Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 정책 구성

네트워크를 보호하려면 네트워크 관리자는 해당 비즈니스 내 모든 네트워크 리소스와 해당 리소스에 필요한 보안 수준을 개략적으로 설명하는 보안 정책을 생성해야 합니다. Junos OS 정책을 구성할 수 있습니다. 보안 정책은 트래픽이 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에서 수행해야 하는 조치 측면에서 전송 트래픽에 대한 규칙을 적용합니다.

보안 정책 요소 이해

보안 정책은 특정 소스에서 특정 목적지로의 트래픽을 제어하는 명령문 집합입니다. 정책은 두 지점 간의 특정 트래픽 유형을 단방향으로 허용, 거부 또는 터널링합니다.

각 정책은 다음과 같은 것으로 구성됩니다.

  • 정책에 대한 고유의 이름

  • A from-zone 와 A to-zone의 예는 다음과 같습니다user@host # set security policies from-zone untrust to-zone untrust

  • 정책 규칙을 적용하기 위해 충족해야 하는 조건을 정의하는 일치 기준 세트 일치 기준은 소스 IP 주소, 대상 IP 주소 및 애플리케이션을 기반으로 합니다. 사용자 아이덴티티 방화벽은 정책 명령문의 일부로 추가 tuple, 소스 ID를 포함해 보다 세분화됩니다.

  • 허용, 거부 또는 거부와 일치하는 경우 수행할 작업 세트

  • 계산, 로깅 또는 구조화된 시스템 로깅과 같은 회계 및 감사 요소.

SRX Series는 해당 사양과 일치하는 패킷을 수신하면 정책에 지정된 조치를 실행합니다.

보안 정책은 전송 트래픽에 대한 규칙을 적용하여 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에서 취해진 조치를 식별합니다. 지정된 기준에 일치하는 트래픽에 대한 조치에는 허용, 거부, 거부, 로그 또는 카운트가 포함됩니다.

SRX300, SRX320, SRX340, SRX345, SRX380 및 SRX550M 디바이스의 경우, 공장 기본 보안 정책이 제공됩니다.

  • 트러스트 존에서 언트러스트 존으로의 모든 트래픽을 허용합니다.

  • 언트러스트 존에서 트러스트 존으로의 모든 트래픽을 거부합니다.

  • 트러스트 존에서 언트러스트 존으로의 모든 트래픽을 허용합니다.

보안 정책 규칙 이해

보안 정책은 컨텍스트 내의 전송 트래픽에 보안 규칙을 적용from-zone 합니다 to-zone(to). 각 정책은 이름별로 고유하게 식별됩니다. 트래픽은 소스 및 대상 존, 소스 및 대상 주소, 트래픽이 프로토콜 헤더에서 전송하는 애플리케이션과 데이터 플레인 내 정책 데이터베이스를 일치시 분석하여 분류됩니다.

각 정책은 다음과 같은 특성과 연계됩니다.

  • 소스 존

  • 대상 존

  • 1개 또는 다수의 소스 주소 이름 또는 주소 집합 이름

  • 1개 또는 다수의 대상 주소 이름 또는 주소 집합 이름

  • 1개 또는 다수의 애플리케이션 이름 또는 애플리케이션 세트 이름

이러한 특성은 일치 기준 이라고 합니다. 각 정책에는 허용, 거부, 거부, 카운트, 로그 및 VPN 터널과 관련된 조치도 있습니다. 정책, 소스 주소, 대상 주소 및 애플리케이션 이름을 구성할 때 일치 조건 인수를 지정해야 합니다.

와일드카드 엔트리를 사용하여 IPv4 또는 IPv6 주소로 정책을 구성하도록 지정할 수 있습니다 any. IPv6 any 트래픽에 대해 플로우 지원이 활성화되지 않은 경우 IPv4 주소와 일치합니다. IPv6 any 트래픽에 대해 플로우 지원이 활성화되면 IPv4 및 IPv6 주소와 일치합니다. IPv6 트래픽에 대한 플로우 기반 포우링을 활성화하려면 명령을 set security forwarding-options family inet6 mode flow-based 사용하여 또한 와 any-ipv4 any-ipv6 일드카드 또는 소스 및 대상 주소 일치 기준을 지정하여 각각 IPv4 또는 IPv6 주소만 포함할 수 있습니다.

IPv6 트래픽에 대한 플로우 지원이 설정되면 보안 정책에서 구성할 수 있는 IPv4 또는 IPv6 주소의 최대 개수는 다음과 같은 일치 기준을 기반으로 합니다.

  • Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024

  • Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024

일치 기준을 사용하는 이유는 IPv6 주소가 IPv4 주소가 사용하는 메모리 공간을 4배 사용하는 것이기 때문에

참고:

IPv6 트래픽에 대한 플로우 지원이 장비에서 활성화된 경우만 IPv6 주소로 보안 정책을 구성할 수 있습니다.

특정 애플리케이션을 지정하지 않는 경우 기본 any 애플리케이션으로 입력합니다. 구성 모드에서 기본 애플리케이션을 검색하려면 를 입력합니다 show groups junos-defaults | find applications (predefined applications). 예를 들어, 애플리케이션 이름을 제공하지 않는 경우 애플리케이션과 함께 와일드카드(기본)로 정책이 설치됩니다. 따라서, 주어진 정책의 나머지 매개 변수와 일치하는 데이터 트래픽은 데이터 트래픽의 애플리케이션 유형에 관계없이 정책과 일치합니다.

참고:

여러 애플리케이션으로 정책이 구성되면 두 애플리케이션 중 하나 이상의 애플리케이션이 트래픽에 일치하면 일치 기준을 가장 잘 충족하는 애플리케이션이 선택됩니다.

트래픽과 일치하는 첫 번째 정책 조치가 패킷에 적용됩니다. 일치하는 정책이 없는 경우 패킷은 삭제됩니다. 정책은 상단에서 하단까지 검색하기 때문에 목록의 맨 위에 보다 구체적인 정책을 지정하는 것이 좋습니다. 또한 IPsec VPN 터널 정책을 상단에 설치해야 합니다. 특정 사용자가 모든 인터넷 애플리케이션에 액세스할 수 있도록 허용하는 정책과 같은 보다 일반적인 정책을 목록 맨 아래에 나열합니다. 예를 들어, 모든 특정 정책이 구문 분석되고 합법적 트래픽이 허용/카운트/로깅된 후에 맨 아래에 거부-all 또는 거부-all 정책을 적용합니다.

참고:

IPv6 주소에 대한 지원은 Junos OS Release 10.2에 추가됩니다. Junos OS 릴리스 10.4에 활성/활성 섀시 클러스터 구성(기존 액티브/패시브 섀시 클러스터 구성 지원 이외에)에서 IPv6 Junos OS 추가됩니다.

방화벽 필터와 스크린이 처리되고 SPU(Services Processing Unit)에 의해 루트 검색(SRX5400, SRX5600 및 SRX5800 정책이 작성되었습니다. 정책 위는 대상 존, 대상 주소 및 egress 인터페이스를 파악합니다.

정책을 만들 때 다음 정책 규칙이 적용됩니다.

  • 보안 정책은 방향에 따라 from-zone 구성 to-zone 됩니다. 각 보안 정책은 특정 존 방향에 따라 이름, 일치 기준, 작업 및 기타 옵션을 포함하며,

  • 정책 이름, 일치 조건 및 조치가 필요합니다.

  • 정책 이름은 키워드입니다.

  • 일치 조건의 소스 주소는 에 있는 하나 이상의 주소 이름 또는 주소 세트 네임으로 구성됩니다 from-zone.

  • 일치 조건의 대상 주소는 에 있는 하나 이상의 주소 이름 또는 주소 세트 네임으로 구성됩니다 to-zone.

  • 일치 조건의 애플리케이션 이름은 하나 이상의 애플리케이션 또는 애플리케이션 집합의 이름로 구성됩니다.

  • 다음 작업 중 하나는 허용, 거부 또는 거부해야 합니다.

  • 계산 및 감사 요소는 카운트와 로그를 지정할 수 있습니다.

  • 이 명령으로 session-close 세션이 끝날 때나 명령으로 세션 시작 시 로깅을 활성화할 수 session-init 있습니다.

  • 카운트 경보가 켜면 초당바이트 또는 분당 킬로바이트에서 경고 임계값을 지정합니다.

  • 아래 조건 global from-zone to-zone 에서 제외한 것으로 지정할 수 없습니다.

    global 존 to-zone 으로 구성된 모든 정책은 단일 대상 주소가 있어야만 정적 네트워크 주소 변환(NAT) 또는 수신 네트워크 주소 변환(NAT) 주소가 정책에 구성되어 있어야 합니다.

  • SRX 시리즈 서비스 게이트웨이에서 정책 허용 네트워크 주소 변환(NAT) 옵션이 간소화됩니다. 각 정책은 변환 허용 여부를 선택적으로 네트워크 주소 변환(NAT) 변환을 허용하지 네트워크 주소 변환(NAT), 또는 신경을 들이지 않습니다.

  • 주소 이름은 다음과 같은 예약된 프리픽스로 시작할 수 없습니다. 이러한 구성은 주소 및 네트워크 주소 변환(NAT) 사용됩니다.

    • static_nat_

    • incoming_nat_

    • junos_

  • 애플리케이션 이름은 예약 junos_ 된 Prefix에서 시작할 수 없습니다.

와일드카드 주소 이해

소스 및 대상 주소는 보안 정책에서 구성해야 하는 5개 일치 기준 중 2개입니다. 이제 보안 정책에서 소스 및 대상 주소 일치 기준에 대해 와일드카드 주소를 구성할 수 있습니다. 와일드카드 주소는 A.B.C.D/와일드카드 마스크로 표시됩니다. 와일드카드 마스크는 IP 주소 A.B.C.D의 어떤 비트가 보안 정책 일치 기준에서 무시해야 하는지 결정합니다. 예를 들어, 소스 IP 주소 192.168.0.11/255.255.255는 보안 정책 일치 기준이 IP 주소에서 세 번째 옥킷을 폐기할 수 있습니다(즉, 192.168.*.11로 표시). 따라서 192.168.1.11 및 192.168.22.11과 같은 소스 IP 주소를 있는 패킷은 일치 기준을 준수합니다. 그러나 192.168.0.1 및 192.168.1.21과 같은 소스 IP 주소가 있는 패킷은 일치 기준을 충족하지 못합니다.

와일드카드 주소 사용량은 전체 옥킷으로만 제한되지 않습니다. 와일드카드 주소를 구성할 수 있습니다. 예를 들어 와일드카드는 192.168을 주소로 합니다. 7.1/255.255.7.255는 정책을 일치하면서 와일드카드 주소의 세 번째 옥켓의 처음 5비트만 무시해야 하다는 것을 암시합니다. 와일드카드 주소 사용량이 전체 옥킷으로만 제한되는 경우, 4개의 옥킷 각각에서 0개 또는 255개의 와일드카드 마스크를 허용합니다.

참고:

와일드카드 마스크의 첫 번째 옥킷은 128보다 높을 수 있습니다. 예를 들어 0.255.0.255 또는 1.255.0.255로 표현된 와일드카드 마스크는 올지 않습니다.

와일드카드 보안 정책은 보안 존을 교차하려는 트래픽을 허용, 거부 및 거부할 수 있는 단순한 방화벽 정책입니다. 네트워크 보안(UTM)와 같은 서비스에 와일드카드 주소를 사용하여 보안 정책 규칙을 UTM(Unified Threat Management).

참고:

IPv6 세션에 대한 침입 침입 탐지 및 방지(IDP)(Intrusion and Prevention)만이 모든 SRX5400, SRX5600 및 SRX5800 지원됩니다. UTM(Unified Threat Management) 대한 세션은 지원되지 않습니다. 기존 보안 정책이 IP 주소 와일드카드와 함께 모든 규칙을 사용하는 경우, UTM(Unified Threat Management) 기능이 활성화되면 UTM(Unified Threat Management) IPv6 주소를 아직 지원하지 못하기 때문에 구성 커밋 오류가 발생하게 됩니다. 오류를 해결하려면 any-ipv4 와일드카드가 사용될 수 있도록 오류를 반환하는 규칙을 수정합니다. IPv6 트래픽에 대해 별도의 규칙을 UTM(Unified Threat Management) 있습니다.

디바이스에서 와일드카드 보안 정책을 구성하면 존 및 영역 컨텍스트에 따라 구성된 와일드카드 정책의 수에 따라 성능 및 메모리 사용에 영향을 줍니다. 따라서 특정 존 및 존 컨텍스트에 대해 최대 480개 와일드카드 정책을 구성할 수 있습니다.

셀프 트래픽에 대한 보안 정책 이해

보안 정책은 디바이스에서 통과하는 트래픽에 서비스를 적용하도록 디바이스에 구성됩니다. 예를 들어 UAC 및 UTM(Unified Threat Management) 정책은 임시 트래픽에 서비스를 적용하도록 구성됩니다.

셀프 트래픽 또는 호스트 트래픽은 호스트 인바운드 트래픽입니다. 즉, 디바이스에서 시작된 트래픽인 디바이스 또는 호스트 아웃바운드 트래픽에서 종료되는 트래픽입니다. 이제 정책을 구성하여 셀프 트래픽에 서비스를 적용할 수 있습니다. SSL 스택 서비스와 같은 서비스는 원격 장비에서 SSL 연결을 종료하고 해당 트래픽에 대한 일부 프로세싱을 수행해야 하고침입 탐지 및 방지(IDP) 호스트 인바운드 트래픽에 대한 침입 탐지 및 방지(IDP) 또는 호스트 아웃바운드 트래픽의 IPsec 암호화는 셀프 트래픽에 구성된 보안 정책을 통해 적용되어야 합니다.

셀프 트래픽에 대한 보안 정책을 구성하면 디바이스를 통해 흐르는 트래픽이 정책에 따라 먼저 검사된 다음, host-inbound-traffic 존에 연결되는 인터페이스에 대해 구성된 옵션에 대해 확인합니다.

자가 트래픽에 대한 보안 정책을 구성하여 서비스를 셀프 트래픽에 적용할 수 있습니다. 호스트 아웃바운드 정책은 호스트 디바이스에서 시작된 패킷이 플로우를 통과하고 이 패킷의 수신 인터페이스가 로컬로 설정되는 경우에 한해 작동됩니다.

셀프 트래픽 사용의 이점은

  • 전송 트래픽에 사용되는 기존 정책 또는 플로우 인프라스트럭처의 대부분을 활용할 수 있습니다.

  • 서비스를 지원하기 위해 별도의 IP 주소가 필요하지 않습니다.

  • 디바이스의 인터페이스의 대상 IP 주소를 사용하여 모든 호스트 인바운드 트래픽에 서비스 또는 정책을 적용할 수 있습니다.

참고:

관련 서비스만 사용하여 자가 트래픽에 대한 보안 정책을 구성할 수 있습니다. 예를 들어, 호스트 아웃바운드 트래픽에서 fwauth 서비스를 구성하는 것은 관련이 없습니다. gprs-gtp 서비스는 자가 트래픽에 대한 보안 정책과 관련이 없습니다.

셀프 트래픽에 대한 보안 정책은 존이라는 새로운 기본 보안 존에 따라 구성 junos-host 됩니다. Junos-host 존은 junos 기본 구성의 일부가 있으므로 사용자는 해당 존을 삭제할 수 있습니다. 인터페이스, 스크린, tcp-rst 및 호스트 인바운드 트래픽 옵션과 같은 기존 존 구성은 junos-host 존에 의미가 없습니다. 따라서 Junos-Host 존에는 전용 구성이 없습니다.

참고:

호스트 인바운드 트래픽을 사용하여 장치에 대한 수신 연결을 제어할 수 있습니다. 그러나 디바이스에서 유출되는 트래픽을 제한하지는 않습니다. 반면 junos-host-zone을 사용하면 선택한 애플리케이션을 선택하고 발신 트래픽을 제한할 수 있습니다. 예를 들어, 네트워크 주소 변환(NAT), 침입 탐지 및 방지(IDP), UTM(Unified Threat Management) 등은 이제 junos-host-zone을 사용해 SRX 시리즈 디바이스로 들어오고 있는 트래픽을 위해 사용할 수 있습니다.

보안 정책 구성 개요

보안 정책을 생성하려면 다음 작업을 완료해야 합니다.

  1. 존을 생성합니다. 예제 : 보안 존 생성을 참조합니다.

  2. 정책에 대한 주소가 있는 주소 북을 구성합니다. 예 : 주소 책 및 주소 집합 구성을 참조합니다.

  3. 정책이 해당 유형의 트래픽에 적용된다고 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다. 예제: 보안 정책 애플리케이션 및 애플리케이션 세트 구성

  4. 정책을 생성합니다. 예 : 모든 트래픽을 허용 또는 거부하기 위한 보안 정책 구성, 예: 선택한 트래픽을 허용 또는 거부하기 위한 보안 정책 구성, 예 : 와일드카드 주소 트래픽을 허용하거나 거부하기 위한 보안 정책 구성

  5. 정책에 사용할 계획인 경우 스케줄러를 생성합니다. 예: 하루를 제외한 매일 일정의 스케줄 러 구성을 참조하세요.

Firewall Policy Wizard를 사용하면 기본 보안 정책 구성을 수행할 수 있습니다. 보다 향상된 구성을 위해 J-Web 인터페이스 또는 CLI.

SRX 시리즈 디바이스에 대한 정책 정의를 위한 모범 사례

기업은 안전한 네트워크를 구축하는 데 필수적인 역할을 합니다. 네트워크를 보호하려면 네트워크 관리자는 해당 비즈니스 내 모든 네트워크 리소스와 해당 리소스에 필요한 보안 수준을 개략적으로 설명하는 보안 정책을 생성해야 합니다. 보안 정책은 컨텍스트(존에서 존으로)의 전송 트래픽에 보안 규칙을 적용하며 각 정책은 이름별로 고유하게 식별됩니다. 트래픽은 소스 및 대상 존, 소스 및 대상 주소, 트래픽이 프로토콜 헤더에서 전송하는 애플리케이션과 데이터 플레인 내 정책 데이터베이스를 매칭하여 분류됩니다.

표 1 은 데이터 처리에 대한 정책 SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 디바이스. 플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다를 수 있습니다.

참고:

Junos OS Release 12.3X48-D15 및 Junos OS Release 17.3R1 시작해 SRX5400, SRX5600 및 SRX5800 장치에 대한 정책당 최대 주소 객체의 수가 1024에서 4096로 증가하며 컨텍스트당 최대 정책 수는 10240개에서 80,000개로 증가합니다.

Junos OS Release 17.3R1 시작으로 보안 정책의 수와 SRX5400, SRX5600 및 SRX5800 디바이스의 최대 정책 수가 80,000개에서 100,000개로 증가합니다.

릴리스 Junos OS 릴리스 15.1X49-D120 시작하여 SRX5400, SRX5600 및 SRX5800 정책당 주소 객체의 SRX5800 4096개에서 16,000개로 증가합니다.

표 1: SRX 시리즈 디바이스의 정책 제한

SRX 시리즈 디바이스

주소 객체

애플리케이션 객체

보안 정책

정책 컨텍스트(영역 쌍)

컨텍스트당 정책

카운트를 활성화한 정책

SRX300 SRX320

2048

128

1024

256

1024

256

SRX340

2048

128

2048

512

2048

256

SRX345

2048

128

4096

1024

4096

256

SRX380

2048

128

4096

1024

4096

256

SRX550 SRX650

1024

128

10240

2048

10240

1024

SRX550M

2048

128

10240

2048

10240

1024

SRX1400 SRX1500

1024

3072

16000

4096

16000

1024

SRX3400 SRX3600

4096

3072

40000

4096

40000

1024

SRX4100

1024

3072

60000

4096

60000

1024

SRX4200

1024

3072

60000

4096

60000

1024

SRX4600

4096

3072

80000

8192

80000

1024

SRX5400 SRX5600 SRX5800

16000

3072

100000

8192

100000

1024

따라서 각 규칙에서 주소 및 애플리케이션의 수를 늘리면 정책 정의에서 사용하는 메모리의 양이 증가하고 경우에 따라 시스템이 80,000개 미만의 정책으로 메모리에서 실행되는 경우도 있습니다.

PFE(패킷 전달 엔진) 및 RE(라우팅 엔진)에서 정책의 실제 메모리 활용을 얻하려면 메모리 트리의 다양한 구성 요소를 고려해야 합니다. 메모리 트리에는 다음 두 가지 구성 요소가 포함되어 있습니다.

  • 정책 컨텍스트– 이 맥락에서 모든 정책을 구성하는 데 사용됩니다. 정책 컨텍스트에는 소스 및 대상 존과 같은 변수가 포함됩니다.

  • 정책 엔티티 – 정책 데이터를 보유하는 데 사용됩니다. 정책 엔티티는 정책 이름, IP 주소, 주소 카운트, 애플리케이션, 방화벽 인증, WebAuth, IPsec, 카운트, 애플리케이션 서비스, JSF(Junos Services Framework) 등의 매개 변수를 사용하여 메모리를 계산합니다.

또한 정책, 규칙 집합 및 기타 구성 요소를 저장하는 데 사용되는 데이터 구조는 데이터 패킷 전달 엔진 데이터 라우팅 엔진. 예를 들어, 정책의 각 주소에 대한 주소 이름이 라우팅 엔진 있지만, 패킷 전달 엔진 메모리는 할당되지 않습니다. 마찬가지로 포트 범위는 Prefix 및 Mask 쌍으로 확장되고 패킷 전달 엔진 저장되지만, 이러한 메모리는 이 메모리에 할당되지 라우팅 엔진.

따라서 정책 구성에 따라 정책 기여자(policy contributors)는 라우팅 엔진 서로 다르며 패킷 전달 엔진 할당됩니다.

메모리는 또한 "지연된 삭제" 상태로 소비됩니다. 지연된 삭제 상태의 경우, SRX 시리즈 디바이스에서 정책 변경을 적용하면 이전 정책과 새 정책이 모두 있는 경우, 당분 간소한 피크 사용량이 표시됩니다. 따라서, 짧은 기간 동안, 이전 정책과 새로운 정책이 모두 패킷 전달 엔진 2배의 메모리 요구 사항을 사용합니다.

따라서 특정 시점에 각 컴포넌트(패킷 전달 엔진 또는 라우팅 엔진)가 사용하는 메모리를 분명하게 추론할 수 있는 확실한 방법은 없습니다. 메모리 요구 사항은 특정 정책 구성에 따라 달라지며 메모리는 동적으로 할당됩니다.

정책 구현을 위한 다음과 같은 모범 사례를 통해 시스템 메모리를 더 잘 활용하고 정책 구성을 최적화할 수 있습니다.

  • 소스 및 대상 주소에 단일 Prefix를 사용합니다. 예를 들어, /32 주소를 사용하고 각 주소를 별도로 추가하는 대신 필요한 대부분의 IP 주소를 아우르는 대형 서브넷을 사용합니다.

  • 가능한 한 애플리케이션 "any"를 사용할 수 있습니다. 정책에서 개별 애플리케이션을 정의할 때마다 52비트의 추가를 사용할 수 있습니다.

  • IPv6 주소는 더 많은 메모리를 사용하기 때문에 더 적은 IPv6 주소를 사용합니다.

  • 정책 구성에서 더 적은 존 쌍을 사용 각 소스 또는 대상 존은 약 16,048비트의 메모리를 사용합니다.

  • 다음과 같은 매개 변수는 지정된 경우 메모리가 bytes에 의해 소비되는 방법을 변경할 수 있습니다.

    • 방화벽 인증– 약 16비트 이상(비픽스)

    • 웹 인증– 약 16비트 이상(비픽스)

    • IPsec–12비트

    • 애플리케이션 서비스 – 28비트

    • 카운트–64비트

  • 정책을 컴파일하기 전 및 후에 메모리 활용도를 검사합니다.

    참고:

    각 디바이스의 메모리 요구 사항은 다릅니다. 일부 디바이스는 기본적으로 512,000개 세션을 지원하며 부팅 메모리는 일반적으로 72~73%입니다. 다른 장비들은 최대 1백만 개 세션을 지원할 수 있으며 부팅 메모리는 최대 83~84%까지 지원될 수 있습니다. 최악의 경우, SPU에서 약 80,000개 정책을 지원하기 위해 SPU는 최대 82%의 플로우 커널 메모리 소비와 170메가바이트 이상의 메모리를 사용할 수 있는 플로우 커널 메모리로 부팅해야 합니다.

방화벽 마법사를 사용한 정책 구성

Firewall Policy Wizard를 사용하면 방화벽 정책 마법사를 통해 방화벽, SRX300, SRX320, SRX345, SRX380 및 SRX550M 디바이스에서 기본 보안 정책 구성을 수행할 수 있습니다. 보다 향상된 구성을 위해 J-Web 인터페이스 또는 CLI.

Firewall Policy Wizard를 사용하여 정책을 구성하는 방법:

  1. Configure>Tasks>Configure FW Policy J-Web 인터페이스에서 선택합니다.
  2. Launch Firewall Policy Wizard 버튼을 클릭해 마법사를 실행합니다.
  3. 마법사의 프롬프트를 따라가기

마법사 페이지의 좌측 상단 영역은 구성 프로세스의 위치를 보여줍니다. 페이지의 하단 좌측 영역은 현장에 민감한 도움말을 보여줍니다. Resources 제목의 링크를 클릭하면 브라우저에서 문서가 열립니다. 새 탭에서 문서가 열리면 문서를 닫을 때 탭(브라우저 창이 아)만 닫아야 합니다.

예: 모든 트래픽을 허용 또는 거부하기 위한 보안 정책 구성

이 예에서는 모든 트래픽을 허용 또는 거부하기 위한 보안 정책을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

개요

네트워크 Junos OS 보안 정책은 트래픽이 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에서 수행해야 하는 조치 측면에서 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 한 보안 존에 들어오고 다른 보안 존으로 들어오게 됩니다. 이 예에서는 트러스트 및 신뢰할 수 없는 인터페이스, ge-0/0/2 및 ge-0/0/1을 구성합니다. 그림 1을 참조합니다.

그림 1: 모든 트래픽 허용 Permitting All Traffic

이 구성 예는 다음과 같은 방법을 보여줍니다.

  • 트러스트 존에서 언트러스트 존으로의 모든 트래픽을 허용 또는 거부하지만 언트러스트 존에서 트러스트 존까지 모든 트래픽을 차단합니다.

  • 특정 시간대에 있는 트러스트 존의 호스트에서 언트러스트 존의 서버로 선택한 트래픽을 허용하거나 거부합니다.

토폴로지

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집 자 CLI 참조하십시오.

모든 트래픽을 허용 또는 거부하도록 보안 정책을 구성하는 경우:

  1. 인터페이스 및 보안 존을 구성합니다.

  2. 트러스트 존에서 언트러스트 존으로의 트래픽을 허용하는 보안 정책을 생성합니다.

  3. 보안 정책을 생성하여 신뢰할 수 없는 존에서 트러스트 존으로의 트래픽을 거부합니다.

결과

구성 모드에서 명령어를 입력하여 show security policies 구성을 확인 show security zones 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

참고:

구성 예는 트러스트 존에서 언트러스트 존까지의 기본 permit-all입니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

정책 구성 검증

목적

보안 정책에 대한 정보를 검증합니다.

작업

작동 모드에서 명령을 show security policies detail 입력하여 장치에 구성된 모든 보안 정책의 요약을 표시합니다.

의미

출력은 시스템에 구성된 정책에 대한 정보를 표시합니다. 다음 정보를 검증합니다.

  • 시작 영역 및 존

  • 소스 및 대상 주소

  • 일치 조건

예: 선택한 트래픽을 허용 또는 거부하기 위한 보안 정책 구성

이 예에서는 선택한 트래픽을 허용 또는 거부하기 위해 보안 정책을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

개요

따라서 Junos OS 정책은 트래픽이 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에서 수행해야 하는 조치의 관점에서 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 한 보안 존에 들어오고 다른 보안 존으로 들어오게 됩니다. 이 예에서는 트러스트 존의 호스트에서 언트러스트 존의 서버로 전달되는 트래픽만 허용하도록 특정 보안 정책을 구성합니다. 다른 트래픽은 허용되지 않습니다. 그림 2를 참조합니다.

그림 2: 선택한 트래픽 허용 Permitting Selected Traffic

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집 자 CLI 참조하십시오.

선택한 트래픽을 허용하도록 보안 정책을 구성하는 경우:

  1. 인터페이스 및 보안 존을 구성합니다.

  2. 클라이언트와 서버 모두에 대해 주소 책 엔트리를 생성합니다. 또한 보안 존을 주소 교재에 연결합니다.

  3. 메일 트래픽을 허용하는 정책을 정의합니다.

결과

구성 모드에서 명령어를 입력하여 show security policies 구성을 확인 show security zones 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

정책 구성 검증

목적

보안 정책에 대한 정보를 검증합니다.

작업

작동 모드에서 명령을 show security policies detail 입력하여 장치에 구성된 모든 보안 정책의 요약을 표시합니다.

의미

출력은 시스템에 구성된 정책에 대한 정보를 표시합니다. 다음 정보를 검증합니다.

  • 시작 영역 및 존

  • 소스 및 대상 주소

  • 일치 조건

예: 와일드카드 주소 트래픽을 허용 또는 거부하기 위한 보안 정책 구성

이 예에서는 와일드카드 주소 트래픽을 허용 또는 거부하기 위한 보안 정책을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 할 수 있습니다.

개요

Junos 운영체제(Junos OS)에서 보안 정책은 트래픽이 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에서 수행해야 하는 조치의 관점에서 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 한 보안 존에 들어오고 다른 보안 존으로 들어오게 됩니다. 이 예에서는 트러스트 존의 호스트에서 언트러스트 존으로의 와일드카드 주소 트래픽만 허용하도록 특정 보안을 구성합니다. 다른 트래픽은 허용되지 않습니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드로 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집 자 CLI 참조하십시오.

선택한 트래픽을 허용하도록 보안 정책을 구성하는 경우:

  1. 인터페이스 및 보안 존을 구성합니다.

  2. 호스트에 대한 주소 책 엔트리를 생성하고 주소 책을 존에 연결합니다.

  3. 와일드카드 주소 트래픽을 허용하는 정책을 정의합니다.

결과

구성 모드에서 명령어를 입력하여 show security policies 구성을 확인 show security zones 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

정책 구성 검증

목적

보안 정책에 대한 정보를 검증합니다.

작업

작동 모드에서 명령을 show security policies policy-name permit-wildcard detail 입력하여 장치에 구성된 permit-wildcard 보안 정책에 대한 세부 정보를 표시합니다.

의미

출력은 시스템에서 구성된 permit-wildcard 정책에 대한 정보를 표시합니다. 다음 정보를 검증합니다.

  • 시작 영역 및 존

  • 소스 및 대상 주소

  • 일치 조건

예: 트래픽 로그를 외부 시스템 로그 서버로 리디렉션하기 위한 보안 정책 구성

이 예에서는 장비에서 생성된 트래픽 로그를 외부 시스템 로그 서버로 전송하도록 보안 정책을 구성하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 인터페이스 ge-4/SRX5600 디바이스에 연결된 클라이언트

  • 인터페이스 ge-4/SRX5600 디바이스에 연결된 서버

    이 SRX5600 디바이스에서 생성된 로그는 Linux 기반 시스템 로그 서버에 저장됩니다.

  • 인터페이스 SRX5600 ge-4/0/4에서 Linux 기반 서버에 연결된 모든 디바이스

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

다음 예제에서 데이터 전송 중에 디바이스가 생성한 트래픽 로그를 SRX5600 디바이스에 보안 정책을 구성합니다. 트래픽 로그는 모든 세션의 세부 정보를 기록합니다. 로그는 세션 설정 및 네트워크 장치에 연결된 소스와 대상 장치 간의 종료 동안 SRX5600 생성됩니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드로 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집 자 CLI 참조하십시오.

트래픽 로그를 외부 시스템 로그 서버로 전송하기 위한 보안 정책을 구성하려면 다음을 제공합니다.

  1. IP 주소 203.0.113.2를 SRX5600 장치에서 생성된 트래픽 로그를 외부 시스템 로그 서버로 전송하도록 보안 로그를 구성합니다. IP 주소 127.0.0.1은 SRX5600 주소입니다.

  2. 보안 존을 구성하고 네트워크 디바이스의 인터페이스 ge-4/0/5.0에서 허용되는 트래픽 및 프로토콜 유형을 SRX5600 있습니다.

  3. 다른 보안 존을 구성하고 SRX5600 디바이스의 인터페이스 ge-4/0/4.0 및 ge-4/0/1.0에서 허용되는 트래픽 유형을 SRX5600 있습니다.

  4. 정책을 생성하고 해당 정책에 대한 일치 기준을 지정합니다. 일치 기준은 디바이스가 소스, 대상 및 애플리케이션의 트래픽을 허용하도록 지정합니다.

  5. 정책을 통해 세션 시작과 세션 종료 시 트래픽 세부 정보를 기록할 수 있습니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인 show security log 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

영역 검증

목적

보안 존이 활성화되어 있는지 여부를 확인합니다.

작업

작동 모드에서 명령어를 입력 show security zones 합니다.

정책 검증

목적

정책이 작동하고 있는지 검증합니다.

작업

작동 모드에서 모든 show security policies 디바이스에 대한 명령을 입력합니다.

보안 존 및 정책을 위한 TAP 모드

보안 존 및 정책을 위한 TAP(Terminal Access Point) 모드를 사용하면 스위치 SPAN 또는 미러 포트를 통해 네트워크 전반의 트래픽 흐름을 수동적으로 모니터링할 수 있습니다.

보안 존 및 정책에 대한 TAP 모드 지원 이해

TAP(Terminal Access Point) 모드는 스위치를 통해 미러링된 트래픽을 검사하는 대기 장치입니다. 보안 존과 정책이 구성된 경우, TAP 모드는 TAP 인터페이스를 구성하고 보안 로그 보고서를 생성하여 탐지된 위협 수와 사용자 사용 현황을 표시하여 수신 및 수신 트래픽을 검사합니다. 일부 패킷이 탭 인터페이스에서 손실되는 경우 보안 존과 정책이 연결을 종료합니다. 그 결과 이 연결을 위해 보고서가 생성되지 않습니다. 보안 존과 정책 구성은 NON-TAP 모드와 동일합니다.

SRX 시리즈 디바이스를 TAP 모드에서 작동하도록 구성하면 디바이스가 보안 로그 정보를 생성하여 탐지된 위협, 애플리케이션 사용 및 사용자 세부 정보에 대한 정보를 표시합니다. 디바이스가 TAP 모드에서 작동하도록 구성되면 SRX 시리즈 디바이스는 구성된 TAP 인터페이스에서만 패킷을 수신합니다. 구성된 TAP 인터페이스를 제외하고, 다른 인터페이스는 관리 인터페이스로 사용되거나 외부 서버에 연결된 일반 인터페이스로 구성됩니다. SRX 시리즈 디바이스는 수신 트래픽에 따라 보안 보고서 또는 로그를 생성합니다.

TAP 인터페이스가 구성되면 보안 존과 기본 보안 정책이 구성됩니다. 필요한 경우 다른 존 또는 정책을 구성할 수 있습니다. 서버를 연결하는 데 하나의 인터페이스가 사용되는 경우 IP 주소, 라우팅 인터페이스 및 보안 구성도 구성해야 합니다.

참고:

TAP 모드에서 디바이스를 작동할 때 하나의 TAP 인터페이스만 구성할 수 있습니다.

예: TAP 모드에서 보안 존 및 정책 구성

이 예에서는 SRX 디바이스가 TAP(Terminal Access Point) 모드로 구성되면 보안 존을 구성하는 방법과 정책을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • SRX 시리즈 디바이스

  • Junos OS 릴리스 19.1R1

시작하기 전에 다음을 할 수 있습니다.

개요

이 예에서는 SRX 시리즈 디바이스를 TAP 모드에서 작동하도록 구성합니다. SRX 시리즈 디바이스가 TAP 모드로 작동하도록 구성하면 디바이스가 보안 로그 정보를 생성하여 탐지된 위협, 애플리케이션 사용 및 사용자 세부 정보에 대한 정보를 표시합니다.

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 CLI 명령어에 복사하여 붙여넣은 다음 구성 모드에서 커밋을 입력합니다.

절차
단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이러한 작업을 하는 방법에 대한 지침은 CLI 사용자 가이드의 CLI 편집 기 사용 Junos OS CLI 참조하십시오.

TAP 모드에서 존을 구성하려면:

  1. 보안 존 탭 존 인터페이스를 구성합니다.

  2. 보안 존 탭 존 애플리케이션 추적을 구성합니다.

  3. 존 탭 존에서 존 탭 존으로의 트래픽을 허용하는 보안 정책을 구성하고 일치 조건을 탭하고 구성합니다.

결과

구성 모드에서 명령어를 입력하여 show security zones 구성을 확인 show security policies 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

TAP 모드에서 정책 구성 확인
목적

보안 정책에 대한 정보를 검증합니다.

작업

작동 모드에서 명령어를 입력 show security policies detail 합니다.

의미

장비에서 구성된 모든 보안 정책의 요약을 TAP 모드로 표시

보안 정책의 동적 주소 그룹

정책에 주소 항목을 수동으로 추가하는 데 많은 시간이 소요될 수 있습니다. 특정 목적(예: 차단 목록)을 가지거나 공통 속성을 가지고 있는 IP 주소 목록을 제공하는 외부 소스가 있습니다(예: 위협을 가할 수 있는 특정 위치 또는 동작). 외부 소스를 사용하여 IP 주소로 위협 소스를 식별한 다음, 해당 주소를 동적 주소 엔트리로 그룹화하고 보안 정책에서 해당 엔트리를 참조할 수 있습니다. 따라서 이러한 주소로 오고 오가며 트래픽을 제어할 수 있습니다. 이들 각 IP 주소 그룹을 동적 주소 엔트리라고 합니다.

IP 주소의 유형은 다음과 같습니다.

  • 단일 IP. 예를 들어: 192.0.2.0

  • IP 범위. 예를 들어: 192.0.2.0 - 192.0.2.10

  • CIDR(Classless Interdomain Routing). 예를 들어: 192.0.2.0/24

각 엔트리는 한 줄을 차지합니다. Junos OS Release 19.3R1 시작하여 IP 주소 범위를 오가며 정렬할 필요가 없습니다. IP 엔트리의 값이 동일한 피드 파일에서 중복될 수 있습니다. Junos OS 릴리스가 19.3R1 경우 IP 주소 범위를 오가며 IP 엔트리의 값이 동일한 피드 파일에서 중복될 수 없습니다.

참고:

동적 주소 엔트리는 단일 IP Prefix가 아닌 IP 주소 그룹입니다. 동적 주소 입력은 주소 책 및 주소 입력 주소의 보안 주소 개념과 다릅니다.

보안 정책에 동적 주소 항목을 구축하면 다음과 같은 이점을 제공합니다.

  • 네트워크 관리자는 IP 주소 그룹과 그룹 트래픽을 보다 제어할 수 있습니다.

  • 외부 서버는 SRX 시리즈 디바이스에 업데이트된 IP 주소 피드를 제공합니다.

  • 관리자의 노력을 획기적으로 줄일 수 있습니다. 예를 들어, 레거시 보안 정책 구성에서 참조 정책에 1000개 주소 엔트리를 추가하려면 2,000개 이상의 구성 라인이 필요합니다. 동적 주소 항목을 정의하고 보안 정책에서 참조하면 추가 구성 노력 없이 최대 수백만 엔트리가 SRX 시리즈 디바이스로 흐를 수 있습니다.

  • 새 주소를 추가하기 위해 커밋 프로세스가 필요하지 않습니다. 레거시 메소드를 통해 수천 개의 주소를 구성에 추가하는 데는 커밋에 오랜 시간이 소요됩니다. 또는 동적 주소 엔트리의 IP 주소는 외부 피드에서 유입하기 때문에 엔트리 변경 시 주소의 커밋 프로세스가 필요하지 않습니다.

그림 3 은 보안 정책의 동적 주소 입력이 어떻게 작동하는지 보여주는 기능 개요를 설명하고 있습니다.

그림 3: 보안 정책에서 동적 주소 엔트리의 기능 컴포넌트 Functional Components of the Dynamic Address Entry in a Security Policy

보안 정책은 소스 주소 또는 대상 주소 필드의 동적 주소 엔트리를 참조합니다(보안 정책이 레거시 주소 엔트리를 참조하는 동일한 방식으로).

그림 4는 대상 주소 필드에서 동적 주소 엔트리를 사용하는 정책을 설명하고 있습니다.

그림 4: 보안 정책의 동적 주소 입력 A Dynamic Address Entry in a Security Policy

그림 4에서 Policy 1은 레거시 보안 주소 엔트리인 대상 주소 10.10.1을 사용한다. Policy 2는 네트워크 관리자가 지정한 동적 주소 엔트리인 대상 주소 벤더 차단 목록을 사용한다. 컨텐트는 외부 피드 파일에서 검색된 IP 주소 목록입니다. 5개 기준(언트러스트로 명명된 From-zone, To-zone 지명 엔지니어, 모든 소스 주소, 벤더 차단 목록 동적 주소 엔트리에 속하는 대상 IP 주소 및 메일 애플리케이션)은 패킷을 거부하고 기록하는 정책 조치에 따라 처리됩니다.

참고:

동적 주소 엔트리 이름은 레거시 보안 주소 엔트리와 동일한 이름 공간을 공유하기 때문에 두 개 이상의 엔트리에 대해 동일한 이름을 사용하지 않습니다. Junos OS 충돌을 방지하기 위해 이름이 중복되지 않는 커밋 프로세스 검사를 제공합니다.

동적 주소 그룹은 다음과 같은 데이터 피드를 지원합니다.

  • 사용자 지정 목록(허용 목록 및 차단 목록)

  • Geoip

  • 피드 서버

번들 피드

동적 주소 입력에 포함된 IP 주소, IP 프리픽스 또는 IP 범위는 외부 피드를 다운로드하여 주기적으로 업데이트할 수 있습니다. SRX 시리즈 디바이스는 업데이트된 동적 주소를 포함하는 IP 목록을 다운로드하고 업데이트하기 위해 주기적으로 피드 서버에 대한 연결을 시작합니다.

Release Junos OS 릴리스 19.3R1 서버에서 단일 tgz 파일을 다운로드하여 여러 어린이 피드 파일로 추출할 수 있습니다. 각 개별 파일은 하나의 피드에 대응합니다. 개별 동적 주소가 번들 파일 내부의 피드를 참조할 수 있습니다. 번들 파일에서 너무 많은 피드가 구성되면 CPU 오버헤드가 줄어듭니다. 여기서 여러 개의 자식 피드가 하나의 .tgz 파일로 압축됩니다.

다음 번들 피드 모드가 지원됩니다.

아카이브 모드

아카이브 모드에서는 SRX 시리즈 디바이스의 모든 피드 파일을 하나의 tgz 파일로 압축해야 합니다. SRX 시리즈 디바이스가 이 파일을 다운로드하고 추출 후에 모든 피드를 추출합니다. 이 프로세스는 아래에서 설명하고 있습니다.

  • 피드 서버의 URL이 폴더의 원래 URL 대신 suffix .tgz 가 있는 파일의 URL인 경우, 이 서버는 단일 파일을 사용하여 SRX 시리즈 동적 주소 구축에 대한 모든 피드를 전달합니다. 이 경우 이 서버의 피드는 서버의 업데이트 간격 또는 홀드 간격을 상속합니다. 이 피드에 대한 업데이트 간격 또는 홀드 간격의 사용자 구성은 무시됩니다.

  • 이 변경 후 아래 단계에 따라 서버 피드를 유지 관리하는 예제가 있습니다.

    아래 예는 서버 피드를 유지하는 데 필요한 단계를 보여줍니다.

    1. 폴더 피드-4-srx에 SRX 시리즈 디바이스의 모든 피드 파일을 배치합니다.

    2. 모든 피드 파일을 fd1 fd2 fd3을 생성합니다. 폴더 피드 -4-srx의 fdN

    3. 피드에서 IP 범위를 추가하거나 제거

    4. 다음 명령을 실행하여 파일에 액세스합니다. cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-

  • 4단계가 지난 후, 파일 피드-4-srx.tgz는 피드-4-srx.tgz 파일이 포함된 동일한 폴더가 포함된 SRX 시리즈 디바이스에서 다운로드할 수 있습니다. 다운로드 후 추출된 파일이 feeds-4-srx.tgz와 동일한 폴더에 배치됩니다. 다음 예에서는 SRX 시리즈 디바이스에서 Samle 구성을 보여줍니다.

경로 매개 변수 는 번들 아카이브 내부의 피드의 상대적 경로를 필요로 합니다.

  • tar -zxf 피드-4-srx.tgz 파일이 폴더 피드-4-srx를 생성하고 이 폴더에 피드 파일 fd1이 있는 경우 다음 명령을 사용하여 피드를 구성합니다.

  • tar -zxf 피드-4-srx.tgz 파일이 파일 fd1을 직접 추출한 경우, 다음 명령을 사용하여 피드를 구성합니다.

플랫 파일 모드

플랫 파일 모드는 기존 피드 파일 형식에 하나의 구문 변경을 도입하여 사용자에게 궁극적인 단순성을 제공합니다. 모든 피드 파일의 컨텐츠는 .bundle 을 접미사로 포함해 단일 파일로 편집됩니다. 이를 통해 단일 파일을 관리할 수 있습니다. SRX 시리즈 디바이스는 이 번들 파일의 IP 범위를 다양한 피드 파일로 분류합니다. 전송을 위해 일부 대역폭을 절약할 수 있는 경우 이 파일을 .bundle.gz 로 gzip할 수 있습니다. 앞에서 정의된 파일 형식 외에도 피드 이름에 이어 대문자 태그 피드 가 나타났습니다. 이 태그 아래의 줄은 피드에 속하는 IP 범위로 표시됩니다. 파일 형식의 예는 다음과 같습니다.

SRX 시리즈 디바이스의 구성은 아카이브 모드와 유사하며 아래와 같습니다.

flat 모드와 아카이브 모드의 차이점은 파일의 접미사와 파일 내부의 레이아웃입니다. 가장 편리한 모드를 선택할 수 있습니다.

피드 파일이 일반 텍스트 형식으로 지정되어 있는 경우 gzip은 파일 크기를 줄일 수 있습니다. 서버와 SRX 시리즈 디바이스 사이에 WAN 링크가 있는 경우 네트워크에서 더 작은 크기의 파일을 사용하여 네트워크에서 전송할 수 있습니다. 이 경우 번들 파일을 gzip하여 다음 명령을 구성합니다.

SRX 시리즈 디바이스에 대한 피드 서버 지원

표 2:

플랫폼

최대 피드 서버 개수

최대 피드 개수

최대 동적 주소 항목 개수

SRX300 SRX320 SRX340SRX345 SRX550 SRX550M SRX650

10

500

500

SRX4100SRX4200SRX4600 SRX5400 SRX5600 SRX5800 vSRX vSRX 3.0

100

5000

5000

SRX1500

40

2000

2000

보안 정책을 가상 확장형 LAN(VXLAN)

요약 다음 예제를 사용하여 EVPN(Ethernet VPN) 터널 검사를 위한 보안 가상 확장형 LAN 가상 확장형 LAN(VXLAN).

요구 사항

가상 확장형 LAN(VXLAN) 지원은 캠퍼스, 데이터센터, 브랜치 및 공용 클라우드 환경의 엔드포인트를 연결하는 동시에 내장형 보안을 제공하는 엔터프라이즈급 방화벽을 유연하게 제공합니다.

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • SRX4600 디바이스

  • Junos OS 릴리스 20.4R1

시작하기 전에 다음을 할 수 있습니다.

  • EVPN과 EVPN의 작동 방법을 가상 확장형 LAN(VXLAN) 수 있도록 합니다.

개요

EVPN 솔루션은 캠퍼스 및 데이터센터 네트워크를 관리하는 데 사용되는 공통 프레임워크를 대기업에 제공합니다. EVPN-VxLAN 아키텍처는 확장성, 단순성, 민첩성을 통해 효율적인 레이어 2 및 레이어 3 네트워크 연결을 제공합니다. 그림 5 는 트래픽 플로우 토폴로지의 단순화된 가상 확장형 LAN(VXLAN) 보여줍니다.

토폴로지

그림 5: 단순화된 가상 확장형 LAN(VXLAN) 플로우 토폴로지

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이러한 작업을 하는 방법에 대한 지침은 CLI 사용자 가이드의 CLI 편집사용 Junos OS CLI 참조하십시오.

구성 가상 확장형 LAN(VXLAN):

  1. 보안 존을 정의합니다.

  2. 터널 검사 프로파일을 정의합니다.

  3. 아웃어 세션 정책을 정의합니다.

  4. 정책 세트를 정의합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인 show security policies 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스에서 기능을 구성한 경우 구성 commit 모드에서 입력합니다.

확인

터널 검사 프로파일 및 VNI 검증

목적

터널 Inpection Profile 및 VNI가 구성된지 확인

작업

작동 모드에서 명령 show security tunnel-inspection profiles ins-pf1 어를 show security tunnel-inspection vnis 입력합니다.

의미

출력은 가상 확장형 LAN(VXLAN) 활성화되어 있으며 안전한 검색 리디렉션과 안전한 검색 재조정이 없음을 표시됩니다.

안전한 검색 기능 검증

목적

웹 필터링 솔루션에서 안전한 검색 기능이 UTM(Unified Threat Management) 있는지 검증합니다.

작업

작동 모드에서 명령을 Show security flow tunnel-inspection statistic 입력하여 터널 검사 통계를 볼 수 있습니다.

의미

출력은 가상 확장형 LAN(VXLAN) 활성화되어 있으며 안전한 검색 리디렉션과 안전한 검색 재조정이 없음을 표시됩니다.

릴리스 내역 표
릴리스
설명
17.3R1
Junos OS Release 17.3R1 시작으로 보안 정책의 수와 SRX5400, SRX5600 및 SRX5800 디바이스의 최대 정책 수가 80,000개에서 100,000개로 증가합니다.
15.1X49-D120
릴리스 Junos OS 릴리스 15.1X49-D120 시작하여 SRX5400, SRX5600 및 SRX5800 정책당 주소 객체의 SRX5800 4096개에서 16,000개로 증가합니다.
12.3X48-D15
Junos OS Release 12.3X48-D15 및 Junos OS Release 17.3R1 시작해 SRX5400, SRX5600 및 SRX5800 장치에 대한 정책당 최대 주소 객체의 수가 1024에서 4096로 증가하며 컨텍스트당 최대 정책 수는 10240개에서 80,000개로 증가합니다.
10.4
Junos OS 릴리스 10.4에 활성/활성 섀시 클러스터 구성(기존 액티브/패시브 섀시 클러스터 구성 지원 이외에)에서 IPv6 Junos OS 추가됩니다.
10.2
IPv6 주소에 대한 지원은 Junos OS Release 10.2에 추가됩니다.