逻辑系统安全策略
安全策略用于保护业务并控制对 LAN 资源的访问。公司内部的 LAN 以及与外部网络(如互联网)的交互都需要安全访问。Junos OS 通过其状态防火墙、应用程序防火墙和用户身份防火墙提供强大的网络安全功能。所有三种类型的防火墙实施都通过安全策略实施。有关更多信息,请参阅以下主题:
了解逻辑系统安全策略
逻辑系统中的安全策略
安全策略会实施规则,规定哪些流量可以通过防火墙,以及流量在通过防火墙时需要在流量上执行的操作。从安全策略的角度来看,流量会进入一个安全区域,然后退出另一个安全区域。
默认情况下,逻辑系统会拒绝所有方向上的所有流量,包括区域内和区域间方向。通过创建安全策略,逻辑系统管理员可以通过定义允许从指定源传递到指定目标的流量类型,来控制从区域到区域之间的流量。
可以在主逻辑系统和用户逻辑系统中配置安全策略。在逻辑系统中配置安全策略与在未为逻辑系统配置的设备上配置安全策略相同。在逻辑系统中创建的任何安全策略、策略规则、通讯簿、应用程序和应用程序集以及调度器仅适用于该逻辑系统。在逻辑系统之间只能共享预定义的应用程序集,例如 junos-ftp。
在逻辑系统中,不能指定 global 为安全策略中的“从区域”或“到区域”。
用户逻辑系统管理员可以在用户逻辑系统中配置和查看安全策略的所有属性。用户逻辑系统中安全策略的所有属性也对主管理员可见。
从 Junos OS 18.4R1 版开始,用户可以在逻辑系统中创建动态地址。动态地址条目包含从外部源提取的 IP 地址和前缀。安全策略在源地址字段或目标地址字段中使用动态地址。
动态地址条目 (DAE) 是一组 IP 地址,可手动输入,也可从逻辑系统内的外部源导入。DAE 功能允许在安全策略中使用基于源的 IP 对象,从而根据源或目标 IP 标准来拒绝或允许流量。
最大 DAE 数取决于分配给逻辑系统的动态地址。从 Junos 18.4R1 开始, set security dynamic-address feed-server 可以在逻辑系统下配置命令。
应用程序超时
为应用程序设置的应用程序超时值决定了会话超时。逻辑系统中的应用程序超时行为与根级别相同。但是,用户逻辑系统管理员可以在安全策略中使用预定义的应用程序,但不能修改预定义应用程序的超时值。这是因为预定义的应用程序由主逻辑系统和所有用户逻辑系统共享,因此不允许用户逻辑系统管理员更改其行为。应用程序超时值存储在应用程序条目数据库中,以及相应的逻辑系统 TCP 和 UDP 端口超时表中。
如果与流量匹配的应用程序有超时值,则使用该超时值。否则,查找将按以下顺序进行,直到找到应用程序超时值:
系统会搜索基于逻辑系统 TCP 和 UDP 端口的超时表以查找超时值。
搜索基于根 TCP 和 UDP 端口的超时表以查找超时值。
搜索基于协议的默认超时表以查找超时值。
安全策略分配
主管理员为每个用户逻辑系统配置安全策略的最大和保留数。然后,用户逻辑系统管理员可以在用户逻辑系统中创建安全策略。用户逻辑系统管理员可以在用户逻辑系统中使用 show system security-profile policy 命令查看分配给用户逻辑系统的安全策略数量。
主管理员可以为主逻辑系统配置安全配置文件,以指定应用于主逻辑系统的安全策略的最大数量和保留数。在主逻辑系统中配置的策略数计入设备上可用的最大策略数。
另请参阅
示例:在用户逻辑系统中配置安全策略
此示例说明如何为用户逻辑系统配置安全策略。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
show system security-profiles policy使用命令查看分配给逻辑系统的安全策略资源。配置区域和地址簿。请参阅 示例:为用户逻辑系统配置安全区域。
概述
此示例配置 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中显示的 ls-product 设计用户逻辑系统。
此示例配置 表 1 中描述的安全策略。
名字 |
配置参数 |
|---|---|
permit-all-to-otherlsys |
允许以下流量:
|
permit-all-from-otherlsys |
允许以下流量:
|
拓扑
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
在用户逻辑系统中配置安全策略:
以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置一个安全策略,以允许从 ls-product-design-trust 区域到 ls-product-design-untrust 区域的流量。
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
配置一个安全策略,以允许从 ls-product-design-untrust 区域到 ls-product-design-trust 区域的流量。
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
结果
在配置模式下,输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
为逻辑系统配置动态地址
逻辑系统中的动态地址条目为安全策略提供动态 IP 地址信息。要使用动态地址,必须指定动态地址的基本信息,包括其名称、源和逻辑系统的属性。
阅读 示例:在用户逻辑系统中配置安全策略 ,了解此过程配置安全策略的方式和适用位置。
要配置逻辑系统中 IPv4 网络中的动态地址:
在逻辑系统中配置安全策略:
将逻辑系统名称定义为 LSYS1。
[edit] user@host# set logical-systems LSYS1
创建一个安全策略 p1,以允许从区域信任到不信任区域之间的流量,并配置匹配条件。
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
输入命令以确认
show logical-systems LSYS1 security policies您的配置。[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }