글로벌 보안 정책
보안 정책은 상태 저장 방화벽 정책으로, 예약된 시간에 특정 IP 소스에서 특정 IP 대상으로 허용되는 트래픽 종류를 정의하여 한 영역에서 다른 영역으로의 트래픽 흐름을 제어합니다. 가능한 모든 컨텍스트에서 여러 정책을 생성하지 않으려면 모든 영역을 포괄하는 전역 정책 또는 여러 영역을 포함하는 다중 영역 정책을 생성할 수 있습니다. 글로벌 정책을 사용하면 사용자 정의 주소 또는 사전 정의된 주소를 참조하여 보안 영역에 관계없이 주소 및 애플리케이션으로 트래픽을 규제할 수 있으며, 하나의 정책에서 여러 소스 영역과 여러 대상 영역에 대한 액세스를 제공할 수도 있습니다.
글로벌 정책 개요
Junos OS 스테이트풀 방화벽에서 보안 정책은 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책에 따라 트래픽은 하나의 보안 영역에 진입하고 다른 보안 영역을 빠져나가야 합니다. 이러한 시작 영역과 종료 영역의 조합을 . context 각 컨텍스트에는 정렬된 정책 목록이 포함되어 있습니다. 각 정책은 컨텍스트 내에서 정의된 순서대로 처리됩니다. 트래픽은 정책의 from-zone, to-zone, 소스 주소, 대상 주소 및 트래픽이 프로토콜 헤더에서 전달하는 애플리케이션을 일치시켜 분류됩니다. 다른 보안 정책과 마찬가지로 각 글로벌 정책에는 허용, 거부, 거부, 로그, 카운트 작업이 있습니다.
사용자 인터페이스에서 보안 정책을 구성할 수 있습니다. 보안 정책은 예약된 시간에 특정 IP 원본에서 특정 IP 대상으로 허용되는 트래픽 종류를 정의하여 한 영역에서 다른 영역으로의 트래픽 흐름을 제어합니다. 이것은 대부분의 경우 잘 작동하지만 충분히 유연하지 않습니다. 예를 들어 트래픽에 대한 작업을 수행하려면 가능한 각 컨텍스트에 대한 정책을 구성해야 합니다. 가능한 모든 컨텍스트에서 여러 정책을 생성하지 않으려면 모든 영역을 포괄하는 전역 정책 또는 여러 영역을 포함하는 다중 영역 정책을 생성할 수 있습니다.
글로벌 정책을 사용하면 사용자 정의 주소 또는 사전 정의된 주소 '임의'를 참조함으로써 보안 영역에 관계없이 주소 및 애플리케이션으로 트래픽을 규제할 수 있습니다. 이러한 주소는 여러 보안 영역에 걸쳐 있을 수 있습니다. 예를 들어, 여러 영역에 대한 액세스를 제공하려는 경우 모든 영역의 모든 주소를 포함하는 주소 "any"를 사용하여 글로벌 정책을 생성할 수 있습니다. "임의" 주소를 선택하면 모든 IP 주소와 일치하며, "임의"를 글로벌 정책 구성에서 소스/대상 주소로 사용하면 모든 패킷의 소스/대상 주소와 일치합니다.
글로벌 정책을 사용하면 하나의 정책에서 여러 소스 영역과 여러 대상 영역에 대한 액세스를 제공할 수도 있습니다. 그러나 보안상의 이유와 트래픽 스푸핑을 방지하려면 다중 영역 정책을 생성할 때 동일한 일치 기준(소스 주소, 대상 주소, 애플리케이션)과 동일한 작업을 사용하는 것이 좋습니다. 그림 1의 예를 들어, DMZ 및 Untrust from-zones를 포함하는 다중 영역 정책을 생성하는 경우 DMZ 영역에서 203.0.113.0/24의 스푸핑 트래픽은 정책과 성공적으로 일치하고 트러스트 대상 영역의 보호된 호스트에 도달할 수 있습니다.
영역에서 시작 및 끝 영역 정보가 없는 글로벌 정책은 VPN 터널에 특정 영역 정보가 필요하기 때문에 VPN 터널을 지원하지 않습니다.
정책 조회가 수행되면 영역 내(신뢰 간), 영역 간(신뢰 대 신뢰), 전역 순으로 정책이 검사됩니다. 일반 정책과 마찬가지로, 컨텍스트 내 글로벌 정책은 첫 번째로 일치하는 정책이 트래픽에 적용되는 방식으로 정렬됩니다.
전역 정책이 있는 경우 전역 정책은 확인되지 않으므로 영역 내 또는 영역 간 정책에서 match source any, match destination any 또는 match application any와 같은 "catch-all" 규칙을 정의하지 않았는지 확인합니다. 전역 정책이 없는 경우 영역 내 또는 영역 간 정책에 "모두 거부" 작업을 포함하는 것이 좋습니다. 글로벌 정책이 있는 경우 글로벌 정책에 "모두 거부" 작업을 포함해야 합니다.
논리적 시스템에서는 각 논리적 시스템에 대한 글로벌 정책을 정의할 수 있습니다. 하나의 논리적 시스템에서 글로벌 정책은 다른 보안 정책과 별도의 컨텍스트에 있으며 정책 조회에서 일반 보안 정책보다 우선 순위가 낮습니다. 예를 들어 정책 조회가 수행되면 일반 보안 정책이 글로벌 정책보다 우선합니다. 따라서 정책 조회에서는 일반 보안 정책을 먼저 검색하고, 일치하는 정책이 없으면 글로벌 정책 조회를 수행합니다.
참조
예: 영역 제한 없이 글로벌 정책 구성
Junos OS의 다른 보안 정책과는 달리, 글로벌 정책은 특정 소스 및 대상 영역을 참조하지 않습니다. 글로벌 정책은 사전 정의된 주소 "임의" 또는 여러 보안 영역에 걸쳐 있을 수 있는 사용자 정의 주소를 참조합니다. 글로벌 정책은 영역 제한 없이 트래픽에 대한 작업을 수행할 수 있는 유연성을 제공합니다. 예를 들어 모든 영역의 모든 호스트가 회사 웹 사이트(예: www.example.com)에 액세스할 수 있도록 글로벌 정책을 생성할 수 있습니다. 글로벌 정책을 사용하는 것은 보안 영역이 많을 때 편리한 지름길입니다. 트래픽은 소스 주소, 목적지 주소 및 프로토콜 헤더에서 트래픽이 전달하는 애플리케이션을 일치시켜 분류됩니다.
이 예는 트래픽을 거부 또는 허용하기 위한 글로벌 정책 구성 방법을 보여줍니다.
요구 사항
시작하기 전에:
방화벽 보안 정책을 검토합니다.
보안 정책 개요, 글로벌 정책 개요, 보안 정책 규칙 이해 및보안 정책 요소 이해를 참조하십시오.
주소록을 구성하고 정책에 사용할 주소를 생성합니다.
예: 주소록 및 주소 집합 구성을 참조하십시오.
정책이 해당 유형의 트래픽에 적용됨을 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다.
개요
이 구성 예에서는 여러 보안 정책(영역 사용)이 수행할 수 있는 작업을 수행하는 글로벌 정책을 구성하는 방법을 보여줍니다. 글로벌 정책 gp1은 모든 트래픽을 허용하지만 정책 gp2는 모든 트래픽을 거부합니다.
위상수학
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security address-book global address server1 dns-name www.example.com set security address-book global address server2 dns-name www.mail.example.com set security policies global policy gp1 match source-address server1 set security policies global policy gp1 match destination-address server2 set security policies global policy gp1 match application any set security policies global policy gp1 then permit set security policies global policy gp2 match source-address server2 set security policies global policy gp2 match destination-address server1 set security policies global policy gp2 match application junos-ftp set security policies global policy gp2 then deny
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
모든 트래픽을 허용하거나 거부하기 위한 글로벌 정책 구성:
주소를 만듭니다.
[edit security] user@host# set security address-book global address server1 dns-name www.example.com user@host# set security address-book global address server2 dns-name www.mail.example.com
모든 트래픽을 허용하는 글로벌 정책을 생성합니다.
[edit security] user@host# set policy global policy gp1 match source-address server1 user@host# set policy global policy gp1 match destination-address server2 user@host# set policy global policy gp1 match application any user@host# set policy global policy gp1 then permit
모든 트래픽을 거부하는 글로벌 정책을 생성합니다.
[edit security] user@host# set policy global policy gp2 match source-address server2 user@host# set policy global policy gp2 match destination-address server1 user@host# set policy global policy gp2 match application junos-ftp user@host# set policy global policy gp2 then deny
결과
구성 모드에서 및 show security policies global 명령을 입력하여 show security policies 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show security policies
global {
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
}
user@host# show security policies global
policy gp1 {
match {
source-address server1;
destination-address server2;
application any;
}
then {
permit;
}
}
policy gp2 {
match {
source-address server2;
destination-address server1;
application junos-ftp;
}
then {
deny;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
글로벌 정책 구성 확인
목적
글로벌 정책 gp1 및 gp2가 필요에 따라 구성되었는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security policies global .
user@host> show security policies global
Global policies:
Policy: gp1, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1
From zones: any
To zones: any
Source addresses: server1
Destination addresses: server2
Applications: any
Action: permit
Policy: gp2, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 2
From zones: any
To zones: any
Source addresses: server2
Destination addresses: server1
Applications: junos-ftp
Action: deny
의미
출력은 디바이스에 구성된 모든 글로벌 정책에 대한 정보를 표시합니다.
예: 여러 영역으로 글로벌 정책 구성
Junos OS의 다른 보안 정책과는 달리, 글로벌 정책을 사용하면 멀티존 정책을 생성할 수 있습니다. 글로벌 정책은 source-address 또는 destination-address와 같은 다른 속성이 동일한 경우에도 각 from-zone/to-zone 쌍에 대해 별도의 정책을 생성할 필요 없이 하나의 글로벌 정책에서 여러 소스 영역과 여러 대상 영역을 구성할 수 있기 때문에 보안 영역이 많을 때 편리한 지름길입니다.
요구 사항
시작하기 전에:
방화벽 보안 정책을 검토합니다.
보안 정책 개요, 글로벌 정책 개요, 보안 정책 규칙 이해 및 보안 정책 요소 이해를 참조하십시오.
보안 영역을 생성합니다.
개요
이 구성 예시는 여러 보안 정책이 수행할 수 있는 작업을 수행하는 글로벌 정책을 구성하는 방법을 보여줍니다. 글로벌 정책 Pa는 영역 1 및 2에서 영역 3 및 4로의 모든 트래픽을 허용합니다.
위상수학
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
여러 영역으로 글로벌 정책을 구성하려면 다음을 수행합니다.
영역 1 및 2에서 영역 3 및 4로의 트래픽을 허용하는 글로벌 정책을 생성합니다.
[edit security] set security policies global policy Pa match source-address any set security policies global policy Pa match destination-address any set security policies global policy Pa match application any set security policies global policy Pa match from-zone zone1 set security policies global policy Pa match from-zone zone2 set security policies global policy Pa match to-zone zone3 set security policies global policy Pa match to-zone zone4 set security policies global policy Pa then permit
결과
구성 모드에서 명령을 입력하여 show security policies global 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show security policies global
policy Pa {
match {
source-address any;
destination-address any;
application any;
from-zone [ zone1 zone2 ];
to-zone [ zone3 zone4 ];
}
then {
permit;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .