Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zonas de segurança e políticas de segurança em dispositivos de segurança

Entendendo as zonas de segurança da Camada 2

Uma zona de segurança de Camada 2 é uma zona que hospeda interfaces de Camada 2. Uma zona de segurança pode ser uma zona de Camada 2 ou Camada 3; ele pode hospedar todas as interfaces de Camada 2 ou todas as interfaces de Camada 3, mas não pode conter uma mistura de interfaces de Camada 2 e Camada 3.

O tipo de zona de segurança — Camada 2 ou Camada 3 — é definido implicitamente a partir da primeira interface configurada para a zona de segurança. Interfaces posteriores configuradas para a mesma zona de segurança devem ser do mesmo tipo que a primeira interface.

Nota:

Você não pode configurar um dispositivo com zonas de segurança de Camada 2 e Camada 3.

Você pode configurar as seguintes propriedades para zonas de segurança de Camada 2:

  • Interfaces — Lista de interfaces na zona.

  • Políticas — políticas de segurança ativa que aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego conforme ele passa pelo firewall.

  • Telas — um firewall stateful da Juniper Networks protege uma rede inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem a passagem de uma zona de segurança para outra. Para cada zona de segurança e a zona MGT, você pode habilitar um conjunto de opções de tela predefinidas que detectam e bloqueiam vários tipos de tráfego que o dispositivo determina como potencialmente prejudicial.

    Nota:

    Você pode configurar as mesmas opções de tela para uma zona de segurança de Camada 2 que para uma zona de segurança de Camada 3.

  • Livros de endereços — endereços IP e conjuntos de endereços que compõem uma lista de endereços para identificar seus membros para que você possa aplicar políticas a eles.

  • TCP-RST — Quando esse recurso é habilitado, o sistema envia um segmento de TCP com o conjunto de bandeiras de reset quando o tráfego chega que não corresponde a uma sessão existente e não tem o conjunto de bandeiras de sincronização.

Além disso, você pode configurar uma zona de Camada 2 para tráfego de entrada de host. Isso permite especificar os tipos de tráfego que podem chegar ao dispositivo a partir de sistemas que estão diretamente conectados às interfaces da zona. Você deve especificar todo o tráfego de entrada de host esperado porque o tráfego de entrada de dispositivos conectados diretamente às interfaces do dispositivo é descartado por padrão.

Exemplo: Configuração de zonas de segurança de camada 2

Este exemplo mostra como configurar zonas de segurança de Camada 2.

Requisitos

Antes de começar, determine as propriedades que deseja configurar para a zona de segurança de Camada 2. Veja como entender as zonas de segurança da camada 2.

Visão geral

Neste exemplo, você configura a zona de segurança l2-zone1 para incluir uma interface lógica de Camada 2 chamada ge-3/0/0.0 e zona de segurança l2-zone2 para incluir uma interface lógica de Camada 2 chamada ge-3/0/1.0. Em seguida, você configura a zona l22 para permitir que todos os serviços de aplicativos suportados (como SSH, Telnet e SNMP) como tráfego de entrada de host.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar zonas de segurança de Camada 2:

  1. Crie uma zona de segurança de Camada 2 e atribua interfaces a ela.

  2. Configure uma das zonas de segurança de Camada 2.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show security zones comando.

Entender as políticas de segurança no modo transparente

No modo transparente, as políticas de segurança podem ser configuradas apenas entre zonas de Camada 2. Quando os pacotes são encaminhados pela VLAN, as políticas de segurança são aplicadas entre zonas de segurança. Uma política de segurança para modo transparente é semelhante a uma política configurada para zonas de Camada 3, com as seguintes exceções:

  • O NAT não é compatível.

  • A VPN IPsec não é suportada.

  • O APLICATIVO ANY não tem suporte.

O encaminhamento da camada 2 não permite tráfego entre zonas a menos que haja uma política explicitamente configurada no dispositivo. Por padrão, o encaminhamento de Camada 2 executa as seguintes ações:

  • Permite ou nega tráfego especificado pela política configurada.

  • Permite o protocolo de resolução de endereços (ARP) e tráfego não IP multicast e broadcast de Camada 2.

  • Continua a bloquear todo o tráfego unicast não IP e não ARP.

Esse comportamento padrão pode ser alterado para o fluxo de pacotes de comutação Ethernet usando j-Web ou o editor de configuração CLI:

  • Configure a opção de bloquear todo o block-non-ip-all tráfego não IP e não ARP da Camada 2, incluindo tráfego multicast e broadcast.

  • Configure a opção bypass-non-ip-unicast de permitir que todo o tráfego não IP de Camada 2 passe pelo dispositivo.

Nota:

Você não pode configurar ambas as opções ao mesmo tempo.

A partir do Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, você pode criar uma zona de segurança separada no modo misto (o modo padrão) para interfaces de Camada 2 e Camada 3. No entanto, não há roteamento entre interfaces IRB e entre interfaces IRB e interfaces de Camada 3. Dessa forma, você não pode configurar políticas de segurança entre zonas de Camada 2 e Camada 3. Você só pode configurar políticas de segurança entre as zonas de Camada 2 ou entre zonas de Camada 3.

Exemplo: Configuração de políticas de segurança no modo transparente

Este exemplo mostra como configurar políticas de segurança no modo transparente entre as zonas de Camada 2.

Requisitos

Antes de começar, determine o comportamento de política que deseja incluir na zona de segurança de Camada 2. Veja como entender as políticas de segurança no modo transparente.

Visão geral

Neste exemplo, você configura uma política de segurança para permitir o tráfego HTTP a partir da sub-rede 192.0.2.0/24 na zona de segurança l2-zone1 para o servidor em 192.0.2.1/24 na zona de segurança l2-zone2.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar políticas de segurança no modo transparente:

  1. Crie políticas e atribua endereços às interfaces para as zonas.

  2. Definir políticas para o aplicativo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando as políticas de segurança de camada 2

Propósito

Verifique se as políticas de segurança de Camada 2 estão configuradas corretamente.

Ação

A partir do modo de configuração, entre no show security policies comando.

Entendendo a autenticação do usuário de firewall no modo transparente

Um usuário de firewall é um usuário de rede que deve fornecer um nome de usuário e senha para autenticação ao iniciar uma conexão através do firewall. A autenticação do usuário do firewall permite que os administradores restrinjam e permitam que os usuários acessem recursos protegidos por trás de um firewall com base em seu endereço IP de origem e outras credenciais. O Junos OS oferece suporte aos seguintes tipos de autenticação de usuário de firewall para modo transparente no firewall da Série SRX:

  • Autenticação de passagem — um host ou um usuário de uma zona tenta acessar recursos em outra zona. Você deve usar um cliente FTP, Telnet ou HTTP para acessar o endereço IP do recurso protegido e ser autenticado pelo firewall. O dispositivo usa FTP, Telnet ou HTTP para coletar informações de nome de usuário e senha, e o tráfego subsequente do usuário ou host é permitido ou negado com base no resultado dessa autenticação.

  • Autenticação da Web — os usuários tentam se conectar, usando HTTP, a um endereço IP na interface IRB que é habilitado para autenticação da Web. Você é solicitado para o nome de usuário e senha que são verificados pelo dispositivo. O tráfego subsequente do usuário ou do host ao recurso protegido é permitido ou negado com base no resultado dessa autenticação.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
12.3X48-D10
A partir do Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, você pode criar uma zona de segurança separada no modo misto (o modo padrão) para interfaces de Camada 2 e Camada 3.