Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zonas de seguridad y políticas de seguridad en dispositivos de seguridad

Descripción de las zonas de seguridad de capa 2

Una zona de seguridad de capa 2 es una zona que aloja interfaces de capa 2. Una zona de seguridad puede ser una zona de capa 2 o capa 3; puede alojar todas las interfaces de capa 2 o todas las interfaces de capa 3, pero no puede contener una combinación de interfaces de capa 2 y capa 3.

El tipo de zona de seguridad (capa 2 o capa 3) se establece implícitamente desde la primera interfaz configurada para la zona de seguridad. Las interfaces posteriores configuradas para la misma zona de seguridad deben ser del mismo tipo que la primera interfaz.

Nota:

No puede configurar un dispositivo con zonas de seguridad de capa 2 y capa 3.

Puede configurar las siguientes propiedades para las zonas de seguridad de capa 2:

  • Interfaces: lista de interfaces de la zona.

  • Políticas: políticas de seguridad activa que hacen cumplir las reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar por el firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa por el firewall.

  • Pantallas: un firewall de estado de Juniper Networks protege una red mediante la inspección, y luego permitir o denegar, todos los intentos de conexión que requieren el paso de una zona de seguridad a otra. Para cada zona de seguridad, y la zona MGT, puede habilitar un conjunto de opciones de pantalla predefinidas que detectan y bloquean varios tipos de tráfico que el dispositivo determina como potencialmente dañinos.

    Nota:

    Puede configurar las mismas opciones de pantalla para una zona de seguridad de capa 2 que para una zona de seguridad de capa 3.

  • Libretas de direcciones: direcciones IP y conjuntos de direcciones que conforman una libreta de direcciones para identificar a sus miembros, de modo que pueda aplicar políticas a ellos.

  • TCP-RST: cuando esta función está habilitada, el sistema envía un segmento TCP con el indicador de restablecimiento establecido cuando llega el tráfico que no coincide con una sesión existente y no tiene el indicador de sincronización establecido.

Además, puede configurar una zona de capa 2 para el tráfico entrante de host. Esto le permite especificar los tipos de tráfico que puede llegar al dispositivo desde sistemas que están conectados directamente a las interfaces de la zona. Debe especificar todo el tráfico de entrada de host esperado, ya que el tráfico entrante de dispositivos conectados directamente a las interfaces del dispositivo se cae de forma predeterminada.

Ejemplo: Configuración de zonas de seguridad de capa 2

En este ejemplo, se muestra cómo configurar las zonas de seguridad de capa 2.

Requisitos

Antes de comenzar, determine las propiedades que desea configurar para la zona de seguridad de capa 2. Consulte Descripción de zonas de seguridad de capa 2.

Descripción general

En este ejemplo, se configura la zona de seguridad l2-zone1 para incluir una interfaz lógica de capa 2 llamada ge-3/0/0.0 y la zona de seguridad l2-zone2 para incluir una interfaz lógica de capa 2 llamada ge-3/0/1.0. Luego, configure l2-zone2 para permitir todos los servicios de aplicaciones compatibles (como SSH, Telnet y SNMP) como tráfico de entrada de host.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar zonas de seguridad de capa 2:

  1. Cree una zona de seguridad de capa 2 y asigne interfaces a ella.

  2. Configure una de las zonas de seguridad de capa 2.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security zones comando.

Descripción de las políticas de seguridad en modo transparente

En modo transparente, las políticas de seguridad solo se pueden configurar entre las zonas de capa 2. Cuando los paquetes se reenvían a través de la VLAN, las políticas de seguridad se aplican entre zonas de seguridad. Una política de seguridad para el modo transparente es similar a una política configurada para zonas de capa 3, con las siguientes excepciones:

  • No se admite TDR.

  • No se admite VPN IPsec.

  • No se admite la aplicación ANY.

El reenvío de capa 2 no permite tráfico entre zonas a menos que haya una política configurada explícitamente en el dispositivo. De forma predeterminada, el reenvío de capa 2 realiza las siguientes acciones:

  • Permite o niega el tráfico especificado por la política configurada.

  • Permite el protocolo de resolución de direcciones (ARP) y el tráfico de multidifusión y difusión de capa 2 sin IP.

  • Continúa bloqueando todo el tráfico de unidifusión no IP y no ARP.

Este comportamiento predeterminado se puede cambiar para el flujo de paquetes de conmutación Ethernet mediante J-Web o el editor de configuración de CLI:

  • Configure la opción para bloquear todo el block-non-ip-all tráfico de capa 2, no IP y no ARP, incluido el tráfico de multidifusión y difusión.

  • Configure la bypass-non-ip-unicast opción para permitir que todo el tráfico no IP de capa 2 pase por el dispositivo.

Nota:

No puede configurar ambas opciones al mismo tiempo.

A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, puede crear una zona de seguridad independiente en modo mixto (el modo predeterminado) para interfaces de capa 2 y capa 3. Sin embargo, no hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3. Por lo tanto, no puede configurar políticas de seguridad entre las zonas de capa 2 y capa 3. Solo puede configurar políticas de seguridad entre las zonas de capa 2 o entre las zonas de capa 3.

Ejemplo: Configurar políticas de seguridad en modo transparente

En este ejemplo, se muestra cómo configurar políticas de seguridad en modo transparente entre zonas de capa 2.

Requisitos

Antes de comenzar, determine el comportamiento de la política que desea incluir en la zona de seguridad de capa 2. Consulte Descripción de políticas de seguridad en modo transparente.

Descripción general

En este ejemplo, configure una política de seguridad para permitir el tráfico HTTP desde la subred 192.0.2.0/24 en la zona de seguridad l2-zone1 hasta el servidor en 192.0.2.1/24 en la zona de seguridad l2-zone2.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar políticas de seguridad en modo transparente:

  1. Cree políticas y asigne direcciones a las interfaces para las zonas.

  2. Establezca políticas para la aplicación.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar políticas de seguridad de capa 2

Propósito

Compruebe que las políticas de seguridad de capa 2 están configuradas correctamente.

Acción

Desde el modo de configuración, ingrese el show security policies comando.

Descripción de la autenticación de usuario de firewall en modo transparente

Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. La autenticación de usuario de firewall permite a los administradores restringir y permitir que los usuarios accedan a recursos protegidos detrás de un firewall según su dirección IP de origen y otras credenciales. Junos OS admite los siguientes tipos de autenticación de usuario de firewall para el modo transparente en el dispositivo serie SRX:

  • Autenticación de paso a través: un host o un usuario de una zona intenta acceder a recursos en otra zona. Debe usar un cliente FTP, Telnet o HTTP para acceder a la dirección IP del recurso protegido y ser autenticado por el firewall. El dispositivo usa FTP, Telnet o HTTP para recopilar información de nombre de usuario y contraseñas, y el tráfico posterior del usuario o host se permite o rechaza según el resultado de esta autenticación.

  • Autenticación web: los usuarios intentan conectarse, mediante HTTP, a una dirección IP en la interfaz IRB que está habilitada para la autenticación web. Se le pedirá el nombre de usuario y la contraseña verificados por el dispositivo. El tráfico posterior del usuario o del host al recurso protegido se permite o se niega según el resultado de esta autenticación.

Tabla de historial de versiones
Liberación
Descripción
12.3X48-D10
A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, puede crear una zona de seguridad independiente en modo mixto (el modo predeterminado) para interfaces de capa 2 y capa 3.