보안 존(Security Zones)
보안 존은 정책을 통해 인바운드 및 아웃바운드 트래픽을 규제해야 하는 하나 이상의 네트워크 세그먼트로 구성된 집합입니다. 보안 존은 하나 이상의 인터페이스가 바인딩된 논리적 엔티티입니다. 여러 보안 존( 네트워크 요구 사항에 따라 결정되는 정확한 개수)을 정의할 수 있습니다.
보안 존 개요
인터페이스는 트래픽이 주니퍼 네트웍스 디바이스로 들어오고 나가는 출입구 역할을 합니다. 많은 인터페이스가 동일한 보안 요구 사항을 공유할 수 있습니다. 그러나 인터페이스에 따라 인바운드 및 아웃바운드 데이터 패킷에 대한 보안 요구 사항도 다를 수 있습니다. 동일한 보안 요구 사항을 가진 인터페이스를 단일 보안 존으로 그룹화할 수 있습니다.
보안 존은 정책을 통해 인바운드 및 아웃바운드 트래픽을 규제해야 하는 하나 이상의 네트워크 세그먼트로 구성된 집합입니다.
보안 존은 하나 이상의 인터페이스가 바인딩된 논리적 엔티티입니다. 다양한 유형의 주니퍼 네트웍스 디바이스에서 네트워크 요구 사항에 따라 결정하는 정확한 수인 여러 보안 존을 정의할 수 있습니다.
단일 디바이스에서 여러 보안 존을 구성하여 네트워크를 세그먼트로 분할하여 각 세그먼트의 요구를 충족하기 위해 다양한 보안 옵션을 적용할 수 있습니다. 기본적으로 네트워크의 한 영역을 다른 영역으로부터 보호하려면 최소한 두 개의 보안 존을 정의해야 합니다. 일부 보안 플랫폼에서는 여러 보안 존을 정의하여 네트워크 보안 설계를 보다 세부적으로 정의할 수 있으며, 이를 위해 여러 보안 어플라이언스를 구축하지 않아도 됩니다.
보안 정책의 관점에서 트래픽은 한 보안 존으로 들어가고 다른 보안 존으로 이동합니다. 이러한 A와 A from-zone to-zone 의 조합은 컨텍스트로 정의됩니다. 각 컨텍스트에는 주문된 정책 목록이 포함되어 있습니다. 정책에 대한 자세한 내용은 보안 정책 개요를 참조하십시오.
이 항목에는 다음 섹션이 포함됩니다.
보안 존 인터페이스 이해
보안 존의 인터페이스는 TCP/IP 트래픽이 해당 존과 다른 존 사이를 통과할 수 있는 출입구로 간주할 수 있습니다.
사용자가 정의하는 정책을 통해 존 간의 트래픽이 한 방향 또는 두 방향 모두에서 흐르도록 허용할 수 있습니다. 정의한 경로에서 한 존에서 다른 존으로 트래픽이 사용해야 하는 인터페이스를 지정합니다. 여러 인터페이스를 존에 연결할 수 있기 때문에 차트에 있는 경로는 사용자가 선택한 인터페이스로 트래픽을 지정하는 데 중요합니다.
IPv4 주소, IPv6 주소 또는 둘 다로 인터페이스를 구성할 수 있습니다.
기능 영역 이해
기능 존은 관리 인터페이스와 같은 특별한 목적으로 사용됩니다. 현재는 관리(MGT) 존만 지원됩니다. 관리 존에는 다음과 같은 속성이 있습니다.
관리 존 호스트 관리 인터페이스.
관리 존으로 들어오는 트래픽은 정책과 일치하지 않습니다. 따라서 트래픽이 관리 인터페이스에서 수신된 경우 다른 인터페이스에서 전송될 수 없습니다.
관리 존은 전용 관리 인터페이스에만 사용할 수 있습니다.
보안 존 이해
보안 존은 정책의 구성 요소입니다. 둘 이상의 인터페이스가 연결되는 논리적 엔티티입니다. 보안 존은 서로 다른 보안 조치를 적용하기 위해 호스트 그룹(사용자 시스템 및 서버와 같은 다른 호스트) 및 리소스를 서로 구별하는 수단을 제공합니다.
보안 존에는 다음과 같은 속성이 있습니다.
정책—방화벽을 통과할 수 있는 트래픽 및 방화벽을 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 적용하는 활성 보안 정책입니다. 자세한 내용은 보안 정책 개요를 참조하십시오.
스크린—주니퍼 네트웍스 스테이트풀 방화벽은 한 보안 존에서 다른 영역으로의 통과가 필요한 모든 연결 시도를 검사한 다음 허용 또는 거부함으로써 네트워크를 보호합니다. 모든 보안 존에 대해 디바이스가 잠재적으로 유해하다고 판단하는 다양한 유형의 트래픽을 감지하고 차단하는 사전 정의된 스크린 옵션 세트를 활성화할 수 있습니다. 자세한 내용은 정찰 억제 개요를 참조하십시오.
주소록—정책을 적용할 수 있도록 회원을 식별하기 위해 주소록을 구성하는 IP 주소 및 주소 집합입니다. 주소록 항목에는 IPv4 주소, IPv6 주소 및 DNS(Domain Name System) 이름의 조합이 포함될 수 있습니다. 자세한 내용은 예제: 주소록 및 주소 집합 구성을 참조하십시오.
TCP-RST—이 기능이 활성화되면 기존 세션과 일치하지 않고 SYNchronize 플래그 세트가 없는 트래픽이 도착하면 RESET 플래그가 설정된 TCP 세그먼트를 보냅니다.
인터페이스—존 내 인터페이스 목록.
보안 존에는 다음과 같은 사전 구성된 존이 있습니다.
트러스트 존—공장 구성에서만 사용 가능하며 장치에 대한 초기 연결에 사용됩니다. 구성을 커밋한 후 트러스트 존을 재정의할 수 있습니다.
예: 보안 존 생성
이 예에서는 존을 구성하고 인터페이스를 할당하는 방법을 보여줍니다. 보안 존을 구성할 때 많은 매개 변수를 동시에 지정할 수 있습니다.
요구 사항
시작하기 전에 네트워크 인터페이스를 구성하십시오. 보안 장비에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
보안 존의 인터페이스는 TCP/IP 트래픽이 해당 존과 다른 존 사이를 통과할 수 있는 출입구로 간주할 수 있습니다.
기본적으로 인터페이스는 null 존에 있습니다. 인터페이스는 존에 할당될 때까지 트래픽을 전달하지 않습니다.
설치 중인 Junos OS 릴리스에 따라 SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 또는 SRX5800 디바이스의 보안 존 내에서 2000개의 인터페이스를 구성할 수 있습니다.
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드 의 Configuration Mode에서 CLI Editor를 사용하는 것을 참조하십시오.
존을 생성하고 이들에 인터페이스를 할당하려면 다음을 수행합니다.
이더넷 인터페이스를 구성하고 IPv4 주소를 할당합니다.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
이더넷 인터페이스를 구성하고 IPv6 주소를 할당합니다.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
보안 존을 구성하고 이더넷 인터페이스에 할당합니다.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
결과
구성 모드에서 명령과 show interfaces ge-0/0/1 명령을 입력하여 구성을 show security zones security-zone ABC 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
간결하게, 이 show 출력에는 이 예제와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성이 타원(...)으로 대체되었습니다.
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
호스트 인바운드 트래픽을 위한 지원되는 시스템 서비스
이 항목에서는 지정된 존 또는 인터페이스의 호스트 인바운드 트래픽에 대한 지원되는 시스템 서비스에 대해 설명합니다.
예를 들어, 존의 인터페이스에 시스템이 연결된 사용자가 존 ABC 의 인터페이스 ABC203.0.113.4 198.51.100.4 로 텔넷을 연결하기를 원했다고 가정해 보겠습니다. 이러한 조치가 허용되기 위해서는 Telnet 애플리케이션을 인터페이스 모두에서 허용된 인바운드 서비스로 구성해야 하며 정책은 트래픽 전송을 허용해야 합니다.
시스템 서비스의 옵션 섹션 (Security Zones Host Inbound Traffic) 을 참조하여 호스트 인바운드 트래픽에 사용할 수 있는 시스템 서비스를 확인하십시오.
SRX 시리즈 서비스 게이트웨이에서 xnm-clear-text 현장은 기본 설정 구성에서 활성화됩니다. 이 설정은 디바이스가 초기 설정값으로 작동할 때 디바이스의 트러스트 존에서 들어오는 Junos XML 프로토콜 트래픽을 지원합니다. 기본 설정값을 박스가 구성되면 추가 보안을 제공하는 사용자 정의 구성으로 교체하는 것이 좋습니다. CLI 명령을 delete system services xnm-clear-text사용하여 필드를 수동으로 삭제 xnm-clear-text 해야 합니다.
호스트 인바운드 트래픽에 사용할 수 있는 지원되는 프로토콜을 보려면 프로토콜(Security Zones Interfaces)의 옵션 섹션을 참조하십시오.
존 또는 인터페이스별로 모든 서비스(DHCP 및 BOOTP 제외)를 구성할 수 있습니다. DHCP 회신을 보낼 수 있도록 수신 인터페이스를 서버가 알려야 하기 때문에 DHCP 서버는 인터페이스별로만 구성됩니다.
NDP는 기본적으로 활성화되므로 호스트 인바운드 트래픽에 NDP(Neighbor Discovery Protocol)를 구성할 필요가 없습니다.
IPv6 NDP(Neighbor Discovery Protocol)에 대한 구성 옵션을 사용할 수 있습니다. 구성 옵션은 명령입니다 set protocol neighbor-discovery onlink-subnet-only . 이 옵션은 디바이스 인터페이스 접두사 중 하나로 포함되지 않은 접두사에서 디바이스가 NS(Neighbor Solicitation)에 응답하지 못하게 합니다.
라우팅 엔진은 이 옵션을 설정한 후 재부팅해야만 포워딩 테이블에 남아 있는 이전 IPv6 엔트리의 가능성을 제거할 수 있습니다.
트래픽 유형을 기반으로 인바운드 트래픽을 제어하는 방법 이해
이 주제는 인터페이스에 직접 연결된 시스템에서 장비에 도달할 수 있는 트래픽의 종류를 지정하기 위해 존을 구성하는 방법을 설명합니다.
다음 사항을 유의하십시오.
존 수준에서 이러한 매개 변수를 구성할 수 있으며, 이 경우 해당 매개 변수는 영역의 모든 인터페이스 또는 인터페이스 수준에 영향을 줍니다. (인터페이스 구성은 해당 존의 구성을 무시합니다.)
모든 예상 호스트 인바운드 트래픽을 활성화해야 합니다. 이 디바이스로 향하는 인바운드 트래픽은 기본적으로 드롭됩니다.
또한 동적 라우팅 프로토콜에 사용할 수 있도록 존의 인터페이스를 구성할 수도 있습니다.
이 기능을 사용하면 인터페이스에 직접 또는 간접적으로 연결된 시스템에서 발생한 공격으로부터 장비를 보호할 수 있습니다. 또한 관리자가 특정 인터페이스에서 특정 애플리케이션을 사용하여 관리할 수 있도록 디바이스를 선택적으로 구성할 수 있습니다. 존의 동일한 인터페이스 또는 다른 인터페이스에서 다른 애플리케이션의 사용을 금지할 수 있습니다. 예를 들어, 외부인이 인터넷에서 Telnet 애플리케이션을 사용해 장치에 로그인하지 않도록 하려는 경우, 이들 애플리케이션이 시스템에 연결하는 것을 원치 않을 것입니다.
예: 트래픽 유형에 따라 인바운드 트래픽 제어
이 예에서는 트래픽 유형을 기반으로 인바운드 트래픽을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전:
네트워크 인터페이스를 구성합니다. 보안 장비에 대한 인터페이스 사용자 가이드를 참조하십시오.
인바운드 트래픽 유형을 이해합니다. 트래픽 유형을 기반으로 인바운드 트래픽을 제어하는 방법에 대한 이해를 참조하십시오.
개요
시스템 서비스를 실행할 수 있도록 함으로써 인터페이스에 직접 연결된 시스템에서 장비에 도달할 수 있는 다양한 유형의 트래픽을 지정하도록 존을 구성할 수 있습니다. 존 수준에서 서로 다른 시스템 서비스를 구성할 수 있으며, 이 경우 존의 모든 인터페이스 또는 인터페이스 레벨에 영향을 줍니다. (인터페이스 구성은 해당 존의 구성을 무시합니다.)
모든 예상 호스트 인바운드 트래픽을 활성화해야 합니다. 디바이스 인터페이스에 직접 연결된 디바이스의 인바운드 트래픽은 기본적으로 드롭됩니다.
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드 의 Configuration Mode에서 CLI Editor를 사용하는 것을 참조하십시오.
트래픽 유형을 기반으로 인바운드 트래픽을 구성하려면 다음을 수행합니다.
보안 존을 구성합니다.
[edit] user@host# edit security zones security-zone ABC
모든 시스템 서비스에 대한 인바운드 트래픽을 지원하도록 보안 존을 구성합니다.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
첫 번째 인터페이스에 대해 인터페이스 수준(존 수준이 아님)에서 Telnet, FTP 및 SNMP 시스템 서비스를 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
두 번째 인터페이스에 대한 모든 시스템 서비스에 대한 인바운드 트래픽을 지원하도록 보안 존을 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
두 번째 인터페이스에서 FTP 및 HTTP 시스템 서비스를 제외합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
결과
구성 모드에서 를 입력하여 구성을 show security zones security-zone ABC확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
프로토콜을 기반으로 인바운드 트래픽을 제어하는 방법 이해
이 항목은 지정된 존 또는 인터페이스의 인바운드 시스템 프로토콜에 대해 설명합니다.
호스트 인바운드 트래픽 옵션 아래에 나열된 프로토콜에 해당하는 모든 호스트 인바운드 트래픽은 허용됩니다. 예를 들어, 구성의 어느 위치에 있든 프로토콜을 기본값이 아닌 포트 번호에 매핑하면 호스트 인바운드 트래픽 옵션에서 프로토콜을 지정할 수 있으며 새 포트 번호가 사용됩니다. 표 1 에는 지원되는 프로토콜이 나와 있습니다. 값 all 은 지정된 인터페이스(존 또는 단일 지정된 인터페이스)에서 다음 모든 프로토콜의 트래픽이 인바운드가 허용됨을 나타냅니다.
지원되는 시스템 서비스 |
|||
|---|---|---|---|
모든 |
Igmp |
Pim |
Sap |
Bfd |
Ldp |
Rip |
Vrrp |
Bgp |
msdp |
리핑(ripng) |
nhrp(nhrp) |
라우터 검색 |
dvmrp |
Ospf |
Rsvp |
Pgm |
ospf3 |
||
인터페이스를 위해 DVMRP 또는 PIM을 활성화하면 IGMP 및 MLD 호스트 인바운드 트래픽이 자동으로 활성화됩니다. IS-IS는 OSI 주소 지정을 사용하며 IP 트래픽을 생성해서는 안되므로 IS-IS 프로토콜에 대한 호스트 인바운드 트래픽 옵션이 없습니다.
NDP는 기본적으로 활성화되므로 호스트 인바운드 트래픽에 NDP(Neighbor Discovery Protocol)를 구성할 필요가 없습니다.
IPv6 NDP(Neighbor Discovery Protocol)에 대한 구성 옵션을 사용할 수 있습니다. 구성 옵션은 명령입니다 set protocol neighbor-discovery onlink-subnet-only . 이 옵션은 디바이스 인터페이스 접두사 중 하나로 포함되지 않은 접두사에서 디바이스가 NS(Neighbor Solicitation)에 응답하지 못하게 합니다.
포워딩 테이블에 남아 있는 이전 IPv6 항목의 가능성을 제거하려면 이 옵션을 설정한 후 라우팅 엔진을 재부팅해야 합니다.
예: 프로토콜을 기반으로 인바운드 트래픽 제어
이 예에서는 인터페이스에 인바운드 트래픽을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전:
보안 존을 구성합니다. 예: 보안 존 생성을 참조하십시오.
네트워크 인터페이스를 구성합니다. 보안 장비에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
호스트 인바운드 트래픽 옵션 아래에 나열된 프로토콜에 해당하는 모든 호스트 인바운드 트래픽은 허용됩니다. 예를 들어, 구성의 어느 곳에서나 프로토콜을 기본값이 아닌 포트 번호에 매핑하는 경우 호스트 인바운드 트래픽 옵션에서 프로토콜을 지정할 수 있으며 새 포트 번호가 사용됩니다.
값은 모든 프로토콜의 all 트래픽이 지정된 인터페이스(존 또는 단일 지정된 인터페이스)에서 인바운드가 허용됨을 나타냅니다.
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드 의 Configuration Mode에서 CLI Editor를 사용하는 것을 참조하십시오.
프로토콜을 기반으로 인바운드 트래픽을 구성하려면 다음을 수행합니다.
보안 존을 구성합니다.
[edit] user@host# edit security zones security-zone ABC
인터페이스에 대한 ospf 프로토콜을 기반으로 인바운드 트래픽을 지원하도록 보안 존을 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
인터페이스에 대한 ospf3 프로토콜을 기반으로 인바운드 트래픽을 지원하도록 보안 존을 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
결과
구성 모드에서 를 입력하여 구성을 show security zones security-zone ABC확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.
예: TCP-Reset 매개변수 구성
이 예에서는 존에 대한 TCP-Reset 매개변수를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 보안 존을 구성하십시오. 예: 보안 존 생성을 참조하십시오.
개요
TCP-Reset 매개 변수 기능이 활성화되면 트래픽이 기존 세션과 일치하지 않고 SYN 플래그 집합이 없는 트래픽이 도착하면 RESET 플래그가 설정된 TCP 세그먼트를 보냅니다.
구성
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 CLI 사용자 가이드 의 Configuration Mode에서 CLI Editor를 사용하는 것을 참조하십시오.
존에 대한 TCP-Reset 매개변수를 구성하려면 다음을 수행합니다.
보안 존을 구성합니다.
[edit] user@host# edit security zones security-zone ABC
존에 대한 TCP-Reset 매개변수를 구성합니다.
[edit security zones security-zone ABC] user@host# set tcp-rst
디바이스 구성을 완료한 경우 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security zones .