이 페이지에서
보안 정책 구성
네트워크를 보호하려면 네트워크 관리자가 해당 비즈니스 내의 모든 네트워크 리소스와 해당 리소스에 필요한 보안 수준을 개략적으로 설명하는 보안 정책을 만들어야 합니다. Junos OS 통해 보안 정책을 구성할 수 있습니다. 보안 정책은 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에서 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다.
보안 정책 요소 이해하기
보안 정책은 지정된 서비스를 사용하여 지정된 소스에서 지정된 대상으로 트래픽을 제어하는 문 집합입니다. 정책은 두 지점 간에 지정된 유형의 트래픽을 단방향으로 허용, 거부 또는 터널합니다.
각 정책은 다음으로 구성됩니다.
정책에 대한 고유한 이름입니다.
A
from-zone및 ato-zone, 예를 들어: user@host #set security policies from-zone untrust to-zone untrust정책 규칙을 적용하기 위해 충족해야 하는 조건을 정의하는 일치 기준 집합입니다. 일치 기준은 소스 IP 주소, 대상 IP 주소 및 애플리케이션을 기반으로 합니다. 사용자 ID 방화벽은 정책 명령문의 일부로 추가 튜플 소스 ID를 포함하여 더 큰 세분성을 제공합니다.
일치할 경우 수행할 작업 집합(허용, 거부 또는 거부).
계정 및 감사 요소-카운팅, 로깅 또는 구조형 시스템 로깅.
SRX 시리즈 해당 사양과 일치하는 패킷을 수신하면 정책에 지정된 작업을 수행합니다.
보안 정책은 전송 트래픽에 대한 일련의 규칙을 적용하여 어떤 트래픽이 방화벽을 통과할 수 있으며 트래픽이 방화벽을 통과할 때 수행한 작업을 식별합니다. 지정된 기준과 일치하는 트래픽에 대한 작업에는 허용, 거부, 거부, 로그 또는 카운트가 포함됩니다.
SRX300, SRX320, SRX340, SRX345, SRX380 및 SRX550M 디바이스의 경우 공장 기본 보안 정책이 제공됩니다.
-
트러스트 영역에서 신뢰할 수 없는 영역으로의 모든 트래픽을 허용합니다.
-
트러스트 영역에서 intrazone 트러스트 영역으로 이르는 신뢰할 수 있는 영역 간의 모든 트래픽을 허용합니다.
신뢰할 수 없는 영역에서 트러스트 영역으로의 모든 트래픽을 거부합니다.
보안 정책 규칙 이해
보안 정책은 컨텍스트 내의 전송 트래픽(from-zone 에)에 보안 규칙을 적용합니다 to-zone. 각 정책은 이름으로 고유하게 식별됩니다. 트래픽은 소스 및 대상 영역, 소스 및 대상 주소, 트래픽이 프로토콜 헤더에서 전송하는 애플리케이션과 데이터 플레인의 정책 데이터베이스를 일치시켜 분류됩니다.
각 정책은 다음과 같은 특성과 관련이 있습니다.
소스 영역
대상 영역
하나 또는 많은 소스 주소 이름 또는 주소 세트 이름
하나 또는 많은 대상 주소 이름 또는 주소 세트 이름
하나 또는 많은 애플리케이션 이름 또는 애플리케이션 세트 이름
이러한 특성을 일치 기준이라고 합니다. 각 정책에는 허용, 거부, 거부, 카운트, 로그 및 VPN 터널과 관련된 작업도 있습니다. 정책, 소스 주소, 대상 주소 및 애플리케이션 이름을 구성할 때 일치 조건 인수를 지정해야 합니다.
와일드카드 항목을 any사용하여 IPv4 또는 IPv6 주소로 정책을 구성하도록 지정할 수 있습니다. IPv6 트래픽에 대한 플로우 지원이 활성화되지 않은 경우, any IPv4 주소와 일치합니다. IPv6 트래픽에 대한 플로우 지원이 활성화되면 IPv4 any 및 IPv6 주소가 모두 일치합니다. IPv6 트래픽에 대한 플로우 기반 포워딩을 활성화하려면 명령을 사용합니다 set security forwarding-options family inet6 mode flow-based . 또한 와일드카드 any-ipv4 또는 any-ipv6 소스 및 대상 주소 일치 기준에 대해 각각 IPv4 또는 IPv6 주소만 포함하도록 지정할 수 있습니다.
IPv6 트래픽에 대한 플로우 지원이 활성화되면 보안 정책에서 구성할 수 있는 최대 IPv4 또는 IPv6 주소 수는 다음 일치 기준을 기반으로 합니다.
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4<= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4<= 1024
일치 기준에 대한 Thr 이유는 IPv6 주소가 IPv4 주소가 사용하는 메모리 공간의 4배를 사용하기 때문입니다.
디바이스에서 IPv6 트래픽 플로우 지원이 활성화된 경우에만 IPv6 주소로 보안 정책을 구성할 수 있습니다.
특정 애플리케이션을 지정하지 않으시면 을(를) 기본 애플리케이션으로 입력 any 합니다. 구성 모드에서 기본 애플리케이션을 보려면 을(를) 입력합니다 show groups junos-defaults | find applications (predefined applications). 예를 들어, 애플리케이션 이름을 제공하지 않으면 정책이 와일드카드로 애플리케이션과 함께 설치됩니다(기본값). 따라서 주어진 정책의 나머지 매개 변수와 일치하는 모든 데이터 트래픽은 데이터 트래픽의 애플리케이션 유형에 관계없이 정책과 일치합니다.
정책이 여러 애플리케이션으로 구성되고 하나 이상의 애플리케이션이 트래픽과 일치하면 일치 기준을 가장 잘 충족하는 애플리케이션이 선택됩니다.
트래픽이 일치하는 첫 번째 정책의 작업이 패킷에 적용됩니다. 일치하는 정책이 없으면 패킷이 누락됩니다. 정책은 위에서 아래로 검색되므로 목록 맨 위에 더 구체적인 정책을 배치하는 것이 좋습니다. 또한 IPSec VPN 터널 정책을 맨 위에 배치해야 합니다. 특정 사용자가 모든 인터넷 애플리케이션에 액세스할 수 있도록 허용하는 정책과 같은 일반적인 정책을 목록 맨 아래에 배치합니다. 예를 들어, 모든 특정 정책이 이전에 구문 분석되고 합법적인 트래픽이 허용/카운트/로그된 후에 deny-all 또는 reject-all 정책을 맨 아래에 배치합니다.
IPv6 주소에 대한 지원이 Junos OS 릴리스 10.2에 추가되었습니다. 액티브/액티브 섀시 클러스터 구성에서 IPv6 주소(액티브/패시브 섀시 클러스터 구성의 기존 지원 외)에 대한 지원이 Junos OS 릴리스 10.4에 추가됩니다.
방화벽 필터 및 스크린이 처리된 후 플로우 처리 중에 정책이 조회되고 SPU(Services Processing Unit)(SRX5400, SRX5600 및 SRX5800 디바이스용)에서 경로 조회가 완료되었습니다. 정책 조회는 대상 영역, 대상 주소 및 송신 인터페이스를 결정합니다.
정책을 생성할 때 다음 정책 규칙이 적용됩니다.
보안 정책은 방향에
from-zoneto-zone따라 구성됩니다. 특정 영역 방향에서 각 보안 정책에는 이름, 일치 기준, 작업 및 기타 옵션이 포함됩니다.정책 이름, 일치 기준 및 작업이 필요합니다.
정책 이름은 키워드입니다.
일치 기준의 소스 주소는 의 하나 이상의 주소 이름 또는 주소 세트 이름으로 구성됩니다
from-zone.일치 기준의 대상 주소는 의 하나 이상의 주소 이름 또는 주소 세트 이름으로 구성됩니다
to-zone.일치 기준의 애플리케이션 이름은 하나 이상의 애플리케이션 또는 애플리케이션 세트의 이름으로 구성됩니다.
다음 작업 중 하나가 필요합니다: 허용, 거부 또는 거부.
계정 및 감사 요소를 지정할 수 있습니다. 카운트 및 로그.
명령으로 세션의 끝 또는 명령으로
session-close세션의 시작 부분에서 로깅을 활성화할session-init수 있습니다.카운트 알람이 켜져 있는 경우 초당 바이트 또는 분당 킬로바이트의 알람 임계값을 지정합니다.
다음 조건을 제외하고 을(를
to-zone)from-zone또는 중 하나로 지정할global수 없습니다.전역 영역으로 구성된
to-zone모든 정책은 정적 네트워크 주소 변환(NAT) 또는 수신 NAT가 정책에서 구성되었음을 나타내기 위해 단일 대상 주소를 가져야 합니다.SRX 시리즈 서비스 게이트웨이에서는 NAT를 통한 정책 허용 옵션이 단순화됩니다. 각 정책은 선택적으로 NAT 변환을 허용하는지, NAT 변환을 허용하지 않는지, 상관하지 않는지를 나타냅니다.
주소 이름은 다음 예약된 접두사로 시작할 수 없습니다. 이는 주소 NAT 구성에만 사용됩니다.
static_nat_incoming_nat_junos_
애플리케이션 이름은 예약된 접두사로
junos_시작할 수 없습니다.
와일드카드 주소 이해
소스 및 대상 주소는 보안 정책에서 구성해야 하는 다섯 가지 일치 기준 중 두 가지입니다. 이제 보안 정책에서 소스 및 대상 주소 일치 기준에 대한 와일드카드 주소를 구성할 수 있습니다. 와일드카드 주소는 A.B.C.D/와일드카드 마스크로 표시됩니다. 와일드카드 마스크는 보안 정책 일치 기준에 의해 무시해야 하는 IP 주소 A.B.C.D의 비트 중 어느 부분을 무시해야 하는지 결정합니다. 예를 들어, 보안 정책의 소스 IP 주소 192.168.0.11/255.255.0.255는 보안 정책 일치 기준이 IP 주소의 세 번째 옥텟을 폐기할 수 있음을 의미합니다(상징적으로 192.168.*.11로 표시). 따라서 192.168.1.11 및 192.168.22.11 등의 소스 IP 주소를 가진 패킷은 일치 기준을 준수합니다. 그러나 192.168.0.1 및 192.168.1.21 등의 소스 IP 주소를 가진 패킷은 일치 기준을 충족하지 않습니다.
와일드카드 주소 사용은 전체 옥텟으로만 제한되지 않습니다. 와일드카드 주소를 구성할 수 있습니다. 예를 들어 와일드카드 주소 192.168. 7.1/255.255.7.255는 정책 일치를 만드는 동안 와일드카드 주소의 세 번째 옥텟의 처음 5비트만 무시해야 한다는 것을 의미합니다. 와일드카드 주소 사용이 전체 옥텟으로만 제한되는 경우, 4개의 옥텟 각각에 0 또는 255가 있는 와일드카드 마스크만 허용됩니다.
와일드카드 마스크의 첫 번째 옥텟은 128보다 커야 합니다. 예를 들어, 0.255.0.255 또는 1.255.0.255로 표시되는 와일드카드 마스크는 유효하지 않습니다.
와일드카드 보안 정책은 한 보안 영역에서 다른 보안 영역으로 교차하려는 트래픽을 허용, 거부 및 거부할 수 있는 간단한 방화벽 정책입니다. UTM(UTM)과 같은 서비스에 와일드카드 주소를 사용하여 보안 정책 규칙을 구성해서는 안 됩니다.
IPv6 세션에 대한 침입 및 방지(IDP)만 모든 SRX5400, SRX5600 및 SRX5800 디바이스에서 지원됩니다. IPv6 세션에 대한 UTM은 지원되지 않습니다. 현재 보안 정책이 IP 주소 와일드카드의 규칙을 사용하고 UTM 기능이 활성화된 경우 UTM 기능이 아직 IPv6 주소를 지원하지 않기 때문에 구성 커밋 오류가 발생합니다. 오류를 해결하려면 any-ipv4 와일드카드가 사용되도록 오류를 반환하는 규칙을 수정해야 합니다. UTM 기능을 포함하지 않는 IPv6 트래픽에 대한 별도의 규칙을 생성합니다.
디바이스에서 와일드카드 보안 정책을 구성하면 존(from-zone) 및 영역(to-zone) 컨텍스트에 따라 구성된 와일드카드 정책 수에 따라 성능 및 메모리 사용에 영향을 미칩니다. 따라서 특정 존(from-zone) 및 to-zone 컨텍스트에 대해 최대 480개의 와일드카드 정책만 구성할 수 있습니다.
더 보기
셀프 트래픽에 대한 보안 정책 이해
보안 정책은 디바이스를 통해 흐르는 트래픽에 서비스를 적용하기 위해 디바이스에 구성됩니다. 예를 들어 UAC 및 UTM 정책은 임시 트래픽에 서비스를 적용하도록 구성됩니다.
셀프 트래픽 또는 호스트 트래픽은 host-inbound 트래픽입니다. 즉, 디바이스에서 종료되는 트래픽 또는 디바이스에서 발생하는 트래픽인 호스트 아웃바운드 트래픽입니다. 이제 정책을 구성하여 셀프 트래픽에 서비스를 적용할 수 있습니다. 원격 디바이스에서 SSL 연결을 종료하고 해당 트래픽에 대한 일부 처리를 수행해야 하는 SSL 스택 서비스, 호스트 인바운드 트래픽의 IDP 서비스 또는 호스트 아웃바운드 트래픽의 IPsec 암호화와 같은 서비스는 셀프 트래픽에 구성된 보안 정책을 통해 적용되어야 합니다.
셀프 트래픽에 대한 보안 정책을 구성할 때, 디바이스를 통해 흐르는 트래픽이 먼저 정책에 대해 확인한 다음, 영역에 바인딩된 인터페이스에 대해 구성된 옵션에 대해 host-inbound-traffic 검사됩니다.
셀프 트래픽에 대한 보안 정책을 구성하여 셀프 트래픽에 서비스를 적용할 수 있습니다. 호스트 아웃바운드 정책은 호스트 디바이스에서 생성된 패킷이 플로우를 거치고 이 패킷의 수신 인터페이스가 로컬로 설정된 경우에만 작동합니다.
셀프 트래픽 사용의 장점은 다음과 같습니다.
전송 트래픽에 사용되는 기존 정책 또는 플로우 인프라의 대부분을 활용할 수 있습니다.
서비스를 활성화하기 위해 별도의 IP 주소가 필요하지 않습니다.
디바이스의 모든 인터페이스의 대상 IP 주소를 사용하여 모든 호스트 인바운드 트래픽에 서비스 또는 정책을 적용할 수 있습니다.
관련 서비스로만 셀프 트래픽에 대한 보안 정책을 구성할 수 있습니다. 예를 들어, 호스트 아웃바운드 트래픽에서 fwauth 서비스를 구성하는 것은 관련이 없으며 gprs-gtp 서비스는 셀프 트래픽에 대한 보안 정책과 관련이 없습니다.
셀프 트래픽에 대한 보안 정책은 영역이라는 junos-host 새로운 기본 보안 영역에서 구성됩니다. junos-host zone은 junos-defaults 구성의 일부가 되므로 사용자는 이를 삭제할 수 없습니다. 인터페이스, 화면, tcp-rst, host-inbound-traffic 옵션과 같은 기존 영역 구성은 junos-host zone에 의미가 없습니다. 따라서 junos-host 영역에 대한 전용 구성은 없습니다.
host-inbound-traffic을 사용하여 디바이스로 들어오는 연결을 제어할 수 있습니다. 그러나 디바이스에서 나가는 트래픽을 제한하지는 않습니다. 반면, junos-host-zone을 사용하면 선택한 애플리케이션을 선택하고 나가는 트래픽도 제한할 수 있습니다. 예를 들어, NAT, IDP, UTM 등과 같은 서비스는 이제 junos-host-zone을 사용하여 SRX 시리즈 디바이스로 이동하거나 나가는 트래픽을 활성화할 수 있습니다.
보안 정책 구성 개요
보안 정책을 생성하려면 다음 작업을 완료해야 합니다.
영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.
정책에 대한 주소와 주소록을 구성합니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.
정책이 해당 유형의 트래픽에 적용된다는 것을 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다. 예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성을 참조하십시오.
정책을 생성합니다. 예: 모든 트래픽을 허용하거나 거부하는 보안 정책 구성, 예: 선택한 트래픽을 허용 또는 거부하는 보안 정책 구성, 예: 와일드카드 주소 트래픽을 허용하거나 거부하도록 보안 정책 구성을 참조하십시오.
정책에 사용할 계획인 경우 스케줄러를 생성합니다. 예: 1일을 제외한 매일 일정에 대한 스케줄러 구성을 참조하십시오.
방화벽 정책 마법사를 사용하면 기본 보안 정책 구성을 수행할 수 있습니다. 보다 진보된 구성을 위해 J-Web 인터페이스 또는 CLI를 사용합니다.
더 보기
SRX 시리즈 디바이스에 대한 정책 정의 모범 사례
보안 네트워크는 비즈니스에 필수적입니다. 네트워크를 보호하려면 네트워크 관리자가 해당 비즈니스 내의 모든 네트워크 리소스와 해당 리소스에 필요한 보안 수준을 개략적으로 설명하는 보안 정책을 만들어야 합니다. 보안 정책은 컨텍스트(영역에서 영역까지) 내의 전송 트래픽에 보안 규칙을 적용하며 각 정책은 이름으로 고유하게 식별됩니다. 트래픽은 소스 및 대상 영역, 소스 및 대상 주소, 트래픽이 프로토콜 헤더에서 전송하는 애플리케이션과 데이터 플레인의 정책 데이터베이스를 일치시켜 분류됩니다.
표 1 은 SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 및 SRX5800 디바이스. 플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다릅니다.
Junos OS 릴리스 12.3X48-D15 및 Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스의 정책당 주소 개체의 최대 수는 1024에서 4096으로 증가하고 컨텍스트당 최대 정책 수는 10240에서 80,000으로 증가합니다.
Junos OS 릴리스 17.3R1부터 SRX5400, SRX5600 및 SRX5800 디바이스의 보안 정책 수와 컨텍스트당 최대 정책 수가 80,000에서 100,000으로 증가합니다.
Junos OS 릴리스 15.1X49-D120부터 SRX5400, SRX5600 및 SRX5800의 정책당 주소 개체 수가 4096에서 16,000으로 증가합니다.
SRX 시리즈 디바이스 |
주소 객체 |
애플리케이션 객체 |
보안 정책 |
정책 컨텍스트(영역 쌍) |
컨텍스트별 정책 |
카운팅이 활성화된 정책 |
|---|---|---|---|---|---|---|
SRX300SRX320 |
2048 |
128 |
1024 |
256 |
1024 |
256 |
SRX340 |
2048 |
128 |
2048 |
512 |
2048 |
256 |
SRX345 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX380 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX550SRX650 |
1024 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX550M |
2048 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX1400SRX1500 |
1024 |
3072 |
16000 |
4096 |
16000 |
1024 |
SRX3400SRX3600 |
4096 |
3072 |
40000 |
4096 |
40000 |
1024 |
SRX4100 |
1024 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4200 |
1024 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4600 |
4096 |
3072 |
80000 |
8192 |
80000 |
1024 |
SRX5400SRX5600 SRX5800 |
16000 |
3072 |
100000 |
8192 |
100000 |
1024 |
따라서 각 규칙에서 주소와 애플리케이션의 수를 늘리면 정책 정의에 의해 사용되는 메모리 양이 증가하고 때로는 정책이 80,000개 미만인 메모리가 부족할 때도 있습니다.
패킷 전달 엔진(PFE) 및 라우팅 엔진(RE)에서 정책의 실제 메모리 활용도를 얻으려면 메모리 트리의 다양한 구성 요소를 고려해야 합니다. 메모리 트리에는 다음 두 가지 구성 요소가 포함됩니다.
정책 컨텍스트 - 이 컨텍스트에서 모든 정책을 조직하는 데 사용됩니다. 정책 컨텍스트에는 소스 및 대상 영역과 같은 변수가 포함됩니다.
정책 엔터티– 정책 데이터를 보관하는 데 사용됩니다. 정책 엔티티는 정책 이름, IP 주소, 주소 수, 애플리케이션, 방화벽 인증, WebAuth, IPsec, 카운트, 애플리케이션 서비스 및 JSF(Junos Services Framework)와 같은 매개 변수를 사용하여 메모리를 계산합니다.
또한 정책, 규칙 세트 및 기타 구성 요소를 저장하는 데 사용되는 데이터 구조는 패킷 전달 엔진 및 라우팅 엔진 서로 다른 메모리를 사용합니다. 예를 들어, 정책의 각 주소에 대한 주소 이름은 라우팅 엔진 저장되지만 패킷 전달 엔진 수준에는 메모리가 할당되지 않습니다. 마찬가지로, 포트 범위는 접두사 및 마스크 쌍으로 확장되어 패킷 전달 엔진 저장되지만 이러한 메모리는 라우팅 엔진 할당되지 않습니다.
따라서 정책 구성에 따라 라우팅 엔진 정책 기여자는 패킷 전달 엔진 것과 다르며 메모리가 동적으로 할당됩니다.
또한 메모리는 "삭제 연기" 상태에서 소비됩니다. 지연된 삭제 상태에서 SRX 시리즈 디바이스가 정책 변경을 적용하면 이전 및 새 정책이 모두 존재하는 일시적 피크 사용이 발생합니다. 따라서 짧은 기간 동안 패킷 전달 엔진 기존 정책과 새 정책이 모두 존재하며, 이는 메모리 요구 사항의 두 배에 해당합니다.
따라서 메모리 요구 사항은 정책의 특정 구성에 의존하며 메모리는 동적으로 할당되기 때문에 주어진 시점에서 구성 요소(패킷 전달 엔진 또는 라우팅 엔진)가 얼마나 많은 메모리가 사용되는지 명확하게 추론할 수 있는 확실한 방법은 없습니다.
정책 구현을 위한 다음과 같은 모범 사례를 통해 시스템 메모리를 더 잘 사용하고 정책 구성을 최적화할 수 있습니다.
소스 및 대상 주소에 단일 접두사 사용. 예를 들어, /32 주소를 사용하고 각 주소를 별도로 추가하는 대신 필요한 대부분의 IP 주소를 다루는 큰 서브넷을 사용합니다.
가능할 때마다 애플리케이션 "any"을 사용합니다. 정책에서 개별 애플리케이션을 정의할 때마다 52바이트를 추가로 사용할 수 있습니다.
IPv6 주소가 더 많은 메모리를 소비하기 때문에 IPv6 주소 사용량이 줄어듭니다.
정책 구성에서 더 적은 수의 영역 쌍을 사용합니다. 각 소스 또는 대상 영역은 약 16,048바이트의 메모리를 사용합니다.
다음 매개 변수는 지정된 대로 바이트에 의해 메모리가 소비되는 방식을 변경할 수 있습니다.
방화벽 인증 –약 16바이트 이상(고정되지 않은)
웹 인증–약 16바이트 이상(고정되지 않은)
IPsec–12바이트
애플리케이션 서비스–28바이트
카운트 –64바이트
정책 컴파일 전후에 메모리 사용률을 확인합니다.
참고:각 디바이스에 대한 메모리 요구 사항은 다릅니다. 일부 디바이스는 기본적으로 512,000개의 세션을 지원하며, 부팅 메모리는 일반적으로 72~73%입니다. 다른 디바이스는 최대 100만 개의 세션을 가질 수 있으며 부팅 메모리는 최대 83~84%가 될 수 있습니다. 최악의 시나리오에서 SPU에서 약 80,000개 정책을 지원하려면 SPU가 최대 82%의 플로우 커널 메모리 소비량과 170메가바이트 이상의 메모리를 사용할 수 있는 방식으로 부팅해야 합니다.
더 보기
방화벽 마법사를 사용하여 정책 구성
방화벽 정책 마법사를 사용하면 SRX300, SRX320, SRX340, SRX345, SRX380 및 SRX550M 디바이스에서 기본 보안 정책 구성을 수행할 수 있습니다. 보다 진보된 구성을 위해 J-Web 인터페이스 또는 CLI를 사용합니다.
방화벽 정책 마법사를 사용하여 정책을 구성하려면 다음을 수행합니다.
- J-Web 인터페이스에서 을(를) 선택합니다
Configure>Tasks>Configure FW Policy. - 시작 방화벽 정책 마법사 버튼을 클릭하여 마법사를 시작합니다.
- 마법사의 프롬프트를 따릅니다.
마법사 페이지의 왼쪽 위 영역은 구성 프로세스에 있는 위치를 보여줍니다. 페이지의 왼쪽 하단 영역은 필드에 민감한 도움말을 보여줍니다. 리소스 제목 아래의 링크를 클릭하면 브라우저에서 문서가 열립니다. 새 탭에서 문서가 열리면 문서를 닫을 때 탭(브라우저 창이 아님)만 닫아야 합니다.
예: 모든 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예는 모든 트래픽을 허용하거나 거부하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.
주소록을 구성하고 정책에서 사용할 주소를 만듭니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.
정책이 해당 유형의 트래픽에 적용된다는 것을 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다. 예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성을 참조하십시오.
개요
Junos OS 보안 정책은 디바이스를 통과할 수 있는 트래픽 및 디바이스를 통과할 때 트래픽에서 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역으로 들어가 다른 보안 영역을 나갑니다. 이 예에서 신뢰 및 신뢰할 수 없는 인터페이스, ge-0/0/2 및 ge-0/0/1을 구성합니다. 그림 1을 참조하십시오.
허용
이 구성 예는 다음 방법을 보여줍니다.
트러스트 영역에서 신뢰할 수 없는 영역으로의 모든 트래픽을 허용하거나 거부하지만 신뢰할 수 없는 영역에서 트러스트 영역까지 모든 것을 차단합니다.
트러스트 영역의 호스트에서 특정 시간에 신뢰할 수 없는 영역의 서버로 선택된 트래픽을 허용하거나 거부합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
모든 트래픽을 허용하거나 거부하도록 보안 정책을 구성하는 방법:
인터페이스 및 보안 영역을 구성합니다.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
트러스트 영역에서 신뢰할 수 없는 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
신뢰할 수 없는 영역에서 트러스트 영역으로 트래픽을 거부하는 보안 정책을 생성합니다.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
결과
구성 모드에서 및 show security zones 명령을 입력하여 구성을 show security policies 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
구성 예는 트러스트 영역에서 신뢰할 수 없는 영역으로의 기본 permit-all입니다.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
예: 선택한 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예는 선택한 트래픽을 허용하거나 거부하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.
주소록을 구성하고 정책에서 사용할 주소를 만듭니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.
정책이 해당 유형의 트래픽에 적용된다는 것을 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다. 예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성을 참조하십시오.
신뢰할 수 있는 영역과 신뢰할 수 없는 영역으로 트래픽을 허용합니다. 예: 모든 트래픽을 허용하거나 거부하는 보안 정책 구성을 참조하십시오.
개요
Junos OS 보안 정책은 디바이스를 통과할 수 있는 트래픽 및 디바이스를 통과할 때 트래픽에서 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역으로 들어가 다른 보안 영역을 나갑니다. 이 예에서는 신뢰 영역의 호스트에서 신뢰할 수 없는 영역의 서버로의 전자 메일 트래픽만 허용하는 특정 보안 정책을 구성합니다. 다른 트래픽은 허용되지 않습니다. 그림 2를 참조하십시오.
허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
선택한 트래픽을 허용하도록 보안 정책을 구성하는 방법:
인터페이스 및 보안 영역을 구성합니다.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
클라이언트와 서버 모두에 대한 주소록 항목을 생성합니다. 또한 주소록에 보안 영역을 연결합니다.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
메일 트래픽을 허용하는 정책을 정의합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
결과
구성 모드에서 및 show security zones 명령을 입력하여 구성을 show security policies 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
예: 와일드카드 주소 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예는 와일드카드 주소 트래픽을 허용하거나 거부하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
와일드카드 주소를 이해합니다. 보안 정책 규칙 이해를 참조하십시오.
영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.
주소록을 구성하고 정책에서 사용할 주소를 만듭니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.
정책이 해당 유형의 트래픽에 적용된다는 것을 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다. 예: 보안 정책 애플리케이션 및 애플리케이션 세트 구성을 참조하십시오.
신뢰할 수 있는 영역과 신뢰할 수 없는 영역으로 트래픽을 허용합니다. 예: 모든 트래픽을 허용하거나 거부하는 보안 정책 구성을 참조하십시오.
신뢰 및 신뢰할 수 없는 영역으로 및 수신하는 전자 메일 트래픽을 허용합니다. 예: 선택한 트래픽을 허용하거나 거부하기 위한 보안 정책 구성
개요
Junos 운영체제(Junos OS)에서 보안 정책은 디바이스를 통과할 수 있는 트래픽 및 디바이스를 통과할 때 트래픽에서 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역으로 들어가 다른 보안 영역을 나갑니다. 이 예에서 신뢰할 수 있는 영역의 호스트에서 신뢰할 수 없는 영역으로 와일드카드 주소 트래픽만 허용하도록 특정 보안을 구성합니다. 다른 트래픽은 허용되지 않습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
선택한 트래픽을 허용하도록 보안 정책을 구성하는 방법:
인터페이스 및 보안 영역을 구성합니다.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
호스트에 대한 주소록 항목을 생성하고 주소록을 영역에 연결합니다.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
와일드카드 주소 트래픽을 허용하는 정책을 정의합니다.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
결과
구성 모드에서 및 show security zones 명령을 입력하여 구성을 show security policies 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
예: 트래픽 로그를 외부 시스템 로그 서버로 리디렉션하는 보안 정책 구성
이 예는 디바이스에서 생성된 트래픽 로그를 외부 시스템 로그 서버로 전송하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
인터페이스 ge-4/0/5에서 SRX5600 디바이스에 연결된 클라이언트
인터페이스 ge-4/0/1에서 SRX5600 디바이스에 연결된 서버
SRX5600 디바이스에서 생성된 로그는 Linux 기반 시스템 로그 서버에 저장됩니다.
인터페이스 ge-4/0/4에서 Linux 기반 서버에 연결된 SRX5600 디바이스
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 SRX5600 디바이스의 보안 정책을 구성하여 데이터 전송 중에 디바이스에서 생성한 트래픽 로그를 Linux 기반 서버로 보냅니다. 트래픽 로그는 모든 세션의 세부 정보를 기록합니다. 로그는 SRX5600 디바이스에 연결된 소스 및 대상 디바이스 간의 세션 설정 및 종료 중에 생성됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
트래픽 로그를 외부 시스템 로그 서버로 전송하도록 보안 정책을 구성하는 방법:
보안 로그를 구성하여 SRX5600 디바이스에서 생성된 트래픽 로그를 IP 주소 203.0.113.2의 외부 시스템 로그 서버로 전송합니다. IP 주소 127.0.0.1은 SRX5600 디바이스의 루프백 주소입니다.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
보안 영역을 구성하고 SRX5600 디바이스의 인터페이스 ge-4/0/5.0에서 허용되는 트래픽 및 프로토콜 유형을 지정합니다.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
다른 보안 영역을 구성하고 SRX5600 디바이스의 인터페이스 ge-4/0/4.0 및 ge-4/0/1.0에서 허용되는 트래픽 유형을 지정합니다.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
정책을 생성하고 해당 정책에 대한 일치 기준을 지정합니다. 일치 기준은 디바이스가 모든 소스, 대상 및 애플리케이션의 트래픽을 허용하도록 지정합니다.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
정책이 세션의 시작과 끝에서 트래픽 세부 정보를 기록하도록 합니다.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security log . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력 commit 합니다.
보안 영역 및 정책을 위한 탭 모드
보안 영역 및 정책을 위한 터미널 액세스 포인트(TAP) 모드를 사용하면 스위치 SPAN 또는 미러 포트를 통해 네트워크 전반의 트래픽 흐름을 수동적으로 모니터링할 수 있습니다.
보안 영역 및 정책에 대한 TAP 모드 지원 이해
터미널 액세스 포인트(TAP) 모드는 스위치를 통해 미러링된 트래픽을 확인하는 대기 디바이스입니다. 보안 영역과 정책이 구성된 경우, TAP 모드는 TAP 인터페이스를 구성하고 보안 로그 보고서를 생성하여 탐지된 위협의 수와 사용자 사용을 표시함으로써 들어오고 나가는 트래픽을 검사합니다. 탭 인터페이스에서 일부 패킷이 손실되면 보안 영역과 정책이 연결을 종료합니다. 결과적으로 이 연결에 대한 보고서가 생성되지 않습니다. 보안 영역 및 정책 구성은 탭이 아닌 모드와 동일하게 유지됩니다.
TAP 모드에서 작동하도록 SRX 시리즈 디바이스를 구성할 때, 디바이스는 탐지된 위협, 애플리케이션 사용량 및 사용자 세부 정보에 대한 정보를 표시하기 위해 보안 로그 정보를 생성합니다. 디바이스가 TAP 모드에서 작동하도록 구성된 경우, SRX 시리즈 디바이스는 구성된 TAP 인터페이스에서만 패킷을 수신합니다. 구성된 TAP 인터페이스를 제외하고, 다른 인터페이스는 관리 인터페이스로 사용되거나 외부 서버에 연결된 일반 인터페이스로 구성됩니다. SRX 시리즈 디바이스는 들어오는 트래픽에 따라 보안 보고서 또는 로그를 생성합니다.
보안 영역 및 기본 보안 정책은 TAP 인터페이스가 구성된 후 구성됩니다. 필요한 경우 다른 영역이나 정책을 구성할 수 있습니다. 하나의 인터페이스를 사용하여 서버를 연결하면 IP 주소, 라우팅 인터페이스 및 보안 구성도 구성되어야 합니다.
TAP 모드에서 디바이스를 작동할 때 하나의 TAP 인터페이스만 구성할 수 있습니다.
예: TAP 모드에서 보안 영역 및 정책 구성
이 예는 SRX 디바이스가 TAP(터미널 액세스 포인트) 모드에서 구성되면 보안 영역 및 정책을 구성하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX 시리즈 디바이스
Junos OS 릴리스 19.1R1
시작하기 전에 다음을 수행합니다.
보안 영역 및 정책에 대한 TAP 모드 지원 이해하기를 읽고 이 절차가 보안 영역 및 정책에 대한 전반적인 지원에 적합한 방법과 위치를 파악합니다.
개요
이 예에서는 SRX 시리즈 디바이스가 TAP 모드에서 작동하도록 구성합니다. TAP 모드에서 작동하도록 SRX 시리즈 디바이스를 구성할 때, 디바이스는 탐지된 위협, 애플리케이션 사용량 및 사용자 세부 정보에 대한 정보를 표시하기 위해 보안 로그 정보를 생성합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
TAP 모드에서 영역을 구성하려면 다음을 수행합니다.
보안 영역 탭 존 인터페이스를 구성합니다.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
보안 영역 탭 존 애플리케이션 추적을 구성합니다.
user@host# set security zones security-zone tap-zone application-tracking
영역 탭 존에서 영역 탭 영역으로의 트래픽을 허용하는 보안 정책을 구성하고 일치 조건을 구성합니다.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
결과
구성 모드에서 및 show security policies 명령을 입력하여 구성을 show security zones 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
TAP 모드에서 정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security policies detail .
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
의미
탭 모드에서 디바이스에 구성된 모든 보안 정책에 대한 요약을 표시합니다.
보안 정책의 동적 주소 그룹
주소 항목을 정책에 수동으로 추가하는 데 많은 시간이 걸릴 수 있습니다. 특정 목적(예: 차단 목록)이 있거나 공통 속성(예: 위협이 될 수 있는 특정 위치 또는 동작)을 가진 IP 주소 목록을 제공하는 외부 소스가 있습니다. 외부 소스를 사용하여 IP 주소로 위협 소스를 식별한 다음 해당 주소를 동적 주소 항목으로 그룹화하고 보안 정책에서 해당 항목을 참조할 수 있습니다. 따라서 이러한 주소로 오가는 트래픽을 제어할 수 있습니다. 이러한 각 IP 주소 그룹은 동적 주소 항목이라고 합니다.
지원되는 IP 주소 유형은 다음과 같습니다.
-
단일 IP. 예를 들어: 192.0.2.0
-
IP 범위. 예를 들어: 192.0.2.0- 192.0.2.10
-
Cidr. 예를 들어: 192.0.2.0/24
각 항목은 한 줄을 차지합니다. 릴리스 19.3R1 Junos OS IP 주소 범위를 오름차순으로 정렬할 필요가 없으며 IP 항목의 값은 동일한 피드 파일에서 겹칠 수 있습니다. 19.3R1 이전의 Junos OS 릴리스에서 IP 주소 범위는 오름차순으로 정렬해야 하며 IP 항목의 값은 동일한 피드 파일에서 겹칠 수 없습니다.
동적 주소 항목은 단일 IP 접두사가 아닌 IP 주소 그룹입니다. 동적 주소 항목은 주소록 및 주소 입력 주소의 보안 주소 개념과 다릅니다.
다음은 보안 정책에 동적 주소 항목을 배포할 때의 이점입니다.
-
네트워크 관리자는 IP 주소 그룹으로 유입되는 트래픽을 더 많이 제어할 수 있습니다.
-
외부 서버는 업데이트된 IP 주소 피드를 SRX 시리즈 디바이스에 제공합니다.
-
관리자의 노력이 대폭 감소했습니다. 예를 들어, 레거시 보안 정책 구성에서 참조할 정책에 1,000개의 주소 항목을 추가하려면 약 2,000줄의 구성이 필요합니다. 동적 주소 항목을 정의하고 보안 정책에서 참조하면 추가 구성 노력 없이 최대 수백만 개의 항목이 SRX 시리즈 디바이스로 유입됩니다.
-
새 주소를 추가하는 데 커밋 프로세스가 필요하지 않습니다. 레거시 방법을 통해 수천 개의 주소를 구성에 추가하는 데는 커밋하는 데 오랜 시간이 걸립니다. 또는 동적 주소 항목의 IP 주소는 외부 피드에서 나오므로 항목의 주소가 변경되면 커밋 프로세스가 필요하지 않습니다.
그림 3 은 보안 정책의 동적 주소 항목이 어떻게 작동하는지에 대한 기능 개요를 보여줍니다.
보안 정책은 소스 주소 또는 대상 주소 필드에서 동적 주소 항목을 참조합니다(보안 정책이 레거시 주소 항목을 참조하는 것과 거의 동일한 방식으로).
그림 4는 목적지 주소 필드에서 동적 주소 항목을 사용하는 정책을 보여줍니다.
의 동적 주소 항목
그림 4에서 정책 1은 레거시 보안 주소 항목인 대상 주소 10.10.1.1을 사용합니다. 정책 2는 네트워크 관리자가 지정한 동적 주소 항목인 대상 주소 벤더 차단 목록을 사용합니다. 콘텐츠는 외부 피드 파일에서 검색된 IP 주소 목록입니다. 다섯 가지 기준과 일치하는 패킷(신뢰할 수 없는 From-Zone, To-Zone 지정 엔지니어, 모든 소스 주소, 벤더 차단 목록 동적 주소 항목에 속하는 대상 IP 주소 및 메일 애플리케이션)은 패킷을 거부하고 기록하기 위한 정책 작업에 따라 처리됩니다.
동적 주소 항목 이름은 레거시 보안 주소 항목과 동일한 이름 공간을 공유하므로 두 개 이상의 항목에 동일한 이름을 사용하지 마십시오. Junos OS 커밋 프로세스는 이름이 중복되지 않은지 확인하여 충돌을 방지합니다.
동적 주소 그룹은 다음 데이터 피드를 지원합니다.
-
사용자 정의 목록(허용 목록 및 차단 목록)
-
Geoip
피드 서버
-
피드 서버에는 피드 파일에 동적 주소 항목이 포함되어 있습니다. 로컬 또는 원격일 수 있는 사용자 지정 피드를 생성할 수 있습니다. 사용자 지정 피드 생성의 경우, 사용자 지정 피드 만들기를 참조하십시오.
-
피드를 사용하기 위한 SRX 시리즈 디바이스를 구성합니다. 디바이스 SRX 시리즈 구성하기 위한 feed-server 를 참조하십시오.
번들 피드
동적 주소 항목에 포함된 IP 주소, IP 접두사 또는 IP 범위는 외부 피드를 다운로드하여 주기적으로 업데이트할 수 있습니다. SRX 시리즈 디바이스는 주기적으로 피드 서버 연결을 시작하여 업데이트된 동적 주소를 포함하는 IP 목록을 다운로드하고 업데이트합니다.
Junos OS 릴리스 19.3R1부터 서버에서 단일 tgz 파일을 다운로드하여 여러 어린이 피드 파일로 추출할 수 있습니다. 각 개별 파일은 하나의 피드에 해당합니다. 개별 동적 주소가 번들 파일 내부의 피드를 참조하도록 합니다. 번들 파일은 너무 많은 피드가 구성되면 CPU 오버헤드를 줄이며, 여기서 여러 하위 피드를 하나의 .tgz 파일로 압축합니다.
다음 번들 피드 모드가 지원됩니다.
아카이브 모드
아카이브 모드에서 SRX 시리즈 디바이스의 모든 피드 파일을 하나의 tgz 파일로 압축해야 합니다. SRX 시리즈 디바이스는 이 파일을 다운로드하고 추출한 후 모든 피드를 추출합니다. 이 프로세스는 아래에 설명되어 있습니다.
-
피드 서버의 url이 폴더의 원본 URL 대신 접미사 .tgz 가 있는 파일 url인 경우, 즉, 이 서버는 단일 파일을 사용하여 동적 주소 구축을 SRX 시리즈 모든 피드를 전송합니다. 이 경우, 이 서버 아래의 피드는 서버의 update-interval 또는 hold-interval을 상속합니다. 이 피드에 대한 update-interval 또는 hold-interval의 모든 사용자 구성은 무시됩니다.
-
이 변경이 끝나면 아래 단계에 따라 아래 예제로 서버 피드를 유지 관리하십시오.
아래 예는 서버 피드를 유지하는 데 필요한 단계를 보여줍니다.
-
SRX 시리즈 디바이스의 모든 피드 파일을 폴더 feeds-4-srx 아래에 배치합니다.
-
모든 피드 파일 fd1 fd2 fd3.를 생성합니다. 폴더 피드의 fdN 피드-4-srx
-
피드에서 IP 범위 추가 또는 제거
-
다음 명령을 실행하여 파일에 액세스합니다.
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
4단계 이후 파일 feeds-4-srx.tgz 는 feeds-4-srx.tgz 파일을 포함하는 동일한 폴더가 포함된 SRX 시리즈 디바이스에서 다운로드할 준비가 되었습니다. 다운로드한 후 추출한 파일은 feeds-4-srx.tgz와 동일한 폴더에 배치됩니다. 다음 예는 SRX 시리즈 디바이스의 samle 구성을 보여줍니다.
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
경로 매개 변수는 번들 아카이브 내부의 피드의 상대적 경로를 필요로 합니다.
-
tar-zxf feeds-4-srx.tgz 파일이 폴더 feeds-4-srx를 생성하고 이 폴더가 피드 파일 fd1을 보유하고 있는 경우 다음 명령을 사용하여 피드를 구성합니다.
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
tar-zxf feeds-4-srx.tgz 파일이 파일 fd1을 직접 추출하면 다음 명령을 사용하여 피드를 구성합니다.
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
플랫 파일 모드
플랫 파일 모드는 기존 피드 파일 형식에서 하나의 구문 변경을 도입하여 사용자에게 최고의 단순성을 제공합니다. 모든 피드 파일의 컨텐츠는 .bundle 를 접미사로 사용해 단일 파일로 컴파일됩니다. 이를 통해 단일 파일을 관리할 수 있습니다. SRX 시리즈 디바이스는 이 번들 파일의 IP 범위를 수많은 피드 파일로 분류합니다. 전송을 위해 대역폭을 절약할 수 있다면 이 파일을 .bundle.gz로 gz 로 gzip할 수 있습니다. 앞서 정의된 파일 형식 외에도 대문자 태그 FEED: 뒤에 피드 이름이 도입됩니다. 이 태그 아래의 행은 피드에 속한 IP 범위로 간주됩니다. 파일 형식의 예는 다음과 같습니다.
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
SRX 시리즈 디바이스의 구성은 아카이브 모드와 유사하며 아래에 제공됩니다.
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
플랫 모드와 아카이브 모드의 차이점은 파일의 접미사와 파일 내 레이아웃입니다. 가장 편리한 모드를 선택할 수 있습니다.
피드 파일이 일반 텍스트 형식이기 때문에 gzip은 파일 크기를 줄일 수 있습니다. 서버와 SRX 시리즈 디바이스 사이에 WAN 링크가 있는 경우 더 작은 크기의 파일을 사용하여 네트워크에서 전송할 수 있습니다. 이 경우 번들 파일을 gzip하고 다음 명령을 구성합니다.
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
SRX 시리즈 디바이스에 대한 피드 서버 지원
| 플랫폼 |
최대 피드 서버 수 |
최대 피드 수 |
최대 동적 주소 항목 수 |
| SRX300SRX320SRX340SRX345SRX550SRX550MSRX650 |
10 |
500 |
500 |
| SRX4100SRX4200SRX4600SRX5400SRX5600 SRX5800vSRXvSRX 3.0 |
100 |
5000 |
5000 |
| SRX1500 |
40 |
2000 |
2000 |
더 보기
VXLAN에 대한 보안 정책 구성
요약 이 예제를 사용하여 EVPN(이더넷 VPN) 가상 확장형 LAN(VXLAN) 터널 검사를 위한 보안 정책을 구성합니다.
요구 사항
SRX 시리즈 디바이스에서의 VXLAN 지원은 엔터프라이즈급 방화벽을 사용하여 캠퍼스, 데이터센터, 브랜치 및 퍼블릭 클라우드 환경의 엔드 포인트를 연결하는 동시에 임베디드 보안을 제공할 수 있는 유연성을 제공합니다.
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
SRX4600 디바이스
Junos OS 릴리스 20.4R1
시작하기 전에 다음을 수행합니다.
EVPN 및 VXLAN의 작동 방식을 이해해야 합니다.
개요
EVPN 솔루션은 대기업에 캠퍼스 및 데이터센터 네트워크를 관리하는 데 사용되는 공통 프레임워크를 제공합니다. EVPN-VxLAN 아키텍처는 확장성, 단순성 및 민첩성을 통해 효율적인 레이어 2 및 레이어 3 네트워크 연결을 지원합니다. 그림 5 에는 단순화된 VXLAN 트래픽 플로우 토폴로지가 표시됩니다.
토폴로지
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security zones security-zone cloud-1 set security zones security-zone dc set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r1 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r2 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r3 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r4 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 policy-set pset1 set security tunnel-inspection vni r1 vni-range 160 to 200 set security tunnel-inspection vni r2 vni-id 155 set security tunnel-inspection vni r3 vni-range 300 to 399 set security tunnel-inspection vni r4 vni-range 100 to 120 set security tunnel-inspection vni v1 vni-range 1 to 100 set security policies from-zone dc to-zone cloud-1 policy p1 match source-address any set security policies from-zone dc to-zone cloud-1 policy p1 match destination-address any set security policies from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan set security policies from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection ins-pf1 set security policies from-zone cloud-1 to-zone dc policy p1 match source-address any set security policies from-zone cloud-1 to-zone dc policy p1 match destination-address any set security policies from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan set security policies from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1 set security policies policy-set pset1 policy pset_p1 match source-address any set security policies policy-set pset1 policy pset_p1 match destination-address any set security policies policy-set pset1 policy pset_p1 match application any set security policies policy-set pset1 policy pset_p1 then permit set security policies default-policy deny-all
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
VXLAN 구성 방법:
보안 영역을 정의합니다.
[edit security zones] user@host# set security-zone cloud-1 user@host# set zones security-zone dc
터널 검사 프로필을 정의합니다.
[edit security tunnel-inspection] user@host# set inspection-profile ins-pf1 vxlan vx1 vni r1 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r2 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r3 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r4 user@host# set inspection-profile ins-pf1 vxlan vx1 policy-set pset1 user@host# set vni r1 vni-range 160 to 200 user@host# set vni r2 vni-id 155 user@host# set vni r3 vni-range 300 to 399 user@host# set vni r4 vni-range 100 to 120 user@host# set vni v1 vni-range 1 to 100
외부 세션 정책을 정의합니다.
[edit security policies] user@host# set from-zone dc to-zone cloud-1 policy p1 match source-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match destination-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan user@host# set from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection profile-1 user@host# set from-zone cloud-1 to-zone dc policy p1 match source-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match destination-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan user@host# set from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1
정책 세트를 정의합니다.
[edit security policies] user@host# set policy-set pset1 policy pset_p1 match source-address any user@host# set policy-set pset1 policy pset_p1 destination-address any user@host# set policy-set pset1 policy pset_p1 match application any user@host# set policy-set pset1 policy pset_p1 then permit user@host# set default-policy deny-all
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security policies . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show security policies
from-zone dc to-zone cloud-1 {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
from-zone cloud-1 to-zone dc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
디바이스에서 기능 구성이 완료되면 구성 모드에서 을(를) 입력 commit 합니다.
확인
터널 검사 프로파일 및 VNI 확인
목적
터널 inpection profile 및 VNI가 구성되었는지 확인합니다..
작업
운영 모드에서 및 show security tunnel-inspection vnis 명령을 입력 show security tunnel-inspection profiles ins-pf1 합니다.
user@host> show security tunnel-inspection profiles ins-pf1
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ins-pf1
Type: VXLAN
Vxlan count: 1
Vxlan name: vx1
VNI count: 4
VNI:r1, r2, r3, r4
Policy set: pset1
Inspection level: 1
user@host> show security tunnel-inspection vnis
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 5
VNI name: r1
VNI id count: 1
[160 - 200]
VNI name: r2
VNI id count: 1
[155 - 155]
VNI name: r3
VNI id count: 1
[300 - 399]
VNI name: r4
VNI id count: 1
[100 - 120]
VNI name: v1
VNI id count: 1
[1 - 100]
의미
출력은 VXLAN 기능이 활성화되어 있으며 안전한 검색 리디렉션 및 안전한 검색 재작성이 없음을 표시합니다.
안전 검색 기능 확인
목적
UTM 웹 필터링 솔루션에 대한 안전한 검색 기능이 활성화되어 있는지 확인합니다.
작업
운영 모드에서 명령을 입력 Show security flow tunnel-inspection statistic 하여 터널 검사 통계를 확인합니다.
user@host> show security flow tunnel-inspection statistics
node0:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 349717
input bytes: 363418345
output packets: 348701
output bytes: 363226339
bypass packets: 501
bypass bytes: 50890
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 194151
input bytes: 200171306
output packets: 193221
output bytes: 199987258
bypass packets: 617
bypass bytes: 92902
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 216486
input bytes: 222875066
output packets: 213827
output bytes: 222460378
bypass packets: 2038
bypass bytes: 270480
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 760354
input bytes: 786464717
output packets: 755749
output bytes: 785673975
bypass packets: 3156
bypass bytes: 414272
node1:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
의미
출력은 VXLAN 기능이 활성화되어 있으며 안전한 검색 리디렉션 및 안전한 검색 재작성이 없음을 표시합니다.
Geneve 패킷 플로우 터널 검사를 위한 보안 정책 활성화
요약 이 구성을 사용하여 Geneve 패킷 플로우 터널 검사를 위한 vSRX 3.0의 보안 정책을 활성화합니다.
vSRX 3.0 인스턴스에서 Geneve 지원을 통해 vSRX3.0을 다음과 같이 사용할 수 있습니다.
-
캠퍼스, 데이터센터, 퍼블릭 클라우드 환경과 이들의 밴치에 엔드포인트를 연결합니다.
-
이러한 환경을 임베디드 보안으로 보호하십시오.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
-
vSRX 3.0
-
Junos OS 릴리스 23.1R1
시작하기 전에 다음을 수행합니다.
-
Geneve 프로토콜이 어떻게 작동하는지 이해해야 합니다.
개요
이 구성을 사용하면 다음과 같은 작업을 할 수 있습니다.
-
보안 정책을 사용하여 Geneve 터널 캡슐화된 L3 패킷을 처리할 수 있습니다.
-
검사 프로파일과 함께 연결되면 처리해야 하는 Geneve 트래픽 유형과 내부 트래픽에 정책을 적용할 VNI 및 벤더 TLV 속성 정책을 기반으로 Geneve 트래픽에 대한 고유한 프로필을 생성합니다.
-
내부 트래픽에 L4 및 L7 서비스를 적용하도록 vSRX 3.0에서 정규 보안 정책을 구성합니다.
구성(vSRX 3.0을 터널 엔드포인트로)
- Simplified AWS GWLB를 사용하며 vSRX 3.0을 터널 엔드포인트로 사용하여 제네브 트래픽 플로우 토폴로지
- CLI 빠른 구성
- 절차
- 결과
- 터널 검사 프로파일 및 VNI 확인
- 터널 검사 프로파일 및 VNI 확인
Simplified AWS GWLB를 사용하며 vSRX 3.0을 터널 엔드포인트로 사용하여 제네브 트래픽 플로우 토폴로지
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security zones security-zone vtepcset security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendorset security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendorset security tunnel-inspection vni vni-vendor vni-id 0set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneveset security policies from-zone vtepc to-zone junos-host policy self match source-address anyset security policies from-zone vtepc to-zone junos-host policy self match destination-address anyset security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set ps-vendor policy self match source-address anyset security policies policy-set ps-vendor policy self match destination-address anyset security policies policy-set ps-vendor policy self match application anyset security policies policy-set ps-vendor policy self then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
vSRX 3.0에서 터널 검사를 위한 제네브 플로우 지원을 구성하려면 다음을 수행합니다.
-
보안 영역을 정의합니다.
[edit security zones] user@host# set security zones security-zone vtepc
-
프로필을 정의합니다
tunnel-inspection.[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
외부 패킷에 대한 외부 세션 정책을 정의하고 참조된 터널 검사 프로파일을 연결합니다.
참고:정책 구성
to-zone에서 터널 엔드포인트로 vSRX 3.0의 경우 외부 정책의 경우 은(는) 트래픽을 처리하기 위해 내장된(예약된 식별자) 영역이어야 합니다junos-host.[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
캡슐화되지 않은 패킷을 처리하기 위해 아래에서
policy-set내부 정책을 정의합니다.[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
가상 터널 엔드포인트 클라이언트(VTEPC)와
from-zone연결된 인터페이스를 구성하여 Geneve-encapsulated 패킷과 상태 확인 패킷을 수신합니다.[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
결과
구성 모드에서 명령을 입력하여 구성을 show security policies 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
from-zone vtepc to-zone junos-host {
policy self {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set ps-vendor {
policy self {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
vni v1 {
vni-id 0;
}
vni vni-vendor {
vni-id 0;
}
디바이스에서 기능을 완전히 구성한 후 구성 모드에서 을(를) 입력 commit 합니다.
터널 검사 프로파일 및 VNI 확인
목적
프로필 및 VXLAN 네트워크 식별자(VNI)를 구성 tunnel-inspection 했는지 확인합니다.
작업
운영 모드에서 및 show security tunnel-inspection vnis 명령을 입력 show security tunnel-inspection profiles ti-vendor 합니다.
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
의미
출력은 Geneve 터널 검사 프로파일이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성됨을 표시합니다.
터널 검사 프로파일 및 VNI 확인
목적
프로필 및 VXLAN 네트워크 식별자(VNI)를 구성 tunnel-inspection 했는지 확인합니다.
작업
운영 모드에서 및 show security tunnel-inspection vnis 명령을 입력 show security tunnel-inspection profiles ti-vendor 합니다.
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
의미
출력은 Geneve 터널 검사 프로파일이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성됨을 표시합니다.
구성(vSRX 3.0을 전송 라우터로)
Simplified Geneve 트래픽 플로우 토폴로지 vSRX 3.0을 전송 라우터로
이 구축 모드에서 가상 터널 엔드포인트 클라이언트(vtepc)(Geneve 터널 엔드포인트)는 클라이언트와 서버 모두에 전달되는 패킷이 가상 터널 엔드포인트 서버(vteps)(vSRX 3.0)를 통과하도록 해야 합니다. 소스 포트는 가상 터널 엔드포인트(vtep)에 의해 선택됩니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security zones security-zone vtepcset security tunnel-inspection vni r1 vni-range 1 to 100set security tunnel-inspection vni r1 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1set security tunnel-inspection vni r2 vni-range 200 to 400set security tunnel-inspection vni r2 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneveset security policies from-zone vtepc to-zone vteps policy p1 match source-address anyset security policies from-zone vtepc to-zone vteps policy p1 match destination-address anyset security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendorset security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneveset security policies from-zone vteps to-zone vtepc policy p1 match source-address anyset security policies from-zone vteps to-zone vtepc policy p1 match destination-address anyset security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set pset1 policy pset_p1 match source-address anyset security policies policy-set pset1 policy pset_p1 match destination-address anyset security policies policy-set pset1 policy pset_p1 match application anyset security policies policy-set pset1 policy pset_p1 then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
vSRX 3.0(전송 라우터로 vSRX 3.0)에서 터널 검사를 위한 제네브 플로우 지원을 구성하려면:
-
보안 영역을 정의합니다.
[edit security zones] user@host# set security zones security-zone vtepc
-
프로필을 정의합니다
tunnel-inspection.[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
외부 세션 정책을 정의합니다.
참고:vSRX 3.0을 전송 라우터로 사용하려면 각 방향에 두 개의 정책이 필요합니다. 및
to-zone은from-zone(는) 인터페이스 아래에 정의해야 하는 각 영역입니다.[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
캡슐화되지 않은 패킷을 처리하기 위해 아래에서
policy-set내부 정책을 정의합니다.[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
가상 터널 엔드포인트 클라이언트(VTEPC)와
from-zone연결된 인터페이스를 구성하여 Geneve-encapsulated 패킷과 상태 확인 패킷을 수신합니다.참고:전송 모드의 경우, vSRX 3.0은 수신 및 송신을 위해 두 개의 L3 인터페이스로 구성되어야 합니다.
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
결과
구성 모드에서 명령을 입력하여 구성을 show security policies 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
}
from-zone vtepc to-zone vteps {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
from-zone vteps to-zone vtepc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
inspection-profile pro1;
vni r1 {
vni-id 500;
}
vni r2 {
vni-id 500;
}
}
디바이스에서 기능을 완전히 구성한 후 구성 모드에서 을(를) 입력 commit 합니다.