Libretas de direcciones y conjuntos de direcciones
Una libreta de direcciones es una colección de direcciones y conjuntos de direcciones. Las libretas de direcciones son como componentes o bloques de construcción, a los que se hace referencia en otras configuraciones, como las directivas de seguridad y las zonas de seguridad. Puede agregar direcciones a las libretas de direcciones o utilizar las direcciones predefinidas disponibles para cada libreta de direcciones de forma predeterminada
Una libreta de direcciones dentro de una zona puede constar de direcciones individuales o conjuntos de direcciones. Un conjunto de direcciones es un conjunto de una o más direcciones definidas dentro de una libreta de direcciones. Mediante conjuntos de direcciones, puede organizar las direcciones en grupos lógicos. Los conjuntos de direcciones son útiles cuando se debe hacer referencia a un grupo de direcciones más de una vez en una política de seguridad, en una zona de seguridad o en una configuración de NAT.
Descripción de las libretas de direcciones
Una libreta de direcciones es una colección de direcciones y conjuntos de direcciones. Junos OS permite configurar varias libretas de direcciones. Puede agregar direcciones a las libretas de direcciones o utilizar las direcciones predefinidas disponibles para cada libreta de direcciones de forma predeterminada.
Las entradas de la libreta de direcciones incluyen direcciones de hosts y subredes cuyo tráfico está permitido, bloqueado, cifrado o autenticado por el usuario. Estas direcciones pueden ser cualquier combinación de direcciones IPv4, direcciones IPv6, direcciones comodín o nombres del Sistema de nombres de dominio (DNS).
- Direcciones predefinidas
- Prefijos de red en libretas de direcciones
- Direcciones comodín en libretas de direcciones
- Nombres DNS en libretas de direcciones
Direcciones predefinidas
Puede crear direcciones o utilizar cualquiera de las siguientes direcciones predefinidas que están disponibles de forma predeterminada:
Any: esta dirección coincide con cualquier dirección IP. Cuando esta dirección se utiliza como dirección de origen o destino en una configuración de directiva, coincide con la dirección de origen y destino de cualquier paquete.Any-ipv4: esta dirección coincide con cualquier dirección IPv4.Any-ipv6: esta dirección coincide con cualquier dirección IPv6.
Prefijos de red en libretas de direcciones
Puede especificar direcciones como prefijos de red en el formato de prefijo/longitud. Por ejemplo, 203.0.113.0/24 es una dirección de libreta de direcciones aceptable porque se traduce en un prefijo de red. Sin embargo, 203.0.113.4/24 no es aceptable para una libreta de direcciones porque supera la longitud de subred de 24 bits. Todo lo que esté más allá de la longitud de la subred debe ingresarse como 0 (cero). En escenarios especiales, puede escribir un nombre de host porque puede usar toda la longitud de dirección de 32 bits.
Un prefijo de dirección IPv6 es una combinación de un prefijo IPv6 (dirección) y una longitud de prefijo. El prefijo toma la forma ipv6-prefix/prefix-length y representa un bloque de espacio de direcciones (o una red). La variable de prefijo ipv6 sigue las reglas generales de direccionamiento IPv6. La variable /prefix-length es un valor decimal que indica el número de bits contiguos de orden superior de la dirección que componen la parte de red de la dirección. Por ejemplo, 2001:db8::/32 es un posible prefijo IPv6. Para obtener más información sobre la representación textual de direcciones IPv6 y prefijos de dirección, consulte RFC 4291, Arquitectura de direccionamiento IP versión 6.
Direcciones comodín en libretas de direcciones
Además de las direcciones IP y los nombres de dominio, puede especificar una dirección comodín en una libreta de direcciones. Una dirección comodín se representa como A.B.C.D/wildcard-mask. La máscara comodín determina cuál de los bits de la dirección IP A.B.C.D debe ignorarse. Por ejemplo, la dirección IP de origen 192.168.0.11/255.255.0.255 en una política de seguridad implica que los criterios de coincidencia de la política de seguridad pueden descartar el tercer octeto de la dirección IP (representado simbólicamente como 192.168.*.11). Por lo tanto, los paquetes con direcciones IP de origen como 192.168.1.11 y 192.168.22.11 cumplen con los criterios de coincidencia. Sin embargo, los paquetes con direcciones IP de origen como 192.168.0.1 y 192.168.1.21 no cumplen los criterios de coincidencia.
El uso de la dirección comodín no se limita únicamente a octetos completos. Puede configurar cualquier dirección comodín. Por ejemplo, la dirección comodín 192.168.7.1/255.255.7.255 implica que solo debe omitir los primeros 5 bits del tercer octeto de la dirección comodín mientras hace que la política coincida. Si el uso de la dirección comodín está restringido solo a octetos completos, se permitirán las máscaras comodín con 0 o 255 solo en cada uno de los cuatro octetos.
Nombres DNS en libretas de direcciones
De forma predeterminada, puede resolver direcciones IPv4 e IPv6 para un DNS. Si se designan direcciones IPv4 o IPv6, solo puede resolver esas direcciones utilizando las palabras clave solo ipv4 y solo ipv6, respectivamente.
Tenga en cuenta lo siguiente cuando configure la dirección de origen para DNS:
-
Solo se puede configurar una dirección de origen como dirección de origen para cada nombre de servidor DNS.
-
Las direcciones de origen IPv6 son compatibles con los servidores DNS IPv6 y solo las direcciones IPv4 son compatibles con los servidores IPv4. No puede configurar una dirección IPv4 para un servidor DNS IPv6 o una dirección IPv6 para un servidor DNS IPv4.
Para que todo el tráfico de administración se origine en una dirección de origen específica, configure el servidor de nombres del sistema y la dirección de origen. Por ejemplo:
user@host# set system name-server 10.5.0.1 source-address 10.4.0.1
Antes de poder usar nombres de dominio para entradas de direcciones, debe configurar el dispositivo de seguridad para los servicios DNS. Para obtener información acerca de DNS, consulte Información general sobre DNS.
Descripción de las libretas de direcciones globales
Una libreta de direcciones llamada "global" siempre está presente en su sistema. Al igual que otras libretas de direcciones, la libreta de direcciones global puede incluir cualquier combinación de direcciones IPv4, direcciones IPv6, direcciones comodín o nombres del Sistema de nombres de dominio (DNS).
Puede crear direcciones en la libreta global de direcciones o utilizar las direcciones predefinidas (any, any-ipv4 y any-ipv6). Sin embargo, para utilizar las direcciones de la libreta de direcciones global, no es necesario adjuntarle las zonas de seguridad. La libreta de direcciones global está disponible para todas las zonas de seguridad que no tengan ninguna libreta de direcciones adjunta.
Las libretas de direcciones globales se utilizan en los siguientes casos:
Configuraciones NAT: las reglas NAT solo pueden usar objetos de dirección de la libreta de direcciones global. No pueden usar direcciones de libretas de direcciones basadas en zonas.
Directivas globales: las direcciones utilizadas en una política global deben definirse en la libreta de direcciones global. Los objetos de la libreta de direcciones global no pertenecen a ninguna zona determinada.
Descripción de los conjuntos de direcciones
Una libreta de direcciones puede crecer hasta contener un gran número de direcciones y llegar a ser difícil de administrar. Puede crear grupos de direcciones denominados conjuntos de direcciones para administrar libretas de direcciones grandes. Mediante los conjuntos de direcciones, puede organizar las direcciones en grupos lógicos y utilizarlos para configurar fácilmente otras características, como directivas y reglas NAT.
El conjunto de direcciones predefinido, any, que contiene ambas any-ipv4 direcciones y any-ipv6 , se crea automáticamente para cada zona de seguridad.
Puede crear conjuntos de direcciones con usuarios existentes o crear conjuntos de direcciones vacíos y, posteriormente, llenarlos de usuarios. Al crear conjuntos de direcciones, puede combinar direcciones IPv4 e IPv6, pero las direcciones deben estar en la misma zona de seguridad.
También puede crear un conjunto de direcciones dentro de un conjunto de direcciones. Esto le permite aplicar políticas de manera más efectiva. Por ejemplo, si desea aplicar una directiva a dos conjuntos set1 de direcciones y set2, en lugar de utilizar dos instrucciones, puede utilizar sólo una instrucción para aplicar la directiva a un nuevo conjunto de direcciones, set3, que incluye conjuntos set1 de direcciones y set2.
Cuando se agregan direcciones a las directivas, a veces el mismo subconjunto de direcciones puede estar presente en varias directivas, lo que dificulta la administración de cómo afectan las directivas a cada entrada de dirección. Haga referencia a una entrada de conjunto de direcciones en una política, como una entrada de libreta de direcciones individual, para permitirle administrar un pequeño número de conjuntos de direcciones, en lugar de administrar un gran número de entradas de direcciones individuales.
Configuración de direcciones y conjuntos de direcciones
Puede definir direcciones y conjuntos de direcciones en una libreta de direcciones y, a continuación, utilizarlos al configurar diferentes entidades. También puede utilizar direcciones anypredefinidas , any-ipv4y any-ipv6 que estén disponibles de forma predeterminada. Sin embargo, no puede agregar la dirección any predefinida a una libreta de direcciones.
Una vez configuradas las libretas y los conjuntos de direcciones, se utilizan para configurar diferentes características, como directivas de seguridad, zonas de seguridad y NAT.
- Direcciones y conjuntos de direcciones
- Libretas de direcciones y zonas de seguridad
- Libretas de direcciones y políticas de seguridad
Direcciones y conjuntos de direcciones
Puede definir direcciones IPv4, direcciones IPv6, direcciones comodín o nombres del Sistema de nombres de dominio (DNS) como entradas de direcciones en una libreta de direcciones.
La siguiente libreta de direcciones de ejemplo denominada contiene book1 diferentes tipos de direcciones y conjuntos de direcciones. Una vez definidas, puede aprovechar estas direcciones y conjuntos de direcciones al configurar zonas de seguridad, políticas o reglas NAT.
[edit security address-book book1] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.4/30 user@host# set address a4 2001:db8::/32 user@host# set address a5 2001:db8:1::1/127 user@host# set address example dns-name www.example.com user@host# set address-set set1 address a1 user@host# set address-set set1 address a2 user@host# set address-set set1 address a2 user@host# set address-set set2 address bbc
Al definir direcciones y conjuntos de direcciones, siga estas directrices:
-
Los conjuntos de direcciones solo pueden contener nombres de direcciones que pertenezcan a la misma zona de seguridad.
-
Nombres de
anydirecciones yany-ipv6any-ipv4están reservados; no puede utilizarlos para crear ninguna dirección. -
Las direcciones y los conjuntos de direcciones de la misma zona deben tener nombres distintos.
-
Los nombres de direcciones no pueden ser los mismos que los nombres de conjunto de direcciones. Por ejemplo, si configura una dirección con el nombre
add1, no cree el conjunto de direcciones con el nombreadd1. -
Al eliminar una entrada de la libreta de direcciones individual de la libreta de direcciones, debe eliminar la dirección (dondequiera que se haga referencia) de todos los conjuntos de direcciones; de lo contrario, el sistema provocará un error de confirmación.
Libretas de direcciones y zonas de seguridad
Una zona de seguridad es un grupo lógico de interfaces con requisitos de seguridad idénticos. Las zonas de seguridad se asocian a las libretas de direcciones que contienen entradas para las redes direccionables y los hosts finales (y, por lo tanto, los usuarios) que pertenecen a la zona.
Una zona puede utilizar dos libretas de direcciones a la vez: la libreta de direcciones global y la libreta de direcciones a la que está conectada la zona. Cuando una zona de seguridad no está conectada a ninguna libreta de direcciones, utiliza automáticamente la libreta de direcciones global. Por lo tanto, cuando se adjunta una zona de seguridad a una libreta de direcciones, el sistema busca direcciones de esta libreta de direcciones adjunta; de lo contrario, el sistema busca direcciones de la libreta de direcciones global predeterminada. La libreta de direcciones global está disponible para todas las zonas de seguridad de forma predeterminada; No es necesario asociar zonas a la Libreta global de direcciones.
Se aplican las siguientes directrices cuando se adjuntan zonas de seguridad a libretas de direcciones:
-
Las direcciones adjuntas a una zona de seguridad cumplen con los requisitos de seguridad de la zona.
-
La libreta de direcciones que adjunte a una zona de seguridad debe contener todas las direcciones IP accesibles dentro de esa zona.
-
Al configurar directivas entre dos zonas, debe definir las direcciones de cada una de las libretas de direcciones de la zona.
-
Las direcciones de una libreta de direcciones definida por el usuario tienen una prioridad de búsqueda mayor que las direcciones de la libreta de direcciones global. Por lo tanto, para una zona de seguridad que está conectada a una libreta de direcciones definida por el usuario, el sistema busca primero en la libreta de direcciones definida por el usuario; Si no se encuentra ninguna dirección, busca en la libreta de direcciones global.
Libretas de direcciones y políticas de seguridad
Las direcciones y los conjuntos de direcciones se utilizan al especificar los criterios de coincidencia para una directiva. Antes de poder configurar directivas para permitir, denegar o tunelizar tráfico hacia y desde hosts y subredes individuales, debe realizar entradas para ellas en las libretas de direcciones. Puede definir diferentes tipos de direcciones, como direcciones IPv4, direcciones IPv6, direcciones comodín y nombres DNS, como criterios coincidentes para las políticas de seguridad.
Las políticas contienen direcciones de origen y de destino. Puede hacer referencia a una dirección o dirección establecida en una política por el nombre que le asigne en la libreta de direcciones adjunta a la zona especificada en la política.
-
Cuando el tráfico se envía a una zona, la zona y la dirección a las que se envía se utilizan como zona de destino y criterios de coincidencia de direcciones en las políticas.
-
Cuando el tráfico se envía desde una zona, la zona y la dirección desde la que se envía se utilizan como zona de origen y criterios de coincidencia de direcciones en las políticas.
- Direcciones disponibles para las políticas de seguridad
- Aplicación de directivas a conjuntos de direcciones
Direcciones disponibles para las políticas de seguridad
Al configurar las direcciones de origen y destino para una regla de directiva, puede escribir un signo de interrogación en la CLI para enumerar todas las direcciones disponibles entre las que puede elegir.
Puede utilizar el mismo nombre de dirección para distintas direcciones que se encuentren en libretas de direcciones diferentes. Sin embargo, la CLI enumera solo una de estas direcciones: la dirección que tiene la prioridad de búsqueda más alta.
Por ejemplo, supongamos que configura direcciones en dos libretas de direcciones—global y book1. A continuación, muestre las direcciones que puede configurar como direcciones de origen o destino en una directiva (consulte la tabla 1).
| Direcciones configuradas |
Direcciones mostradas en la CLI |
|---|---|
[edit security address-book] set global address a1 203.0.113.0/24; set global address a2 198.51.100.0/24; set global address a3 192.0.2.0/24; set book1 address a1 203.0.113.128/25; |
[edit security policies from-zone trust to-zone untrust] user@host# set policy p1 match set match source-address ? Possible completions: [ Open a set of values a1 The address in address book book1 a2 The address in address book global a3 The address in address book global any Any IPv4 or IPv6 address any-ipv4 Any IPv4 address any-ipv6 Any IPv6 address |
Las direcciones que se muestran en este ejemplo ilustran:
-
Las direcciones de una libreta de direcciones definida por el usuario tienen una prioridad de búsqueda mayor que las direcciones de la libreta de direcciones global.
-
Las direcciones de una libreta de direcciones global tienen una prioridad mayor que las direcciones
anypredefinidas ,any-ipv4, yany-ipv6. -
Cuando se configura el mismo nombre de dirección para dos o más direcciones diferentes, solo está disponible la dirección de mayor prioridad, según la búsqueda de direcciones. En este ejemplo, la CLI muestra la dirección
a1de (203.0.113.128/25) porque esa dirección tiene una prioridad debook1búsqueda mayor que la direccióna1global (203.0.113.0/24).
Aplicación de directivas a conjuntos de direcciones
Cuando se especifica un conjunto de direcciones en las políticas, Junos OS aplica las políticas automáticamente a cada miembro del conjunto de direcciones, por lo que no es necesario crearlas una por una para cada dirección. Además, si se hace referencia a un conjunto de direcciones en una directiva, el conjunto de direcciones no se puede quitar sin quitar su referencia en la directiva. Sin embargo, puede ser editado.
Tenga en cuenta que para cada conjunto de direcciones, el sistema crea reglas individuales para sus miembros. Crea una regla interna para cada miembro del grupo, así como para cada servicio configurado para cada usuario. Si configura libretas de direcciones sin tener esto en cuenta, puede superar el número de recursos de directivas disponibles, especialmente si las direcciones de origen y destino son grupos de direcciones y el servicio especificado es un grupo de servicios.
La figura 1 muestra cómo se aplican las políticas a los conjuntos de direcciones.
Uso de direcciones y conjuntos de direcciones en la configuración NAT
Una vez definidas las direcciones en las libretas de direcciones, puede especificarlas en las reglas NAT de origen, destino o estáticas. Es más sencillo especificar nombres de direcciones significativos en lugar de prefijos IP como direcciones de origen y destino en la configuración de la regla NAT. Por ejemplo, en lugar de especificar 10.208.16.0/22 como dirección de origen, puede especificar una dirección llamada local que incluya la dirección 10.208.16.0/22.
También puede especificar conjuntos de direcciones en reglas NAT, lo que le permite agregar varias direcciones dentro de un conjunto de direcciones y, por lo tanto, administrar un pequeño número de conjuntos de direcciones, en lugar de administrar un gran número de entradas de direcciones individuales. Cuando se especifica un conjunto de direcciones en una regla NAT, Junos OS aplica la regla automáticamente a cada miembro del conjunto de direcciones, por lo que no es necesario especificar cada dirección una por una.
Las siguientes direcciones y tipos de conjuntos de direcciones no se admiten en las reglas NAT: direcciones comodín, nombres DNS y una combinación de direcciones IPv4 e IPv6.
Al configurar libretas de direcciones con NAT, siga estas instrucciones:
-
En una regla NAT, solo puede especificar direcciones desde una libreta de direcciones global. Las libretas de direcciones definidas por el usuario no son compatibles con NAT.
-
Puede configurar un conjunto de direcciones como nombre de dirección de origen en una regla NAT de origen. Sin embargo, no puede configurar un conjunto de direcciones como nombre de dirección de destino en una regla NAT de destino.
Las siguientes instrucciones NAT de ejemplo muestran los tipos de direcciones y conjuntos de direcciones compatibles con las reglas NAT de origen y destino:
[edit security nat source rule-set src-nat rule src-rule1] set match source-address 2001:db8:1::/64 set match source-address-name add1 set match source-address-name add-set1 set match destination-address 2001:db8::/64 set match destination-address-name add2 set match destination-address-name add-set2
[edit security nat destination rule-set dst-nat rule dst-rule1] set match source-address 2001:db8::/64 set match source-address-name add2 set match source-address-name add-set2 set match destination-address-name add1
-
En una regla NAT estática, no se puede configurar un conjunto de direcciones como nombre de dirección de origen o destino. Las siguientes instrucciones NAT de ejemplo muestran los tipos de direcciones compatibles con las reglas NAT estáticas:
[edit security nat static rule-set stat] set rule stat-rule1 match destination-address 203.0.113.0/24 set rule stat-rule2 match destination-address-name add1
Ejemplo: configuración de libretas de direcciones y conjuntos de direcciones
En este ejemplo se muestra cómo configurar direcciones y conjuntos de direcciones en libretas de direcciones. También muestra cómo adjuntar libretas de direcciones a zonas de seguridad.
Requisitos
Antes de empezar:
Configure los dispositivos de seguridad de Juniper Networks para la comunicación de red.
Configure interfaces de red en dispositivos servidor y miembro. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Configure los servicios del Sistema de nombres de dominio (DNS). Para obtener información acerca de DNS, consulte Información general sobre DNS.
Visión general
En este ejemplo, configure una libreta de direcciones con direcciones y conjuntos de direcciones (consulte la figura 2) para simplificar la configuración de la red de su empresa. Crear una libreta de direcciones llamada Eng-dept y agregar direcciones de miembros del departamento de ingeniería. Crear otra libreta de direcciones llamada Web y agregarle un nombre DNS. A continuación, adjunte una confianza de zona de seguridad a la libreta de Eng-dept direcciones y una zona de seguridad de no confianza a la libreta de Web direcciones. También puede crear conjuntos de direcciones para agrupar direcciones de software y hardware en el departamento Ingeniería. Tiene previsto usar estas direcciones como direcciones de origen y direcciones de destino en las futuras configuraciones de directiva.
Además, agregue una dirección a la libreta de direcciones global, para que esté disponible para cualquier zona de seguridad que no tenga ninguna libreta de direcciones adjunta.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6 set security zones security-zone trust interfaces ge-0/0/0 set security zones security-zone untrust interfaces ge-0/0/1 set security address-book Eng-dept address a1 203.0.113.1 set security address-book Eng-dept address a2 203.0.113.2 set security address-book Eng-dept address a3 203.0.113.3 set security address-book Eng-dept address a4 203.0.113.4 set security address-book Eng-dept address-set sw-eng address a1 set security address-book Eng-dept address-set sw-eng address a2 set security address-book Eng-dept address-set hw-eng address a3 set security address-book Eng-dept address-set hw-eng address a4 set security address-book Eng-dept attach zone trust set security address-book Web address Intranet dns-name www-int.device1.example.com set security address-book Web attach zone untrust set security address-book global address g1 198.51.100.2
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar direcciones y conjuntos de direcciones:
Configure interfaces Ethernet y asígneles direcciones IPv4.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.5 user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.6
Cree zonas de seguridad y asígneles interfaces.
[edit] user@host# set security zones security-zone trust interfaces ge-0/0/0 user@host# set security zones security-zone untrust interfaces ge-0/0/1
Cree una libreta de direcciones y defina las direcciones en ella.
[edit security address-book Eng-dept ] user@host# set address a1 203.0.113.1 user@host# set address a2 203.0.113.2 user@host# set address a3 203.0.113.3 user@host# set address a4 203.0.113.4
Crear conjuntos de direcciones.
[edit security address-book Eng-dept] user@host# set address-set sw-eng address a1 user@host# set address-set sw-eng address a2 user@host# set address-set hw-eng address a3 user@host# set address-set hw-eng address a4
Adjunte la libreta de direcciones a una zona de seguridad.
[edit security address-book Eng-dept] user@host# set attach zone trust
Cree otra libreta de direcciones y adjúntela a una zona de seguridad.
[edit security address-book Web ] user@host# set address Intranet dns-name www-int.device1.example.com user@host# set attach zone untrust
Defina una dirección en la libreta de direcciones global.
[edit] user@host# set security address-book global address g1 198.51.100.2
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security zones comandos y show security address-book . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de la configuración de la libreta de direcciones
- Comprobación de la configuración de la libreta global de direcciones
Comprobación de la configuración de la libreta de direcciones
Propósito
Muestra información sobre las libretas de direcciones y direcciones configuradas.
Acción
En el modo de configuración, escriba el show security address-book comando.
user@host# show security address-book
Eng-dept {
address a1 203.0.113.1/32;
address a2 203.0.113.2/32;
address a3 203.0.113.3/32;
address a4 203.0.113.4/32;
address-set sw-eng {
address a1;
address a2;
}
address-set hw-eng {
address a3;
address a4;
}
attach {
zone trust;
}
}
Web {
address Intranet {
dns-name www-int.device1.example.com;
}
attach {
zone untrust;
}
}
global {
address g1 198.51.100.2/32;
}
Comprobación de la configuración de la libreta global de direcciones
Propósito
Muestra información sobre las direcciones configuradas en la libreta de direcciones global.
Acción
En el modo de configuración, escriba el show security address-book global comando.
user@host# show security address-book global
address g1 198.51.100.2/32;Excluir direcciones de las políticas
Junos OS permite a los usuarios agregar cualquier número de direcciones de origen y destino a una política. Si necesita excluir ciertas direcciones de una política, puede configurarlas como direcciones negadas. Cuando una dirección se configura como una dirección negada, se excluye de una política. Sin embargo, no puede excluir las siguientes direcciones IP de una política:
Comodín
IPv6
cualquier
any-IPv4
any-IPv6
0.0.0.0
Cuando se niega un rango de direcciones o una sola dirección, se puede dividir en varias direcciones. Estas direcciones negadas se muestran como un prefijo o una longitud que requiere más memoria para el almacenamiento en un motor de reenvío de paquetes.
Cada plataforma tiene un número limitado de políticas con direcciones negadas. Una política puede contener 10 direcciones de origen o de destino. La capacidad de la directiva depende del número máximo de directivas admitidas por la plataforma.
Antes de configurar una dirección de origen denegada, una dirección de destino o ambas, realice las siguientes tareas:
Cree una libreta de direcciones de origen, destino o ambas.
Cree nombres de direcciones y asigne direcciones de origen y destino a los nombres de dirección.
Cree conjuntos de direcciones para agrupar nombres de origen, destino o ambas direcciones.
Adjunte libretas de direcciones de origen y destino a zonas de seguridad. Por ejemplo, adjunte la libreta de direcciones de origen a la confianza de zona de origen y la libreta de direcciones de destino a la zona de no confianza.
Especifique el origen, el destino o ambos nombres de dirección coincidentes.
Ejecute los comandos source-address-excluded, destination-address excluded o ambos. Las direcciones de origen, destino o ambas agregadas en la libreta de direcciones de origen, destino o ambas quedarán excluidas de la política.
No es necesario adjuntar la libreta global de direcciones a ninguna zona de seguridad.
Ejemplo: Excluir direcciones de políticas
En este ejemplo se muestra cómo configurar direcciones de origen y destino negadas. También muestra cómo configurar libretas de direcciones y conjuntos de direcciones.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Un PC
Junos OS versión 12.1X45-D10
Antes de comenzar, configure libretas de direcciones y conjuntos de direcciones. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
Visión general
En este ejemplo, se crean libretas de direcciones de origen y destino, SOUR-ADDR y DES-ADDR, y se le agregan direcciones de origen y destino. Puede crear conjuntos de direcciones de origen y destino, as1 y as2, y agrupar las direcciones de origen y destino en ellos. A continuación, adjunte la libreta de direcciones de origen a la zona de seguridad de confianza y la libreta de direcciones de destino a la zona de seguridad que no es de confianza.
Puede crear zonas de seguridad desde la confianza de zona y la no confianza de zona hasta. Especifique el nombre de directiva en p1 y, a continuación, establezca el nombre de la dirección de origen de coincidencia en as1 y la dirección de destino de coincidencia en as2. Especifique los comandos source -address-excluded y destination -address-excluded para excluir las direcciones de origen y destino configuradas en la directiva p1. Por último, establezca la directiva p1 para permitir el tráfico de confianza de zona a no confianza de zona.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security address-book SOU-ADDR address ad1 255.255.255.255/32 set security address-book SOU-ADDR address ad2 203.0.113.130/25 set security address-book SOU-ADDR address ad3 range-address 192.0.2.6 to 192.0.2.116 set security address-book SOU-ADDR address ad4 192.0.2.128/25 set security address-book SOU-ADDR address-set as1 address ad1 set security address-book SOU-ADDR address-set as1 address ad2 set security address-book SOU-ADDR address-set as1 address ad3 set security address-book SOU-ADDR address-set as1 address ad4 set security address-book SOU-ADDR attach zone trust set security address-book DES-ADDR address ad8 198.51.100.1/24 set security address-book DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 set security address-book DES-ADDR address ad10 198.51.100.0/24 set security address-book DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250 set security address-book DES-ADDR address-set as2 address ad8 set security address-book DES-ADDR address-set as2 address ad9 set security address-book DES-ADDR address-set as2 address ad10 set security address-book DES-ADDR address-set as2 address ad11 set security address-book DES-ADDR attach zone untrust set security policies from-zone trust to-zone untrust policy p1 match source-address as1 set security policies from-zone trust to-zone untrust policy p1 match source-address-excluded set security policies from-zone trust to-zone untrust policy p1 match destination-address as2 set security policies from-zone trust to-zone untrust policy p1 match destination-address-excluded set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar direcciones negadas:
Cree una libreta de direcciones y nombres de direcciones de origen. Agregue las direcciones de origen a la libreta de direcciones.
[edit security address book ] user@host#set SOU-ADDR address ad1 255.255.255.255/32 user@host#set SOU-ADDR address ad2 203.0.113.130/25 user@host#set SOU-ADDR ad3 range-address 192.0.2.6 to 192.0.2.116 user@host#set SOU-ADDR address ad4 192.0.2.128/25
Cree un conjunto de direcciones para agrupar nombres de direcciones de origen.
[edit security address book ] user@host# set SOU-ADDR address-set as1 address ad1 user@host# set SOU-ADDR address-set as1 address ad2 user@host# set SOU-ADDR address-set as1 address ad3 user@host# set SOU-ADDR address-set as1 address ad4
Adjunte la libreta de direcciones de origen a la zona de seguridad de.
[edit security address book ] user@host# set SOU-ADDR attach zone trust
Cree una libreta de direcciones de destino y nombres de dirección. Agregue las direcciones de destino a la libreta de direcciones.
[edit security address book ] user@host#set DES-ADDR address ad8 198.51.100.1/24 user@host#set DES-ADDR address ad9 range-address 192.0.2.117 to 192.0.2.199 user@host#set DES-ADDR address ad10 198.51.100.0/24 user@host#set DES-ADDR address ad11 range-address 192.0.2.199 to 192.0.2.250
Cree otro conjunto de direcciones para agrupar nombres de direcciones de destino.
[edit security address book ] user@host# set DES-ADDR address-set as1 address ad8 user@host# set DES-ADDR address-set as1 address ad9 user@host# set DES-ADDR address-set as1 address ad10 user@host# set DES-ADDR address-set as1 address ad11
Adjunte la libreta de direcciones de destino a la zona de seguridad.
[edit security address book ] user@host# set DES-ADDR attach zone untrust
Especifique el nombre de la directiva y la dirección de origen.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address as1
Excluir direcciones de origen de la política.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address-excluded
Especifique la dirección de destino.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address as2
Excluya direcciones de destino de la política.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match destination-address-excluded
Configure la aplicación de directiva de seguridad.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match application any
Permitir el tráfico de confianza de zona a no confianza de zona.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address as1;
destination-address as2;
source-address-excluded;
destination-address-excluded;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de la configuración de directivas
- Comprobación de los detalles de configuración de directivas
Comprobación de la configuración de directivas
Propósito
Compruebe que la configuración de la directiva es correcta.
Acción
Desde el modo operativo, ingrese el show security policies policy-name p1 comando.
user@host>show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
Este resultado resume la configuración de la directiva.
Comprobación de los detalles de configuración de directivas
Propósito
Compruebe que la directiva y las configuraciones de direcciones de origen y destino negadas sean correctas.
Acción
Desde el modo operativo, ingrese el show security policies policy-name p1 detail comando.
user@host>show security policies policy-name p1 detail
Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source addresses(excluded):
ad1(SOU-ADDR): 255.255.255.255/32
ad2(SOU-ADDR): 203.0.113.130/25
ad3(SOU-ADDR): 192.0.2.6 ~ 192.0.2.116
ad4(SOU-ADDR): 192.0.2.128/25
Destination addresses(excluded):
ad8(DES-ADDR): 198.51.100.1/24
ad9(DES-ADDR): 192.0.2.117 ~ 192.0.2.199
ad10(DES-ADDR): 198.51.100.0/24
ad11(DES-ADDR): 192.0.2.199 to 192.0.2.250
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No
Este resultado resume la configuración de la directiva y muestra los nombres de las direcciones de origen y destino negadas excluidas de la directiva.
Comportamiento de libretas de direcciones y conjuntos de direcciones específicos de la plataforma
- Comportamiento de nombres DNS específicos de la plataforma en las libretas de direcciones
- Comportamiento de direcciones específicas de la plataforma y conjuntos de direcciones
Comportamiento de nombres DNS específicos de la plataforma en las libretas de direcciones
Use las libretas de direcciones y el Explorador de características para confirmar la compatibilidad de la plataforma y la versión para características específicas.
Use la tabla siguiente para revisar el comportamiento específico de la plataforma para su plataforma:
| Plataforma |
Diferencia |
|---|---|
| Serie SRX y vSRX3.0 |
|
Comportamiento de direcciones específicas de la plataforma y conjuntos de direcciones
| Plataforma |
Diferencia |
|
|---|---|---|
| Serie SRX |
Hay un límite en el número de objetos de dirección a los que puede hacer referencia una directiva; El número máximo de objetos de dirección por política es diferente para diferentes plataformas, como se muestra en la tabla siguiente. Consulte Prácticas recomendadas para definir políticas en dispositivos serie SRX para obtener detalles sobre el número máximo de políticas por contexto para firewalls serie SRX. |
|