Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 존(Security Zones)

보안 영역은 정책을 통해 인바운드 및 아웃바운드 트래픽을 규제해야 하는 하나 이상의 네트워크 세그먼트의 집합입니다. 보안 영역은 하나 이상의 인터페이스가 바인딩된 논리적 엔터티입니다. 여러 보안 영역을 정의할 수 있으며, 정확한 개수는 네트워크 요구 사항에 따라 결정됩니다.

보안 영역 개요

인터페이스는 트래픽이 주니퍼 네트웍스 디바이스로 들어오고 나가는 출입구 역할을 합니다. 많은 인터페이스가 정확히 동일한 보안 요구 사항을 공유할 수 있습니다. 그러나 인터페이스마다 인바운드 및 아웃바운드 데이터 패킷에 대한 보안 요구 사항이 다를 수도 있습니다. 보안 요구 사항이 동일한 인터페이스는 단일 보안 영역으로 그룹화할 수 있습니다.

보안 영역은 정책을 통해 인바운드 및 아웃바운드 트래픽을 규제해야 하는 하나 이상의 네트워크 세그먼트의 집합입니다.

보안 영역은 하나 이상의 인터페이스가 바인딩된 논리적 엔터티입니다. 다양한 유형의 주니퍼 네트웍스 디바이스를 사용하여 여러 보안 영역을 정의할 수 있으며, 정확한 개수는 네트워크 요구 사항에 따라 결정됩니다.

단일 디바이스에서 네트워크를 세그먼트로 나누어 여러 보안 영역을 구성할 수 있으며, 각 세그먼트의 요구 사항을 충족하기 위해 다양한 보안 옵션을 적용할 수 있습니다. 기본적으로 네트워크의 한 영역을 다른 영역으로부터 보호하기 위해 최소한 두 개의 보안 영역을 정의해야 합니다. 일부 보안 플랫폼에서는 여러 보안 어플라이언스를 구축하지 않고도 많은 보안 영역을 정의하여 네트워크 보안 설계를 보다 세밀하게 만들 수 있습니다.

보안 정책의 관점에서 트래픽은 하나의 보안 영역으로 들어가고 다른 보안 영역으로 나갑니다. 이러한 a from-zone 와 a to-zone 의 조합은 컨텍스트로 정의됩니다. 각 컨텍스트에는 정렬된 정책 목록이 포함되어 있습니다. 정책에 대한 자세한 내용은 보안 정책 개요를 참조하십시오.

이 주제는 다음 섹션을 포함합니다.

보안 영역 인터페이스 이해

보안 영역의 인터페이스는 TCP/IP 트래픽이 해당 영역과 다른 영역 사이를 통과할 수 있는 출입구로 생각할 수 있습니다.

정의한 정책을 통해 영역 간 트래픽이 한 방향 또는 두 방향 모두로 흐르도록 허용할 수 있습니다. 정의한 경로를 사용하여 한 영역에서 다른 영역으로 트래픽이 사용해야 하는 인터페이스를 지정합니다. 여러 인터페이스를 한 영역에 바인딩할 수 있기 때문에 차트로 만드는 경로는 선택한 인터페이스로 트래픽을 전달하는 데 중요합니다.

인터페이스는 IPv4 주소, IPv6 주소 또는 둘 다로 구성할 수 있습니다.

기능 영역 이해

기능 영역은 관리 인터페이스와 같은 특별한 용도로 사용됩니다. 현재 관리(MGT) 영역만 지원됩니다. 관리 영역에는 다음과 같은 속성이 있습니다.

  • 관리 영역: 호스트 관리 인터페이스.

  • 관리 영역으로 들어오는 트래픽은 정책과 일치하지 않습니다. 따라서 트래픽이 관리 인터페이스에서 수신된 경우 다른 인터페이스 외부로 전송할 수 없습니다.

  • 관리 영역은 전용 관리 인터페이스에만 사용할 수 있습니다.

보안 영역 이해

보안 영역은 정책의 빌딩 블록입니다. 이러한 엔터티는 하나 이상의 인터페이스가 바인딩되는 논리적 엔터티입니다. 보안 영역은 호스트 그룹(사용자 시스템 및 서버와 같은 기타 호스트)과 해당 리소스를 서로 구별하여 서로 다른 보안 조치를 적용할 수 있는 수단을 제공합니다.

보안 영역에는 다음과 같은 속성이 있습니다.

  • Policies(정책) - 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용하는 활성 보안 정책입니다. 자세한 내용은 보안 정책 개요를 참조하십시오.

  • 화면 - 주니퍼 네트웍스 스테이트풀 방화벽은 하나의 보안 영역에서 다른 보안 영역으로 통과해야 하는 모든 연결 시도를 검사한 다음 허용하거나 거부하여 네트워크를 보호합니다. 모든 보안 영역에 대해 디바이스가 잠재적으로 유해하다고 판단하는 다양한 종류의 트래픽을 감지하고 차단하는 사전 정의된 화면 옵션 세트를 활성화할 수 있습니다. 자세한 내용은 정찰 억제 개요를 참조하십시오.

  • 주소록 - 구성원을 식별하여 정책을 적용할 수 있도록 주소록을 구성하는 IP 주소 및 주소 집합입니다. 주소록 항목에는 IPv4 주소, IPv6 주소 및 DNS(Domain Name System) 이름의 조합이 포함될 수 있습니다. 자세한 내용은 예: 주소록 및 주소 집합 구성을 참조하십시오.

  • TCP-RST—이 기능이 활성화되면 시스템은 기존 세션과 일치하지 않고 SYNchronize 플래그가 설정되지 않은 트래픽이 도착할 때 RESET 플래그가 설정된 TCP 세그먼트를 전송합니다.

  • Interfaces(인터페이스) - 영역의 인터페이스 목록입니다.

보안 영역에는 다음과 같은 사전 구성된 영역이 있습니다.

  • 트러스트 존—공장 구성에서만 사용할 수 있으며 디바이스의 초기 연결에 사용됩니다. 구성을 커밋한 후 신뢰 영역을 재정의할 수 있습니다.

예: 보안 영역 생성

이 예에서는 영역을 구성하고 인터페이스를 할당하는 방법을 보여 줍니다. 보안 영역을 구성할 때 많은 매개 변수를 동시에 지정할 수 있습니다.

요구 사항

시작하기 전에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.

개요

보안 영역의 인터페이스는 TCP/IP 트래픽이 해당 영역과 다른 영역 사이를 통과할 수 있는 출입구로 생각할 수 있습니다.

메모:

기본적으로 인터페이스는 null 영역에 있습니다. 인터페이스는 영역에 할당될 때까지 트래픽을 전달하지 않습니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

영역을 생성하고 인터페이스를 할당하는 방법:

  1. 이더넷 인터페이스를 구성하고 IPv4 주소를 할당합니다.

  2. 이더넷 인터페이스를 구성하고 IPv6 주소를 할당합니다.

  3. 보안 영역을 구성하고 이더넷 인터페이스에 할당합니다.

결과

구성 모드에서 및 show interfaces ge-0/0/1 명령을 입력하여 show security zones security-zone ABC 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

간결성을 위해 이 show 출력은 이 예와 관련된 구성만 포함합니다. 시스템의 다른 구성은 생략 부호(...)로 대체되었습니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

로그를 통한 문제 해결

목적

이러한 로그를 사용하여 문제를 식별합니다.

행동

운영 모드에서 명령과 show log dcd 명령을 입력합니다show log messages.

호스트 인바운드 트래픽에 대해 지원되는 시스템 서비스

이 항목에서는 지정된 영역 또는 인터페이스의 호스트 인바운드 트래픽에 대해 지원되는 시스템 서비스에 대해 설명합니다.

예를 들어, 시스템이 영역 ABC 의 인터페이스 에 연결된 사용자가 영역ABC의 인터페이스 203.0.113.4 198.51.100.4 에 텔넷하기를 원한다고 가정합니다. 이 작업을 허용하려면 텔넷 응용 프로그램이 두 인터페이스 모두에서 허용되는 인바운드 서비스로 구성되어야 하며 정책에서 트래픽 전송을 허용해야 합니다.

호스트 인바운드 트래픽에 사용할 수 있는 시스템 서비스를 보려면 system-services(보안 영역 호스트 인바운드 트래픽)옵션 섹션을 참조하십시오.

메모:

xnm-clear-text 필드는 공장 기본 구성에서 활성화됩니다. 이 설정은 디바이스가 공장 기본 설정으로 작동할 때 디바이스의 트러스트 존에서 들어오는 Junos XML 프로토콜 트래픽을 활성화합니다. 기본 설정을 박스가 구성되면 추가 보안을 제공하는 사용자 정의 구성으로 교체하는 것이 좋습니다. CLI 명령을 delete system services xnm-clear-text사용하여 필드를 수동으로 삭제 xnm-clear-text 해야 합니다.

호스트 인바운드 트래픽에 사용할 수 있는 지원되는 프로토콜을 보려면 프로토콜(보안 영역 인터페이스)옵션 섹션을 참조하십시오.

메모:

모든 서비스(DHCP 및 BOOTP 제외)는 영역 또는 인터페이스별로 구성할 수 있습니다. DHCP 응답을 보낼 수 있으려면 서버에서 수신 인터페이스를 알고 있어야 하기 때문에 DHCP 서버는 인터페이스 별로만 구성됩니다.

메모:

NDP가 기본적으로 활성화되어 있기 때문에 호스트 인바운드 트래픽에서 NDP(Neighbor Discovery Protocol)를 구성할 필요가 없습니다.

IPv6 NDP(Neighbor Discovery Protocol)에 대한 구성 옵션을 사용할 수 있습니다. 구성 옵션은 명령입니다 set protocol neighbor-discovery onlink-subnet-only . 이 옵션은 디바이스가 디바이스 인터페이스 접두사 중 하나로 포함되지 않은 접두사의 NS(Neighbor Solicitation)에 응답하지 않도록 합니다.

메모:

이전 IPv6 항목이 포워딩 테이블에 남아 있을 가능성을 제거하기 위해 이 옵션을 설정한 후 라우팅 엔진을 재부팅해야 합니다.

트래픽 유형에 따라 인바운드 트래픽을 제어하는 방법 이해

이 항목에서는 인터페이스에 직접 연결된 시스템에서 디바이스에 도달할 수 있는 트래픽 종류를 지정하도록 영역을 구성하는 방법에 대해 설명합니다.

다음 사항에 유의하세요.

  • 이러한 매개 변수는 영역 수준(이 경우 영역의 모든 인터페이스에 영향을 미침) 또는 인터페이스 수준에서 구성할 수 있습니다. (인터페이스 구성은 영역의 구성보다 우선합니다.)

  • 예상되는 모든 호스트 인바운드 트래픽을 사용하도록 설정해야 합니다. 이 디바이스로 향하는 인바운드 트래픽은 기본적으로 삭제됩니다.

  • 동적 라우팅 프로토콜에서 사용할 수 있도록 영역의 인터페이스를 구성할 수도 있습니다.

이 기능을 사용하면 인터페이스에 직접 또는 간접적으로 연결된 시스템에서 시작된 공격으로부터 장치를 보호할 수 있습니다. 또한 관리자가 특정 인터페이스에서 특정 애플리케이션을 사용하여 디바이스를 관리할 수 있도록 디바이스를 선택적으로 구성할 수 있습니다. 영역의 동일하거나 다른 인터페이스에서 다른 응용 프로그램의 사용을 금지할 수 있습니다. 예를 들어, 외부인이 시스템에 연결하는 것을 원하지 않기 때문에 외부인이 인터넷에서 Telnet 응용 프로그램을 사용하여 장치에 로그인하지 못하도록 할 수 있습니다.

예: 트래픽 유형에 따라 인바운드 트래픽 제어

이 예는 트래픽 유형에 따라 인바운드 트래픽을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

개요

시스템 서비스 실행을 허용함으로써 인터페이스에 직접 연결된 시스템에서 디바이스에 도달할 수 있는 다양한 유형의 트래픽을 지정하도록 영역을 구성할 수 있습니다. 영역 수준에서 다른 시스템 서비스를 구성할 수 있으며, 이 경우 영역의 모든 인터페이스에 영향을 미치거나 인터페이스 수준에서 영향을 미칩니다. (인터페이스 구성은 영역의 구성보다 우선합니다.)

예상되는 모든 호스트 인바운드 트래픽을 사용하도록 설정해야 합니다. 디바이스의 인터페이스에 직접 연결된 디바이스의 인바운드 트래픽은 기본적으로 삭제됩니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

트래픽 유형에 따라 인바운드 트래픽 구성 방법:

  1. 보안 영역을 구성합니다.

  2. 모든 시스템 서비스에 대한 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.

  3. 첫 번째 인터페이스의 인터페이스 수준(영역 수준이 아님)에서 Telnet, FTP 및 SNMP 시스템 서비스를 구성합니다.

  4. 두 번째 인터페이스의 모든 시스템 서비스에 대한 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.

  5. 두 번째 인터페이스에서 FTP 및 HTTP 시스템 서비스를 제외합니다.

결과

구성 모드에서 을(를 show security zones security-zone ABC) 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

로그를 통한 문제 해결

목적

이러한 로그를 사용하여 문제를 식별합니다.

행동

운영 모드에서 명령과 show log dcd 명령을 입력합니다show log messages.

프로토콜을 기반으로 인바운드 트래픽을 제어하는 방법 이해

이 항목에서는 지정된 영역 또는 인터페이스의 인바운드 시스템 프로토콜에 대해 설명합니다.

host-inbound 트래픽 옵션 아래에 나열된 프로토콜에 해당하는 모든 host-inbound 트래픽이 허용됩니다. 예를 들어, 구성의 아무 곳에서나 프로토콜을 기본값이 아닌 포트 번호로 매핑하는 경우 host-inbound 트래픽 옵션에서 프로토콜을 지정할 수 있으며 새 포트 번호가 사용됩니다. 표 1 에는 지원되는 프로토콜이 나열되어 있습니다. 의 all 값은 다음 모든 프로토콜의 트래픽이 지정된 인터페이스(영역 또는 지정된 단일 인터페이스)에서 인바운드가 허용됨을 나타냅니다.

표 1: 지원되는 인바운드 시스템 프로토콜

지원되는 시스템 서비스

모두

IGMP (영문)

수액

BFD (BFD)

LDP

찢다

VRRP (VRRP)

BGP(Border Gateway Protocol)

증권 시세 표시기

찢어짐

국가안보연구원(NHRP)

라우터 검색

DVMRP입니다

최단 경로 우선(OSPF)

RSVP

증권 시세 표시기

최단 경로 우선(OSPF)3

   
메모:

인터페이스에 대해 DVMRP 또는 PIM이 활성화된 경우 IGMP 및 MLD 호스트 인바운드 트래픽이 자동으로 활성화됩니다. IS-IS는 OSI 주소 지정을 사용하며 IP 트래픽을 생성해서는 안 되기 때문에 IS-IS(Intermediate System to Intermediate System) 프로토콜에 대한 host-inbound 트래픽 옵션은 없습니다.

메모:

NDP가 기본적으로 활성화되어 있기 때문에 호스트 인바운드 트래픽에서 NDP(Neighbor Discovery Protocol)를 구성할 필요가 없습니다.

IPv6 NDP(Neighbor Discovery Protocol)에 대한 구성 옵션을 사용할 수 있습니다. 구성 옵션은 명령입니다 set protocol neighbor-discovery onlink-subnet-only . 이 옵션은 디바이스가 디바이스 인터페이스 접두사 중 하나로 포함되지 않은 접두사의 NS(Neighbor Solicitation)에 응답하지 않도록 합니다.

메모:

포워딩 테이블에 남아 있는 이전 IPv6 항목의 가능성을 제거하기 위해 이 옵션을 설정한 후 라우팅 엔진을 재부팅해야 합니다.

예: 프로토콜 기반 인바운드 트래픽 제어

이 예는 인터페이스에 대한 인바운드 트래픽을 활성화하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

개요

host-inbound 트래픽 옵션 아래에 나열된 프로토콜에 해당하는 모든 host-inbound 트래픽이 허용됩니다. 예를 들어, 구성의 아무 곳에서나 프로토콜을 기본값이 아닌 포트 번호로 매핑하는 경우 host-inbound 트래픽 옵션에서 프로토콜을 지정할 수 있으며 새 포트 번호가 사용됩니다.

all 값은 모든 프로토콜의 트래픽이 지정된 인터페이스(영역 또는 지정된 단일 인터페이스)에서 인바운드가 허용됨을 나타냅니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

프로토콜에 따라 인바운드 트래픽 구성 방법:

  1. 보안 영역을 구성합니다.

  2. 인터페이스에 대한 OSPF 프로토콜을 기반으로 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.

  3. 인터페이스에 대한 ospf3 프로토콜을 기반으로 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.

결과

구성 모드에서 을(를 show security zones security-zone ABC) 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

로그를 통한 문제 해결

목적

이러한 로그를 사용하여 문제를 식별합니다.

행동

운영 모드에서 명령과 show log dcd 명령을 입력합니다show log messages.

예: TCP-Reset 매개 변수 구성

이 예에서는 영역에 대해 TCP-Reset 매개 변수를 구성하는 방법을 보여 줍니다.

요구 사항

시작하기 전에 보안 영역을 구성합니다. 예: 보안 영역 생성을 참조하십시오.

개요

TCP-Reset 매개 변수 기능이 활성화된 경우, 시스템은 기존 세션과 일치하지 않고 SYN 플래그가 설정되지 않은 트래픽이 도착할 때 RESET 플래그가 설정된 TCP 세그먼트를 전송합니다.

구성

절차

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

영역에 대해 TCP-Reset 매개 변수를 구성하려면 다음을 수행합니다.

  1. 보안 영역을 구성합니다.

  2. 영역에 대한 TCP-Reset 매개 변수를 구성합니다.

  3. 디바이스 구성을 완료하면 해당 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security zones .

플랫폼별 보안 영역 생성 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토할 수 있습니다.

플랫폼

다름

SRX 시리즈

  • SRX3400, SRX3600, SRX4600, SRX4700, SRX5400, SRX5600 또는 SRX5800 디바이스에서 설치 시 Junos OS 릴리스에 따라 보안 영역 내에 2000개의 인터페이스를 구성할 수 있습니다.