Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zonas de seguridad y políticas de seguridad en dispositivos de seguridad

Descripción de las zonas de seguridad de capa 2

Una zona de seguridad de capa 2 es una zona que aloja interfaces de capa 2. Una zona de seguridad puede ser una capa 2 o una zona 3 de capa; puede alojar todas las interfaces de capa 2 o todas las interfaces de capa 3, pero no puede contener una combinación de las interfaces de capa 2 y capa 3.

El tipo de zona de seguridad (capa 2 o capa 3) se configura implícitamente desde la primera interfaz configurada para la zona de seguridad. Las interfaces subsiguientes configuradas para la misma zona de seguridad deben ser del mismo tipo que la primera interfaz.

Nota:

No puede configurar un dispositivo con zonas de seguridad de capa 2 y capa 3.

Puede configurar las siguientes propiedades para las zonas seguridad de capa 2:

  • Interfaces: lista de interfaces en la zona.

  • Políticas: políticas de seguridad activas que aplican reglas para el tráfico de tránsito, en función del tráfico que puede pasar por el firewall y de las acciones que deben tener lugar en el tráfico a medida que pasa por el firewall.

  • Pantallas: un firewall Juniper Networks con estado protege una red mediante la inspección y, luego, permitir o denegar, todos los intentos de conexión que requieran pasar de una zona de seguridad a otra. Para cada zona de seguridad y la zona de gestión, puede activar un conjunto de opciones de pantalla predefinidas que detectan y bloquean varios tipos de tráfico que el dispositivo determina como potencialmente dañino.

    Nota:

    Puede configurar las mismas opciones de pantalla para una zona de seguridad de capa 2 que para una zona de seguridad de capa 3.

  • Libretas de direcciones: direcciones IP y conjuntos de direcciones que hacen parte de una libreta de direcciones para identificar a sus miembros, de modo que pueda aplicarles políticas.

  • TCP-RST: cuando esta función está habilitada, el sistema envía un segmento TCP con el indicador de restablecimiento establecido cuando llega el tráfico que no coincide con una sesión existente y no tiene el indicador de sincronización establecido.

Además, puede configurar una zona de capa 2 para el tráfico entrante del host. Esto le permite especificar los tipos de tráfico que pueden llegar al dispositivo desde sistemas conectados directamente a las interfaces de la zona. Debe especificar todo el tráfico de entrada de host esperado porque el tráfico entrante de los dispositivos directamente conectados a las interfaces del dispositivo se descarta de forma predeterminada.

Ejemplo Configuración de zonas de seguridad de capa 2

En este ejemplo se muestra cómo configurar las zonas seguridad de capa 2.

Aplicables

Antes de comenzar, determine las propiedades que desea configurar para la zona de seguridad de capa 2. Consulte comprender las zonas de seguridad de capa 2.

Descripción general

En este ejemplo, configurará la zona de seguridad L2-zone1 para que incluya una interfaz lógica de capa 2 denominada GE-3/0/0.0 y la zona de seguridad L2-zone2 para incluir una interfaz lógica de capa 2 denominada GE-3/0/1.0. A continuación, configure L2-zone2 para permitir todos los servicios de aplicaciones compatibles (como SSH, Telnet y SNMP) como tráfico entrante del host.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Modalidades

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar las zonas seguridad de capa 2:

  1. Crear una zona seguridad de capa 2 y asignarle interfaces.

  2. Configure una de las zonas seguridad de capa 2.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, escriba el show security zones comando.

Descripción de las políticas de seguridad en el modo transparente

En el modo transparente, las políticas de seguridad se pueden configurar únicamente entre zonas de capa 2. Cuando los paquetes se reenvían a través de la VLAN, las políticas de seguridad se aplican entre las zonas de seguridad. Una directiva de seguridad para el modo transparente es similar a una directiva configurada para zonas de capa 3, con las excepciones siguientes:

  • No se admite TDR.

  • No se admite IPsec VPN.

  • No se admite la aplicación ANY.

El reenvío de la capa 2 no permite tráfico entre zonas a menos que haya una directiva configurada explícitamente en el dispositivo. De forma predeterminada, el reenvío de capa 2 realiza las siguientes acciones:

  • Permite o rechaza el tráfico especificado por la Directiva configurada.

  • Permite el protocolo de resolución de direcciones (ARP) y el tráfico de multidifusión y difusión no IP de capa 2.

  • Sigue bloqueando todo el tráfico de unidifusión que no sea de IP ni ARP.

Este comportamiento predeterminado puede cambiarse para el flujo de paquetes de conmutación Ethernet utilizando J-web o el editor de configuración de CLI:

  • Configure block-non-ip-all la opción de bloquear todo el tráfico no IP y no ARP de la capa 2, incluido el tráfico de multidifusión y difusión.

  • Configure bypass-non-ip-unicast la opción para permitir que todo el tráfico que no sea IP de la capa 2 pase a través del dispositivo.

Nota:

No puede configurar ambas opciones al mismo tiempo.

A partir de Junos OS versión 12.3 X48-D10 y Junos OS versiones de 17.3 R1, puede crear una zona de seguridad independiente en modo mixto (el modo predeterminado) para las interfaces de la capa 2 y la capa 3. Sin embargo, no existe enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3. Por lo tanto, las políticas de seguridad no pueden configurarse entre las zonas de capa 2 y 3. Sólo puede configurar políticas de seguridad entre las zonas de capa 2 o entre zonas de capa 3.

Ejemplo Configuración de políticas de seguridad en modo transparente

En este ejemplo se muestra cómo configurar las directivas de seguridad en modo transparente entre las zonas de capa 2.

Aplicables

Antes de comenzar, determine el comportamiento de la Directiva que desea incluir en la zona seguridad de capa 2. Consulte directivas de seguridad en el modo transparente.

Descripción general

En este ejemplo, se configura una política de seguridad para permitir el tráfico HTTP desde la subred 192.0.2.0/24 en la zona de seguridad l2-zone1 al servidor en 192.0.2.1/24 en la zona de seguridad l2-zone2.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar políticas de seguridad en el modo transparente:

  1. Crear políticas y asignar direcciones a las interfaces de las zonas.

  2. Establezca políticas para la aplicación.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Comprobación de las políticas de seguridad de capa 2

Purpose

Compruebe que las políticas seguridad de capa 2 están configuradas correctamente.

Intervención

En el modo de configuración, show security policies escriba el comando.

Descripción de la autenticación de usuario firewall en modo transparente

Un usuario de Firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación cuando se inicia una conexión a través del firewall. La autenticación de usuarios del Firewall permite a los administradores restringir y permitir que los usuarios tengan acceso a recursos protegidos situados detrás de un firewall en función de su dirección IP de origen y otras credenciales. Junos OS admite los siguientes tipos de autenticación de usuario con cortafuegos para el modo transparente en el dispositivo serie SRX:

  • Autenticación de paso a través: un host o un usuario de una zona intenta acceder a recursos en otra zona. Debe utilizar un cliente FTP, telnet o HTTP para tener acceso a la dirección IP del recurso protegido y ser autenticado por el servidor de seguridad. El dispositivo utiliza FTP, telnet o HTTP para recopilar la información de nombre de usuario y contraseña, y el tráfico subsiguiente del usuario o host se concede o rechaza según el resultado de esta autenticación.

  • Autenticación web: los usuarios intentan conectarse mediante HTTP a una dirección IP en la interfaz IRB habilitada para la autenticación Web. Se le pedirá que indique el nombre de usuario y la contraseña que el dispositivo comprobará. El tráfico subsiguiente del usuario o del host al recurso protegido se concede o deniega según el resultado de esta autenticación.

Tabla de historial de versiones
Liberación
Descripción
12.3X48-D10
A partir de Junos OS versión 12.3 X48-D10 y Junos OS versiones de 17.3 R1, puede crear una zona de seguridad independiente en modo mixto (el modo predeterminado) para las interfaces de la capa 2 y la capa 3.