Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

주소록 및 주소 집합

주소록은 주소와 주소 집합의 모음입니다. 주소록은 보안 정책 및 보안 영역과 같은 다른 구성에서 참조되는 구성 요소 또는 빌딩 블록과 같습니다. 주소록에 주소를 추가하거나 기본적으로 각 주소록에서 사용할 수 있는 미리 정의된 주소를 사용할 수 있습니다

영역 내의 주소록은 개별 주소 또는 주소 집합으로 구성될 수 있습니다. 주소 집합은 주소록 내에 정의된 하나 이상의 주소 집합입니다. 주소 집합을 사용하여 주소를 논리 그룹으로 구성할 수 있습니다. 주소 집합은 보안 정책, 보안 영역 또는 네트워크 주소 변환(NAT) 구성에서 주소 그룹을 두 번 이상 참조해야 할 때 유용합니다.

주소록 이해

주소록은 주소와 주소 집합의 모음입니다. Junos OS를 사용하면 여러 주소록을 구성할 수 있습니다. 주소록에 주소를 추가하거나 기본적으로 각 주소록에서 사용할 수 있는 미리 정의된 주소를 사용할 수 있습니다.

주소록 항목에는 트래픽이 허용, 차단, 암호화 또는 사용자 인증된 호스트 및 서브넷의 주소가 포함됩니다. 이러한 주소는 IPv4 주소, IPv6 주소, 와일드카드 주소 또는 DNS(Domain Name System) 이름의 조합일 수 있습니다.

사전 정의된 주소

주소를 만들거나 기본적으로 사용할 수 있는 다음과 같은 미리 정의된 주소를 사용할 수 있습니다.

  • Any- 이 주소는 모든 IP 주소와 일치합니다. 이 주소가 정책 구성에서 소스 또는 대상 주소로 사용되는 경우 모든 패킷의 소스 및 대상 주소와 일치합니다.

  • Any-ipv4- 이 주소는 모든 IPv4 주소와 일치합니다.

  • Any-ipv6- 이 주소는 모든 IPv6 주소와 일치합니다.

주소록의 네트워크 접두사

접두사/길이 형식의 네트워크 접두사로 주소를 지정할 수 있습니다. 예를 들어 203.0.113.0/24는 네트워크 접두사로 변환되므로 허용되는 주소록 주소입니다. 그러나 203.0.113.4/24는 서브넷 길이인 24비트를 초과하므로 주소록에 허용되지 않습니다. 서브넷 길이를 초과하는 모든 항목은 0(영)으로 입력해야 합니다. 특수한 시나리오에서는 전체 32비트 주소 길이를 사용할 수 있으므로 호스트 이름을 입력할 수 있습니다.

IPv6 주소 접두사는 IPv6 접두사(주소)와 접두사 길이의 조합입니다. 접두사는 ipv6-prefix/prefix-length 형식을 취하며 주소 공간(또는 네트워크) 블록을 나타냅니다. ipv6-prefix 변수는 일반적인 IPv6 주소 지정 규칙을 따릅니다. /prefix-length 변수는 주소의 네트워크 부분을 구성하는 주소의 연속된 상위 비트 수를 나타내는 10진수 값입니다. 예를 들어 2001:db8::/32는 가능한 IPv6 접두사입니다. IPv6 주소 및 주소 접두사의 텍스트 표현에 대한 자세한 내용은 RFC 4291, IP 버전 6 주소 지정 아키텍처를 참조하십시오.

주소록의 와일드카드 주소

IP 주소 및 도메인 이름 외에도 주소록에 와일드카드 주소를 지정할 수 있습니다. 와일드카드 주소는 A.B.C.D/wildcard-mask로 표시됩니다. 와일드카드 마스크는 IP 주소 A.B.C.D에서 무시해야 하는 비트를 결정합니다. 예를 들어, 보안 정책의 소스 IP 주소 192.168.0.11/255.255.0.255는 보안 정책 일치 기준이 IP 주소의 세 번째 옥텟을 삭제할 수 있음을 의미합니다(기호적으로 192.168.*.11로 표시됨). 따라서 소스 IP 주소가 192.168.1.11 및 192.168.22.11과 같은 패킷은 일치 기준을 준수합니다. 그러나 소스 IP 주소가 192.168.0.1 및 192.168.1.21과 같은 패킷은 일치 기준을 충족하지 않습니다.

와일드카드 주소 사용은 전체 옥텟으로만 제한되지 않습니다. 와일드카드 주소를 구성할 수 있습니다. 예를 들어 와일드카드 주소 192.168.7.1/255.255.7.255는 정책을 일치시키는 동안 와일드카드 주소의 세 번째 옥텟의 처음 5비트만 무시해야 함을 의미합니다. 와일드카드 주소 사용이 전체 옥텟으로만 제한되는 경우 4개의 옥텟 각각에만 0 또는 255가 있는 와일드카드 마스크가 허용됩니다.

주소록의 DNS 이름

기본적으로 DNS에 대한 IPv4 및 IPv6 주소를 확인할 수 있습니다. IPv4 또는 IPv6 주소가 지정된 경우 키워드 ipv4-only 및 ipv6-only를 각각 사용하여 해당 주소만 확인할 수 있습니다.

Junos OS 15.1X49-D60부터 SRX5400, SRX5600 및 SRX5800 디바이스와 vSRX 가상 방화벽 인스턴스의 경우, 관리 트래픽이 DNS(Domain Name System) 이름의 특정 소스 주소에서 발생할 수 있습니다.

DNS의 소스 주소를 구성할 때 다음 사항을 고려하십시오.

  • 하나의 원본 주소만 각 DNS 서버 이름에 대한 원본 주소로 구성할 수 있습니다.

  • IPv6 원본 주소는 IPv6 DNS 서버에 대해 지원되며 IPv4 서버에는 IPv4 주소만 지원됩니다. IPv6 DNS 서버의 IPv4 주소 또는 IPv4 DNS 서버의 IPv6 주소를 구성할 수 없습니다.

모든 관리 트래픽이 특정 소스 주소에서 시작되도록 하려면 시스템 이름 서버 및 소스 주소를 구성합니다. 예를 들어:

주소 항목에 도메인 이름을 사용하려면 먼저 DNS 서비스에 대한 보안 디바이스를 구성해야 합니다. DNS에 대한 자세한 내용은 DNS 개요를 참조하십시오.

전체 주소록 이해

"글로벌"이라는 주소록은 항상 시스템에 있습니다. 다른 주소록과 마찬가지로 전체 주소록에는 IPv4 주소, IPv6 주소, 와일드카드 주소 또는 DNS(Domain Name System) 이름의 조합이 포함될 수 있습니다.

전체 주소록에 주소를 만들거나 미리 정의된 주소(any, any-ipv4 및 any-ipv6)를 사용할 수 있습니다. 그러나 전체 주소록의 주소를 사용하기 위해 보안 영역을 연결할 필요는 없습니다. 전체 주소록은 주소록이 연결되어 있지 않은 모든 보안 영역에서 사용할 수 있습니다.

글로벌 주소록은 다음과 같은 경우에 사용됩니다.

  • NAT 구성–NAT 규칙은 전체 주소록의 주소 개체만 사용할 수 있습니다. 영역 기반 주소록의 주소는 사용할 수 없습니다.

  • 글로벌 정책 – 글로벌 정책에 사용되는 주소는 글로벌 주소록에 정의되어야 합니다. 전체 주소록 개체는 특정 영역에 속하지 않습니다.

주소 집합 이해

주소록은 많은 수의 주소를 포함할 정도로 커지고 관리하기가 어려워질 수 있습니다. 주소 집합이라는 주소 그룹을 생성하여 대용량 주소록을 관리할 수 있습니다. 주소 집합을 사용하면 주소를 논리적 그룹으로 구성하고 이를 사용하여 정책 및 NAT 규칙과 같은 다른 기능을 쉽게 구성할 수 있습니다.

any-ipv6 주소를 모두 any-ipv4 포함하는 사전 정의된 주소 집합 any이() 각 보안 영역에 대해 자동으로 생성됩니다.

기존 사용자로 주소 집합을 만들거나 빈 주소 집합을 만들고 나중에 사용자로 채울 수 있습니다. 주소 집합을 만들 때 IPv4 및 IPv6 주소를 결합할 수 있지만 주소는 동일한 보안 영역에 있어야 합니다.

주소 집합 내에 주소 집합을 만들 수도 있습니다. 이를 통해 정책을 보다 효과적으로 적용할 수 있습니다. 예를 들어 정책을 두 개의 주소 집합에 적용하려는 경우, set1 set2두 개의 문을 사용하는 대신 하나의 문을 사용하여 주소 집합 set1set2을 포함하는 새 주소 집합에 set3정책을 적용할 수 있습니다.

정책에 주소를 추가할 때 동일한 주소 하위 집합이 여러 정책에 존재할 수 있으므로 정책이 각 주소 항목에 미치는 영향을 관리하기가 어려울 수 있습니다. 많은 수의 개별 주소 항목을 관리하는 대신 소수의 주소 집합을 관리할 수 있도록 개별 주소록 항목과 같은 정책의 주소 집합 항목을 참조합니다.

주소 및 주소 집합 구성

주소록에서 주소 및 주소 집합을 정의한 다음 다른 기능을 구성할 때 사용할 수 있습니다. 기본적으로 사용할 수 있는 미리 정의된 주소 any, any-ipv4any-ipv6 를 사용할 수도 있습니다. 그러나 미리 정의된 주소를 any 주소록에 추가할 수는 없습니다.

주소록과 세트가 구성된 후에는 보안 정책, 보안 영역 및 NAT와 같은 다양한 기능을 구성하는 데 사용됩니다.

주소 및 주소 집합

IPv4 주소, IPv6 주소, 와일드카드 주소 또는 DNS(Domain Name System) 이름을 주소록의 주소 항목으로 정의할 수 있습니다.

라는 book1 다음 샘플 주소록에는 다양한 유형의 주소 및 주소 집합이 포함되어 있습니다. 일단 정의되면 보안 영역, 정책 또는 NAT 규칙을 구성할 때 이러한 주소 및 주소 집합을 활용할 수 있습니다.

주소 및 주소 집합을 정의할 때 다음 지침을 따르십시오.

  • 주소 집합은 동일한 보안 영역에 속하는 주소 이름만 포함할 수 있습니다.

  • 주소 이름 any은(는) any-ipv4 예약 any-ipv6 되어 있으므로 주소를 만드는 데 사용할 수 없습니다.

  • 동일한 영역에 있는 주소 및 주소 집합에는 고유한 이름이 있어야 합니다.

  • 주소 이름은 주소 집합 이름과 같을 수 없습니다. 예를 들어, 라는 이름으로 add1주소를 구성하는 경우 로 add1설정된 주소를 생성하지 마십시오.

  • 주소록에서 개별 주소록 항목을 삭제할 때는 모든 주소 집합에서 주소(참조되는 모든 위치)를 제거해야 합니다. 그렇지 않으면 시스템에서 커밋 실패가 발생합니다.

주소록 및 보안 영역

보안 영역은 동일한 보안 요구 사항을 지닌 인터페이스의 논리적 그룹입니다. 주소 지정 가능한 네트워크 및 해당 영역에 속하는 최종 호스트(따라서 사용자)에 대한 항목이 들어 있는 주소록에 보안 영역을 연결합니다.

영역은 한 번에 두 개의 주소록, 즉 전체 주소록과 영역이 연결된 주소록을 사용할 수 있습니다. 보안 영역이 주소록에 연결되어 있지 않으면 자동으로 전체 주소록을 사용합니다. 따라서, 보안 영역이 주소록에 첨부될 때, 시스템은 이 첨부된 주소록으로부터 주소를 조회하고; 그렇지 않으면 시스템은 기본 전체 주소록에서 주소를 조회합니다. 전체 주소록은 기본적으로 모든 보안 영역에서 사용할 수 있습니다. 전체 주소록에 영역을 연결할 필요가 없습니다.

다음 지침은 주소록에 보안 영역을 연결할 때 적용됩니다.

  • 보안 영역에 연결된 주소는 영역의 보안 요구 사항을 따릅니다.

  • 보안 영역에 연결하는 주소록에는 해당 영역 내에서 연결할 수 있는 모든 IP 주소가 포함되어야 합니다.

  • 두 영역 간에 정책을 구성할 때 각 영역의 주소록에 대한 주소를 정의해야 합니다.

  • 사용자 정의 주소록의 주소는 전체 주소록의 주소보다 조회 우선 순위가 높습니다. 따라서, 사용자 정의 주소록에 부착된 보안 존에 대해, 시스템은 먼저 사용자 정의 주소록을 검색하고; 주소를 찾을 수 없으면 전체 주소록을 검색합니다.

주소록 및 보안 정책

주소 및 주소 집합은 정책에 대한 일치 기준을 지정할 때 사용됩니다. 개별 호스트 및 서브넷과의 트래픽을 허용, 거부 또는 터널링하도록 정책을 구성하려면 먼저 주소록에 해당 항목을 만들어야 합니다. IPv4 주소, IPv6 주소, 와일드카드 주소, DNS 이름 등 다양한 유형의 주소를 보안 정책의 일치 기준으로 정의할 수 있습니다.

정책에는 소스 주소와 대상 주소가 모두 포함됩니다. 정책에 설정된 주소 또는 주소를 정책에 지정된 영역에 첨부된 주소록에 있는 이름으로 참조할 수 있습니다.

  • 트래픽이 영역으로 전송되면 트래픽이 전송되는 영역과 주소가 정책의 대상 영역 및 주소 일치 기준으로 사용됩니다.

  • 트래픽이 영역에서 전송되면 트래픽이 전송되는 영역과 주소가 정책에서 소스 영역 및 주소 일치 기준으로 사용됩니다.

보안 정책에 사용할 수 있는 주소

정책 규칙에 대한 소스 및 대상 주소를 구성할 때 CLI에 물음표를 입력하여 선택할 수 있는 사용 가능한 모든 주소를 나열할 수 있습니다.

서로 다른 주소록에 있는 서로 다른 주소에 동일한 주소 이름을 사용할 수 있습니다. 그러나 CLI는 이러한 주소 중 하나, 즉 조회 우선 순위가 가장 높은 주소만 나열합니다.

예를 들어, 두 개의 주소록globalbook1에 주소를 구성한다고 가정해 보겠습니다. 그런 다음 정책에서 소스 또는 대상 주소로 구성할 수 있는 주소를 표시합니다( 표 1 참조).

표 1: CLI에 표시된 사용 가능한 주소

구성된 주소

CLI에 표시되는 주소

[edit security address-book]
set global address a1 203.0.113.0/24; 
set global address a2 198.51.100.0/24;  
set global address a3 192.0.2.0/24;  
set book1 address a1 203.0.113.128/25;
[edit security policies from-zone trust to-zone untrust]
user@host# set policy p1 match set match source-address ?

Possible completions:
  [         Open a set of values
  a1        The address in address book book1
  a2        The address in address book global
  a3        The address in address book global
  any       Any IPv4 or IPv6 address
  any-ipv4  Any IPv4 address
  any-ipv6  Any IPv6 address

이 예에 표시된 주소는 다음을 보여줍니다.

  • 사용자 정의 주소록의 주소는 전체 주소록의 주소보다 조회 우선 순위가 높습니다.

  • 전역 주소록의 주소는 미리 정의된 주소 any, any-ipv4, 보다 any-ipv6우선 순위가 높습니다.

  • 둘 이상의 서로 다른 주소에 대해 동일한 주소 이름을 구성한 경우 주소 조회를 기반으로 우선 순위가 가장 높은 주소만 사용할 수 있습니다. 이 예에서 CLI는 (203.0.113.128/25)의 book1 주소를 a1 표시합니다. 이는 해당 주소가 글로벌 주소 a1 (203.0.113.0/24)보다 조회 우선 순위가 높기 때문입니다.

주소 집합에 정책 적용

정책에서 주소 세트를 지정할 때, Junos OS는 각 주소 세트 멤버에 정책을 자동으로 적용하므로 각 주소에 대해 하나씩 생성할 필요가 없습니다. 또한 주소 집합이 정책에서 참조되는 경우 정책에서 해당 참조를 제거하지 않고는 주소 집합을 제거할 수 없습니다. 그러나 편집할 수 있습니다.

참고:

각 주소 집합에 대해 시스템은 구성원에 대한 개별 규칙을 만듭니다. 그룹의 각 구성원과 각 사용자에 대해 구성된 각 서비스에 대한 내부 규칙을 만듭니다. 이 점을 고려하지 않고 주소록을 구성하면 특히 원본 및 대상 주소가 모두 주소 그룹이고 지정된 서비스가 서비스 그룹인 경우 사용 가능한 정책 리소스의 수를 초과할 수 있습니다.

그림 1 은 주소 집합에 정책이 적용되는 방법을 보여 줍니다.

그림 1: 주소 집합 Applying Policies to Address Sets 에 정책 적용

보안 정책의 주소 및 주소 집합의 제한 사항

SRX 시리즈 방화벽에서 하나의 정책은 여러 주소 집합, 여러 주소 항목 또는 둘 다를 참조할 수 있습니다. 하나의 주소 집합은 최대 16384개의 주소 항목과 최대 256개의 주소 집합을 참조할 수 있습니다.

정책이 참조할 수 있는 주소 개체 수에는 제한이 있습니다. 정책당 최대 주소 개체 수는 표 2와 같이 플랫폼마다 다릅니다.

SRX 시리즈 방화벽의 컨텍스트당 최대 정책 수에 대한 자세한 내용은 SRX 시리즈 디바이스에서 정책을 정의하기 위한 모범 사례를 참조하십시오.

표 2: 보안 정책당 주소 객체

SRX 시리즈 디바이스

주소 개체

SRX300, SRX320

2048

SRX340

2048

SRX345

2048

SRX380

2048

SRX550M

2048

SRX1500

4096

SRX4100

4096

SRX4200

4096

SRX4600

4096

SRX5400 SRX5600 SRX5800

16384

모든 IPv6 주소 항목은 정책당 하나의 주소 개체와 동일합니다. 예: 정책당 주소 개체가 2048개로 제한되는 SRX345 디바이스를 구성하기 위해 2040개의 IPv4 엔트리와 8개의 IPv6 엔트리(2040 + 8 = 2048)를 구성하고 구성을 커밋할 수 있습니다.

2040개의 IPv4 주소 항목과 9개의 IPv6 주소 항목(2040+9 = 2049)을 구성하는 경우 구성을 커밋하려고 할 때 다음 오류 메시지가 표시됩니다.

"Error exceeding maximum limit of source addresses per policy (2048)"

NAT 구성에서 주소 및 주소 집합 사용

주소록에서 주소를 정의한 후에는 소스, 대상 또는 정적 NAT 규칙에서 주소를 지정할 수 있습니다. NAT 규칙 구성에서 소스 및 대상 주소로 IP 접두사 대신 의미 있는 주소 이름을 지정하는 것이 더 간단합니다. 예를 들어 소스 주소로 10.208.16.0/22를 지정하는 대신 주소 10.208.16.0/22를 포함하는 주소를 local 지정할 수 있습니다.

또한 NAT 규칙에서 주소 집합을 지정하여 주소 집합 내에 여러 주소를 추가할 수 있으므로 많은 수의 개별 주소 항목을 관리하는 대신 적은 수의 주소 집합을 관리할 수 있습니다. NAT 규칙에서 주소 집합을 지정하면 Junos OS는 각 주소 집합 멤버에 규칙을 자동으로 적용하므로 각 주소를 하나씩 지정할 필요가 없습니다.

참고:

와일드카드 주소, DNS 이름, IPv4 및 IPv6 주소의 조합과 같은 주소 및 주소 집합 유형은 NAT 규칙에서 지원되지 않습니다.

NAT를 사용하여 주소록을 구성할 때 다음 지침을 따르십시오.

  • NAT 규칙에서는 전체 주소록의 주소만 지정할 수 있습니다. 사용자 정의 주소록은 NAT에서 지원되지 않습니다.

  • 소스 NAT 규칙에서 소스 주소 이름으로 주소 세트를 구성할 수 있습니다. 그러나 대상 NAT 규칙에서 대상 주소 이름으로 설정된 주소를 구성할 수는 없습니다.

    다음 샘플 NAT 문은 소스 및 대상 NAT 규칙에서 지원되는 주소 및 주소 집합 유형을 보여줍니다.

  • 정적 NAT 규칙에서는 소스 또는 대상 주소 이름으로 설정된 주소를 구성할 수 없습니다. 다음 샘플 NAT 문은 정적 NAT 규칙에서 지원되는 주소 유형을 보여줍니다.

예: 주소록 및 주소 집합 구성

이 예는 주소록에서 주소 및 주소 집합을 구성하는 방법을 보여줍니다. 또한 보안 영역에 주소록을 첨부하는 방법도 보여줍니다.

요구 사항

시작하기 전에:

개요

이 예에서는 주소와 주소 집합으로 주소록을 구성하여( 그림 2 참조) 회사 네트워크 구성을 단순화합니다. 라는 Eng-dept 주소록을 만들고 엔지니어링 부서의 구성원 주소를 추가합니다. 라는 Web 다른 주소록을 만들고 DNS 이름을 추가합니다. 그런 다음 보안 영역 트러스트를 주소록에 Eng-dept 연결하고 보안 영역 언트러스트를 주소록에 Web 연결합니다. 또한 주소 집합을 만들어 엔지니어링 부서의 소프트웨어 및 하드웨어 주소를 그룹화할 수 있습니다. 향후 정책 구성에서 이러한 주소를 소스 주소 및 대상 주소로 사용할 계획입니다.

또한 주소록이 연결되어 있지 않은 모든 보안 영역에서 사용할 수 있도록 전체 주소록에 주소를 추가합니다.

그림 2: 주소 및 주소 집합 Configuring Addresses and Address Sets 구성

토폴로지

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

주소 및 주소 집합 구성 방법:

  1. 이더넷 인터페이스를 구성하고 IPv4 주소를 할당합니다.

  2. 보안 영역을 생성하고 인터페이스를 할당합니다.

  3. 주소록을 생성하고 주소록에 주소를 정의합니다.

  4. 주소 집합을 만듭니다.

  5. 보안 영역에 주소록을 첨부합니다.

  6. 다른 주소록을 생성하여 보안 영역에 연결합니다.

  7. 전체 주소록에서 주소를 정의합니다.

결과

구성 모드에서 및 show security address-book 명령을 입력하여 show security zones 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

주소록 구성 확인

목적

구성된 주소록 및 주소에 대한 정보를 표시합니다.

작업

구성 모드에서 명령을 입력합니다 show security address-book .

전체 주소록 구성 확인

목적

전체 주소록에 구성된 주소에 대한 정보를 표시합니다.

작업

구성 모드에서 명령을 입력합니다 show security address-book global .

정책에서 주소 제외

Junos OS를 통해 사용자는 정책에 원하는 수의 소스 및 대상 주소를 추가할 수 있습니다. 정책에서 특정 주소를 제외해야 하는 경우 해당 주소를 부정 주소로 구성할 수 있습니다. 주소가 부정 주소로 구성되면 정책에서 제외됩니다. 그러나 정책에서 다음 IP 주소를 제외할 수는 없습니다.

  • 와일드 카드

  • IPv6 (영어)

  • 임의

  • 모든 IPv4

  • 모든 IPv6

  • 0.0.0.0

주소 범위 또는 단일 주소가 부정되면 여러 주소로 나눌 수 있습니다. 이러한 부정 주소는 패킷 전달 엔진에 저장하기 위해 더 많은 메모리가 필요한 접두사 또는 길이로 표시됩니다.

각 플랫폼에는 부정 주소가 있는 제한된 수의 정책이 있습니다. 정책에는 10개의 소스 또는 대상 주소가 포함될 수 있습니다. 정책의 용량은 플랫폼이 지원하는 최대 정책 수에 따라 달라집니다.

부정 소스 주소, 대상 주소 또는 둘 다를 구성하기 전에 다음 작업을 수행합니다.

  1. 원본, 대상 또는 둘 다 주소록을 만듭니다.

  2. 주소 이름을 만들고 주소 이름에 원본 및 대상 주소를 할당합니다.

  3. 주소 집합을 생성하여 원본, 대상 또는 두 주소 이름을 모두 그룹화합니다.

  4. 원본 및 대상 주소록을 보안 영역에 연결합니다. 예를 들어, 원본 주소록을 from-zone 트러스트 에 연결하고 대상 주소록을 to-zone untrust에 연결합니다.

  5. 일치 소스, 대상 또는 두 주소 이름을 모두 지정합니다.

  6. source-address-excluded, destination-address excluded 또는 두 명령을 모두 실행합니다. 원본, 대상 또는 두 주소록에 추가된 원본, 대상 또는 두 주소 모두 정책에서 제외됩니다.

참고:

전체 주소록은 보안 영역에 연결할 필요가 없습니다.

예: 정책에서 주소 제외

이 예는 부정적인 소스 및 대상 주소를 구성하는 방법을 보여줍니다. 또한 주소록 및 주소 집합을 구성하는 방법도 보여줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽

  • A PC

  • Junos OS 릴리스 12.1X45-D10

시작하기 전에 주소록 및 주소 집합을 구성합니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.

개요

이 예에서는 원본 및 대상 주소록, SOUR-ADDR 및 DES-ADDR을 만들고 원본 및 대상 주소를 추가합니다. 소스 및 대상 주소 집합 as1 및 as2를 생성하고 소스 및 대상 주소를 그룹화합니다. 그런 다음 원본 주소록을 보안 영역 트러스트에 연결하고 대상 주소록을 보안 영역 트러스트 해제에 연결합니다.

보안 영역 from-zone trust 및 to-zone untrust를 생성합니다. 정책 이름을 p1에 지정한 다음 일치 소스 주소의 이름을 as1로, 일치 대상 주소를 as2로 설정합니다. 정책 p1에 구성된 소스 및 대상 주소를 제외하려면 source -address-excludeddestination -address-excluded 명령을 지정합니다. 마지막으로, 정책 p1을 설정하여 영역 신뢰에서 영역 간 신뢰 해제로의 트래픽을 허용합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

부정 주소 구성 방법:

  1. 원본 주소록 및 주소 이름을 만듭니다. 주소록에 원본 주소를 추가합니다.

  2. 소스 주소 이름을 그룹화하기 위한 주소 집합을 만듭니다.

  3. 원본 주소록을 보안 시작 영역에 연결합니다.

  4. 대상 주소록 및 주소 이름을 만듭니다. 주소록에 대상 주소를 추가합니다.

  5. 대상 주소 이름을 그룹화하기 위해 다른 주소 집합을 만듭니다.

  6. 대상 주소록을 보안 대상 영역에 연결합니다.

  7. 정책 이름과 소스 주소를 지정합니다.

  8. 정책에서 소스 주소를 제외합니다.

  9. 대상 주소를 지정합니다.

  10. 정책에서 대상 주소를 제외합니다.

  11. 보안 정책 애플리케이션을 구성합니다.

  12. to-zone 트러스트에서 to-zone 언트러스트로의 트래픽을 허용합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

정책 구성 확인

목적

정책 구성이 올바른지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security policies policy-name p1 .

이 출력에는 정책 구성이 요약되어 있습니다.

정책 구성 세부 사항 확인

목적

정책과 부정적인 소스 및 대상 주소 구성이 올바른지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security policies policy-name p1 detail .

이 출력은 정책 구성을 요약하고 정책에서 제외된 부정 소스 및 대상 주소의 이름을 보여줍니다.