Zonas de seguridad y políticas de seguridad en dispositivos de seguridad
Descripción de las zonas de seguridad de capa 2
Una zona de seguridad de capa 2 es una zona que aloja interfaces de capa 2. Una zona de seguridad puede ser una zona de capa 2 o de capa 3; puede alojar todas las interfaces de capa 2 o todas las interfaces de capa 3, pero no puede contener una combinación de interfaces de capa 2 y capa 3.
El tipo de zona de seguridad (capa 2 o capa 3) se establece implícitamente desde la primera interfaz configurada para la zona de seguridad. Las interfaces posteriores configuradas para la misma zona de seguridad deben ser del mismo tipo que la primera interfaz.
No puede configurar un dispositivo con zonas de seguridad de capa 2 y capa 3.
Puede configurar las siguientes propiedades para las zonas de seguridad de capa 2:
Interfaces: lista de interfaces de la zona.
Políticas: políticas de seguridad activas que aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa a través del firewall.
Pantallas: un firewall de estado de Juniper Networks protege una red inspeccionando, y luego permitiendo o rechazando, todos los intentos de conexión que requieren el paso de una zona de seguridad a otra. Para cada zona de seguridad y la zona MGT, puede habilitar un conjunto de opciones de pantalla predefinidas que detectan y bloquean varios tipos de tráfico que el dispositivo determina como potencialmente dañino.
Nota:Puede configurar las mismas opciones de pantalla para una zona de seguridad de capa 2 que para una zona de seguridad de capa 3.
Libretas de direcciones: direcciones IP y conjuntos de direcciones que componen una libreta de direcciones para identificar a sus miembros, de modo que pueda aplicarles políticas.
TCP-RST: cuando esta función está activada, el sistema envía un segmento TCP con el indicador de restablecimiento establecido cuando llega tráfico que no coincide con una sesión existente y no tiene el indicador de sincronización establecido.
Además, puede configurar una zona de capa 2 para el tráfico entrante de host. Esto le permite especificar los tipos de tráfico que pueden llegar al dispositivo desde sistemas que están conectados directamente a las interfaces de la zona. Debe especificar todo el tráfico entrante de host esperado, ya que el tráfico entrante de los dispositivos conectados directamente a las interfaces del dispositivo se descarta de forma predeterminada.
Consulte también
Ejemplo: Configuración de zonas de seguridad de capa 2
En este ejemplo se muestra cómo configurar las zonas de seguridad de capa 2.
Requisitos
Antes de comenzar, determine las propiedades que desea configurar para la zona de seguridad de capa 2. Consulte Descripción de las zonas de seguridad de capa 2.
Descripción general
En este ejemplo, configure la zona de seguridad l2-zone1 para incluir una interfaz lógica de capa 2 denominada ge-3/0/0.0 y la zona de seguridad l2-zone2 para incluir una interfaz lógica de capa 2 denominada ge-3/0/1.0. A continuación, configure l2-zone2 para permitir todos los servicios de aplicación compatibles (como SSH, Telnet y SNMP) como tráfico entrante de host.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar zonas de seguridad de capa 2:
Cree una zona de seguridad de capa 2 y asígnele interfaces.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Configure una de las zonas de seguridad de capa 2.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security zones comando.
Descripción de las políticas de seguridad en modo transparente
En el modo transparente, las políticas de seguridad solo se pueden configurar entre zonas de capa 2. Cuando los paquetes se reenvían a través de la VLAN, las políticas de seguridad se aplican entre zonas de seguridad. Una política de seguridad para el modo transparente es similar a una política configurada para zonas de capa 3, con las siguientes excepciones:
NAT no es compatible.
No se admite VPN IPsec.
La aplicación ANY no es compatible.
El reenvío de capa 2 no permite ningún tráfico entre zonas a menos que haya una política configurada explícitamente en el dispositivo. De forma predeterminada, el reenvío de capa 2 realiza las siguientes acciones:
Permite o deniega el tráfico especificado por la directiva configurada.
Permite el Protocolo de resolución de direcciones (ARP) y el tráfico de difusión y multidifusión no IP de capa 2.
Continúa bloqueando todo el tráfico de unidifusión que no sea IP y no ARP.
Este comportamiento predeterminado se puede cambiar para el flujo de paquetes de conmutación Ethernet mediante J-Web o el editor de configuración de CLI:
Configure la opción para bloquear todo el tráfico no IP y no ARP de capa 2, incluido el
block-non-ip-alltráfico de multidifusión y difusión.Configure la opción para permitir que todo el
bypass-non-ip-unicasttráfico no IP de capa 2 pase a través del dispositivo.
No puede configurar ambas opciones al mismo tiempo.
A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, puede crear una zona de seguridad independiente en modo mixto (el modo predeterminado) para las interfaces de capa 2 y capa 3. Sin embargo, no hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3. Por lo tanto, no puede configurar políticas de seguridad entre las zonas de capa 2 y capa 3. Solo puede configurar políticas de seguridad entre las zonas de capa 2 o entre zonas de capa 3.
Consulte también
Ejemplo: Configuración de directivas de seguridad en modo transparente
En este ejemplo se muestra cómo configurar directivas de seguridad en modo transparente entre zonas de capa 2.
Requisitos
Antes de comenzar, determine el comportamiento de la directiva que desea incluir en la zona de seguridad de capa 2. Consulte Descripción de las políticas de seguridad en modo transparente.
Descripción general
En este ejemplo, se configura una directiva de seguridad para permitir el tráfico HTTP desde la subred 192.0.2.0/24 de la zona de seguridad l2–zone1 hasta el servidor en 192.0.2.1/24 de la zona de seguridad l2–zone2.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar directivas de seguridad en modo transparente:
Cree políticas y asigne direcciones a las interfaces para las zonas.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
Establezca políticas para la aplicación.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Resultados
Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Descripción de la autenticación de usuario de firewall en modo transparente
Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. La autenticación de usuarios de firewall permite a los administradores restringir y permitir que los usuarios accedan a recursos protegidos detrás de un firewall en función de su dirección IP de origen y otras credenciales. Junos OS admite los siguientes tipos de autenticación de usuario de firewall para el modo transparente en el firewall de la serie SRX:
Autenticación Pass-through: un host o un usuario de una zona intenta acceder a recursos de otra zona. Debe utilizar un cliente FTP, Telnet o HTTP para tener acceso a la dirección IP del recurso protegido y autenticarse mediante el firewall. El dispositivo utiliza FTP, Telnet o HTTP para recopilar información de nombre de usuario y contraseña, y el tráfico posterior del usuario o host se permite o se deniega en función del resultado de esta autenticación.
Autenticación web: los usuarios intentan conectarse, mediante HTTP, a una dirección IP de la interfaz IRB que está habilitada para la autenticación web. Se le pedirá el nombre de usuario y la contraseña que verifica el dispositivo. El tráfico posterior del usuario o host al recurso protegido se permite o deniega en función del resultado de esta autenticación.
Consulte también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.