Descripción de una política de flujo de seguridad en un dispositivo que ejecuta Junos OS
Descripción general de la política de flujo de seguridad en un dispositivo que ejecuta Junos OS
Puede definir una política de flujo de seguridad en un dispositivo que ejecute Junos OS para inspeccionar y procesar paquetes de red. El dispositivo puede permitir, denegar y registrar operaciones asociadas a cada directiva. Cada una de estas directivas está asociada a zonas a las que están vinculadas distintas interfaces de red.
Se pueden definir los siguientes modos para que una directiva de flujo de seguridad determine cómo un dispositivo dirige el tráfico:
Omitir: la
Permit
opción dirige el tráfico que atraviesa el dispositivo a través de la inspección de firewall con estado, pero no a través del túnel VPN IPsec.Descartar: la
Deny
opción inspecciona y descarta todos los paquetes que no coinciden con ningunaPermit
política.Proteger: el tráfico se enruta a través de un túnel IPsec basado en la combinación de búsqueda de rutas e
Permit
inspección de políticas.Registrar: esta opción registra la información de tráfico y sesión para todos los modos mencionados anteriormente.
En las secciones siguientes se describe cómo configurar una directiva de seguridad para cada uno de estos modos:
Configuración de una directiva de flujo de seguridad en el modo de omisión de firewall
Configuración de una política de seguridad en modo de descarte de firewall
Configuración de una directiva de flujo de seguridad en el modo de protección IPsec
- Configuración de una directiva de flujo de seguridad en el modo de omisión de firewall
- Configuración de una política de seguridad en modo de descarte de firewall
- Configuración de una directiva de flujo de seguridad en el modo de protección IPsec
Configuración de una directiva de flujo de seguridad en el modo de omisión de firewall
Para configurar una política de flujo de seguridad para el modo de omisión de firewall:
Configure las políticas de seguridad.
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
Nota:Aquí,
trustZone
yuntrustZone
son zonas de seguridad preconfiguradas ytrustLan
yuntrustLan
son direcciones de red preconfiguradas.junos-ssh
es un ejemplo de una aplicación predefinida predeterminada de Junos OS que se puede configurar en una política de seguridad en lugar de laany
opción del ejemplo anterior para aplicar tráfico SSH.
Configuración de una política de seguridad en modo de descarte de firewall
Para configurar una política de flujo de seguridad para el modo de descarte de firewall:
Configure las políticas de seguridad.
[edit security policies] user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application junos-telnet user@host# set from-zone untrustZone to-zone trustZone policy policy1 then deny user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init user@host# set from-zone untrustZone to-zone trustZone policy policy1 then session-close
Nota:Aquí,
trustZone
yuntrustZone
son las zonas de seguridad preconfiguradas ytrustLan
yuntrustLan
son direcciones de red preconfiguradas.junos-telnet
es un ejemplo de una aplicación predefinida predeterminada de Junos OS que se puede configurar en una política de seguridad para aplicar tráfico Telnet.
Configuración de una directiva de flujo de seguridad en el modo de protección IPsec
Para configurar una directiva de flujo de seguridad para el modo de protección IPsec:
Configure la VPN.
[edit] user@host# set security ipsec vpn vpn1 ike gateway gw1 user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1 user@host# set security ipsec vpn vpn1 bind-interface st0.0 user@host# set routing-options static route 198.51.100.14/24 qualified-next-hop st0.0 preference 1
Nota:Aquí,
gw1
yipsec-policy1
son políticas IKE e IPsec preconfiguradas.Configure las políticas de seguridad.
[edit security policies] user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close
Nota:Aquí,
trustZone
yuntrustZone
son zonas de seguridad preconfiguradas ytrustLan
yuntrustLan
son direcciones de red preconfiguradas.
Para obtener más información sobre el comportamiento de la sesión con estado, consulte Descripción general del procesamiento de tráfico en dispositivos de la serie SRX
Para obtener más información acerca de cómo configurar listas buenas y incorrectas conocidas, consulte Configuración de directivas de seguridad
Para obtener más información sobre la programación de directivas de seguridad, vea Descripción general de la implementación de políticas de seguridad y Programación de políticas de seguridad