NESTA PÁGINA
Melhores práticas para definir políticas em dispositivos da Série SRX
Exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego
Exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado
Habilite políticas de segurança para a inspeção do túnel de fluxo de pacotes Geneve
Configuração de políticas de segurança
Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. O Junos OS permite que você configure políticas de segurança. As políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo firewall e das ações que precisam ocorrer no tráfego à medida que passa pelo firewall.
Entendendo os elementos da política de segurança
Uma política de segurança é um conjunto de declarações que controla o tráfego de uma fonte especificada para um destino especificado usando um serviço especificado. Uma política permite, nega ou túneis determinados tipos de tráfego unidirecionalmente entre dois pontos.
Cada política consiste em:
Um nome único para a política.
A
from-zone
e ato-zone
, por exemplo: user@host#set security policies from-zone untrust to-zone untrust
Um conjunto de critérios de correspondência que define as condições que devem ser satisfeitas para aplicar a regra da política. Os critérios de correspondência são baseados em um endereço IP de origem, endereço IP de destino e aplicativos. O firewall de identidade do usuário oferece maior granularidade ao incluir um tuple adicional, identidade de origem, como parte da declaração de política.
Um conjunto de ações a serem realizadas em caso de correspondência — permitir, negar ou rejeitar.
Elementos de contabilidade e auditoria — contagem, registro ou registro de sistema estruturado.
Se a Série SRX receber um pacote que corresponda a essas especificações, ele executará a ação especificada na política.
As políticas de segurança aplicam um conjunto de regras para o tráfego de trânsito, identificando qual tráfego pode passar pelo firewall e as ações tomadas no tráfego à medida que passa pelo firewall. As ações para o tráfego que correspondam aos critérios especificados incluem permissão, negação, rejeição, log ou contagem.
Para o SRX300, SRX320, SRX340, SRX345, SRX380 e dispositivos de SRX550M, uma política de segurança padrão de fábrica é fornecida que:
-
Permite todo o tráfego da zona de confiança até a zona não confiável.
-
Permite todo o tráfego entre zonas confiáveis, que é da zona de confiança até zonas confiáveis da intrazona.
Nega todo o tráfego da zona não confiável para a zona de confiança.
Entendendo as regras da política de segurança
A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto(from-zone
para to-zone
). Cada política é identificada exclusivamente pelo seu nome. O tráfego é classificado combinando suas zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.
Cada política está associada às seguintes características:
Uma zona de origem
Uma zona de destino
Um ou muitos nomes de endereços ou nomes de endereços de origem
Nomes de endereços ou endereços de destino ou nomes de endereços
Um ou muitos nomes de aplicativos ou nomes de configuração de aplicativos
Essas características são chamadas de critérios de correspondência. Cada política também tem ações associadas a ela: permitir, negar, rejeitar, contar, registrar e túnel VPN. Você precisa especificar os argumentos de condição de correspondência ao configurar uma política, endereço fonte, endereço de destino e nome do aplicativo.
Você pode especificar para configurar uma política com endereços IPv4 ou IPv6 usando a entrada any
curinga. Quando o suporte de fluxo não está habilitado para tráfego IPv6, any
corresponde aos endereços IPv4. Quando o suporte de fluxo é habilitado para tráfego IPv6, any
corresponde a endereços IPv4 e IPv6. Para permitir o encaminhamento baseado em fluxo para tráfego IPv6, use o set security forwarding-options family inet6 mode flow-based
comando. Você também pode especificar o curinga any-ipv4
ou any-ipv6
para os critérios de correspondência de endereço de origem e destino para incluir apenas endereços IPv4 ou apenas IPv6, respectivamente.
Quando o suporte de fluxo para tráfego IPv6 é habilitado, o número máximo de endereços IPv4 ou IPv6 que você pode configurar em uma política de segurança é baseado nos seguintes critérios de correspondência:
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
O motivo do Thr para os critérios de correspondência é que um endereço IPv6 usa quatro vezes o espaço de memória que um endereço IPv4 usa.
Você só pode configurar uma política de segurança com endereços IPv6 se o suporte de fluxo para tráfego IPv6 estiver habilitado no dispositivo.
Se você não quiser especificar um aplicativo específico, digite any
como o aplicativo padrão. Para procurar os aplicativos padrão, a partir do modo de configuração, entre show groups junos-defaults | find applications (predefined applications)
. Por exemplo, se você não fornecer um nome de aplicativo, a política será instalada com o aplicativo como um curinga (padrão). Portanto, qualquer tráfego de dados que corresponda ao restante dos parâmetros em uma determinada política corresponderia à política, independentemente do tipo de aplicativo do tráfego de dados.
Se uma política estiver configurada com vários aplicativos e mais de um dos aplicativos corresponder ao tráfego, o aplicativo que melhor atender aos critérios de correspondência será selecionado.
A ação da primeira política que o tráfego corresponde é aplicada ao pacote. Se não houver política de correspondência, o pacote será descartado. As políticas são pesquisadas de cima a baixo, por isso é uma boa ideia colocar políticas mais específicas perto do topo da lista. Você também deve colocar as políticas de túnel de VPN IPsec perto do topo. Coloque as políticas mais gerais, como uma que permitiria a certos usuários acesso a todos os aplicativos da Internet, na parte inferior da lista. Por exemplo, coloque as políticas de negação ou rejeição de todos no fundo, depois que todas as políticas específicas tiverem sido analisadas antes e o tráfego legítimo tiver sido permitido/contagem/logado.
O suporte para endereços IPv6 é adicionado no Junos OS Release 10.2. O suporte para endereços IPv6 em configurações ativas/ativas de cluster de chassi (além do suporte existente de configurações de cluster ativo/passivo do chassi) é adicionado no Junos OS Release 10.4.
As políticas são analisadas durante o processamento de fluxo após o processamento de filtros e telas de firewall e a pesquisa de rota foi concluída pela Unidade de Processamento de Serviços (SPU) (para dispositivos de SRX5400, SRX5600 e SRX5800). A análise da política determina a zona de destino, o endereço de destino e a interface de saída.
Quando você está criando uma política, as seguintes regras de política se aplicam:
As políticas de segurança estão configuradas em uma
from-zone
to-zone
direção. Em uma direção de zona específica, cada política de segurança contém um nome, critérios de correspondência, uma ação e opções diversas.O nome da política, os critérios de correspondência e a ação são necessários.
O nome da política é uma palavra-chave.
O endereço fonte nos critérios de correspondência é composto por um ou mais nomes de endereços ou nomes de endereço no
from-zone
.O endereço de destino dos critérios de correspondência é composto por um ou mais nomes de endereços ou nomes de endereço no
to-zone
.O nome do aplicativo nos critérios de correspondência é composto pelo nome de um ou mais aplicativos ou conjuntos de aplicativos.
Uma das seguintes ações é necessária: permitir, negar ou rejeitar.
Os elementos de contabilidade e auditoria podem ser especificados: contagem e log.
Você pode habilitar o registro no final de uma sessão com o
session-close
comando, ou no início da sessão com osession-init
comando.Quando o alarme de contagem é ativado, especifique os limiares de alarme em bytes por segundo ou kilobytes por minuto.
Você não pode especificar
global
como ofrom-zone
ou a exceto sob ato-zone
seguinte condição:Qualquer política configurada com a
to-zone
zona como global deve ter um único endereço de destino para indicar que o NAT estático ou o NAT de entrada foram configurados na política.Nos firewalls da Série SRX, a opção de permissão de política com NAT é simplificada. Cada política indicará opcionalmente se permite a tradução de NAT, não permite a tradução de NAT ou não se importa.
Os nomes dos endereços não podem começar com os seguintes prefixos reservados. Estes são usados apenas para a configuração de NAT de endereço:
static_nat_
incoming_nat_
junos_
Os nomes dos aplicativos não podem começar com o
junos_
prefixo reservado.
Entendendo endereços curingas
Os endereços de origem e destino são dois dos cinco critérios de correspondência que devem ser configurados em uma política de segurança. Agora, você pode configurar endereços curingas para os critérios de correspondência de endereços de origem e destino em uma política de segurança. Um endereço curinga é representado como A.B.C.D/máscara curinga. A máscara curinga determina qual dos bits no endereço IP A.B.C.D deve ser ignorado pelos critérios de correspondência da política de segurança. Por exemplo, o endereço IP de origem 192.168.0.11/255.255.0.255 em uma política de segurança implica que os critérios de correspondência da política de segurança podem descartar o terceiro octeto no endereço IP (simbolicamente representado como 192.168.*.11). Portanto, os pacotes com endereços IP de origem, como 192.168.1.11 e 192.168.22.11, estão de acordo com os critérios de correspondência. No entanto, os pacotes com endereços IP de origem, como 192.168.0.1 e 192.168.1.21, não satisfazem os critérios de correspondência.
O uso de endereços curingas não está restrito apenas a octets completos. Você pode configurar qualquer endereço curinga. Por exemplo, o endereço curinga 192.168. 7.1/255.255.7.255 implica que você precisa ignorar apenas os primeiros 5 bits do terceiro octeto do endereço curinga enquanto faz a política corresponder. Se o uso de endereços curinga estiver restrito apenas a octets completos, então máscaras curingas com 0 ou 255 em cada um dos quatro octetes só serão permitidas.
O primeiro octeto da máscara curinga deve ser maior que 128. Por exemplo, uma máscara curinga representada como 0.255.0.255 ou 1.255.0.255 é inválida.
Uma política de segurança curinga é uma política de firewall simples que permite que você permita, negue e rejeite o tráfego tentando atravessar de uma zona de segurança para outra. Você não deve configurar regras de política de segurança usando endereços curingas para serviços como segurança de conteúdo.
Somente a intrusão e a prevenção (IDP) para sessões IPv6 são suportadas para todos os dispositivos de SRX5400, SRX5600 e SRX5800. A segurança de conteúdo para sessões IPv6 não é suportada. Se sua política de segurança atual usar regras com o curinga do endereço IP e os recursos de segurança de conteúdo estiverem habilitados, você encontrará erros de confirmação de configuração porque os recursos de segurança de conteúdo ainda não suportam endereços IPv6. Para resolver os erros, modifique a regra que devolve o erro para que o curinga qualquer ipv4 seja usado; e criar regras separadas para tráfego IPv6 que não incluam recursos de segurança de conteúdo.
A configuração de políticas de segurança curinga em um dispositivo afeta o desempenho e o uso de memória com base no número de políticas curinga configuradas por contexto de zona a zona. Portanto, você só pode configurar um máximo de 480 políticas curingas para um contexto específico de zona a zona.
Veja também
Entendendo as políticas de segurança para auto-tráfego
As políticas de segurança são configuradas nos dispositivos para aplicar serviços ao tráfego que flui pelo dispositivo. Por exemplo, as políticas de UAC e segurança de conteúdo estão configuradas para aplicar serviços ao tráfego transitório.
Tráfego autônomo ou host é o tráfego de entrada de host; ou seja, o tráfego terminando no dispositivo ou no tráfego de saída do host que é o tráfego originário do dispositivo. Agora, você pode configurar políticas para aplicar serviços no tráfego autônomo. Serviços como o serviço de pilha SSL que devem encerrar a conexão SSL de um dispositivo remoto e realizar algum processamento nesse tráfego, serviços de IDP no tráfego de entrada de host ou criptografia IPsec no tráfego de saída do host devem ser aplicados por meio das políticas de segurança configuradas no tráfego autônomo.
Quando você configura uma política de segurança para tráfego autônomo, o tráfego que flui pelo dispositivo é verificado primeiro contra a política e depois contra a opção host-inbound-traffic
configurada para as interfaces vinculadas à zona.
Você pode configurar a política de segurança para auto-tráfego para aplicar serviços ao auto-tráfego. As políticas de saída do host funcionarão apenas nos casos em que o pacote que se originou no dispositivo host passar pelo fluxo e a interface de entrada deste pacote for definida para local.
As vantagens de usar o auto-tráfego são:
Você pode aproveitar a maior parte da política ou infraestrutura de fluxo existente usada para o tráfego de trânsito.
Você não precisa de um endereço IP separado para habilitar qualquer serviço.
Você pode aplicar serviços ou políticas a qualquer tráfego de entrada de host com o endereço IP de destino de qualquer interface no dispositivo.
Nos firewalls da Série SRX, as regras de política de segurança padrão não afetam o tráfego autônomo.
Você pode configurar a política de segurança para tráfego autônomo apenas com serviços relevantes. Por exemplo, não é relevante configurar o serviço fwauth no tráfego de saída de host, e os serviços gprs-gtp não são relevantes para as políticas de segurança para auto-tráfego.
As políticas de segurança para o tráfego autônomo estão configuradas sob a nova zona de segurança padrão chamada junos-host zona. A zona junos-host fará parte da configuração padrão Junos, para que os usuários não possam deletá-la. As configurações de zona existentes, como interfaces, tela, tcp-rst e opções de tráfego de entrada de host, não são significativas para a zona junos-host. Portanto, não há configuração dedicada para a zona junos-host.
Você pode usar o tráfego de entrada de host para controlar conexões de entrada em um dispositivo; no entanto, não restringe a saída de tráfego do dispositivo. Considerando que a zona junos-host permite que você selecione a aplicação de sua escolha e também restrinja o tráfego de saída. Por exemplo, serviços como NAT, IDP, Segurança de conteúdo e assim por diante agora podem ser habilitados para o tráfego entrando ou saindo do firewall da Série SRX usando a zona junos-host.
Visão geral da configuração das políticas de segurança
Você deve concluir as seguintes tarefas para criar uma política de segurança:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços com endereços para a política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Crie a política. Veja exemplo: Configuração de uma política de segurança para permitir ou negar todo o tráfego, exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado e exemplo: configuração de uma política de segurança para permitir ou negar tráfego de endereços curingas.
Crie agendadores se quiser usá-los para suas políticas. Veja exemplo: configuração de agendadores para uma agenda diária, excluindo um dia.
O Assistente de política de firewall permite que você execute a configuração básica da política de segurança. Para configuração mais avançada, use a interface J-Web ou a CLI.
Veja também
Melhores práticas para definir políticas em dispositivos da Série SRX
Uma rede segura é vital para uma empresa. Para proteger uma rede, um administrador de rede deve criar uma política de segurança que delineie todos os recursos de rede dentro desse negócio e o nível de segurança necessário para esses recursos. A política de segurança aplica as regras de segurança ao tráfego de trânsito em um contexto (de zona para zona) e cada política é identificada de forma exclusiva pelo seu nome. O tráfego é classificado combinando as zonas de origem e destino, os endereços de origem e destino e o aplicativo que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.
A Tabela 1 fornece as limitações de política para SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 e dispositivos de SRX5800. O suporte da plataforma depende da versão do Junos OS em sua instalação.
Começando com o Junos OS Release 12.3X48-D15 e o Junos OS Release 17.3R1, o número máximo de objetos de endereço por política para dispositivos de SRX5400, SRX5600 e SRX5800 aumenta de 1024 para 4096, e o número máximo de políticas por contexto aumenta de 10240 para 80.000.
Começando pelo Junos OS Release 17.3R1, o número de políticas de segurança e o número máximo de políticas por contexto para dispositivos de SRX5400, SRX5600 e SRX5800 aumenta de 80.000 para 100.000.
Começando pelo Junos OS Release 15.1X49-D120, o número de objetos de endereço por política para SRX5400, SRX5600 e SRX5800 aumenta de 4096 para 16.000.
Dispositivos da Série SRX |
Objetos de endereço |
Objetos de aplicativo |
Políticas de segurança |
Contextos de políticas (pares de zona) |
Políticas por contexto |
Políticas com contagem habilitada |
---|---|---|---|---|---|---|
SRX300SRX320 |
2048 |
128 |
1024 |
256 |
1024 |
256 |
SRX340 |
2048 |
128 |
2048 |
512 |
2048 |
256 |
SRX345 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX380 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX550M |
2048 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX1500 |
4096 |
3072 |
16000 |
4096 |
16000 |
1024 |
SRX4100 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4200 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4600 |
4096 |
3072 |
80000 |
8192 |
80000 |
1024 |
SRX5800 de SRX5600 SRX5400 |
16384 |
3072 |
100000 |
8192 |
100000 |
1024 |
Portanto, à medida que você aumenta o número de endereços e aplicativos em cada regra, a quantidade de memória que é usada pela definição de política aumenta, e às vezes o sistema fica sem memória com menos de 80.000 políticas.
Para obter a utilização real de memória de uma política no Mecanismo de encaminhamento de pacotes (PFE) e no mecanismo de roteamento (RE), você precisa levar em consideração vários componentes da árvore de memória. A árvore de memória inclui os seguintes dois componentes:
Contexto da política — Usado para organizar todas as políticas neste contexto. O contexto da política inclui variáveis como zonas de origem e destino.
Entidade de políticas — Usada para manter os dados da política. A entidade de política calcula a memória usando parâmetros como nome da política, endereços IP, contagem de endereços, aplicativos, autenticação de firewall, WebAuth, IPsec, contagem, serviços de aplicativos e Junos Services Framework (JSF).
Além disso, as estruturas de dados usadas para armazenar políticas, conjuntos de regras e outros componentes usam memória diferente no Mecanismo de encaminhamento de pacotes e no mecanismo de roteamento. Por exemplo, os nomes de endereço para cada endereço na política são armazenados no Mecanismo de Roteamento, mas nenhuma memória é alocada no nível do Mecanismo de encaminhamento de pacotes. Da mesma forma, as faixas de porta são expandidas para pares de prefixo e máscara e são armazenadas no Mecanismo de encaminhamento de pacotes, mas nenhuma dessas memórias é alocada no Mecanismo de Roteamento.
Assim, dependendo da configuração da política, os contribuintes de políticas para o Mecanismo de Roteamento são diferentes daqueles para o Mecanismo de encaminhamento de pacotes, e a memória é alocada dinamicamente.
A memória também é consumida pelo estado de "exclusão diferida". No estado de exclusão diferido, quando um firewall da Série SRX aplica uma mudança de política, há um pico transitório de uso pelo qual as políticas antigas e novas estão presentes. Por isso, por um breve período, existem políticas antigas e novas no Mecanismo de encaminhamento de pacotes, ocupando o dobro dos requisitos de memória.
Portanto, não há uma maneira definitiva de inferir claramente quanta memória é usada por ambos os componentes (Packet Forwarding Engine ou Mecanismo de roteamento) em um determinado momento, porque os requisitos de memória dependem de configurações específicas de políticas, e a memória é alocada dinamicamente.
As seguintes melhores práticas para implementação de políticas permitem que você use melhor a memória do sistema e otimize a configuração de políticas:
Use prefixos únicos para endereços de origem e destino. Por exemplo, em vez de usar /32 endereços e adicionar cada endereço separadamente, use uma grande sub-rede que cobre a maioria dos endereços IP que você precisa.
Use o aplicativo "qualquer" sempre que possível. Cada vez que você definir um aplicativo individual na política, você pode usar mais 52 bytes.
Use menos endereços IPv6 porque os endereços IPv6 consomem mais memória.
Use menos pares de zona nas configurações de políticas. Cada zona de origem ou destino usa cerca de 16.048 bytes de memória.
Os parâmetros a seguir podem mudar a forma como a memória é consumida pelos bytes conforme especificado:
Autenticação de firewall — cerca de 16 bytes ou mais (não fixados)
Autenticação da Web — Cerca de 16 bytes ou mais (sem fixação)
Bytes IPsec-12
Serviços de aplicativos — 28 bytes
Contagem de bytes de 64 bytes
Verifique a utilização da memória antes e depois da compilação das políticas.
Nota:O requisito de memória para cada dispositivo é diferente. Alguns dispositivos oferecem suporte a 512.000 sessões por padrão, e a memória de inicialização geralmente está em 72 a 73%. Outros dispositivos podem ter até 1 milhão de sessões e a memória de inicialização pode ser de até 83 a 84%. Na pior das hipóteses, para oferecer suporte a cerca de 80.000 políticas na SPU, a SPU deve inicializar com um consumo de memória de kernel fluído de até 82% e com pelo menos 170 megabytes de memória disponíveis.
Veja também
Configuração de políticas usando o assistente de firewall
O Assistente de política de firewall permite que você realize configurações básicas de políticas de segurança em dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 e SRX550M.. Para configuração mais avançada, use a interface J-Web ou a CLI.
Para configurar políticas usando o Assistente de política de firewall:
- Selecione
Configure>Tasks>Configure FW Policy
na interface J-Web. - Clique no botão Assistente de política de firewall de lançamento para lançar o assistente.
- Siga os prompts no assistente.
A área superior esquerda da página de assistente mostra onde você está no processo de configuração. A área inferior esquerda da página mostra ajuda sensível ao campo. Ao clicar em um link no título Recursos, o documento é aberto em seu navegador. Se o documento for aberto em uma nova guia, certifique-se de fechar apenas a guia (não a janela do navegador) quando você fechar o documento.
Exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego
Este exemplo mostra como configurar uma política de segurança para permitir ou negar todo o tráfego.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Visão geral
No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura as interfaces de confiança e não confiáveis, ge-0/0/2 e ge-0/0/1. Veja a Figura 1.
Este exemplo de configuração mostra como:
Permita ou negue todo o tráfego da zona de confiança até a zona não confiável, mas bloqueie tudo, desde a zona não confiável até a zona de confiança.
Permita ou negue o tráfego selecionado de um host na zona de confiança para um servidor na zona não confiável em um determinado momento.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política de segurança para permitir ou negar todo o tráfego:
Configure as interfaces e as zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Crie a política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
Crie a política de segurança para negar tráfego da zona não confiável para a zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show security zones
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
O exemplo de configuração é uma permissão padrão,desde a zona de confiança até a zona não confiável.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique as informações sobre políticas de segurança.
Ação
Desde o modo operacional, entre no show security policies detail
comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.
Significado
A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:
De e para zonas
Endereços de origem e destino
Critérios de correspondência
Exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado
Este exemplo mostra como configurar uma política de segurança para permitir ou negar tráfego selecionado.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Permitir tráfego de e para zonas de confiança e não confiáveis. Veja exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego.
Visão geral
No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma política de segurança específica para permitir apenas tráfego de e-mail de um host na zona de confiança para um servidor na zona não confiável. Nenhum outro tráfego é permitido. Veja a Figura 2.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política de segurança para permitir o tráfego selecionado:
Configure as interfaces e as zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Crie entradas de agenda de endereços para o cliente e para o servidor. Além disso, conecte zonas de segurança aos livros de endereços.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
Defina a política para permitir o tráfego de correio.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show security zones
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique as informações sobre políticas de segurança.
Ação
Desde o modo operacional, entre no show security policies detail
comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.
Significado
A saída exibe informações sobre políticas configuradas no sistema. Verifique as seguintes informações:
De e para zonas
Endereços de origem e destino
Critérios de correspondência
Exemplo: configuração de uma política de segurança para permitir ou negar tráfego de endereços curingas
Este exemplo mostra como configurar uma política de segurança para permitir ou negar tráfego de endereços curingas.
Requisitos
Antes de começar:
Entenda os endereços curingas. Veja como entender as regras da política de segurança.
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços e crie endereços para uso na política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Permitir tráfego de e para zonas de confiança e não confiáveis. Veja exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego.
Permitir tráfego de e-mail de e para zonas de confiança e não confiáveis. Veja exemplo: configuração de uma política de segurança para permitir ou negar tráfego selecionado
Visão geral
No sistema operacional Junos (Junos OS), as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego conforme ele passa pelo dispositivo. Do ponto de vista das políticas de segurança, o tráfego entra em uma zona de segurança e sai de outra zona de segurança. Neste exemplo, você configura uma segurança específica para permitir apenas o tráfego de endereços curingas de um host na zona de confiança até a zona não confiável. Nenhum outro tráfego é permitido.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar commit
no modo de configuração.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Configurar uma política de segurança para permitir o tráfego selecionado:
Configure as interfaces e as zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Crie uma entrada de agenda de endereços para o host e anexe a lista de endereços a uma zona.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
Defina a política para permitir tráfego de endereços curingas.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show security zones
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zones
security-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-book
book1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique as informações sobre políticas de segurança.
Ação
Desde o modo operacional, entre no show security policies policy-name permit-wildcard detail
comando para exibir detalhes sobre a política de segurança de curinga de permissão configurada no dispositivo.
Significado
A saída exibe informações sobre a política de curinga de permissão configurada no sistema. Verifique as seguintes informações:
De e para zonas
Endereços de origem e destino
Critérios de correspondência
Exemplo: configuração de uma política de segurança para redirecionar logs de tráfego para um servidor de log externo do sistema
Este exemplo mostra como configurar uma política de segurança para enviar logs de tráfego gerados no dispositivo para um servidor de log externo do sistema.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um cliente conectado a um dispositivo SRX5600 na interface ge-4/0/5
Um servidor conectado ao dispositivo SRX5600 na interface ge-4/0/1
Os logs gerados no SRX5600 dispositivo são armazenados em um servidor de log de sistema baseado em Linux.
Um dispositivo SRX5600 conectado ao servidor baseado em Linux na interface ge-4/0/4
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você configura uma política de segurança no dispositivo SRX5600 para enviar logs de tráfego, gerados pelo dispositivo durante a transmissão de dados, para um servidor baseado em Linux. Os logs de tráfego registram detalhes de cada sessão. Os logs são gerados durante o estabelecimento e a rescisão de sessão entre a fonte e o dispositivo de destino que estão conectados ao dispositivo SRX5600.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar commit
no modo de configuração.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no guia do usuário da CLI.
Para configurar uma política de segurança para enviar logs de tráfego a um servidor de log externo do sistema:
Configure logs de segurança para transferir logs de tráfego gerados no dispositivo SRX5600 para um servidor de log externo do sistema com o endereço IP 203.0.113.2. O endereço IP 127.0.0.1 é o endereço de loopback do dispositivo SRX5600.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
Configure uma zona de segurança e especifique os tipos de tráfego e protocolos permitidos na interface ge-4/0/5.0 do dispositivo SRX5600.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
Configure outra zona de segurança e especifique os tipos de tráfego permitidos nas interfaces ge-4/0/4.0 e ge-4/0/1.0 do dispositivo SRX5600.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
Crie uma política e especifique os critérios de correspondência para essa política. Os critérios de correspondência especificam que o dispositivo pode permitir o tráfego de qualquer fonte, para qualquer destino e em qualquer aplicativo.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
Habilite a política para registrar detalhes de tráfego no início e no final da sessão.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security log
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security log format syslog; source-address 127.0.0.1; stream trafficlogs { severity debug; host { 203.0.113.2; } }
Se você terminar de configurar o dispositivo, entre commit
no modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Zonas de verificação
Propósito
Verifique se a zona de segurança está habilitada ou não.
Ação
A partir do modo operacional, entre no show security zones
comando.
Modo TAP para zonas e políticas de segurança
O modo ponto de acesso terminal (TAP) para zonas de segurança e políticas permite que você monitore passivamente os fluxos de tráfego em uma rede por meio de uma span de switch ou porta espelho.
- Entender o suporte ao modo TAP para zonas e políticas de segurança
- Exemplo: Configuração de zonas e políticas de segurança no modo TAP
Entender o suporte ao modo TAP para zonas e políticas de segurança
O modo ponto de acesso terminal (TAP) é um dispositivo de espera, que verifica o tráfego espelhado através do switch. Se as zonas e políticas de segurança estiverem configuradas, o modo TAP inspeciona o tráfego de entrada e saída configurando a interface TAP e gerando um relatório de log de segurança para exibir o número de ameaças detectadas e o uso do usuário. Se algum pacote se perder na interface de toque, as zonas de segurança e as políticas terminam a conexão, como resultado nenhum relatório gera para essa conexão. A configuração da zona de segurança e da política permanece a mesma do modo não-TAP.
Quando você configura um firewall da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário. Quando o dispositivo está configurado para operar no modo TAP, o firewall da Série SRX recebe pacotes apenas da interface TAP configurada. Exceto a interface TAP configurada, outra interface está configurada para uma interface normal que é usada como interface de gerenciamento ou conectada ao servidor externo. O firewall da Série SRX gerará relatório ou log de segurança de acordo com o tráfego de entrada.
A zona de segurança e a política de segurança padrão serão configuradas após a configuração da interface TAP. Você pode configurar outras zonas ou políticas, se necessário. Se uma interface for usada para conectar um servidor, o endereço IP, a interface de roteamento e a configuração de segurança também precisam ser configurados.
Você pode configurar apenas uma interface TAP quando opera o dispositivo no modo TAP.
Exemplo: Configuração de zonas e políticas de segurança no modo TAP
Este exemplo mostra como configurar zonas de segurança e políticas quando o firewall da Série SRX é configurado no modo TAP (Terminal Access Point).
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um firewall da Série SRX
Versão Junos OS 19.1R1
Antes de começar:
Leia o suporte do modo TAP para zonas e políticas de segurança para entender como e onde esse procedimento se encaixa no suporte geral para zonas e políticas de segurança.
Visão geral
Neste exemplo, você configura o firewall da Série SRX para operar no modo TAP. Quando você configura o firewall da Série SRX para operar no modo TAP, o dispositivo gera informações de log de segurança para exibir as informações sobre ameaças detectadas, uso de aplicativos e detalhes do usuário.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, inserir o commit a partir do modo de configuração.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar zonas no modo TAP:
Configure a interface de tap-zone da zona de segurança.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
Configure o rastreamento de aplicativos da zona de segurança de zona de tap-zone.
user@host# set security zones security-zone tap-zone application-tracking
Configure a política de segurança que permite que o tráfego da zona de tap-zone até a política de zona de tap-zone toque e configure a condição da partida.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security zones
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit] user@host#show security zones security-zone tap-zone { interfaces { ge-0/0/0.0; } application-tracking; } [edit] user@host#show security policies from-zone tap-zone to-zone tap-zone { policy tap-policy { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificação da configuração de políticas no modo TAP
Propósito
Verifique as informações sobre políticas de segurança.
Ação
A partir do modo operacional, entre no show security policies detail
comando.
user@host> show security policies detail node0: -------------------------------------------------------------------------- Default policy: permit-all Pre ID default policy: permit-all Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: izone, To zone: ozone Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: ozone, To zone: izone Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close
Significado
Exibe um resumo de todas as políticas de segurança configuradas no dispositivo no modo TAP.
Grupos de endereço dinâmicos em políticas de segurança
Adicionar entradas de endereço manualmente em uma política pode ser demorado. Existem fontes externas que fornecem listas de endereços IP que têm uma finalidade específica (como um blocklist) ou que têm um atributo comum (como um local ou comportamento específico que pode representar uma ameaça). Você pode usar a fonte externa para identificar fontes de ameaças por seu endereço IP e, em seguida, agrupar esses endereços em uma entrada dinâmica de endereço e fazer referência a essa entrada em uma política de segurança. Com isso, você pode controlar o tráfego de e para esses endereços. Cada um desses grupos de endereços IP é referido como uma entrada dinâmica de endereço.
Os seguintes tipos de endereços IP são suportados:
-
IP único. Por exemplo: 192.0.2.0
-
Faixa de IP. Por exemplo: 192.0.2.0- 192.0.2.10
-
CIDR. Por exemplo: 192.0.2.0/24
Cada entrada ocupa uma linha. A partir do Junos OS Release 19.3R1, as faixas de endereço IP não precisam ser classificadas em ordem crescente e o valor das entradas IP pode se sobrepor no mesmo arquivo de feed. Nas versões do Junos OS antes do 19.3R1, as faixas de endereço IP precisam ser classificadas em ordem crescente e o valor das entradas IP não pode se sobrepor no mesmo arquivo de feed.
Uma entrada dinâmica de endereços é um grupo de endereços IP, não um único prefixo IP. Uma entrada dinâmica de endereços é diferente dos conceitos de endereços de segurança de livros de endereços e endereços de entrada.
A seguir, os benefícios da implantação de entradas dinâmicas de endereços em políticas de segurança:
-
O administrador de rede tem mais controle sobre o tráfego de e para grupos de endereços IP.
-
O servidor externo fornece feeds de endereço IP atualizados para o firewall da Série SRX.
-
Os esforços do administrador são drasticamente reduzidos. Por exemplo, em uma configuração de política de segurança legadas, adicionar 1000 entradas de endereço para uma política de referência exigiria cerca de 2000 linhas de configuração. Ao definir uma entrada dinâmica de endereço e referenciá-la em uma política de segurança, até milhões de entradas poderiam fluir para o firewall da Série SRX sem muito esforço de configuração adicional.
-
Nenhum processo de confirmação é necessário para adicionar novos endereços. Adicionar milhares de endereços a uma configuração por meio de um método legado leva muito tempo para ser comprometido. Alternativamente, os endereços IP em uma entrada dinâmica de endereço vêm de um feed externo, de modo que nenhum processo de confirmação é necessário quando os endereços em uma mudança de entrada.
A Figura 3 ilustra uma visão geral funcional de como funciona a entrada dinâmica de endereços em uma política de segurança.
Uma política de segurança faz referência à entrada dinâmica de endereços em um endereço de origem ou campo de endereço de destino (da mesma forma que uma política de segurança faz referência a uma entrada de endereço legado).
A Figura 4 ilustra uma política que usa uma entrada dinâmica de endereço no campo de endereço de destino.
Na Figura 4, a Política 1 usa o endereço de destino 10.10.1.1, que é uma entrada de endereço de segurança legado. A política 2 usa a lista de bloqueio do fornecedor de endereços de destino, que é uma entrada dinâmica de endereço indicada pelo administrador de rede. Seu conteúdo é a lista de endereços IP recuperados de um arquivo de feed externo. Os pacotes que correspondem a todos os cinco critérios (a zona a partir da zona nomeada como não confiável, o engenheiro indicado para A-zone, qualquer endereço de origem, um endereço IP de destino que pertence à entrada dinâmica de endereços de blocklist do Fornecedor e ao aplicativo de correio) são tratados de acordo com as ações de políticas, que são negar e registrar o pacote.
Os nomes dinâmicos de entrada de endereço compartilham o mesmo espaço de nome que as entradas de endereço de segurança legadas, portanto, não use o mesmo nome para mais de uma entrada. O Junos OS confirma verifica se os nomes não são duplicados para evitar um conflito.
Grupos de endereços dinâmicos oferecem suporte aos seguintes feeds de dados:
-
Listas personalizadas (listas de permitidores e blocklists)
-
Geoip
Servidores de feed
-
Os servidores de feed contêm entradas dinâmicas de endereço em um arquivo de feed. Você pode criar feeds personalizados que podem ser locais ou remotos. Para criação de feeds personalizados, veja, Criando feeds personalizados
-
Configure o firewall da Série SRX para usar os feeds. Veja o servidor de feed para configurar o firewall da Série SRX.
Feeds de pacotes
Endereços IP, prefixos IP ou intervalos IP contidos em uma entrada dinâmica de endereço podem ser atualizados periodicamente baixando um feed externo. Os firewalls da Série SRX iniciam periodicamente uma conexão com o servidor de feed para baixar e atualizar as listas de IP que contêm os endereços dinâmicos atualizados.
A partir do Junos OS Release 19.3R1, você pode baixar um único arquivo tgz do servidor e extraí-lo em vários arquivos de feed infantil. Cada arquivo individual corresponde a um feed. Deixe que endereços dinâmicos individuais referenciem o feed dentro do arquivo do pacote. O arquivo de pacote reduz a sobrecarga da CPU quando muitos feeds são configurados, onde várias feeds infantis são compactadas em um arquivo .tgz
Os modos de feed do pacote a seguir são suportados:
Modo de arquivo
No modo de arquivo, você precisa comprimir todos os arquivos de feed para o firewall da Série SRX em um arquivo tgz. O firewall da Série SRX baixa este arquivo e extrai todos os feeds após a extração. Este processo é explicado abaixo:
-
Quando a url do servidor de feed é uma url de um arquivo com o sufixo .tgz em vez de url original de pasta, isso significa que este servidor usa um único arquivo para transportar todos os seus feeds para a implantação de endereço dinâmico da Série SRX. Neste caso, os feeds sob este servidor herdam o intervalo de atualização ou intervalo de espera do servidor. Qualquer configuração de usuário do intervalo de atualização ou intervalo de espera para este feed é ignorada.
-
Após essa mudança, siga as etapas abaixo para manter os feeds do servidor como exemplo abaixo.
O exemplo abaixo mostra as etapas necessárias para manter os feeds do servidor:
-
Coloque todos os arquivos de feed para o firewall da Série SRX sob a pasta feeds-4-srx
-
Gere todos os arquivos de feed fd1 fd2 fd3 .. fdN na pasta feeds-4-srx
-
Adicione ou remova as faixas de IP dos feeds
-
Acesse os arquivos executando o seguinte comando:
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
Após a Etapa 4, o feeds de arquivo-4-srx.tgz está pronto para download no firewall da Série SRX contendo a mesma pasta que contém o arquivo feeds-4-srx.tgz . Após o download, os arquivos extraídos são colocados na mesma pasta que feeds-4-srx.tgz. O exemplo a seguir mostra uma configuração samle em um firewall da Série SRX:
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgz
set security dynamic-address feed-server server-4-srx feed-name feed1 path fd1
set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2
set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
O parâmetro de caminho requer o caminho relativo do feed dentro do arquivo do pacote.
-
Se o arquivo tar -zxf feeds-4-srx.tgz gera uma pasta feeds-4-srx e esta pasta detém o arquivo de feed fd1, então use o seguinte comando para configurar o feed:
[edit]
set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1
-
Se o arquivo tar -zxf alimenta-4-srx.tgz extrai diretamente o arquivo fd1 , use o seguinte comando para configurar o feed:
[edit]
set security dynamic-address feed-server server-4-srx feed fd1 path fd1
Modo de arquivo plano
O modo de arquivo plano oferece a simplicidade máxima para o usuário, introduzindo uma mudança de sintaxe no formato de arquivo de feed existente. O conteúdo de todos os arquivos de feed são compilados em um único arquivo, com .bundle como um sufixo. Isso permite que você gerencie um único arquivo. O firewall da Série SRX classifica as faixas de IP neste arquivo de pacote em inúmeros arquivos de feed. Você pode gzip este arquivo como .bundle.gz se você pode economizar alguma largura de banda para transmissão. Além do formato de arquivo definido anteriormente, uma tag de caso superior FEED: seguida pelo nome do feed é introduzida. As linhas abaixo desta tag são consideradas como faixas de IP pertencentes ao feed. Um exemplo do formato de arquivo é dado abaixo:
root>cat feeds-4-srx.bundle
FEED:fd1
12.1.1.1-12.1.1.2
11.1.1.1-11.1.1.2
FEED:fd2
14.1.1.1-14.1.1.2
A configuração em um firewall da Série SRX é semelhante ao modo de arquivo e é dada abaixo:
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle
set security dynamic-address feed-server server-4-srx feed-name fd1 path fd1
set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
A diferença entre o modo plano e o modo de arquivo é o sufixo do arquivo e o layout dentro do arquivo. Você pode selecionar o modo mais conveniente para você.
Como os arquivos de feed estão no formato de texto simples, gzip pode reduzir o tamanho do arquivo. Se um servidor e um firewall da Série SRX tiverem um link WAN entre eles, use um arquivo de tamanho menor para ser transmitido na rede, neste caso, gzip o arquivo do pacote e configure os seguintes comandos:
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gz
set security dynamic-address feed-server server-4-srx feed-name fd1 path fd1
set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Suporte para servidores de feed para firewalls da Série SRX
Plataforma |
Número máximo de servidores de feed |
Número máximo de feeds |
Número máximo de entradas de endereços dinâmicos |
SRX300SRX320SRX340SRX345SRX550SRX550MSRX650 |
10 |
500 |
500 |
SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800firewallvirtual vSRX firewall virtual vSRX 3.0 |
100 |
5000 |
5000 |
SRX1500 |
40 |
2000 |
2000 |
Veja também
Configure políticas de segurança para VXLAN
RESUMO Use este exemplo para configurar políticas de segurança para inspeção de túnel de EVPN (Ethernet VPN) LAN virtual extensível (VXLAN).
Requisitos
O suporte de VXLAN em firewalls da Série SRX oferece flexibilidade para trazer um firewall de nível empresarial para conectar pontos finais em seus ambientes de campus, data center, filiais e nuvem pública, ao mesmo tempo em que oferece segurança incorporada.
Este exemplo usa os seguintes componentes de hardware e software:
dispositivo SRX4600
Versão Junos OS 20.4R1
Antes de começar:
Certifique-se de entender como a EVPN e a VXLAN funcionam.
Visão geral
A solução EVPN oferece às grandes empresas uma estrutura comum usada para gerenciar suas redes de campus e data center. Uma arquitetura EVPN-VxLAN oferece suporte a conectividade de rede eficiente de Camada 2 e Camada 3 com escala, simplicidade e agilidade. A Figura 5 mostra uma topologia de fluxo de tráfego VXLAN simplificada.
Topologia
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security zones security-zone cloud-1 set security zones security-zone dc set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r1 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r2 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r3 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r4 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 policy-set pset1 set security tunnel-inspection vni r1 vni-range 160 to 200 set security tunnel-inspection vni r2 vni-id 155 set security tunnel-inspection vni r3 vni-range 300 to 399 set security tunnel-inspection vni r4 vni-range 100 to 120 set security tunnel-inspection vni v1 vni-range 1 to 100 set security policies from-zone dc to-zone cloud-1 policy p1 match source-address any set security policies from-zone dc to-zone cloud-1 policy p1 match destination-address any set security policies from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan set security policies from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection ins-pf1 set security policies from-zone cloud-1 to-zone dc policy p1 match source-address any set security policies from-zone cloud-1 to-zone dc policy p1 match destination-address any set security policies from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan set security policies from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1 set security policies policy-set pset1 policy pset_p1 match source-address any set security policies policy-set pset1 policy pset_p1 match destination-address any set security policies policy-set pset1 policy pset_p1 match application any set security policies policy-set pset1 policy pset_p1 then permit set security policies default-policy deny-all
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o VXLAN:
Definir zonas de segurança.
[edit security zones] user@host# set security-zone cloud-1 user@host# set zones security-zone dc
Definir o perfil de inspeção de túnel.
[edit security tunnel-inspection] user@host# set inspection-profile ins-pf1 vxlan vx1 vni r1 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r2 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r3 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r4 user@host# set inspection-profile ins-pf1 vxlan vx1 policy-set pset1 user@host# set vni r1 vni-range 160 to 200 user@host# set vni r2 vni-id 155 user@host# set vni r3 vni-range 300 to 399 user@host# set vni r4 vni-range 100 to 120 user@host# set vni v1 vni-range 1 to 100
Definir políticas de sessão externas.
[edit security policies] user@host# set from-zone dc to-zone cloud-1 policy p1 match source-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match destination-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan user@host# set from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection profile-1 user@host# set from-zone cloud-1 to-zone dc policy p1 match source-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match destination-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan user@host# set from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1
Definir o conjunto de políticas.
[edit security policies] user@host# set policy-set pset1 policy pset_p1 match source-address any user@host# set policy-set pset1 policy pset_p1 destination-address any user@host# set policy-set pset1 policy pset_p1 match application any user@host# set policy-set pset1 policy pset_p1 then permit user@host# set default-policy deny-all
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
user@host# show security policies
from-zone dc to-zone cloud-1 { policy p1 { match { source-address any; destination-address any; application junos-vxlan; } then { permit { tunnel-inspection { ins-pf1; } } } } } from-zone cloud-1 to-zone dc { policy p1 { match { source-address any; destination-address any; application junos-vxlan; } then { permit { tunnel-inspection { ins-pf1; } } } } } policy-set pset1 { policy pset_p1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }
Se você terminar de configurar o recurso em seu dispositivo, entre no commit
modo de configuração.
Verificação
Verifique os perfis de inspeção de túneis e VNI
Propósito
Verifique se o perfil de inpecção do túnel e o VNI estão confugurados..
Ação
A partir do modo operacional, entre no show security tunnel-inspection profiles ins-pf1
e show security tunnel-inspection vnis
comanda.
user@host> show security tunnel-inspection profiles ins-pf1 node0: -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ins-pf1 Type: VXLAN Vxlan count: 1 Vxlan name: vx1 VNI count: 4 VNI:r1, r2, r3, r4 Policy set: pset1 Inspection level: 1
user@host> show security tunnel-inspection vnis node0: -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 5 VNI name: r1 VNI id count: 1 [160 - 200] VNI name: r2 VNI id count: 1 [155 - 155] VNI name: r3 VNI id count: 1 [300 - 399] VNI name: r4 VNI id count: 1 [100 - 120] VNI name: v1 VNI id count: 1 [1 - 100]
Significado
A saída exibe que o recurso VXLAN está habilitado e não há redirecionamentos de pesquisa seguros e reescritas de pesquisa seguras.
Verificar a função de pesquisa segura
Propósito
Verifique se o recurso de pesquisa segura está habilitado para soluções de filtragem da Web de segurança de conteúdo.
Ação
Do modo operacional, entre no Show security flow tunnel-inspection statistic
comando para ver as estatísticas de inspeção de túnel.
user@host> show security flow tunnel-inspection statistics node0: -------------------------------------------------------------------------- Flow Tunnel-inspection statistics: Tunnel-inspection statistics of FPC4 PIC1: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 269 overlay session close: 269 underlay session active: 0 underlay session create: 566 underlay session close: 566 input packets: 349717 input bytes: 363418345 output packets: 348701 output bytes: 363226339 bypass packets: 501 bypass bytes: 50890 Tunnel-inspection statistics of FPC4 PIC2: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 270 overlay session close: 270 underlay session active: 0 underlay session create: 586 underlay session close: 586 input packets: 194151 input bytes: 200171306 output packets: 193221 output bytes: 199987258 bypass packets: 617 bypass bytes: 92902 Tunnel-inspection statistics of FPC4 PIC3: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 275 overlay session close: 275 underlay session active: 0 underlay session create: 615 underlay session close: 615 input packets: 216486 input bytes: 222875066 output packets: 213827 output bytes: 222460378 bypass packets: 2038 bypass bytes: 270480 Tunnel-inspection statistics summary: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 814 overlay session close: 814 underlay session active: 0 underlay session create: 1767 underlay session close: 1767 input packets: 760354 input bytes: 786464717 output packets: 755749 output bytes: 785673975 bypass packets: 3156 bypass bytes: 414272 node1: -------------------------------------------------------------------------- Flow Tunnel-inspection statistics: Tunnel-inspection statistics of FPC4 PIC1: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 269 overlay session close: 269 underlay session active: 0 underlay session create: 566 underlay session close: 566 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics of FPC4 PIC2: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 270 overlay session close: 270 underlay session active: 0 underlay session create: 586 underlay session close: 586 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics of FPC4 PIC3: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 275 overlay session close: 275 underlay session active: 0 underlay session create: 615 underlay session close: 615 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics summary: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 814 overlay session close: 814 underlay session active: 0 underlay session create: 1767 underlay session close: 1767 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0
Significado
A saída exibe que o recurso VXLAN está habilitado e não há redirecionamentos de pesquisa seguros e reescritas de pesquisa seguras.
Habilite políticas de segurança para a inspeção do túnel de fluxo de pacotes Geneve
RESUMO Use essa configuração para habilitar políticas de segurança no firewall virtual vSRX 3.0 para inspeção do túnel de fluxo de pacotes Geneve.
Com o suporte geneve em instâncias 3.0 de firewall virtual vSRX, você pode usar o vSRX3.0 para:
-
Conecte pontos finais em ambientes de campus, data center e nuvem pública e seus banches.
-
Proteja esses ambientes com segurança incorporada.
- Requisitos
- Visão geral
- Configuração (firewall virtual vSRX 3.0 como endpoint de túnel)
- Configuração (firewall virtual vSRX 3.0 como roteador de trânsito)
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
-
Firewall virtual vSRX 3.0
-
Versão Junos OS 23.1R1
Antes de começar:
-
Certifique-se de entender como funciona o protocolo Geneve.
Visão geral
Usando esta configuração, você pode:
-
Habilite as políticas de segurança para processar os pacotes L3 encapsulados do túnel Geneve.
-
Crie perfis distintos para o tráfego Geneve com base na política de atributos TLV de VNI e fornecedor, uma vez anexada a um perfil de inspeção, determina o tipo de tráfego Geneve a ser processado e as políticas a serem aplicadas ao tráfego interno.
-
Configure a política de segurança regular no firewall virtual vSRX 3.0 para aplicar serviços L4 e L7 no tráfego interno.
Configuração (firewall virtual vSRX 3.0 como endpoint de túnel)
- Topologia de fluxo de tráfego geneve simplificada com AWS GWLB e firewall virtual vSRX 3.0 como ponto final do túnel
- Configuração rápida da CLI
- Procedimento
- Resultados
- Verificar o perfil de inspeção de túneis e VNI
- Verificar o perfil de inspeção de túneis e VNI
Topologia de fluxo de tráfego geneve simplificada com AWS GWLB e firewall virtual vSRX 3.0 como ponto final do túnel
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
Definir uma zona de confiança e não confiável para permitir todo o tráfego de host.
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor
set security tunnel-inspection vni vni-vendor vni-id 0
set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve
set security policies from-zone vtepc to-zone junos-host policy self match source-address any
set security policies from-zone vtepc to-zone junos-host policy self match destination-address any
set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set ps-vendor policy self match source-address any
set security policies policy-set ps-vendor policy self match destination-address any
set security policies policy-set ps-vendor policy self match application any
set security policies policy-set ps-vendor policy self then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o suporte de fluxo Geneve para inspeção de túnel no firewall virtual vSRX 3.0:
-
Definir uma zona de confiança e não confiável para permitir todo o tráfego de host sob a [edit security zones] hierarquia.
-
Definir o
tunnel-inspection
perfil.[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
Definir políticas de sessão externas para os pacotes externos e anexar o perfil de inspeção de túnel mencionado
Nota:Na configuração de políticas,
to-zone
a política externa no caso do firewall virtual vSRX 3.0 como endpoint de túnel deve serjunos-host
, que é uma zona incorporada (identificador reservado) para processar o tráfego.[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
Definir uma política interna em análise
policy-set
para processar o pacote descapsulado.[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
Configure a interface associada ao
from-zone
cliente de endpoint de túnel virtual (VTEPC) para receber os pacotes encapsulados por Geneve e os pacotes de verificação de integridade.[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy dst-nat-pool-access { match { source-address any; destination-address 233.252.0.1/21; application any; } then { permit; } } } from-zone vtepc to-zone junos-host { policy self { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set ps-vendor { policy self { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } vni v1 { vni-id 0; } vni vni-vendor { vni-id 0; }
Após concluir a configuração do recurso em seu dispositivo, entre commit
no modo de configuração.
Verificar o perfil de inspeção de túneis e VNI
Propósito
Verifique se você configurou o tunnel-inspection
perfil e o identificador de rede VXLAN (VNI).
Ação
A partir do modo operacional, entre no show security tunnel-inspection profiles ti-vendor
e show security tunnel-inspection vnis
comanda.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
Significado
A saída exibe que o perfil de inspeção de túnel geneve está habilitado e o identificador de rede VXLAN (VNI) está configurado.
Verificar o perfil de inspeção de túneis e VNI
Propósito
Verifique se você configurou o tunnel-inspection
perfil e o identificador de rede VXLAN (VNI).
Ação
A partir do modo operacional, entre no show security tunnel-inspection profiles ti-vendor
e show security tunnel-inspection vnis
comanda.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
Significado
A saída exibe que o perfil de inspeção de túnel geneve está habilitado e o identificador de rede VXLAN (VNI) está configurado.
Configuração (firewall virtual vSRX 3.0 como roteador de trânsito)
- Topologia de fluxo de tráfego geneve simplificada firewall virtual vSRX 3.0 como roteador de trânsito
- Configuração rápida da CLI
- Procedimento
- Resultados
Topologia de fluxo de tráfego geneve simplificada firewall virtual vSRX 3.0 como roteador de trânsito
Neste modo de implantação, o cliente de endpoint de túnel virtual (vtepc) (endpoint de túnel Geneve) deve garantir que os pacotes destinados ao cliente e ao servidor passem pelo servidor de endpoint de túnel virtual (vteps) (firewall virtual vSRX 3.0). A porta de origem é selecionada pelo endpoint de túnel virtual (vtep).
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security tunnel-inspection vni r1 vni-range 1 to 100
set security tunnel-inspection vni r1 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1
set security tunnel-inspection vni r2 vni-range 200 to 400
set security tunnel-inspection vni r2 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve
set security policies from-zone vtepc to-zone vteps policy p1 match source-address any
set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any
set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor
set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve
set security policies from-zone vteps to-zone vtepc policy p1 match source-address any
set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any
set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set pset1 policy pset_p1 match source-address any
set security policies policy-set pset1 policy pset_p1 match destination-address any
set security policies policy-set pset1 policy pset_p1 match application any
set security policies policy-set pset1 policy pset_p1 then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o suporte de fluxo Geneve para inspeção de túnel no firewall virtual vSRX 3.0 (firewall virtual vSRX 3.0 como roteador de trânsito) :
-
Definir uma zona de confiança e não confiável para permitir todo o tráfego de host sob a [edit security zones] hierarquia.
-
Definir o
tunnel-inspection
perfil.[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
Definir políticas de sessão externas.
Nota:Para o firewall virtual vSRX 3.0 como roteador de trânsito, você precisa de duas políticas em cada direção.
to-zone
Efrom-zone
são as respectivas zonas que devem ser definidas nas interfaces.[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
Definir uma política interna em análise
policy-set
para processar o pacote descapsulado.[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
Configure a interface associada ao
from-zone
cliente de endpoint de túnel virtual (VTEPC) para receber os pacotes encapsulados por Geneve e os pacotes de verificação de integridade.Nota:Em caso de modo de trânsito, o firewall virtual vSRX 3.0 deve ser configurado com duas interfaces L3 para entrada e saída.
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } } from-zone vtepc to-zone vteps { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } from-zone vteps to-zone vtepc { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set pset1 { policy pset_p1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }}
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } inspection-profile pro1; vni r1 { vni-id 500; } vni r2 { vni-id 500; } }
Após concluir a configuração do recurso em seu dispositivo, entre commit
no modo de configuração.
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.