Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

보안 정책 구성

네트워크를 보호하려면 네트워크 관리자가 해당 비즈니스 내의 모든 네트워크 리소스와 해당 리소스에 필요한 보안 수준을 간략하게 설명하는 보안 정책을 만들어야 합니다. Junos OS를 통해 보안 정책을 구성할 수 있습니다. 보안 정책은 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다.

보안 정책 요소 이해

보안 정책은 지정된 서비스를 사용하여 지정된 소스에서 지정된 대상으로의 트래픽을 제어하는 일련의 문입니다. 정책은 두 지점 간에 지정된 유형의 트래픽을 단방향으로 허용, 거부 또는 터널링합니다.

각 정책은 다음과 같이 구성됩니다.

  • 정책의 고유한 이름입니다.

  • A from-zone 및 a to-zone(예: user@host# set security policies from-zone untrust to-zone untrust

  • 정책 규칙을 적용하기 위해 충족해야 하는 조건을 정의하는 일치 기준 집합입니다. 일치 기준은 소스 IP 주소, 대상 IP 주소, 애플리케이션을 기반으로 합니다. 사용자 ID 방화벽은 정책 설명의 일부로 추가 튜플 source-identity를 포함하여 더 큰 세분화를 제공합니다.

  • 일치하는 경우 수행할 일련의 작업(허용, 거부 또는 거부)입니다.

  • 회계 및 감사 요소 - 계산, 로깅 또는 구조화된 시스템 로깅.

디바이스가 해당 사양과 일치하는 패킷을 수신하면 정책에 지정된 작업을 수행합니다.

보안 정책은 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 수행되는 작업을 식별하여 전송 트래픽에 대한 일련의 규칙을 적용합니다. 지정된 기준과 일치하는 트래픽에 대한 작업에는 허용, 거부, 거부, 로그 또는 카운트가 포함됩니다.

보안 정책 규칙 이해

보안 정책은 컨텍스트(from-zone to to-zone) 내의 전송 트래픽에 보안 규칙을 적용합니다. 각 정책은 이름으로 고유하게 식별됩니다. 트래픽은 소스 및 대상 영역, 소스 및 대상 주소, 트래픽이 프로토콜 헤더로 전달하는 애플리케이션을 데이터 플레인의 정책 데이터베이스와 일치시켜 분류됩니다.

각 정책은 다음과 같은 특성과 관련이 있습니다.

  • 소스 영역

  • 대상 영역

  • 하나 이상의 소스 주소 이름 또는 주소 집합 이름

  • 하나 이상의 대상 주소 이름 또는 주소 집합 이름

  • 하나 이상의 응용 프로그램 이름 또는 응용 프로그램 집합 이름

이러한 특성을 일치 기준이라고 합니다. 각 정책에는 허용, 거부, 거부, 카운트, 로그 및 VPN 터널과 같은 관련 작업도 있습니다. 정책, 소스 주소, 대상 주소 및 애플리케이션 이름을 구성할 때 일치 조건 인수를 지정해야 합니다.

와일드카드 항목을 any사용하여 IPv4 또는 IPv6 주소로 정책을 구성하도록 지정할 수 있습니다. IPv6 트래픽에 대한 플로우 지원이 활성화되지 않은 경우, IPv4 any 주소와 일치합니다. IPv6 트래픽에 대해 플로우 지원이 활성화되면 IPv4 any 및 IPv6 주소 모두를 일치시킵니다. IPv6 트래픽에 대한 플로우 기반 포워딩을 set security forwarding-options family inet6 mode flow-based 활성화하려면 명령을 사용합니다. 소스 및 대상 주소 일치 기준에 와일드카드 any-ipv4 또는 any-ipv6 을(를) 지정하여 각각 IPv4 또는 IPv6 주소만 포함시킬 수도 있습니다.

IPv6 트래픽에 대한 플로우 지원이 활성화된 경우, 보안 정책에서 구성할 수 있는 최대 IPv4 또는 IPv6 주소 수는 다음 일치 기준을 기반으로 합니다.

  • Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024

  • Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024

일치 기준에 대한 이유는 IPv6 주소가 IPv4 주소가 사용하는 메모리 공간의 4배를 사용하기 때문입니다.

메모:

디바이스에서 IPv6 트래픽에 대한 플로우 지원이 활성화된 경우에만 IPv6 주소로 보안 정책을 구성할 수 있습니다.

특정 응용 프로그램을 지정하지 않으려면 기본 응용 프로그램으로 을(를) 입력합니다 any . 기본 애플리케이션을 조회하려면 구성 모드에서 을(를) 입력합니다 show groups junos-defaults | find applications (predefined applications). 예를 들어 응용 프로그램 이름을 제공하지 않으면 정책이 응용 프로그램과 함께 와일드카드(기본값)로 설치됩니다. 따라서 지정된 정책의 나머지 파라미터와 일치하는 모든 데이터 트래픽은 데이터 트래픽의 애플리케이션 유형에 관계없이 정책과 일치합니다.

메모:

정책이 여러 애플리케이션으로 구성되어 있고 두 개 이상의 애플리케이션이 트래픽과 일치하는 경우, 일치 기준을 가장 잘 충족하는 애플리케이션이 선택됩니다.

트래픽이 일치하는 첫 번째 정책의 작업이 패킷에 적용됩니다. 일치하는 정책이 없는 경우 패킷이 삭제됩니다. 정책은 위에서 아래로 검색되므로 보다 구체적인 정책을 목록 맨 위에 배치하는 것이 좋습니다. 또한 IPSec VPN 터널 정책을 맨 위에 배치해야 합니다. 특정 사용자가 모든 인터넷 응용 프로그램에 액세스할 수 있도록 허용하는 정책과 같은 보다 일반적인 정책을 목록 맨 아래에 배치합니다. 예를 들어, 모든 특정 정책이 이전에 구문 분석되고 합법적인 트래픽이 허용/카운트/로깅된 후 모두 거부 또는 모두 거부 정책을 맨 아래에 배치합니다.

메모:

IPv6 주소에 대한 지원이 Junos OS 릴리스 10.2에 추가되었습니다. 액티브/액티브 섀시 클러스터 구성의 IPv6 주소 지원(액티브/패시브 섀시 클러스터 구성의 기존 지원에 더해)이 Junos OS 릴리스 10.4에 추가되었습니다.

정책 조회는 대상 영역, 대상 주소 및 송신 인터페이스를 결정합니다.

정책을 만들 때 다음 정책 규칙이 적용됩니다.

  • 보안 정책은 to to-zone 방향으로 구성됩니다from-zone. 특정 영역 방향에 따라 각 보안 정책에는 이름, 일치 기준, 작업 및 기타 옵션이 포함됩니다.

  • 정책 이름, 일치 기준 및 작업이 필요합니다.

  • 정책 이름은 키워드입니다.

  • 일치 기준의 소스 주소는 의 에 있는 하나 이상의 주소 이름 또는 주소 집합 이름으로 from-zone구성됩니다.

  • 일치 기준의 대상 주소는 에 있는 하나 이상의 주소 이름 또는 주소 집합 이름으로 to-zone구성됩니다.

  • 일치 기준의 응용 프로그램 이름은 하나 이상의 응용 프로그램 또는 응용 프로그램 집합의 이름으로 구성됩니다.

  • 허용, 거부 또는 거부 작업 중 하나가 필요합니다.

  • 회계 및 감사 요소를 지정할 수 있습니다: count 및 log.

  • 명령으로 세션이 끝날 때 또는 명령으로 session-close 세션을 시작할 때 로깅을 활성화할 수 있습니다 session-init .

  • 카운트 알람이 켜지면 초당 바이트 또는 분당 킬로바이트 단위로 경보 임계값을 지정합니다.

  • 다음 조건에서는 또는 from-zone to-zone 제외 중 하나로 지정할 global 수 없습니다.

    을(를 to-zone ) 전역 영역으로 사용하여 구성된 모든 정책에는 정책에 정적 NAT 또는 수신 NAT가 구성되었음을 나타내는 단일 대상 주소가 있어야 합니다.

  • 네트워크 주소 변환(NAT)을 사용하는 정책 허용 옵션이 간소화되었습니다. 각 정책은 선택적으로 NAT 변환을 허용하는지, NAT 변환을 허용하지 않는지 또는 상관하지 않음을 나타냅니다.

  • 주소 이름은 다음과 같은 예약된 접두사로 시작할 수 없습니다. 이는 주소 NAT 구성에만 사용됩니다.

    • static_nat_

    • incoming_nat_

    • junos_

  • 응용 프로그램 이름은 예약된 접두사로 junos_ 시작할 수 없습니다.

와일드카드 주소 이해

소스 및 대상 주소는 보안 정책에서 구성해야 하는 5가지 일치 기준 중 2가지입니다. 이제 보안 정책에서 소스 및 대상 주소 일치 기준에 와일드카드 주소를 구성할 수 있습니다. 와일드카드 주소는 A.B.C.D/wildcard-mask로 표시됩니다. 와일드카드 마스크는 보안 정책 일치 기준에 의해 무시되어야 하는 IP 주소 A.B.C.D의 어떤 비트를 결정합니다. 예를 들어, 보안 정책의 소스 IP 주소 192.168.0.11/255.255.0.255는 보안 정책 일치 기준이 IP 주소의 세 번째 옥텟(기호적으로 192.168.*.11로 표시)을 삭제할 수 있음을 의미합니다. 따라서 192.168.1.11 및 192.168.22.11과 같은 소스 IP 주소를 가진 패킷은 일치 기준을 따릅니다. 그러나 192.168.0.1 및 192.168.1.21과 같은 소스 IP 주소를 가진 패킷은 일치 기준을 충족하지 않습니다.

와일드카드 주소 사용은 전체 옥텟으로만 제한되지 않습니다. 모든 와일드카드 주소를 구성할 수 있습니다. 예를 들어 와일드카드 주소는 192.168입니다. 7.1/255.255.7.255는 정책을 일치시키는 동안 와일드카드 주소의 세 번째 옥텟의 처음 5비트만 무시해야 함을 의미합니다. 와일드카드 주소 사용이 전체 옥텟으로만 제한되는 경우 4개의 옥텟 각각에 0 또는 255가 있는 와일드카드 마스크만 허용됩니다.

메모:

와일드카드 마스크의 첫 번째 8진수는 128보다 커야 합니다. 예를 들어 0.255.0.255 또는 1.255.0.255로 표시되는 와일드카드 마스크는 유효하지 않습니다.

와일드카드 보안 정책은 하나의 보안 영역에서 다른 보안 영역으로 넘어가려는 트래픽을 허용, 거부 및 거부할 수 있는 간단한 방화벽 정책입니다. Content Security와 같은 서비스에 와일드카드 주소를 사용하여 보안 정책 규칙을 구성해서는 안 됩니다.

메모:

IPv6 세션에 대한 Content Security는 지원되지 않습니다. 현재 보안 정책에서 IP 주소 와일드카드 any가 있는 규칙을 사용하고 Content Security 기능이 활성화된 경우 Content Security 기능이 아직 IPv6 주소를 지원하지 않기 때문에 구성 커밋 오류가 발생합니다. 오류를 해결하려면 any-ipv4 와일드카드가 사용되도록 오류를 반환하는 규칙을 수정합니다. 컨텐츠 보안 기능을 포함하지 않는 IPv6 트래픽에 대한 별도의 규칙을 생성해야 합니다.

디바이스에서 와일드카드 보안 정책을 구성하면 from-zone 및 to-zone 컨텍스트별로 구성된 와일드카드 정책 수에 따라 성능 및 메모리 사용량에 영향을 미칩니다. 따라서 특정 from-zone 및 to-zone 컨텍스트에 대해 최대 480개의 와일드카드 정책만 구성할 수 있습니다.

참조

정책 구성 동기화 개선 사항

향상된 정책 구성 동기화 메커니즘은 라우팅 엔진(RE)과 패킷 포워딩 엔진(PFE) 간에 정책 구성이 동기화되는 방식을 개선하여 시스템 안정성과 보안을 강화합니다. 이 메커니즘은 정책이 자동으로 정확하게 동기화되도록 합니다. 또한, 시스템은 보안 정책 구성 변경 프로세스 중에 발생하는 모든 플로우 드롭을 효과적으로 방지합니다.

파일 직렬화

파일 직렬화를 사용하여 정책 변경 내용을 데이터 플레인으로 전파합니다. 정책 구성을 파일로 직렬화함으로써 시스템은 PFE가 제어되고 신뢰할 수 있는 방식으로 정책 구성을 읽고 적용하도록 보장합니다. 이러한 직렬화된 파일은 지정된 디렉토리에 저장되며 성공적인 적용 후 자동으로 삭제되므로 보다 효율적이고 대역폭 친화적인 동기화 방법을 제공합니다. 이러한 파일 기반 접근 방식은 보안 정책 불일치의 위험을 줄이고 시스템 안정성을 향상시킵니다.

기본적으로 파일 기반 serialization이 사용됩니다. 다음 문을 사용하여 파일 직렬화를 비활성화할 수 있습니다.

파일 직렬화 기능을 다시 활성화하려면 다음 문을 사용합니다.

또는 다음 문을 사용합니다.

정책 구성 변경 중 플로우 세션 중단 방지

보안 정책 구성 변경 커밋 중에 플로우 세션 중단을 방지할 수 있습니다. 정책 일치 조건 또는 작업 변경, 정책 추가 또는 삭제, 정책 교체 또는 정책 순서 변경과 같은 구성 변경으로 인해 플로우 세션이 중단됩니다. 이러한 변경은 PFE 구성 데이터에 영향을 미치며, 잠재적으로 진행 중인 정책 검색에 영향을 미치고 잘못된 정책 또는 기본 정책 선택으로 이어질 수 있습니다. 즉, 이전 정책에서 새 정책으로 짧은 전환 중에 세션이 부분적으로 생성된 데이터 구조와 일치하여 잘못된 정책 일치를 일으킬 수 있습니다.

보안 정책 변경으로 인한 중단을 방지하려면 다음 문을 사용할 수 있습니다.

옵션을 구성할 lookup-intact-on-commit 때, 디바이스 또는 섀시 클러스터 설정에서 포워딩 플레인을 다시 시작합니다.

옵션을 활성화하기 전에 다음 명령을 사용하여 디바이스의 상태 및 적합성을 lookup-intact-on-commit 확인하십시오.

옵션이 디바이스에 이미 구성되어 있는 경우 lookup-intact-on-commit 명령 출력에 표시되고 옵션 활성화에 사용할 수 있는 메모리 스토리지 측면에서 디바이스의 적격성이 lookup-intact-on-commit 표시됩니다.

메모리 및 오류 처리

이러한 새로운 동기화 메커니즘을 구현하려면 시스템이 특정 메모리 요구 사항을 충족해야 합니다. 특히, 커밋 시 조회 온속성(lookup-intact-on-commit) 기능을 사용하려면 최소 5%의 여유 커널 힙과 1%의 여유 사용자 힙이 필요합니다. 이렇게 하면 파일 기반 동기화 및 이중 메모리 작업에 사용할 수 있는 메모리가 충분해집니다. 동기화가 실패할 경우 시스템은 자동으로 기존 방법으로 되돌아가도록 설계되었습니다.

명령을 사용하여 show security policies lookup-intact-on-commit eligibilityFPC 당 시스템의 메모리 가용성을 확인할 수 있습니다. 이 출력은 특정 FPC가 구성을 구성할 set security policies lookup-intact-on-commit 자격이 있는지 여부를 나타냅니다.

논리적 시스템 및 테넌트 시스템 지원

루트 논리적 시스템(시스템 수준)에서만 및 file-serialization 를 구성할 lookup-intact-on-commit 수 있습니다. 논리적 시스템 및 테넌트 시스템 수준에서의 구성은 지원되지 않습니다. 그러나 루트 수준에서 이러한 설정을 구성하는 경우 구성은 논리적 시스템 및 테넌트 시스템 수준에서 구성된 정책도 최적화합니다.

자체 트래픽에 대한 보안 정책 이해

보안 정책은 디바이스를 통해 흐르는 트래픽에 서비스를 적용하기 위해 디바이스에 구성됩니다. 예를 들어 UAC 및 Content Security 정책은 임시 트래픽에 서비스를 적용하도록 구성됩니다.

자체 트래픽 또는 호스트 트래픽은 호스트 인바운드 트래픽입니다. 즉, 디바이스에서 종료되는 트래픽 또는 디바이스에서 발생하는 트래픽인 호스트 아웃바운드 트래픽입니다. 이제 자체 트래픽에 서비스를 적용하도록 정책을 구성할 수 있습니다. 원격 디바이스에서 SSL 연결을 종료하고 해당 트래픽에 대해 일부 처리를 수행해야 하는 SSL 스택 서비스, 호스트 인바운드 트래픽의 IDP 서비스 또는 호스트 아웃바운드 트래픽의 IPsec 암호화와 같은 서비스는 셀프 트래픽에 구성된 보안 정책을 통해 적용해야 합니다.

셀프 트래픽에 대한 보안 정책을 구성할 때 디바이스를 통과하는 트래픽을 먼저 정책에 대해 확인한 다음 영역에 바인딩된 인터페이스에 대해 구성된 옵션에 대해 host-inbound-traffic 확인합니다.

셀프 트래픽에 서비스를 적용하기 위해 셀프 트래픽에 대한 보안 정책을 구성할 수 있습니다. 호스트 아웃바운드 정책은 호스트 디바이스에서 시작된 패킷이 플로우를 통과하고 이 패킷의 수신 인터페이스가 로컬로 설정된 경우에만 작동합니다.

셀프 트래픽을 사용하면 다음과 같은 이점이 있습니다.

  • 전송 트래픽에 사용되는 대부분의 기존 정책 또는 플로우 인프라를 활용할 수 있습니다.

  • 서비스를 활성화하기 위해 별도의 IP 주소가 필요하지 않습니다.

  • 디바이스에 있는 모든 인터페이스의 대상 IP 주소를 사용하여 모든 호스트 인바운드 트래픽에 서비스 또는 정책을 적용할 수 있습니다.

메모:

기본 보안 정책 규칙은 자체 트래픽에 영향을 주지 않습니다.
메모:

관련 서비스만 있는 셀프 트래픽에 대한 보안 정책을 구성할 수 있습니다. 예를 들어, 호스트 아웃바운드 트래픽에서 fwauth 서비스를 구성하는 것은 관련이 없으며, gprs-gtp 서비스는 셀프 트래픽에 대한 보안 정책과 관련이 없습니다.

셀프 트래픽에 대한 보안 정책은 영역이라는 junos-host 새로운 기본 보안 영역에서 구성됩니다. junos-host 영역은 junos-defaults 구성의 일부가 되므로 사용자가 삭제할 수 없습니다. interfaces, screen, tcp-rst 및 host-inbound-traffic 옵션과 같은 기존 영역 구성은 junos-host 존에 의미가 없습니다. 따라서 junos-host 영역에 대한 전용 구성은 없습니다.

메모:

host-inbound-traffic을 사용하여 디바이스로 들어오는 연결을 제어할 수 있습니다. 그러나 디바이스에서 나가는 트래픽을 제한하지는 않습니다. 반면 junos-host-zone을 사용하면 원하는 애플리케이션을 선택하고 나가는 트래픽을 제한할 수도 있습니다. 예를 들어, 네트워크 주소 변환(NAT), 침입 탐지 및 방지(IDP), 콘텐츠 보안 등과 같은 서비스는 이제 junos-host-zone을 사용하여 디바이스로 들어오거나 나가는 트래픽에 대해 활성화할 수 있습니다.

보안 정책 구성 개요

보안 정책을 생성하려면 다음 작업을 완료해야 합니다.

  1. 영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.

  2. 정책에 대한 주소로 주소록을 구성합니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.

  3. 정책이 해당 유형의 트래픽에 적용됨을 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다. 예제: 보안 정책 응용 프로그램 및 응용 프로그램 집합 구성을 참조하십시오.

  4. 정책을 만듭니다. 예: 모든 트래픽을 허용 또는 거부하는 보안 정책 구성, 예: 선택한 트래픽을 허용 또는 거부하는 보안 정책 구성예: 와일드카드 주소 트래픽을 허용 또는 거부하는 보안 정책 구성을 참조하십시오.

  5. 스케줄러를 정책에 사용할 계획인 경우 스케줄러를 생성합니다. 예제: 1일을 제외한 일별 일정에 대한 스케줄러 구성을 참조하십시오.

방화벽 정책 마법사를 사용하여 기본 보안 정책을 구성할 수 있습니다. 보다 향상된 구성은 J-Web 인터페이스 또는 CLI를 사용하십시오.

참조

SRX 시리즈 디바이스에 대한 정책 정의 모범 사례

안전한 네트워크는 비즈니스에 매우 중요합니다. 네트워크를 보호하려면 네트워크 관리자가 해당 비즈니스 내의 모든 네트워크 리소스와 해당 리소스에 필요한 보안 수준을 간략하게 설명하는 보안 정책을 만들어야 합니다. 보안 정책은 컨텍스트(영역에서 영역으로) 내의 전송 트래픽에 보안 규칙을 적용하며 각 정책은 해당 이름으로 고유하게 식별됩니다. 트래픽은 소스 및 대상 영역, 소스 및 대상 주소, 트래픽이 프로토콜 헤더로 전달하는 애플리케이션을 데이터 플레인의 정책 데이터베이스와 일치시켜 분류됩니다.

플랫폼 지원은 설치한 Junos OS 릴리스에 따라 다릅니다.

각 규칙의 주소 및 애플리케이션 수를 늘리면 정책 정의에 사용되는 메모리 양이 증가하고 경우에 따라 80,000개 미만의 정책으로 시스템의 메모리가 부족해지는 경우가 있습니다.

패킷 포워딩 엔진(PFE) 및 라우팅 엔진(RE)에서 정책의 실제 메모리 사용률을 얻으려면 메모리 트리의 다양한 구성 요소를 고려해야 합니다. 메모리 트리에는 다음 두 가지 구성 요소가 포함됩니다.

  • 정책 컨텍스트 - 이 컨텍스트에서 모든 정책을 구성하는 데 사용됩니다. 정책 컨텍스트에는 소스 및 대상 영역과 같은 변수가 포함됩니다.

  • 정책 엔터티 – 정책 데이터를 보관하는 데 사용됩니다. 정책 엔티티는 정책 이름, IP 주소, 주소 수, 애플리케이션, 방화벽 인증, WebAuth, IPsec, 개수, 애플리케이션 서비스, JSF(Junos Services Framework) 등의 매개 변수를 사용하여 메모리를 계산합니다.

또한 정책, 규칙 세트 및 기타 구성 요소를 저장하는 데 사용되는 데이터 구조는 패킷 포워딩 엔진과 라우팅 엔진에서 서로 다른 메모리를 사용합니다. 예를 들어 정책의 각 주소에 대한 주소 이름은 라우팅 엔진에 저장되지만 패킷 포워딩 엔진 수준에는 메모리가 할당되지 않습니다. 마찬가지로, 포트 범위는 접두사와 마스크 쌍으로 확장되고 패킷 포워딩 엔진에 저장되지만 이러한 메모리는 라우팅 엔진에 할당되지 않습니다.

따라서, 정책 구성에 따라 라우팅 엔진의 정책 기여자는 패킷 포워딩 엔진의 정책 기여자와 다르며, 메모리는 동적으로 할당됩니다.

메모리는 "지연된 삭제" 상태에서도 사용됩니다. 삭제 지연 상태에서 디바이스가 정책 변경을 적용하면 이전 정책과 새 정책이 모두 존재하는 일시적인 최대 사용량이 있습니다. 따라서 짧은 기간 동안 패킷 포워딩 엔진에는 이전 정책과 새 정책이 모두 존재하며 메모리 요구 사항의 두 배를 차지합니다.

따라서 메모리 요구 사항은 정책의 특정 구성에 따라 달라지고 메모리는 동적으로 할당되기 때문에, 특정 시점에 구성 요소(패킷 포워딩 엔진 또는 라우팅 엔진)가 얼마나 많은 메모리를 사용하는지 명확하게 추론할 수 있는 확실한 방법은 없습니다.

정책 구현을 위한 다음 모범 사례를 통해 시스템 메모리를 더 잘 사용하고 정책 구성을 최적화할 수 있습니다.

  • 소스 및 대상 주소에 단일 접두사를 사용합니다. 예를 들어 /32 주소를 사용하고 각 주소를 별도로 추가하는 대신 필요한 대부분의 IP 주소를 포함하는 대규모 서브넷을 사용합니다.

  • 가능하면 응용 프로그램 "any"를 사용하십시오. 정책에서 개별 애플리케이션을 정의할 때마다 52바이트를 추가로 사용할 수 있습니다.

  • IPv6 주소는 더 많은 메모리를 소비하므로 더 적은 수의 IPv6 주소를 사용합니다.

  • 정책 구성에서 더 적은 수의 영역 쌍을 사용합니다. 각 원본 또는 대상 영역은 약 16,048바이트의 메모리를 사용합니다.

  • 다음 매개 변수는 지정된 대로 바이트에서 메모리를 사용하는 방법을 변경할 수 있습니다.

    • 방화벽 인증 - 약 16바이트 이상(고정되지 않음)

    • 웹 인증 - 약 16바이트 이상(고정되지 않음)

    • IPsec–12바이트

    • 애플리케이션 서비스 - 28바이트

    • 개수–64바이트

  • 정책을 컴파일하기 전과 후의 메모리 사용률을 확인합니다.

    메모:

    각 장치의 메모리 요구 사항은 다릅니다. 일부 디바이스는 기본적으로 512,000개의 세션을 지원하며 부팅 메모리는 일반적으로 72-73%입니다. 다른 장치에는 최대 100만 개의 세션이 있을 수 있으며 부팅 메모리는 최대 83-84%가 될 수 있습니다. 최악의 시나리오에서 SPU에서 약 80,000개의 정책을 지원하기 위해 SPU는 최대 82%의 플로우 커널 메모리 소비와 최소 170MB의 사용 가능한 메모리로 부팅해야 합니다.

참조

방화벽 마법사를 사용하여 정책 구성

방화벽 정책 마법사를 사용하여 기본 보안 정책을 구성할 수 있습니다. 보다 향상된 구성은 J-Web 인터페이스 또는 CLI를 사용하십시오.

방화벽 정책 마법사를 사용하여 정책을 구성하려면 다음과 같이 하십시오.

  1. J-Web 인터페이스에서 을(를) 선택합니다 Configure>Tasks>Configure FW Policy .
  2. Launch Firewall Policy Wizard(방화벽 정책 마법사 시작) 버튼을 클릭하여 마법사를 시작합니다.
  3. 마법사의 지시를 따릅니다.

마법사 페이지의 왼쪽 상단 영역은 구성 과정에 있는 위치를 나타냅니다. 페이지의 왼쪽 하단 영역은 필드에 민감한 도움말을 나타냅니다. 리소스 제목 아래 링크 클릭하면 브라우저에서 문서가 열립니다. 새로운 탭에서 문서가 열리면 문서를 닫을 때 탭(브라우저 창이 아님)만 닫아야 합니다.

예: 모든 트래픽을 허용 또는 거부하도록 보안 정책 구성

이 예에서는 모든 트래픽을 허용하거나 거부하는 보안 정책을 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에:

개요

Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역에 진입하고 다른 보안 영역을 빠져나갑니다. 이 예에서 신뢰 및 언트러스트 인터페이스 ge-0/0/2 및 ge-0/0/1을 구성합니다. 그림 1을 참조하십시오.

그림 1: 모든 트래픽 Permitting All Traffic 허용

이 구성 예에서는 다음을 수행하는 방법을 보여 줍니다.

  • 트러스트 영역에서 언트러스트(untrust) 영역으로의 모든 트래픽을 허용하거나 거부하지만, 언트러스트(untrust) 영역에서 트러스트 영역으로 이르는 모든 트래픽을 차단합니다.

  • 특정 시간에 신뢰할 수 있는 영역의 호스트에서 신뢰할 수 없는 영역의 서버로 선택한 트래픽을 허용하거나 거부합니다.

위상수학

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

모든 트래픽을 허용 또는 거부하기 위한 보안 정책 구성:

  1. 인터페이스 및 보안 영역을 구성합니다.

  2. 트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 구축합니다.

  3. 언트러스트(untrust) 영역에서 트러스트 영역으로의 트래픽을 거부하는 보안 정책을 구축합니다.

결과

구성 모드에서 및 show security zones 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

메모:

구성 예는 트러스트 영역에서 언트러스트(untrust) 영역으로의 기본 permit-all입니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

정책 구성 확인

목적

보안 정책에 대한 정보를 확인합니다.

행동

작동 모드에서 명령을 입력하여 show security policies detail 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

의미

출력에는 시스템에 구성된 정책에 대한 정보가 표시됩니다. 다음 정보를 확인합니다:

  • 구역에서 출발 및 구역으로

  • 소스 및 대상 주소

  • 일치 기준

예: 선택한 트래픽을 허용 또는 거부하도록 보안 정책 구성

이 예에서는 선택한 트래픽을 허용하거나 거부하기 위해 보안 정책을 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에:

개요

Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역에 진입하고 다른 보안 영역을 빠져나갑니다. 이 예에서는 트러스트 영역의 호스트에서 언트러스트 영역의 서버로 보내는 이메일 트래픽만 허용하도록 특정 보안 정책을 구성합니다. 다른 트래픽은 허용되지 않습니다. 그림 2를 참조하십시오.

그림 2: 선택한 트래픽 Permitting Selected Traffic 허용

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

선택한 트래픽을 허용하도록 보안 정책을 구성하려면 다음을 수행합니다.

  1. 인터페이스 및 보안 영역을 구성합니다.

  2. 클라이언트와 서버 모두에 대한 주소록 항목을 만듭니다. 또한 주소록에 보안 영역을 연결합니다.

  3. 메일 트래픽을 허용하는 정책을 정의합니다.

결과

구성 모드에서 및 show security zones 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

정책 구성 확인

목적

보안 정책에 대한 정보를 확인합니다.

행동

작동 모드에서 명령을 입력하여 show security policies detail 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

의미

출력에는 시스템에 구성된 정책에 대한 정보가 표시됩니다. 다음 정보를 확인합니다:

  • 구역에서 출발 및 구역으로

  • 소스 및 대상 주소

  • 일치 기준

예: 와일드카드 주소 트래픽을 허용 또는 거부하는 보안 정책 구성

이 예에서는 와일드카드 주소 트래픽을 허용하거나 거부하는 보안 정책을 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에:

개요

Junos 운영체제(Junos OS)에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에서 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역에 진입하고 다른 보안 영역을 빠져나갑니다. 이 예에서는 트러스트 영역의 호스트에서 언트러스트(untrust) 영역으로 와일드카드 주소 트래픽만 허용하도록 특정 보안을 구성합니다. 다른 트래픽은 허용되지 않습니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

선택한 트래픽을 허용하도록 보안 정책을 구성하려면 다음을 수행합니다.

  1. 인터페이스 및 보안 영역을 구성합니다.

  2. 호스트에 대한 주소록 항목을 생성하고 주소록을 영역에 연결합니다.

  3. 와일드카드 주소 트래픽을 허용하는 정책을 정의합니다.

결과

구성 모드에서 및 show security zones 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

정책 구성 확인

목적

보안 정책에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력하여 show security policies policy-name permit-wildcard detail 디바이스에 구성된 permit-wildcard 보안 정책에 대한 세부 정보를 표시합니다.

의미

출력은 시스템에 구성된 permit-wildcard 정책에 대한 정보를 표시합니다. 다음 정보를 확인합니다:

  • 시작 및 종료 영역

  • 소스 및 대상 주소

  • 일치 기준

예: 트래픽 로그를 외부 시스템 로그 서버로 리디렉션하는 보안 정책 구성

이 예에서는 디바이스에서 생성된 트래픽 로그를 외부 시스템 로그 서버로 전송하도록 보안 정책을 구성하는 방법을 보여 줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • 인터페이스 ge-4/0/5에서 SRX5600 디바이스에 연결된 클라이언트

  • 인터페이스 ge-4/0/1에서 SRX5600 디바이스에 연결된 서버

    SRX5600 디바이스에서 생성된 로그는 Linux 기반 시스템 로그 서버에 저장됩니다.

  • 인터페이스 ge-4/0/4에서 Linux 기반 서버에 연결된 SRX5600 디바이스

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 데이터 전송 중 디바이스에서 생성된 트래픽 로그를 Linux 기반 서버로 전송하도록 SRX5600 디바이스에 보안 정책을 구성합니다. 트래픽 로그는 모든 세션의 세부 정보를 기록합니다. 로그는 SRX5600 디바이스에 연결된 소스 디바이스와 대상 디바이스 간의 세션 설정 및 종료 중에 생성됩니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

외부 시스템 로그 서버로 트래픽 로그를 전송하기 위한 보안 정책 구성:

  1. SRX5600 디바이스에서 생성된 트래픽 로그를 IP 주소가 203.0.113.2인 외부 시스템 로그 서버로 전송하도록 보안 로그를 구성합니다. IP 주소 127.0.0.1은 SRX5600 디바이스의 루프백 주소입니다.

  2. 보안 영역을 구성하고 SRX5600 디바이스의 인터페이스 ge-4/0/5.0에서 허용되는 트래픽 및 프로토콜 유형을 지정합니다.

  3. 다른 보안 영역을 구성하고 SRX5600 디바이스의 인터페이스 ge-4/0/4.0 및 ge-4/0/1.0에서 허용되는 트래픽 유형을 지정합니다.

  4. 정책을 만들고 해당 정책에 대한 일치 기준을 지정합니다. 일치 기준은 디바이스가 모든 소스, 모든 대상 및 모든 애플리케이션에서 트래픽을 허용할 수 있도록 지정합니다.

  5. 세션 시작 및 종료 시 트래픽 세부 정보를 기록하도록 정책을 활성화합니다.

결과

구성 모드에서 명령을 입력하여 show security log 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

영역 확인

목적

보안 영역이 사용하도록 설정되었는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security zones .

정책 확인

목적

정책이 작동하는지 확인합니다.

행동

운영 모드에서 모든 디바이스에 show security policies 명령을 입력합니다.

보안 영역 및 정책을 위한 TAP 모드

보안 영역 및 정책에 대한 터미널 액세스 포인트(TAP) 모드를 사용하면 스위치, SPAN 또는 미러 포트를 통해 네트워크 전체의 트래픽 흐름을 수동적으로 모니터링할 수 있습니다.

보안 영역 및 정책에 대한 TAP 모드 지원 이해

터미널 액세스 포인트(TAP) 모드는 스위치를 통해 미러링된 트래픽을 확인하는 대기 디바이스입니다. 보안 영역 및 정책이 구성된 경우 TAP 모드는 TAP 인터페이스를 구성하고 탐지된 위협 수와 사용자 사용량을 표시하는 보안 로그 보고서를 생성하여 수신 및 발신 트래픽을 검사합니다. 탭 인터페이스에서 일부 패킷이 손실되면 보안 영역 및 정책이 연결을 종료하므로 이 연결에 대한 보고서가 생성되지 않습니다. 보안 영역 및 정책 구성은 비 TAP 모드와 동일하게 유지됩니다.

TAP 모드에서 작동하도록 디바이스를 구성할 때 디바이스는 보안 로그 정보를 생성하여 탐지된 위협, 애플리케이션 사용 및 사용자 세부 정보에 대한 정보를 표시합니다. 디바이스가 TAP 모드에서 작동하도록 구성된 경우 디바이스는 구성된 TAP 인터페이스에서만 패킷을 수신합니다. 구성된 TAP 인터페이스를 제외한 다른 인터페이스는 관리 인터페이스로 사용되거나 외부 서버에 연결된 일반 인터페이스로 구성됩니다. 디바이스는 수신 트래픽에 따라 보안 보고서 또는 로그를 생성합니다.

보안 영역 및 기본 보안 정책은 TAP 인터페이스가 구성된 후에 구성됩니다. 필요한 경우 다른 영역 또는 정책을 구성할 수 있습니다. 하나의 인터페이스가 서버 연결에 사용되는 경우 IP 주소, 라우팅 인터페이스 및 보안 구성도 구성해야 합니다.

메모:

TAP 모드에서 디바이스를 작동할 때 하나의 TAP 인터페이스만 구성할 수 있습니다.

예: TAP 모드에서 보안 영역 및 정책 구성

이 예에서는 SRX 시리즈 방화벽이 TAP(터미널 액세스 포인트) 모드로 구성될 때 보안 영역과 정책을 구성하는 방법을 보여 줍니다.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • SRX 시리즈 방화벽

  • Junos OS 릴리스 19.1R1

시작하기 전에:

개요

이 예에서는 TAP 모드에서 작동하도록 SRX 시리즈 방화벽을 구성합니다. TAP 모드에서 작동하도록 SRX 시리즈 방화벽을 구성하면 디바이스가 보안 로그 정보를 생성하여 탐지된 위협, 애플리케이션 사용 및 사용자 세부 정보에 대한 정보를 표시합니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.

절차
단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

TAP 모드에서 영역을 구성하려면:

  1. 보안 영역 tap-zone 인터페이스를 구성합니다.

  2. 보안 영역 tap-zone application-tracking을 구성합니다.

  3. 영역 tap-zone에서 영역 tap-zone 정책 탭으로 트래픽을 허용하는 보안 정책을 구성하고 일치 조건을 구성합니다.

결과

구성 모드에서 및 show security policies 명령을 입력하여 show security zones 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:

TAP 모드에서 정책 구성 확인
목적

보안 정책에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security policies detail .

의미

TAP 모드에서 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

보안 정책의 동적 주소 그룹

정책에 주소 항목을 수동으로 추가하는 작업은 시간이 오래 걸릴 수 있습니다. 특정 목적(예: 차단 목록)이 있거나 공통 특성(예: 위협이 될 수 있는 특정 위치 또는 동작)이 있는 IP 주소 목록을 제공하는 외부 소스가 있습니다. 외부 소스를 사용하여 IP 주소로 위협 소스를 식별한 다음 해당 주소를 동적 주소 항목으로 그룹화하고 보안 정책에서 해당 항목을 참조할 수 있습니다. 따라서 해당 주소에서 들어오고 나가는 트래픽을 제어할 수 있습니다. 이러한 각 IP 주소 그룹을 동적 주소 항목이라고 합니다.

지원되는 IP 주소 유형은 다음과 같습니다.

  • 단일 IP. 예: 192.0.2.0

  • IP 범위. 예: 192.0.2.0- 192.0.2.10

  • CIDR입니다. 예: 192.0.2.0/24

각 항목은 한 줄을 차지합니다. Junos OS 릴리스 19.3R1부터 IP 주소 범위는 오름차순으로 정렬할 필요가 없으며 동일한 피드 파일에서 IP 항목의 값이 겹칠 수 있습니다. 19.3R1 이전의 Junos OS 릴리스에서는 IP 주소 범위를 오름차순으로 정렬해야 하며 IP 항목의 값은 동일한 피드 파일에서 겹칠 수 없습니다.

메모:

동적 주소 항목은 단일 IP 접두사가 아니라 IP 주소 그룹입니다. 동적 주소 항목은 주소록 및 주소 항목 주소의 보안 주소 개념과 다릅니다.

보안 정책에 동적 주소 항목을 배치하면 얻을 수 있는 이점은 다음과 같습니다.

  • 네트워크 관리자는 IP 주소 그룹에서 들어오고 나가는 트래픽을 보다 세밀하게 제어할 수 있습니다.

  • 외부 서버는 SRX 시리즈 방화벽에 업데이트된 IP 주소 피드를 제공합니다.

  • 관리자의 수고가 크게 줄어듭니다. 예를 들어, 레거시 보안 정책 구성에서 정책에 대해 1000개의 주소 항목을 참조하도록 추가하려면 약 2000줄의 구성이 필요합니다. 동적 주소 항목을 정의하고 보안 정책에서 참조함으로써 많은 추가 구성 노력 없이 최대 수백만 개의 항목이 SRX 시리즈 방화벽으로 유입될 수 있습니다.

  • 새 주소를 추가하는 데 커밋 프로세스가 필요하지 않습니다. 레거시 방법을 통해 구성에 수천 개의 주소를 추가하면 커밋하는 데 오랜 시간이 걸립니다. 또는 동적 주소 항목의 IP 주소가 외부 피드에서 제공되므로 항목의 주소가 변경될 때 커밋 프로세스가 필요하지 않습니다.

그림 3 은 보안 정책의 동적 주소 항목이 작동하는 방식에 대한 기능적 개요를 보여줍니다.

그림 3: 보안 정책에서 동적 주소 항목의 기능 구성 요소 Functional Components of the Dynamic Address Entry in a Security Policy

보안 정책은 소스 주소 또는 대상 주소 필드의 동적 주소 항목을 참조합니다(보안 정책이 레거시 주소 항목을 참조하는 것과 거의 동일한 방식으로).

그림 4 는 Destination-address 필드에서 동적 주소 항목을 사용하는 정책을 보여줍니다.

그림 4: 보안 정책의 A Dynamic Address Entry in a Security Policy 동적 주소 항목

그림 4에서 정책 1은 레거시 보안 주소 항목인 대상 주소 10.10.1.1을 사용합니다. 정책 2는 네트워크 관리자가 명명한 동적 주소 항목인 대상 주소 벤더 차단 목록을 사용합니다. 해당 콘텐츠는 외부 피드 파일에서 검색된 IP 주소 목록입니다. 5가지 기준(신뢰할 수 없다는 발신 영역, 엔지니어라는 이름의 종료 영역, 모든 소스 주소, 공급업체 차단 목록 동적 주소 항목에 속하는 대상 IP 주소 및 메일 애플리케이션)과 모두 일치하는 패킷은 패킷을 거부하고 기록하는 정책 작업에 따라 처리됩니다.

메모:

동적 주소 항목 이름은 레거시 보안 주소 항목과 동일한 네임스페이스를 공유하므로 둘 이상의 항목에 동일한 이름을 사용하지 마십시오. Junos OS 커밋 프로세스는 충돌을 피하기 위해 이름이 중복되지 않는지 확인합니다.

동적 주소 그룹은 다음 데이터 피드를 지원합니다.

  • 사용자 지정 목록(허용 목록 및 차단 목록)

  • 지오IP

피드 서버

  • 피드 서버에는 피드 파일의 동적 주소 항목이 포함되어 있습니다. 로컬 또는 원격일 수 있는 사용자 지정 피드를 만들 수 있습니다. 사용자 지정 피드 만들기에 대해서는 사용자 지정 피드 만들기를 참조하십시오

  • 피드를 사용하기 위해 SRX 시리즈 방화벽을 구성합니다. SRX 시리즈 방화벽을 구성하려면 feed-server 를 참조하십시오.

번들 피드

동적 주소 항목에 포함된 IP 주소, IP 접두사 또는 IP 범위는 외부 피드를 다운로드하여 주기적으로 업데이트할 수 있습니다. SRX 시리즈 방화벽은 업데이트된 동적 주소가 포함된 IP 목록을 다운로드하고 업데이트하기 위해 주기적으로 피드 서버에 대한 연결을 시작합니다.

Junos OS 릴리스 19.3R1부터 서버에서 단일 tgz 파일을 다운로드하여 여러 하위 피드 파일로 추출할 수 있습니다. 각 개별 파일은 하나의 피드에 해당합니다. 개별 동적 주소가 번들 파일 내의 피드를 참조하도록 합니다. 번들 파일은 여러 하위 피드가 하나의 .tgz 파일로 압축되는 피드가 너무 많이 구성된 경우 CPU 오버헤드를 줄입니다

지원되는 번들 피드 모드는 다음과 같습니다.

아카이브 모드

아카이브 모드에서는 SRX 시리즈 방화벽에 대한 모든 피드 파일을 하나의 tgz 파일로 압축해야 합니다. SRX 시리즈 방화벽은 이 파일을 다운로드하고 추출 후 모든 피드를 추출합니다. 이 프로세스는 아래에 설명되어 있습니다.

  • 피드 서버의 URL이 폴더의 원래 url 대신 .tgz 접미사가 붙은 파일의 URL인 경우, 이 서버는 단일 파일을 사용하여 SRX 시리즈 방화벽 동적 주소 구축을 위한 모든 피드를 전송합니다. 이 경우 이 서버의 피드는 서버에서 update-interval 또는 hold-interval을 상속합니다. 이 피드에 대한 update-interval 또는 hold-interval의 모든 사용자 구성은 무시됩니다.

  • 이 변경 후 아래 단계에 따라 아래 예제와 같이 서버 피드를 유지 관리합니다.

    아래 예제에서는 서버 피드를 유지 관리하는 데 필요한 단계를 보여 줍니다.

    1. SRX 시리즈 방화벽에 대한 모든 피드 파일을 feeds-4-srx 폴더 아래에 배치합니다

    2. 모든 피드 파일 생성 fd1 fd2 fd3 .. feeds-4-srx 폴더의 fdN

    3. 피드에서 IP 범위 추가 또는 제거

    4. 다음 명령을 실행하여 파일에 액세스합니다. cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-

  • 4단계 이후 feeds-4-srx.tgz 파일은 feeds-4-srx.tgz 파일이 포함된 동일한 폴더를 포함하는 SRX 시리즈 방화벽에서 다운로드할 수 있습니다. 다운로드 후 압축을 푼 파일은 feeds-4-srx.tgz와 동일한 폴더에 배치됩니다. 다음 예는 SRX 시리즈 방화벽의 samle 구성을 보여줍니다.

path 매개 변수에는 번들 아카이브 내에 있는 피드의 상대 경로가 필요합니다.

  • tar -zxf feeds-4-srx.tgz 파일이 feeds-4-srx 폴더를 생성하고 이 폴더에 피드 파일 fd1이 있는 경우 다음 명령을 사용하여 피드를 구성합니다.

  • tar -zxf feeds-4-srx.tgz 파일이 fd1 파일을 직접 추출하는 경우 다음 명령을 사용하여 피드를 구성합니다.

플랫 파일 모드

플랫 파일 모드는 기존 피드 파일 형식에 한 가지 구문 변경을 도입하여 사용자에게 최고의 단순성을 제공합니다. 모든 피드 파일의 콘텐츠는 접미사로 .bundle 을 사용하여 단일 파일로 컴파일됩니다. 이렇게 하면 단일 파일을 관리할 수 있습니다. SRX 시리즈 방화벽은 이 번들 파일의 IP 범위를 수많은 피드 파일로 분류합니다. 전송을 위해 일부 대역폭을 절약할 수 있는 경우 이 파일을 .bundle.gz 로 gzip으로 압축할 수 있습니다. 앞에서 정의한 파일 형식 외에도 대문자 태그 FEED: 다음에 피드 이름이 도입됩니다. 이 태그 아래의 줄은 피드에 속하는 IP 범위로 간주됩니다. 파일 형식의 예는 다음과 같습니다.

SRX 시리즈 방화벽의 구성은 아카이브 모드와 유사하며 다음과 같습니다.

플랫 모드와 아카이브 모드의 차이점은 파일의 접미사와 파일 내부의 레이아웃입니다. 가장 편리한 모드를 선택할 수 있습니다.

피드 파일은 일반 텍스트 형식이므로 gzip은 파일 크기를 줄일 수 있습니다. 서버와 SRX 시리즈 방화벽 사이에 WAN 링크가 있는 경우 네트워크에서 전송할 더 작은 크기의 파일(이 경우, 번들 파일을 gzip으로 압축)을 사용하고 다음 명령을 구성합니다.

플랫폼별 보안 정책 구성 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토할 수 있습니다.

플랫폼별 보안 정책 구성 규칙 동작

플랫폼

다름

SRX 시리즈

  • 보안 정책 구성 규칙을 지원하는 SRX5400, SRX5600 및 SRX5800 디바이스에서, 방화벽 필터 및 스크린이 처리된 후 플로우 처리 중에 그리고 SPU(Services Processing Unit)가 경로 조회를 완료하면 정책이 조회됩니다.

플랫폼별 정책 구성 동기화 동작

플랫폼

다름

SRX 시리즈 및 vSRX3.0

  • 정책 구성 동기화를 지원하는 SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300, SRX4600, SRX4700, SRX5400, SRX5600, SRX5800 및 vSRX3.0 가상 방화벽 인스턴스는 정책 조회 온전한 커밋(lookup-intact-on-commit) 옵션을 지원합니다.

  • 정책 구성 동기화를 지원하는 SRX 시리즈 및 vSRX3.0 가상 방화벽 인스턴스는 파일 직렬화도 지원합니다.

플랫폼별 침입 탐지 및 방지(IDP) 지원 동작

플랫폼

다름

SRX 시리즈

  • 침입 및 방지(IDP)를 지원하는 SRX5400, SRX5600 및 SRX5800 디바이스도 IPv6 세션에 대한 IDP를 처리합니다.

플랫폼별 방화벽 정책 마법사 지원 동작

플랫폼

다름

SRX 시리즈

  • SRX300, SRX320, SRX340, SRX345, SRX380 및 방화벽 정책 마법사를 지원하는 SRX550M 디바이스는 J-Web도 지원합니다.

추가 플랫폼 정보

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다. 추가 플랫폼이 지원될 수 있습니다.

파일 피드 서버를 지원하는 SRX 시리즈 디바이스 및 vSRX 가상 방화벽 3.0은 다음을 지원합니다.

SRX300, SRX320, SRX340, SRX345, SRX550 및 SRX550M

SRX4100, SRX4200, SRX4600, SRX5400, SRX5600, SRX5800 디바이스 및 vSRX 가상 방화벽 3.0

SRX1500

최대 피드 서버 수

10

100

40

최대 피드 수

500

5000

200

동적 주소 항목의 최대 개수

500

5000

200

정책 개체를 지원하는 SRX 시리즈 디바이스는 다음을 지원합니다.

SRX300 및 SRX320

SRX340 시리즈

SRX345 및 SRX380

SRX550M

SRX1500, SRX1600 및 SRX4100

SRX4200 및 SRX4300

SRX4600

SRX4700, SRX5400, SRX5600 및 SRX5800

주소 개체

2048

2048

2048

2048

4096

4096

4096

16384

응용 프로그램 객체

128

128

128

128

3072

3072

3072

3072

보안 정책

1024

2048

4096

10240

16000

60000

80000

100000

정책 컨텍스트(영역 쌍)

256

512

1024

2048

4096

4096

8192

8192

컨텍스트당 정책

1024

2048

4096

10240

16000

60000

80000

100000

카운팅이 활성화된 정책

256

256

256

10240

1024

1024

1024

1024

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
17.3R1 시리즈
Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스에 대한 컨텍스트당 보안 정책 및 최대 정책 수가 80,000개에서 100,000개로 증가합니다.
15.1X49-D120
Junos OS 릴리스 15.1X49-D120부터 SRX5400, SRX5600 및 SRX5800에 대한 정책당 주소 개체 수가 4,096개에서 16,000개로 증가합니다.
12.3X48-D15 시리즈
Junos OS 릴리스 12.3X48-D15 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스의 정책당 최대 주소 개체 수는 1024개에서 4096개로 증가하고 컨텍스트당 최대 정책 수는 10240개에서 80,000개로 증가합니다.
10.4
액티브/액티브 섀시 클러스터 구성의 IPv6 주소 지원(액티브/패시브 섀시 클러스터 구성의 기존 지원에 더해)이 Junos OS 릴리스 10.4에 추가되었습니다.
10.2
IPv6 주소에 대한 지원이 Junos OS 릴리스 10.2에 추가되었습니다.