Zonas de seguridad y políticas de seguridad en dispositivos de seguridad
Descripción de las zonas de seguridad de capa 2
Una zona de seguridad de capa 2 es una zona que aloja interfaces de capa 2. Una zona de seguridad puede ser una zona de capa 2 o capa 3; puede alojar todas las interfaces de capa 2 o todas las interfaces de capa 3, pero no puede contener una combinación de interfaces de capa 2 y capa 3.
El tipo de zona de seguridad (capa 2 o capa 3) se establece implícitamente desde la primera interfaz configurada para la zona de seguridad. Las interfaces posteriores configuradas para la misma zona de seguridad deben ser del mismo tipo que la primera interfaz.
No puede configurar un dispositivo con zonas de seguridad de capa 2 y capa 3.
Puede configurar las siguientes propiedades para las zonas de seguridad de capa 2:
Interfaces: lista de interfaces de la zona.
Políticas: políticas de seguridad activa que hacen cumplir las reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar por el firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa por el firewall.
Pantallas: un firewall de estado de Juniper Networks protege una red mediante la inspección, y luego permitir o denegar, todos los intentos de conexión que requieren el paso de una zona de seguridad a otra. Para cada zona de seguridad, y la zona MGT, puede habilitar un conjunto de opciones de pantalla predefinidas que detectan y bloquean varios tipos de tráfico que el dispositivo determina como potencialmente dañinos.
Nota:Puede configurar las mismas opciones de pantalla para una zona de seguridad de capa 2 que para una zona de seguridad de capa 3.
Libretas de direcciones: direcciones IP y conjuntos de direcciones que conforman una libreta de direcciones para identificar a sus miembros, de modo que pueda aplicar políticas a ellos.
TCP-RST: cuando esta función está habilitada, el sistema envía un segmento TCP con el indicador de restablecimiento establecido cuando llega el tráfico que no coincide con una sesión existente y no tiene el indicador de sincronización establecido.
Además, puede configurar una zona de capa 2 para el tráfico entrante de host. Esto le permite especificar los tipos de tráfico que puede llegar al dispositivo desde sistemas que están conectados directamente a las interfaces de la zona. Debe especificar todo el tráfico de entrada de host esperado, ya que el tráfico entrante de dispositivos conectados directamente a las interfaces del dispositivo se cae de forma predeterminada.
Consulte también
Ejemplo: Configuración de zonas de seguridad de capa 2
En este ejemplo, se muestra cómo configurar las zonas de seguridad de capa 2.
Requisitos
Antes de comenzar, determine las propiedades que desea configurar para la zona de seguridad de capa 2. Consulte Descripción de zonas de seguridad de capa 2.
Descripción general
En este ejemplo, se configura la zona de seguridad l2-zone1 para incluir una interfaz lógica de capa 2 llamada ge-3/0/0.0 y la zona de seguridad l2-zone2 para incluir una interfaz lógica de capa 2 llamada ge-3/0/1.0. Luego, configure l2-zone2 para permitir todos los servicios de aplicaciones compatibles (como SSH, Telnet y SNMP) como tráfico de entrada de host.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
Procedimiento
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar zonas de seguridad de capa 2:
Cree una zona de seguridad de capa 2 y asigne interfaces a ella.
[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
Configure una de las zonas de seguridad de capa 2.
[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security zones comando.
Descripción de las políticas de seguridad en modo transparente
En modo transparente, las políticas de seguridad solo se pueden configurar entre las zonas de capa 2. Cuando los paquetes se reenvían a través de la VLAN, las políticas de seguridad se aplican entre zonas de seguridad. Una política de seguridad para el modo transparente es similar a una política configurada para zonas de capa 3, con las siguientes excepciones:
No se admite TDR.
No se admite VPN IPsec.
No se admite la aplicación ANY.
El reenvío de capa 2 no permite tráfico entre zonas a menos que haya una política configurada explícitamente en el dispositivo. De forma predeterminada, el reenvío de capa 2 realiza las siguientes acciones:
Permite o niega el tráfico especificado por la política configurada.
Permite el protocolo de resolución de direcciones (ARP) y el tráfico de multidifusión y difusión de capa 2 sin IP.
Continúa bloqueando todo el tráfico de unidifusión no IP y no ARP.
Este comportamiento predeterminado se puede cambiar para el flujo de paquetes de conmutación Ethernet mediante J-Web o el editor de configuración de CLI:
Configure la opción para bloquear todo el
block-non-ip-alltráfico de capa 2, no IP y no ARP, incluido el tráfico de multidifusión y difusión.Configure la
bypass-non-ip-unicastopción para permitir que todo el tráfico no IP de capa 2 pase por el dispositivo.
No puede configurar ambas opciones al mismo tiempo.
A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, puede crear una zona de seguridad independiente en modo mixto (el modo predeterminado) para interfaces de capa 2 y capa 3. Sin embargo, no hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3. Por lo tanto, no puede configurar políticas de seguridad entre las zonas de capa 2 y capa 3. Solo puede configurar políticas de seguridad entre las zonas de capa 2 o entre las zonas de capa 3.
Consulte también
Ejemplo: Configurar políticas de seguridad en modo transparente
En este ejemplo, se muestra cómo configurar políticas de seguridad en modo transparente entre zonas de capa 2.
Requisitos
Antes de comenzar, determine el comportamiento de la política que desea incluir en la zona de seguridad de capa 2. Consulte Descripción de políticas de seguridad en modo transparente.
Descripción general
En este ejemplo, configure una política de seguridad para permitir el tráfico HTTP desde la subred 192.0.2.0/24 en la zona de seguridad l2-zone1 hasta el servidor en 192.0.2.1/24 en la zona de seguridad l2-zone2.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar políticas de seguridad en modo transparente:
Cree políticas y asigne direcciones a las interfaces para las zonas.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
Establezca políticas para la aplicación.
[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Descripción de la autenticación de usuario de firewall en modo transparente
Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. La autenticación de usuario de firewall permite a los administradores restringir y permitir que los usuarios accedan a recursos protegidos detrás de un firewall según su dirección IP de origen y otras credenciales. Junos OS admite los siguientes tipos de autenticación de usuario de firewall para el modo transparente en el dispositivo serie SRX:
Autenticación de paso a través: un host o un usuario de una zona intenta acceder a recursos en otra zona. Debe usar un cliente FTP, Telnet o HTTP para acceder a la dirección IP del recurso protegido y ser autenticado por el firewall. El dispositivo usa FTP, Telnet o HTTP para recopilar información de nombre de usuario y contraseñas, y el tráfico posterior del usuario o host se permite o rechaza según el resultado de esta autenticación.
Autenticación web: los usuarios intentan conectarse, mediante HTTP, a una dirección IP en la interfaz IRB que está habilitada para la autenticación web. Se le pedirá el nombre de usuario y la contraseña verificados por el dispositivo. El tráfico posterior del usuario o del host al recurso protegido se permite o se niega según el resultado de esta autenticación.