서 소스 및 대상 주소로 IP 접두사 대신 의미 있는 주소 이름을 지정하는 것이 더 간단합니다. 예를 들어 소스 주소로 10.208.16.0/22를 지정하는 대신 주소 10.208.16.0/22를 포함하는 라는 local 주소를 지정할 수 있습니다.

또한 NAT 규칙에서 주소 집합을 지정할 수 있습니다. 이렇게 하면 주소 집합 내에 여러 주소를 추가하여 많은 수의 개별 주소 항목을 관리하는 대신 적은 수의 주소 집합을 관리할 수 있습니다. 네트워크 주소 변환(NAT) 규칙에서 주소 세트를 지정하면 Junos OS가 각 주소 세트 멤버에게 규칙을 자동으로 적용하므로 각 주소를 하나씩 지정할 필요가 없습니다.

메모:

와일드카드 주소, DNS 이름, IPv4와 IPv6 주소의 조합과 같은 주소 및 주소 집합 유형은 NAT 규칙에서 지원되지 않습니다.

NAT를 사용하여 주소록을 구성할 때 다음 지침을 따르십시오.

  • NAT 규칙에서는 전체 주소록의 주소만 지정할 수 있습니다. 사용자 정의 주소록은 NAT에서 지원되지 않습니다.

  • 소스 네트워크 주소 변환(NAT) 규칙에서 소스 주소 이름으로 주소 세트를 구성할 수 있습니다. 그러나 대상 NAT 규칙에서 주소 집합을 대상 주소 이름으로 구성할 수는 없습니다.

    다음 샘플 네트워크 주소 변환(NAT) 문은 소스 및 대상 네트워크 주소 변환(NAT) 규칙에서 지원되는 주소 및 주소 집합 유형을 보여줍니다.

  • 정적 NAT 규칙에서는 소스 또는 대상 주소 이름으로 설정된 주소를 구성할 수 없습니다. 다음 샘플 네트워크 주소 변환(NAT) 문은 정적 네트워크 주소 변환(NAT) 규칙에서 지원되는 주소 유형을 보여줍니다.

예: 주소록 및 주소 집합 구성

이 예는 주소록에서 주소 및 주소 집합을 구성하는 방법을 보여줍니다. 또한 보안 영역에 주소록을 첨부하는 방법도 보여줍니다.

요구 사항

시작하기 전에:

개요

이 예에서는 회사 네트워크 구성을 단순화하기 위해 주소와 주소 집합( 그림 2 참조)으로 주소록을 구성합니다. 라는 Eng-dept 주소록을 만들고 엔지니어링 부서의 구성원 주소를 추가합니다. 라는 Web 다른 주소록을 생성하고 DNS 이름을 추가합니다. 그런 다음 보안 영역 트러스트를 주소록에 Eng-dept 연결하고 보안 영역 트러스트 해제를 주소록에 Web 연결합니다. 또한 엔지니어링 부서에서 소프트웨어 및 하드웨어 주소를 그룹화하기 위해 주소 집합을 만듭니다. 향후 정책 구성에서 이러한 주소를 소스 주소 및 대상 주소로 사용할 계획입니다.

또한 주소록이 연결되지 않은 모든 보안 영역에서 사용할 수 있도록 전역 주소록에 주소를 추가합니다.

그림 2: 주소 및 주소 집합 Network diagram showing an untrust zone with intranet and web server, SRX Firewall connecting to a trust zone with Eng-dept network and four computers labeled a1 to a4. 구성

위상수학

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

주소 및 주소 집합을 구성하기 위해 다음을 수행합니다.

  1. 이더넷 인터페이스를 구성하고 IPv4 주소를 할당합니다.

  2. 보안 영역을 생성하고 인터페이스를 할당합니다.

  3. 주소록을 생성하고 주소를 정의합니다.

  4. 주소 집합을 만듭니다.

  5. 주소록을 보안 영역에 연결합니다.

  6. 다른 주소록을 생성하여 보안 영역에 연결합니다.

  7. 전체 주소록에서 주소를 정의합니다.

결과

구성 모드에서 및 show security address-book 명령을 입력하여 show security zones 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

주소록 구성 확인

목적

구성된 주소록 및 주소에 대한 정보를 표시합니다.

행동

구성 모드에서 명령을 입력합니다 show security address-book .

글로벌 주소록 구성 확인

목적

구성된 주소에 대한 정보를 전체 주소록에 표시합니다.

행동

구성 모드에서 명령을 입력합니다 show security address-book global .

정책에서 주소 제외

Junos OS를 통해 사용자는 정책에 원하는 수의 소스 및 대상 주소를 추가할 수 있습니다. 정책에서 특정 주소를 제외해야 하는 경우 해당 주소를 부정 주소로 구성할 수 있습니다. 주소가 부정 주소로 구성되면 정책에서 제외됩니다. 그러나 정책에서 다음 IP 주소를 제외할 수는 없습니다.

  • 와일드 카드

  • IPv6 (IPv6)

  • 어떤

  • any-ipv4

  • any-ipv6

  • 0.0.0.0

주소 범위 또는 단일 주소가 부정되면 여러 주소로 나눌 수 있습니다. 이러한 부정 주소는 패킷 포워딩 엔진에서 저장하기 위해 더 많은 메모리를 필요로 하는 접두사 또는 길이로 표시됩니다.

각 플랫폼에는 부정 주소가 있는 제한된 수의 정책이 있습니다. 정책에는 10개의 소스 또는 대상 주소가 포함될 수 있습니다. 정책의 용량은 플랫폼이 지원하는 최대 정책 수에 따라 달라집니다.

부정된 소스 주소, 대상 주소 또는 둘 다를 구성하기 전에 다음 작업을 수행합니다.

  1. 원본, 대상 또는 둘 다 주소록을 만듭니다.

  2. 주소 이름을 만들고 주소 이름에 소스 및 대상 주소를 할당합니다.

  3. 그룹 원본, 대상 또는 두 주소 이름 모두에 대한 주소 집합을 만듭니다.

  4. 소스 및 대상 주소록을 보안 영역에 연결합니다. 예를 들어, 원본 주소록을 from-zone 트러스트 에 연결하고 대상 주소록을 to-zone untrust에 연결합니다.

  5. 일치하는 소스, 대상 또는 두 주소 이름 모두를 지정합니다.

  6. source-address-excluded, destination-address excluded 또는 두 명령 모두를 실행합니다. 소스, 대상 또는 두 주소록에 추가된 소스, 대상 또는 두 주소 모두 정책에서 제외됩니다.

메모:

전역 주소록은 보안 영역에 연결할 필요가 없습니다.

예: 정책에서 주소 제외

이 예는 부정된 소스 및 대상 주소를 구성하는 방법을 보여줍니다. 또한 주소록 및 주소 집합을 구성하는 방법도 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 방화벽

  • A PC

  • 지원되는 모든 Junos OS 릴리스

시작하기 전에 주소록과 주소 집합을 구성합니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.

개요

이 예에서는 소스 및 대상 주소록(SOUR-ADDR 및 DES-ADDR)을 생성하고 소스 및 대상 주소를 추가합니다. 소스 및 대상 주소 집합 as1 및 as2를 생성하고 소스 및 대상 주소를 그룹화합니다. 그런 다음 소스 주소록을 보안 영역 트러스트에 연결하고 대상 주소록을 보안 영역 트러스트 해제에 연결합니다.

영역 트러스트 및 영역 언트러스트에서 보안 영역을 생성합니다. 정책 이름을 p1로 지정한 다음 일치 소스 주소의 이름을 as1로, 일치 대상 주소를 as2로 설정합니다. 정책 p1에서 구성된 소스 및 대상 주소를 제외하려면 source -address-excludeddestination -address-excluded 명령을 지정합니다. 마지막으로, 정책 p1을 설정하여 영역 신뢰에서 영역 언트러스트로의 트래픽을 허용합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

부정 주소 구성 방법:

  1. 원본 주소록 및 주소 이름을 만듭니다. 주소록에 원본 주소를 추가합니다.

  2. 소스 주소 이름을 그룹화하기 위해 주소 집합을 만듭니다.

  3. 소스 주소록을 보안 from 영역에 연결합니다.

  4. 대상 주소록 및 주소 이름을 생성합니다. 주소록에 대상 주소를 추가합니다.

  5. 대상 주소 이름을 그룹화하기 위해 다른 주소 집합을 만듭니다.

  6. 대상 주소록을 보안 영역에 연결합니다.

  7. 정책 이름 및 소스 주소를 지정합니다.

  8. 정책에서 소스 주소를 제외합니다.

  9. 수신인 주소를 지정합니다.

  10. 정책에서 대상 주소를 제외합니다.

  11. 보안 정책 애플리케이션을 구성합니다.

  12. 영역 신뢰에서 to-zone untrust로의 트래픽을 허용합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

정책 구성 확인

목적

정책 구성이 올바른지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security policies policy-name p1 .

이 출력물에는 정책 구성이 요약되어 있습니다.

정책 구성 세부 정보 확인

목적

정책과 부정된 소스 및 대상 주소 구성이 올바른지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security policies policy-name p1 detail .

이 출력은 정책 구성을 요약하고 정책에서 제외된 부정된 소스 및 대상 주소의 이름을 보여줍니다.

참조

플랫폼별 정책, 주소록 및 주소 집합 동작

주소록 동작의 플랫폼별 DNS 이름

주소록기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인합니다.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토할 수 있습니다.

플랫폼

다름

SRX 방화벽 및 vSRX3.0

  • SRX5400 디바이스 및 vSRX3.0 가상 방화벽 인스턴스의 경우, 관리 트래픽이 DNS(Domain Name System) 이름의 특정 소스 주소에서 발생할 수 있습니다.

플랫폼별 주소 및 주소 집합 동작

플랫폼

다름

보안 정책당 주소 객체

SRX 방화벽

  • 주소 및 주소 집합을 지원하는 SRX 방화벽에서는 하나의 정책이 여러 주소 집합이나 주소 항목 또는 두 가지 모두를 참조할 수 있습니다. 하나의 주소 집합은 최대 16384개의 주소 항목과 최대 256개의 주소 집합을 참조할 수 있습니다.

  • 주소 및 주소 집합을 지원하는 SRX 방화벽에서 모든 IPv6 주소 항목은 정책당 하나의 주소 개체와 같습니다. 예: 정책당 주소 개체 수가 2048개로 제한되는 SRX345 디바이스를 구성하려면 2040개의 IPv4 항목과 8개의 IPv6 항목(2040 + 8 = 2048)을 구성하고 구성을 커밋할 수 있습니다.

    2040개의 IPv4 주소 항목과 9개의 IPv6 주소 항목(2040+9 = 2049)을 구성하면 구성을 커밋하려고 할 때 다음과 같은 오류 메시지가 표시됩니다.

    ""Error exceeding maximum limit of source addresses per policy (2048)

정책이 참조할 수 있는 주소 개체 수에는 제한이 있습니다. 정책당 최대 주소 개체 수는 아래 표와 같이 플랫폼마다 다릅니다.

SRX 방화벽의 컨텍스트당 최대 정책 수에 대한 자세한 내용은 SRX 방화벽에서 정책 정의를 위한 모범 사례를 참조하십시오.

SRX5400 디바이스는 정책당 최대 16,000개의 주소 개체와 컨텍스트당 최대 80,000개의 정책을 지원합니다.