SCTP 配置
流控制传输协议 (SCTP) 可配置为在所有 SCTP 信息流上执行状态检测。
SCTP 配置概述
您必须配置至少一个 SCTP 配置文件,以使安全设备能够在所有 SCTP 信息流上执行状态检测。对 SCTP 流量的状态检查将丢弃一些异常的 SCTP 数据包。
SCTP 防火墙支持对配置文件进行更深入的检查:
数据包过滤 — 丢弃数据包的配置文件配置用于特殊 SCTP 有效负载协议和 M3UA 服务,可实现数据包过滤。
限制速率 — 控制每个关联中的 M3UA 和 SCCP 数据包速率。
SCTP 深入检查需要以下设置:
创建 SCTP 配置文件
配置过滤和限制参数
将 SCTP 配置文件绑定到策略
示例:配置安全策略以允许或拒绝 SCTP 流量
此示例说明了如何配置安全策略以允许或拒绝 SCTP 信息流。
要求
开始之前:
创建区域。请参阅 示例:创建安全区域。
配置地址簿并创建地址,供在策略中使用。请参阅 示例:配置地址簿和地址集。
创建一个应用(或应用程序集),表明策略适用于该类型的流量。请参阅 示例:配置安全策略应用程序和应用程序集。
配置 GPRS SCTP 配置文件。请参阅 示例:为基于策略的检测配置 GPRS SCTP 配置文件以减少安全风险。
概述
SCTP 防火墙实施策略机制,该机制以管理方式用于确定可传递或丢弃的数据包。您可为多个地址、地址组或整个区域配置策略。
如果 SCTP 信息流仅使用几个端口,则 SCTP 关联不会平均分布到服务处理单元 (SPE)。这种情况发生于以下情况:
关联端口对上的散列结果并不平均。
端口对的数量小于或不超过 S CPU 的数量。
此配置示例显示如何:
拒绝从信任区域到不信任区域中的 IP 地址 10.1.1.0/24 的 SCTP 流量。
使用漫游 2att 配置文件中指定的 SCTP 配置,允许 SCTP 流量从信任区域 IP 地址 10.1.2.0/24 进入不信任区域。
图 1 显示了 SCTP 防火墙的实施。
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone untrust interfaces ge-0/0/1 set security policies from-zone trust to-zone untrust policy deny-all match source-address any set security policies policy from-zone trust to-zone untrust policy deny-all match destination-address 10.1.1.0/24 set security policies policy from-zone trust to-zone untrust policy deny-all match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy deny-all then deny set security policies from-zone trust to-zone untrust policy allow-att-roaming match source-address 10.1.2.0/24 set security policies from-zone trust to-zone untrust policy allow-att-roaming match destination-address any set security policies policy from-zone trust to-zone untrust policy allow-att-roaming match application junos-gprs-sctp set security policies from-zone trust to-zone untrust policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
逐步过程
要配置安全策略以允许或拒绝 SCTP 信息流:
配置接口和安全区域。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 user@host# set security-zone untrust interfaces ge-0/0/1
创建安全策略以允许从信任区域到不信任区域的流量。
[edit security policies from-zone trust to-zone untrust] user@host# set policy allow-att-roaming match source-address 10.1.2.0/24 user@host# set policy allow-att-roaming match destination-address any user@host# set policy allow-att-roaming match application junos-gprs-sctp user@host# set policy allow-att-roaming then permit application-services gprs-sctp-profile roam2att
创建安全策略以拒绝从信任区域到不信任区域的流量。
[edit security policies from-zone trust to-zone untrust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address 10.1.1.0/24 user@host# set policy deny-all match application junos-gprs-sctp user@host# set policy deny-all then deny
结果
在配置模式下,输入 命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy deny-all {
match {
source-address any;
destination-address 10.1.1.0/24;
application junos-gprs-sctp;
}
then {
deny;
}
}
policy allow-att-roaming {
match {
source-address 10.1.2.0/24;
destination-address any;
application junos-gprs-sctp;
}
then {
permit {
application-services {
gprs-sctp-profile roam2att;
}
}
}
}
}
如果完成设备配置,请从配置 commit 模式输入 。
示例:为基于策略的检测配置 GPRS SCTP 配置文件以减少安全风险
在 GPRS 架构中,对运营商网络造成安全威胁的根本原因是 GPRS 隧道协议 (GTP) 中固有的安全性缺乏。此示例展示如何配置 GPRS SCTP 配置文件进行基于策略的检测以减少 GTP 的安全风险。
要求
开始之前,请了解 GPRS SCTP 层次结构及其选项。
概述
此示例通过为 SCTP 检测设置限制速率参数和有效负载协议参数,来配置 GPRS SCTP 配置文件。如果策略包含 选项,则转换有效负载 IP 地址 nat-only ,但不检测它们。
SCTP 命令只能应用于使用 SCTP 配置文件配置的策略。
如果从策略中删除 SCTP 配置文件,则数据包将转发而不会执行任何检查,并且即使配置了相关的静态协议,数据包有效负载中的 IP 地址列表也NAT转换。
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set security gprs sctp profile roam2att limit rate address 10.1.1.0 sccp 100 set security gprs sctp profile roam2att limit rate address 10.1.1.0 ssp 10 set security gprs sctp profile roam2att limit rate address 10.1.1.0 sst 50 set security gprs sctp profile roam2att drop payload-protocol all set security gprs sctp profile roam2att permit payload-protocol dua
逐步过程
要配置 GPRS SCTP 配置文件:
配置限制速率参数。
限制速率按关联计算。
[edit security gprs sctp profile roam2att] user@host# set limit rate address 10.1.1.0 sccp 100 user@host# set limit rate address 10.1.1.0 ssp 10 user@host# set limit rate address 10.1.1.0 sst 50
配置有效负载协议以丢弃所有 SCTP 有效负载消息。
[edit security gprs sctp profile roam2att] user@host# set drop payload-protocol all
配置有效负载协议以允许某些 SCTP 有效负载消息。
[edit security gprs sctp profile roam2att] user@host# set permit payload-protocol dua
结果
在配置模式下,输入 show security gprs 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。
[edit]
user@host# show security gprs
sctp {
profile roam2att {
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
}
}
如果完成设备配置,请在配置 模式下输入 commit 。
验证
确认配置工作正常。
验证 SCTP 配置文件配置
目的
验证 SCTP 配置文件配置。
行动
在配置模式下,输入 show configuration security gprs sctp profile roam2att 命令。
user@host> show configuration security gprs sctp profile roam2att
drop {
payload-protocol all;
}
permit {
payload-protocol dua;
}
limit {
rate {
address 10.1.1.0 {
sccp 100;
ssp 10;
sst 50;
}
}
}
意义
输出显示有关允许的 SCTP 有效负载消息和丢弃的 SCTP 有效负载消息的信息。验证以下信息:
丢弃的 SCTP 有效负载消息
允许的 SCTP 有效负载消息