NESTA PÁGINA
Aprimoramentos de sincronização de configuração de políticas
Melhores práticas para definir políticas em dispositivos da Série SRX
Exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego
Exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado
Configuração de políticas de segurança
Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. O Junos OS permite que você configure políticas de segurança. As políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego à medida que passa pelo firewall.
Entendendo os elementos da política de segurança
Uma política de segurança é um conjunto de declarações que controla o tráfego de uma fonte especificada para um destino especificado usando um serviço especificado. Uma política permite, nega ou túneis determinados tipos de tráfego unidirecionalmente entre dois pontos.
Cada política consiste em:
Um nome único para a política.
A
from-zonee ato-zone, por exemplo: user@host#set security policies from-zone untrust to-zone untrustUm conjunto de critérios de correspondência que define as condições que devem ser satisfeitas para aplicar a regra da política. Os critérios de correspondência são baseados em um endereço IP de origem, endereço IP de destino e aplicativos. O firewall de identidade do usuário oferece maior granularidade ao incluir um tuple adicional, identidade de origem, como parte da declaração de política.
Um conjunto de ações a serem realizadas em caso de correspondência — permitir, negar ou rejeitar.
Elementos de contabilidade e auditoria — contagem, registro ou registro de sistema estruturado.
Se a Série SRX receber um pacote que corresponda a essas especificações, ele executará a ação especificada na política.
As políticas de segurança aplicam um conjunto de regras para o tráfego de trânsito, identificando qual tráfego pode passar pelo firewall e as ações tomadas no tráfego à medida que passa pelo firewall. As ações para o tráfego que correspondam aos critérios especificados incluem permissão, negação, rejeição, log ou contagem.
Entendendo as regras da política de segurança
A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto(from-zone para to-zone). Cada política é identificada exclusivamente pelo seu nome. O tráfego é classificado combinando suas zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.
Cada política está associada às seguintes características:
Uma zona de origem
Uma zona de destino
Um ou muitos nomes de endereços ou nomes de endereços de origem
Nomes de endereços ou endereços de destino ou nomes de endereços
Um ou muitos nomes de aplicativos ou nomes de configuração de aplicativos
Essas características são chamadas de critérios de correspondência. Cada política também tem ações associadas a ela: permitir, negar, rejeitar, contar, registrar e túnel VPN. Você precisa especificar os argumentos de condição de correspondência ao configurar uma política, endereço fonte, endereço de destino e nome do aplicativo.
Você pode especificar para configurar uma política com endereços IPv4 ou IPv6 usando a entrada anycuringa. Quando o suporte de fluxo não está habilitado para tráfego IPv6, any corresponde aos endereços IPv4. Quando o suporte de fluxo é habilitado para tráfego IPv6, any corresponde a endereços IPv4 e IPv6. Para permitir o encaminhamento baseado em fluxo para tráfego IPv6, use o set security forwarding-options family inet6 mode flow-based comando. Você também pode especificar o curinga any-ipv4 ou any-ipv6 para os critérios de correspondência de endereço de origem e destino para incluir apenas endereços IPv4 ou apenas IPv6, respectivamente.
Quando o suporte de fluxo para tráfego IPv6 é habilitado, o número máximo de endereços IPv4 ou IPv6 que você pode configurar em uma política de segurança é baseado nos seguintes critérios de correspondência:
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
O motivo do Thr para os critérios de correspondência é que um endereço IPv6 usa quatro vezes o espaço de memória que um endereço IPv4 usa.
Você só pode configurar uma política de segurança com endereços IPv6 se o suporte de fluxo para tráfego IPv6 estiver habilitado no dispositivo.
Se você não quiser especificar um aplicativo específico, digite any como o aplicativo padrão. Para procurar os aplicativos padrão, a partir do modo de configuração, entre show groups junos-defaults | find applications (predefined applications). Por exemplo, se você não fornecer um nome de aplicativo, a política será instalada com o aplicativo como um curinga (padrão). Portanto, qualquer tráfego de dados que corresponda ao restante dos parâmetros em uma determinada política corresponderia à política, independentemente do tipo de aplicativo do tráfego de dados.
Se uma política estiver configurada com vários aplicativos e mais de um dos aplicativos corresponder ao tráfego, o aplicativo que melhor atender aos critérios de correspondência será selecionado.
A ação da primeira política que o tráfego corresponde é aplicada ao pacote. Se não houver política de correspondência, o pacote será descartado. As políticas são pesquisadas de cima a baixo, por isso é uma boa ideia colocar políticas mais específicas perto do topo da lista. Você também deve colocar as políticas de túnel de VPN IPsec perto do topo. Coloque as políticas mais gerais, como uma que permitiria a certos usuários acesso a todos os aplicativos da Internet, na parte inferior da lista. Por exemplo, coloque as políticas de negação ou rejeição de todos no fundo, depois que todas as políticas específicas tiverem sido analisadas antes e o tráfego legítimo tiver sido permitido/contagem/logado.
O suporte para endereços IPv6 é adicionado no Junos OS Release 10.2. O suporte para endereços IPv6 em configurações ativas/ativas de cluster de chassi (além do suporte existente de configurações de cluster ativo/passivo do chassi) é adicionado no Junos OS Release 10.4.
As políticas são analisadas durante o processamento de fluxo após o processamento de filtros e telas de firewall e a pesquisa de rota foi concluída pela Unidade de Processamento de Serviços (SPU) (para dispositivos de SRX5400, SRX5600 e SRX5800). A análise da política determina a zona de destino, o endereço de destino e a interface de saída.
Quando você está criando uma política, as seguintes regras de política se aplicam:
As políticas de segurança estão configuradas em uma
from-zoneto-zonedireção. Em uma direção de zona específica, cada política de segurança contém um nome, critérios de correspondência, uma ação e opções diversas.O nome da política, os critérios de correspondência e a ação são necessários.
O nome da política é uma palavra-chave.
O endereço fonte nos critérios de correspondência é composto por um ou mais nomes de endereços ou nomes de endereço no
from-zone.O endereço de destino dos critérios de correspondência é composto por um ou mais nomes de endereços ou nomes de endereço no
to-zone.O nome do aplicativo nos critérios de correspondência é composto pelo nome de um ou mais aplicativos ou conjuntos de aplicativos.
Uma das seguintes ações é necessária: permitir, negar ou rejeitar.
Os elementos de contabilidade e auditoria podem ser especificados: contagem e log.
Você pode habilitar o registro no final de uma sessão com o
session-closecomando, ou no início da sessão com osession-initcomando.Quando o alarme de contagem é ativado, especifique os limiares de alarme em bytes por segundo ou kilobytes por minuto.
Você não pode especificar
globalcomo ofrom-zoneou a exceto sob ato-zoneseguinte condição:Qualquer política configurada com a
to-zonezona como global deve ter um único endereço de destino para indicar que o NAT estático ou o NAT de entrada foram configurados na política.Nos firewalls da Série SRX, a opção de permissão de política com NAT é simplificada. Cada política indicará opcionalmente se permite a tradução de NAT, não permite a tradução de NAT ou não se importa.
Os nomes dos endereços não podem começar com os seguintes prefixos reservados. Estes são usados apenas para a configuração de NAT de endereço:
static_nat_incoming_nat_junos_
Os nomes dos aplicativos não podem começar com o
junos_prefixo reservado.
Entendendo endereços curingas
Os endereços de origem e destino são dois dos cinco critérios de correspondência que devem ser configurados em uma política de segurança. Agora, você pode configurar endereços curingas para os critérios de correspondência de endereços de origem e destino em uma política de segurança. Um endereço curinga é representado como A.B.C.D/máscara curinga. A máscara curinga determina qual dos bits no endereço IP A.B.C.D deve ser ignorado pelos critérios de correspondência da política de segurança. Por exemplo, o endereço IP de origem 192.168.0.11/255.255.0.255 em uma política de segurança implica que os critérios de correspondência da política de segurança podem descartar o terceiro octeto no endereço IP (simbolicamente representado como 192.168.*.11). Portanto, os pacotes com endereços IP de origem, como 192.168.1.11 e 192.168.22.11, estão de acordo com os critérios de correspondência. No entanto, os pacotes com endereços IP de origem, como 192.168.0.1 e 192.168.1.21, não satisfazem os critérios de correspondência.
O uso de endereços curingas não está restrito apenas a octets completos. Você pode configurar qualquer endereço curinga. Por exemplo, o endereço curinga 192.168. 7.1/255.255.7.255 implica que você precisa ignorar apenas os primeiros 5 bits do terceiro octeto do endereço curinga enquanto faz a política corresponder. Se o uso de endereços curinga estiver restrito apenas a octets completos, então máscaras curingas com 0 ou 255 em cada um dos quatro octetes só serão permitidas.
O primeiro octeto da máscara curinga deve ser maior que 128. Por exemplo, uma máscara curinga representada como 0.255.0.255 ou 1.255.0.255 é inválida.
Uma política de segurança curinga é uma política de firewall simples que permite que você permita, negue e rejeite o tráfego tentando atravessar de uma zona de segurança para outra. Você não deve configurar regras de política de segurança usando endereços curingas para serviços como segurança de conteúdo.
A segurança de conteúdo para sessões IPv6 não é suportada. Se sua política de segurança atual usar regras com o curinga do endereço IP e os recursos de segurança de conteúdo estiverem habilitados, você encontrará erros de confirmação de configuração porque os recursos de segurança de conteúdo ainda não suportam endereços IPv6. Para resolver os erros, modifique a regra que devolve o erro para que o curinga qualquer ipv4 seja usado; e criar regras separadas para tráfego IPv6 que não incluam recursos de segurança de conteúdo.
A configuração de políticas de segurança curinga em um dispositivo afeta o desempenho e o uso de memória com base no número de políticas curinga configuradas por contexto de zona a zona. Portanto, você só pode configurar um máximo de 480 políticas curingas para um contexto específico de zona a zona.
Veja também
Aprimoramentos de sincronização de configuração de políticas
O mecanismo aprimorado de sincronização de configuração de políticas melhora a forma como as configurações de políticas são sincronizadas entre o Mecanismo de Roteamento (RE) e o Mecanismo de encaminhamento de pacotes (PFE), aumentando a confiabilidade e a segurança do sistema. Esse mecanismo garante que as políticas sejam sincronizadas de forma automática e precisa. Além disso, o sistema evita efetivamente qualquer queda de fluxo durante o processo de mudança na configuração da política de segurança.
Para suporte específico da plataforma, veja o comportamento de sincronização de configuração de políticas específicas da plataforma.
- Serialização de arquivos
- Evite a interrupção da sessão de fluxo durante as mudanças na configuração da política
Serialização de arquivos
Realize a propagação de mudanças de políticas no plano de dados usando a serialização de arquivos. Ao serializar as configurações de políticas em arquivos, o sistema garante que eles sejam lidos e aplicados pelo PFE de maneira controlada e confiável. Esses arquivos serializados são armazenados em diretórios designados e são automaticamente excluídos após um aplicativo bem-sucedido, fornecendo um método de sincronização mais eficiente e amigável à largura de banda. Essa abordagem baseada em arquivos reduz o risco de incompatibilidades de políticas de segurança e aumenta a confiabilidade do sistema.
Por padrão, a serialização baseada em arquivos é habilitada. Você pode desabilitar a serialização de arquivos usando a seguinte declaração:
[edit] user@host# set security policies no-file-serialization
Para re habilitar o recurso de serialização de arquivos, use a seguinte declaração:
[edit] user@host# delete security policies no-file-serialization
Ou use a seguinte declaração:
[edit] user@host# set security policies file-serialization
Evite a interrupção da sessão de fluxo durante as mudanças na configuração da política
Você pode evitar a interrupção da sessão de fluxo durante as mudanças na configuração da política de segurança. Mudanças na configuração, como a condição de correspondência de políticas ou mudanças de ação, adição ou exclusão de uma política, troca de políticas ou mudança na ordem de política interrompe as sessões de fluxo. Essas mudanças afetam os dados de configuração do PFE, potencialmente afetando pesquisas de políticas contínuas e possivelmente levando a uma seleção incorreta ou padrão de políticas. Ou seja, durante a breve transição da política antiga para a nova política, as sessões podem corresponder a estruturas de dados parcialmente criadas, causando correspondências de política incorretas.
Para evitar a interrupção causada pela mudança na política de segurança, você pode usar a seguinte declaração:
[edit] user@host# set security policies lookup-intact-on-commit
Ao configurar a opção lookup-intact-on-commit , reinicie o plano de encaminhamento no dispositivo ou em uma configuração de cluster de chassi.
Use o comando a seguir para verificar o status e a elegibilidade do dispositivo antes de habilitar a opção lookup-intact-on-commit .
[edit] user@host> show security policies lookup-intact-on-commit
A saída de comando exibe se a opção lookup-intact-on-commit já estiver configurada no dispositivo e exibir a elegibilidade do dispositivo em termos de armazenamento de memória disponível para ativação lookup-intact-on-commit da opção.
Tratamento de memória e erros
A implementação desses novos mecanismos de sincronização exige que seu sistema atenda a requisitos de memória específicos. Especificamente, você precisa de pelo menos 5% de pilha de kernel gratuito e 1% de pilha de usuário livre para habilitar o recurso de busca intacto no compromisso. Isso garante que haja memória suficiente disponível para a sincronização baseada em arquivo e operações de memória dupla. Em caso de falhas de sincronização, o sistema foi projetado para reverter automaticamente ao método tradicional.
Você pode usar o show security policies lookup-intact-on-commit eligibilitycomando para verificar a disponibilidade de memória do sistema por FPC. Essa saída indica se o FPC em particular é elegível para configurar a set security policies lookup-intact-on-commit configuração.
Suporte para sistema lógico e sistema de locatários
Você pode configurar lookup-intact-on-commit e file-serialization apenas no sistema lógico raiz (nível do sistema). A configuração nos níveis do sistema lógico e do sistema de locatários não é suportada. No entanto, se você configurar essas configurações no nível raiz, a configuração também otimizará as políticas configuradas em níveis de sistema lógico e de sistema de locatário.
Entendendo as políticas de segurança para auto-tráfego
As políticas de segurança são configuradas nos dispositivos para aplicar serviços ao tráfego que flui pelo dispositivo. Por exemplo, as políticas de UAC e segurança de conteúdo estão configuradas para aplicar serviços ao tráfego transitório.
Tráfego autônomo ou host é o tráfego de entrada de host; ou seja, o tráfego terminando no dispositivo ou no tráfego de saída do host que é o tráfego originário do dispositivo. Agora, você pode configurar políticas para aplicar serviços no tráfego autônomo. Serviços como o serviço de pilha SSL que devem encerrar a conexão SSL de um dispositivo remoto e realizar algum processamento nesse tráfego, serviços de IDP no tráfego de entrada de host ou criptografia IPsec no tráfego de saída do host devem ser aplicados por meio das políticas de segurança configuradas no tráfego autônomo.
Quando você configura uma política de segurança para tráfego autônomo, o tráfego que flui pelo dispositivo é verificado primeiro contra a política e depois contra a opção host-inbound-traffic configurada para as interfaces vinculadas à zona.
Você pode configurar a política de segurança para auto-tráfego para aplicar serviços ao auto-tráfego. As políticas de saída do host funcionarão apenas nos casos em que o pacote que se originou no dispositivo host passar pelo fluxo e a interface de entrada deste pacote for definida para local.
As vantagens de usar o auto-tráfego são:
Você pode aproveitar a maior parte da política ou infraestrutura de fluxo existente usada para o tráfego de trânsito.
Você não precisa de um endereço IP separado para habilitar qualquer serviço.
Você pode aplicar serviços ou políticas a qualquer tráfego de entrada de host com o endereço IP de destino de qualquer interface no dispositivo.
Nos firewalls da Série SRX, as regras de política de segurança padrão não afetam o tráfego autônomo.
Você pode configurar a política de segurança para tráfego autônomo apenas com serviços relevantes. Por exemplo, não é relevante configurar o serviço fwauth no tráfego de saída de host, e os serviços gprs-gtp não são relevantes para as políticas de segurança para auto-tráfego.
As políticas de segurança para o tráfego autônomo estão configuradas sob a nova zona de segurança padrão chamada junos-host zona. A zona junos-host fará parte da configuração padrão Junos, para que os usuários não possam deletá-la. As configurações de zona existentes, como interfaces, tela, tcp-rst e opções de tráfego de entrada de host, não são significativas para a zona junos-host. Portanto, não há configuração dedicada para a zona junos-host.
Você pode usar o tráfego de entrada de host para controlar conexões de entrada em um dispositivo; no entanto, não restringe a saída de tráfego do dispositivo. Considerando que a zona junos-host permite que você selecione a aplicação de sua escolha e também restrinja o tráfego de saída. Por exemplo, serviços como NAT, IDP, Segurança de conteúdo e assim por diante agora podem ser habilitados para o tráfego entrando ou saindo do firewall da Série SRX usando a zona junos-host.
Visão geral da configuração das políticas de segurança
Você deve concluir as seguintes tarefas para criar uma política de segurança:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços com endereços para a política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Crie a política. Veja exemplo: Configuração de uma política de segurança para permitir ou negar todo o tráfego, exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado e exemplo: configuração de uma política de segurança para permitir ou negar tráfego de endereços curingas.
Crie agendadores se quiser usá-los para suas políticas. Veja exemplo: configuração de agendadores para uma agenda diária, excluindo um dia.
O Assistente de política de firewall permite que você execute a configuração básica da política de segurança. Para configuração mais avançada, use a interface J-Web ou a CLI.
Veja também
Melhores práticas para definir políticas em dispositivos da Série SRX
Uma rede segura é vital para uma empresa. Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto (de zona para zona) e cada política é identificada de forma exclusiva pelo seu nome. O tráfego é classificado combinando as zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.
Para o suporte específico da plataforma para os objetos da política de segurança, como endereços, número de políticas e assim por diante, veja o comportamento do suporte a objetos de política específicos da plataforma. O suporte da plataforma depende da versão do Junos OS em sua instalação.
.
Observe que à medida que você aumenta o número de endereços e aplicativos em cada regra, a quantidade de memória que é usada pela definição de política aumenta, e às vezes o sistema fica sem memória com menos de 80.000 políticas.
Para obter a utilização real de memória de uma política no Mecanismo de encaminhamento de pacotes (PFE) e no mecanismo de roteamento (RE), você precisa levar em consideração vários componentes da árvore de memória. A árvore de memória inclui os seguintes dois componentes:
Contexto da política — Usado para organizar todas as políticas neste contexto. O contexto da política inclui variáveis como zonas de origem e destino.
Entidade de políticas — Usada para manter os dados da política. A entidade de política calcula a memória usando parâmetros como nome da política, endereços IP, contagem de endereços, aplicativos, autenticação de firewall, WebAuth, IPsec, contagem, serviços de aplicativos e Junos Services Framework (JSF).
Além disso, as estruturas de dados usadas para armazenar políticas, conjuntos de regras e outros componentes usam memória diferente no Mecanismo de encaminhamento de pacotes e no mecanismo de roteamento. Por exemplo, os nomes de endereço para cada endereço na política são armazenados no Mecanismo de Roteamento, mas nenhuma memória é alocada no nível do Mecanismo de encaminhamento de pacotes. Da mesma forma, as faixas de porta são expandidas para pares de prefixo e máscara e são armazenadas no Mecanismo de encaminhamento de pacotes, mas nenhuma dessas memórias é alocada no Mecanismo de Roteamento.
Assim, dependendo da configuração da política, os contribuintes de políticas para o Mecanismo de Roteamento são diferentes daqueles para o Mecanismo de encaminhamento de pacotes, e a memória é alocada dinamicamente.
A memória também é consumida pelo estado de "exclusão diferida". No estado de exclusão diferido, quando um firewall da Série SRX aplica uma mudança de política, há um pico transitório de uso pelo qual as políticas antigas e novas estão presentes. Por isso, por um breve período, existem políticas antigas e novas no Mecanismo de encaminhamento de pacotes, ocupando o dobro dos requisitos de memória.
Portanto, não há uma maneira definitiva de inferir claramente quanta memória é usada por ambos os componentes (Packet Forwarding Engine ou Mecanismo de roteamento) em um determinado momento, porque os requisitos de memória dependem de configurações específicas de políticas, e a memória é alocada dinamicamente.
As seguintes melhores práticas para implementação de políticas permitem que você use melhor a memória do sistema e otimize a configuração de políticas:
Use prefixos únicos para endereços de origem e destino. Por exemplo, em vez de usar /32 endereços e adicionar cada endereço separadamente, use uma grande sub-rede que cobre a maioria dos endereços IP que você precisa.
Use o aplicativo "qualquer" sempre que possível. Cada vez que você definir um aplicativo individual na política, você pode usar mais 52 bytes.
Use menos endereços IPv6 porque os endereços IPv6 consomem mais memória.
Use menos pares de zona nas configurações de políticas. Cada zona de origem ou destino usa cerca de 16.048 bytes de memória.
Os parâmetros a seguir podem mudar a forma como a memória é consumida pelos bytes conforme especificado:
Autenticação de firewall — cerca de 16 bytes ou mais (não fixados)
Autenticação da Web — Cerca de 16 bytes ou mais (sem fixação)
Bytes IPsec-12
Serviços de aplicativos — 28 bytes
Contagem de bytes de 64 bytes
Verifique a utilização da memória antes e depois da compilação das políticas.
Nota:O requisito de memória para cada dispositivo é diferente. Alguns dispositivos oferecem suporte a 512.000 sessões por padrão, e a memória de inicialização geralmente está em 72 a 73%. Outros dispositivos podem ter até 1 milhão de sessões e a memória de inicialização pode ser de até 83 a 84%. Na pior das hipóteses, para oferecer suporte a cerca de 80.000 políticas na SPU, a SPU deve inicializar com um consumo de memória de kernel fluído de até 82% e com pelo menos 170 megabytes de memória disponíveis.
Veja também
Configuração de políticas usando o assistente de firewall
O Assistente de política de firewall permite que você execute a configuração básica da política de segurança. Para configuração mais avançada, use a interface J-Web ou a CLI.
Para suporte específico da plataforma, veja o comportamento do assistente de política de firewall específico da plataforma.
Para configurar políticas usando o Assistente de política de firewall:
- Selecione
Configure>Tasks>Configure FW Policyna interface J-Web. - Clique no botão Assistente de política de firewall de lançamento para lançar o assistente.
- Siga os prompts no assistente.
A área superior esquerda da página de assistente mostra onde você está no processo de configuração. A área inferior esquerda da página mostra ajuda sensível ao campo. Ao clicar em um link no título Recursos, o documento é aberto em seu navegador. Se o documento for aberto em uma nova guia, certifique-se de fechar apenas a guia (não a janela do navegador) quando você fechar o documento.
Exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego
Este exemplo mostra como configurar uma política de segurança para permitir ou negar todo o tráfego.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Visão geral
No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura as interfaces de confiança e não confiáveis, ge-0/0/2 e ge-0/0/1. Veja a Figura 1.
Este exemplo de configuração mostra como:
Permita ou negue todo o tráfego da zona de confiança até a zona não confiável, mas bloqueie tudo, desde a zona não confiável até a zona de confiança.
Permita ou negue o tráfego selecionado de um host na zona de confiança para um servidor na zona não confiável em um determinado momento.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política de segurança para permitir ou negar todo o tráfego:
Configure as interfaces e as zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Crie a política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
Crie a política de segurança para negar tráfego da zona não confiável para a zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
O exemplo de configuração é uma permissão padrão,desde a zona de confiança até a zona não confiável.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique as informações sobre políticas de segurança.
Ação
Desde o modo operacional, entre no show security policies detail comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.
Significado
A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:
De e para zonas
Endereços de origem e destino
Critérios de correspondência
Exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado
Este exemplo mostra como configurar uma política de segurança para permitir ou negar tráfego selecionado.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Permitir tráfego de e para zonas de confiança e não confiáveis. Veja exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego.
Visão geral
No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma política de segurança específica para permitir apenas tráfego de e-mail de um host na zona de confiança para um servidor na zona não confiável. Nenhum outro tráfego é permitido. Veja a Figura 2.
selecionado
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política de segurança para permitir o tráfego selecionado:
Configure as interfaces e as zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Crie entradas de agenda de endereços para o cliente e para o servidor. Além disso, conecte zonas de segurança aos livros de endereços.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
Defina a política para permitir o tráfego de correio.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique as informações sobre políticas de segurança.
Ação
Desde o modo operacional, entre no show security policies detail comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.
Significado
A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:
De e para zonas
Endereços de origem e destino
Critérios de correspondência
Exemplo: configuração de uma política de segurança para permitir ou negar tráfego de endereços curingas
Este exemplo mostra como configurar uma política de segurança para permitir ou negar tráfego de endereços curingas.
Requisitos
Antes de começar:
Entenda os endereços curingas. Veja como entender as regras da política de segurança.
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Permitir tráfego de e para zonas de confiança e não confiáveis. Veja exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego.
Permitir tráfego de e-mail de e para zonas de confiança e não confiáveis. Veja exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado
Visão geral
No sistema operacional Junos (Junos OS), as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma segurança específica para permitir apenas o tráfego de endereços curingas de um host na zona de confiança até a zona não confiável. Nenhum outro tráfego é permitido.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política de segurança para permitir o tráfego selecionado:
Configure as interfaces e as zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Crie uma entrada de agenda de endereços para o host e anexe a lista de endereços a uma zona.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
Defina a política para permitir tráfego de endereços curingas.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies comandos e show security zones os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique as informações sobre políticas de segurança.
Ação
Desde o modo operacional, entre no show security policies policy-name permit-wildcard detail comando para exibir detalhes sobre a política de segurança de curinga de permissão configurada no dispositivo.
Significado
A saída exibe informações sobre a política de curinga de permissão configurada no sistema. Verifique as seguintes informações:
De e para zonas
Endereços de origem e destino
Critérios de correspondência
Exemplo: configuração de uma política de segurança para redirecionar logs de tráfego para um servidor de log externo do sistema
Este exemplo mostra como configurar uma política de segurança para enviar logs de tráfego gerados no dispositivo para um servidor de log externo do sistema.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um cliente conectado a um dispositivo SRX5600 na interface ge-4/0/5
Um servidor conectado ao dispositivo SRX5600 na interface ge-4/0/1
Os logs gerados no SRX5600 dispositivo são armazenados em um servidor de log de sistema baseado em Linux.
Um dispositivo SRX5600 conectado ao servidor baseado em Linux na interface ge-4/0/4
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você configura uma política de segurança no dispositivo SRX5600 para enviar logs de tráfego, gerados pelo dispositivo durante a transmissão de dados, para um servidor baseado em Linux. Os logs de tráfego registram detalhes de cada sessão. Os logs são gerados durante o estabelecimento e a rescisão de sessão entre a fonte e o dispositivo de destino que estão conectados ao dispositivo SRX5600.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar uma política de segurança para enviar logs de tráfego a um servidor de log externo do sistema:
Configure logs de segurança para transferir logs de tráfego gerados no dispositivo SRX5600 para um servidor de log externo do sistema com o endereço IP 203.0.113.2. O endereço IP 127.0.0.1 é o endereço de loopback do dispositivo SRX5600.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
Configure uma zona de segurança e especifique os tipos de tráfego e protocolos permitidos na interface ge-4/0/5.0 do dispositivo SRX5600.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
Configure outra zona de segurança e especifique os tipos de tráfego permitidos nas interfaces ge-4/0/4.0 e ge-4/0/1.0 do dispositivo SRX5600.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
Crie uma política e especifique os critérios de correspondência para essa política. Os critérios de correspondência especificam que o dispositivo pode permitir o tráfego de qualquer fonte, para qualquer destino e em qualquer aplicativo.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
Habilite a política para registrar detalhes de tráfego no início e no final da sessão.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security log comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
Se você terminar de configurar o dispositivo, entre commit no modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Zonas de verificação
Propósito
Verifique se a zona de segurança está habilitada ou não.
Ação
A partir do modo operacional, entre no show security zones comando.
Modo TAP para zonas e políticas de segurança
O modo ponto de acesso terminal (TAP) para zonas de segurança e políticas permite que você monitore passivamente os fluxos de tráfego em uma rede por meio de uma span de switch ou porta espelho.
- Entender o suporte ao modo TAP para zonas e políticas de segurança
- Exemplo: Configuração de zonas e políticas de segurança no modo TAP
Entender o suporte ao modo TAP para zonas e políticas de segurança
O modo ponto de acesso terminal (TAP) é um dispositivo de espera, que verifica o tráfego espelhado através do switch. Se as zonas e políticas de segurança estiverem configuradas, o modo TAP inspeciona o tráfego de entrada e saída configurando a interface TAP e gerando um relatório de log de segurança para exibir o número de ameaças detectadas e o uso do usuário. Se algum pacote se perder na interface de toque, as zonas de segurança e as políticas terminam a conexão, como resultado nenhum relatório gera para essa conexão. A configuração da zona de segurança e da política permanece a mesma do modo não-TAP.
Quando você configura um firewall da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário. Quando o dispositivo está configurado para operar no modo TAP, o firewall da Série SRX recebe pacotes apenas da interface TAP configurada. Exceto a interface TAP configurada, outra interface está configurada para uma interface normal que é usada como interface de gerenciamento ou conectada ao servidor externo. O firewall da Série SRX gerará relatório ou log de segurança de acordo com o tráfego de entrada.
A zona de segurança e a política de segurança padrão serão configuradas após a configuração da interface TAP. Você pode configurar outras zonas ou políticas, se necessário. Se uma interface for usada para conectar um servidor, o endereço IP, a interface de roteamento e a configuração de segurança também precisam ser configurados.
Você pode configurar apenas uma interface TAP quando opera o dispositivo no modo TAP.
Exemplo: Configuração de zonas e políticas de segurança no modo TAP
Este exemplo mostra como configurar zonas de segurança e políticas quando o firewall da Série SRX é configurado no modo TAP (Terminal Access Point).
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um firewall da Série SRX
Versão Junos OS 19.1R1
Antes de começar:
Leia o suporte do modo TAP para zonas e políticas de segurança para entender como e onde esse procedimento se encaixa no suporte geral para zonas e políticas de segurança.
Visão geral
Neste exemplo, você configura o firewall da Série SRX para operar no modo TAP. Quando você configura o firewall da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, inserir o commit a partir do modo de configuração.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar zonas no modo TAP:
Configure a interface de tap-zone da zona de segurança.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
Configure o rastreamento de aplicativos da zona de segurança de zona de tap-zone.
user@host# set security zones security-zone tap-zone application-tracking
Configure a política de segurança que permite que o tráfego da zona de tap-zone até a política de zona de tap-zone toque e configure a condição da partida.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security zones comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificação da configuração de políticas no modo TAP
Propósito
Verifique as informações sobre políticas de segurança.
Ação
A partir do modo operacional, entre no show security policies detail comando.
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Significado
Exibe um resumo de todas as políticas de segurança configuradas no dispositivo no modo TAP.
Grupos de endereço dinâmicos em políticas de segurança
Adicionar entradas de endereço manualmente em uma política pode ser demorado. Existem fontes externas que fornecem listas de endereços IP que têm uma finalidade específica (como um blocklist) ou que têm um atributo comum (como um local ou comportamento específico que pode representar uma ameaça). Você pode usar a fonte externa para identificar fontes de ameaças por seu endereço IP e, em seguida, agrupar esses endereços em uma entrada dinâmica de endereço e fazer referência a essa entrada em uma política de segurança. Com isso, você pode controlar o tráfego de e para esses endereços. Cada um desses grupos de endereços IP é referido como uma entrada dinâmica de endereço.
Os seguintes tipos de endereços IP são suportados:
-
IP único. Por exemplo: 192.0.2.0
-
Faixa de IP. Por exemplo: 192.0.2.0- 192.0.2.10
-
CIDR. Por exemplo: 192.0.2.0/24
Cada entrada ocupa uma linha. A partir do Junos OS Release 19.3R1, as faixas de endereço IP não precisam ser classificadas em ordem crescente e o valor das entradas IP pode se sobrepor no mesmo arquivo de feed. Nas versões do Junos OS antes do 19.3R1, as faixas de endereço IP precisam ser classificadas em ordem crescente e o valor das entradas IP não pode se sobrepor no mesmo arquivo de feed.
Uma entrada dinâmica de endereços é um grupo de endereços IP, não um único prefixo IP. Uma entrada dinâmica de endereços é diferente dos conceitos de endereços de segurança de livros de endereços e endereços de entrada.
A seguir, os benefícios da implantação de entradas dinâmicas de endereços em políticas de segurança:
-
O administrador de rede tem mais controle sobre o tráfego de e para grupos de endereços IP.
-
O servidor externo fornece feeds de endereço IP atualizados para o firewall da Série SRX.
-
Os esforços do administrador são drasticamente reduzidos. Por exemplo, em uma configuração de política de segurança legadas, adicionar 1000 entradas de endereço para uma política de referência exigiria cerca de 2000 linhas de configuração. Ao definir uma entrada dinâmica de endereço e referenciá-la em uma política de segurança, até milhões de entradas poderiam fluir para o firewall da Série SRX sem muito esforço de configuração adicional.
-
Nenhum processo de confirmação é necessário para adicionar novos endereços. Adicionar milhares de endereços a uma configuração por meio de um método legado leva muito tempo para ser comprometido. Alternativamente, os endereços IP em uma entrada dinâmica de endereço vêm de um feed externo, de modo que nenhum processo de confirmação é necessário quando os endereços em uma mudança de entrada.
A Figura 3 ilustra uma visão geral funcional de como funciona a entrada dinâmica de endereços em uma política de segurança.
segurança
Uma política de segurança faz referência à entrada dinâmica de endereços em um endereço de origem ou campo de endereço de destino (da mesma forma que uma política de segurança faz referência a uma entrada de endereço legado).
A Figura 4 ilustra uma política que usa uma entrada dinâmica de endereço no campo de endereço de destino.
de segurança
Na Figura 4, a Política 1 usa o endereço de destino 10.10.1.1, que é uma entrada de endereço de segurança legado. A política 2 usa a lista de bloqueio do fornecedor de endereços de destino, que é uma entrada dinâmica de endereço indicada pelo administrador de rede. Seu conteúdo é a lista de endereços IP recuperados de um arquivo de feed externo. Os pacotes que correspondem a todos os cinco critérios (a zona a partir da zona nomeada como não confiável, o engenheiro indicado para A-zone, qualquer endereço de origem, um endereço IP de destino que pertence à entrada dinâmica de endereços de blocklist do Fornecedor e ao aplicativo de correio) são tratados de acordo com as ações de políticas, que são negar e registrar o pacote.
Os nomes dinâmicos de entrada de endereço compartilham o mesmo espaço de nome que as entradas de endereço de segurança legadas, portanto, não use o mesmo nome para mais de uma entrada. O Junos OS confirma verifica se os nomes não são duplicados para evitar um conflito.
Grupos de endereços dinâmicos oferecem suporte aos seguintes feeds de dados:
-
Listas personalizadas (listas de permitidores e blocklists)
-
GeoIP
- Servidores de feed
- Feeds de pacotes
- Comportamento de sincronização de configuração de políticas específicas da plataforma
- Comportamento de suporte a objetos de política específicos da plataforma
- Comportamento de suporte padrão de fábrica específico da plataforma
- Comportamento de suporte para IDP específico da plataforma
- Comportamento do assistente de política de firewall específico da plataforma
- Comportamento de suporte de servidor de feed de arquivos específico da plataforma
Servidores de feed
-
Para suporte específico da plataforma, veja o comportamento de suporte do servidor de feed de arquivo específico da plataforma.
-
Os servidores de feed contêm entradas dinâmicas de endereço em um arquivo de feed. Você pode criar feeds personalizados que podem ser locais ou remotos. Para criação de feeds personalizados, veja, Criando feeds personalizados
-
Configure o firewall da Série SRX para usar os feeds. Veja o servidor de feed para configurar o firewall da Série SRX.
Feeds de pacotes
Endereços IP, prefixos IP ou intervalos IP contidos em uma entrada dinâmica de endereço podem ser atualizados periodicamente baixando um feed externo. Os firewalls da Série SRX iniciam periodicamente uma conexão com o servidor de feed para baixar e atualizar as listas de IP que contêm os endereços dinâmicos atualizados.
A partir do Junos OS Release 19.3R1, você pode baixar um único arquivo tgz do servidor e extraí-lo em vários arquivos de feed infantil. Cada arquivo individual corresponde a um feed. Deixe que endereços dinâmicos individuais referenciem o feed dentro do arquivo do pacote. O arquivo de pacote reduz a sobrecarga da CPU quando muitos feeds são configurados, onde várias feeds infantis são compactadas em um arquivo .tgz
Os modos de feed do pacote a seguir são suportados:
Modo de arquivo
No modo de arquivo, você precisa comprimir todos os arquivos de feed para o firewall da Série SRX em um arquivo tgz. O firewall da Série SRX baixa este arquivo e extrai todos os feeds após a extração. Este processo é explicado abaixo:
-
Quando a url do servidor de feed é uma url de um arquivo com o sufixo .tgz em vez de url original de pasta, isso significa que este servidor usa um único arquivo para transportar todos os seus feeds para a implantação de endereço dinâmico da Série SRX. Neste caso, os feeds sob este servidor herdam o intervalo de atualização ou intervalo de espera do servidor. Qualquer configuração de usuário do intervalo de atualização ou intervalo de espera para este feed é ignorada.
-
Após essa mudança, siga as etapas abaixo para manter os feeds do servidor como exemplo abaixo.
O exemplo abaixo mostra as etapas necessárias para manter os feeds do servidor:
-
Coloque todos os arquivos de feed para o firewall da Série SRX sob a pasta feeds-4-srx
-
Gere todos os arquivos de feed fd1 fd2 fd3 .. fdN na pasta feeds-4-srx
-
Adicione ou remova as faixas de IP dos feeds
-
Acesse os arquivos executando o seguinte comando:
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
Após a Etapa 4, o feeds de arquivo-4-srx.tgz está pronto para download no firewall da Série SRX contendo a mesma pasta que contém o arquivo feeds-4-srx.tgz . Após o download, os arquivos extraídos são colocados na mesma pasta que feeds-4-srx.tgz. O exemplo a seguir mostra uma configuração samle em um firewall da Série SRX:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
O parâmetro de caminho requer o caminho relativo do feed dentro do arquivo do pacote.
-
Se o arquivo tar -zxf feeds-4-srx.tgz gera uma pasta feeds-4-srx e esta pasta detém o arquivo de feed fd1, então use o seguinte comando para configurar o feed:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
Se o arquivo tar -zxf alimenta-4-srx.tgz extrai diretamente o arquivo fd1 , use o seguinte comando para configurar o feed:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
Modo de arquivo plano
O modo de arquivo plano oferece a simplicidade máxima para o usuário, introduzindo uma mudança de sintaxe no formato de arquivo de feed existente. O conteúdo de todos os arquivos de feed são compilados em um único arquivo, com .bundle como um sufixo. Isso permite que você gerencie um único arquivo. O firewall da Série SRX classifica as faixas de IP neste arquivo de pacote em inúmeros arquivos de feed. Você pode gzip este arquivo como .bundle.gz se você pode economizar alguma largura de banda para transmissão. Além do formato de arquivo definido anteriormente, uma tag de caso superior FEED: seguida pelo nome do feed é introduzida. As linhas abaixo desta tag são consideradas como faixas de IP pertencentes ao feed. Um exemplo do formato de arquivo é dado abaixo:
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
A configuração em um firewall da Série SRX é semelhante ao modo de arquivo e é dada abaixo:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
A diferença entre o modo plano e o modo de arquivo é o sufixo do arquivo e o layout dentro do arquivo. Você pode selecionar o modo mais conveniente para você.
Como os arquivos de feed estão no formato de texto simples, gzip pode reduzir o tamanho do arquivo. Se um servidor e um firewall da Série SRX tiverem um link WAN entre eles, use um arquivo de tamanho menor para ser transmitido na rede, neste caso, gzip o arquivo do pacote e configure os seguintes comandos:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Comportamento de sincronização de configuração de políticas específicas da plataforma
Para obter a lista completa de recursos e plataformas suportados, veja Feature Explorer.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma.
| Plataforma |
Diferença |
|---|---|
| SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4300, SRX4600, SRX4700, SRX5400, SRX5600, SRX5800 e vSRX |
A busca de políticas intacto na opção de confirmação ( |
| Todos os dispositivos da Série SRX |
A serialização de arquivos é suportada. |
Comportamento de suporte a objetos de política específicos da plataforma
Para obter a lista completa de recursos e plataformas suportados, veja Feature Explorer.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma.
| Plataforma |
Diferença |
|---|---|
| SRX300SRX320 |
|
| SRX340 |
|
| SRX345 |
|
| SRX380 |
|
| SRX550M |
|
| SRX1500 |
|
| SRX4100 |
|
| SRX4200 |
|
| SRX4600 |
|
| SRX5800 de SRX5600 SRX5400 |
|
Comportamento de suporte padrão de fábrica específico da plataforma
Para obter a lista completa de recursos e plataformas suportados, veja Feature Explorer.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma.
| Plataforma |
Diferença |
|---|---|
| SRX300, SRX320, SRX340, SRX345, SRX380 e dispositivos SRX550M |
Uma política de segurança padrão de fábrica é fornecida que:
|
Comportamento de suporte para IDP específico da plataforma
Para obter a lista completa de recursos e plataformas suportados, veja Feature Explorer.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma.
| Plataforma |
Diferença |
|---|---|
| dispositivos de SRX5400, SRX5600 e SRX5800 |
Intrusão e prevenção (IDP) para sessões IPv6 é suportado |
Comportamento do assistente de política de firewall específico da plataforma
Para obter a lista completa de recursos e plataformas suportados, veja Feature Explorer.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma.
| Plataforma |
Diferença |
|---|---|
| SRX300, SRX320, SRX340, SRX345, SRX380 e dispositivos SRX550M |
O Assistente de política de firewall na J-Web é suportado |
Comportamento de suporte de servidor de feed de arquivos específico da plataforma
Para obter a lista completa de recursos e plataformas suportados, veja Feature Explorer.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma.
| Plataforma |
Diferença |
|---|---|
| SRX300SRX320SRX340SRX345SRX550SRX550MSRX650 |
|
| SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800firewallvirtual vSRX firewall virtual vSRX 3.0 |
|
| SRX1500 |
|
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.