Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全设备上的安全区域和安全策略

了解第 2 层安全区域

第 2 层安全区域是托管第 2 层接口的区域。安全区域可以是第 2 层或第 3 层区域;它可以托管所有第 2 层接口或所有第 3 层接口,但不能混合包含第 2 层和第 3 层接口。

安全区域类型(第 2 层或第 3 层)是从为安全区域配置的第一个接口隐式设置的。为同一安全区域配置的后续接口必须与第一个接口的类型相同。

注:

不能同时为设备配置第 2 层和第 3 层安全区域。

您可以为第 2 层安全区域配置以下属性:

  • 接口 — 区域中的接口列表。

  • 策略 - 主动安全策略,根据哪些流量可以通过防火墙以及流量通过防火墙时需要对流量执行的操作来实施传输流量规则。

  • 筛选 — 瞻博网络状态防火墙通过检查并允许或拒绝所有需要从一个安全区域传递到另一个安全区域的连接尝试来保护网络。对于每个安全区域和 MGT 区域,您可以启用一组预定义的屏幕选项,用于检测和阻止设备确定为可能有害的各种流量。

    注:

    您可以为第 2 层安全区域配置与第 3 层安全区域相同的屏幕选项。

  • 地址簿 - 组成地址簿的 IP 地址和地址集,用于标识其成员,以便您可以对其应用策略。

  • TCP-RST — 启用此功能后,当流量到达时,系统会发送一个 TCP 分段,其中设置了重置标志,但该分段与现有会话不匹配且未设置同步标志。

此外,您还可以为主机入站流量配置第 2 层区域。这允许您指定可以从直接连接到区域中接口的系统到达设备的流量类型。您必须指定所有预期的主机入站流量,因为默认情况下会丢弃来自直接连接到设备接口的设备的入站流量。

示例:配置第 2 层安全区域

此示例说明如何配置第 2 层安全区域。

要求

在开始之前,请确定要为第 2 层安全区域配置的属性。请参阅 了解第 2 层安全区域

概述

在此示例中,您将安全区域 l2-zone1 配置为包含名为 ge-3/0/0.0 的第 2 层逻辑接口,将安全区域 l2-zone2 配置为包含名为 ge-3/0/1.0 的第 2 层逻辑接口。然后,配置 l2-zone2 以允许所有受支持的应用程序服务(如 SSH、Telnet 和 SNMP)作为主机入站流量。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

程序

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要配置第 2 层安全区域,请执行以下操作:

  1. 创建第 2 层安全区域并为其分配接口。

  2. 配置第 2 层安全区域之一。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否正常工作,请输入 show security zones 命令。

了解透明模式下的安全策略

在透明模式下,只能在第 2 层区域之间配置安全策略。通过 VLAN 转发数据包时,将在安全区域之间应用安全策略。透明模式的安全策略类似于为第 3 层区域配置的策略,但存在以下例外:

  • 不支持 NAT。

  • 不支持 IPsec VPN。

  • 不支持应用程序 ANY。

除非设备上明确配置了策略,否则第 2 层转发不允许任何区域间流量。默认情况下,第 2 层转发执行以下操作:

  • 允许或拒绝配置的策略指定的流量。

  • 允许地址解析协议 (ARP) 和第 2 层非 IP 组播和广播流量。

  • 继续阻止所有非 IP 和非 ARP 单播流量。

可以使用 J-Web 或 CLI 配置编辑器更改以太网交换数据包流的以下默认行为:

  • 配置选项以 block-non-ip-all 阻止所有第 2 层非 IP 和非 ARP 流量,包括组播和广播流量。

  • 配置选项 bypass-non-ip-unicast 以允许所有第 2 层非 IP 流量通过设备。

注:

不能同时配置这两个选项。

从 Junos OS 12.3X48-D10 版和 Junos OS 17.3R1 版开始,您可以在混合模式(默认模式)下为第 2 层和第 3 层接口创建单独的安全区域。但是,IRB 接口之间以及 IRB 接口与第 3 层接口之间没有路由。因此,您无法在第 2 层和第 3 层区域之间配置安全策略。您只能在第 2 层区域之间或第 3 层区域之间配置安全策略。

示例:在透明模式下配置安全策略

此示例说明如何在第 2 层区域之间以透明模式配置安全策略。

要求

开始之前,请确定要包含在第 2 层安全区域中的策略行为。请参阅 了解透明模式下的安全策略

概述

在此示例中,您将配置安全策略以允许从 l2–zone1 安全区域中的 192.0.2.0/24 子网到 l2–zone2 安全区域中位于 192.0.2.1/24 的服务器的 HTTP 流量。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit] 层级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在透明模式下配置安全策略:

  1. 创建策略并为区域的接口分配地址。

  2. 为应用程序设置策略。

结果

在配置模式下,输入 show security policies 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

验证第 2 层安全策略

目的

验证是否正确配置了第 2 层安全策略。

操作

从配置模式,输入 show security policies 命令。

了解透明模式下的防火墙用户身份验证

防火墙用户是在跨防火墙启动连接时必须提供用户名和密码进行身份验证的网络用户。防火墙用户身份验证使管理员能够根据其源 IP 地址和其他凭据限制和允许用户访问防火墙后面的受保护资源。Junos OS 支持 SRX 系列防火墙上透明模式的以下类型的防火墙用户身份验证:

  • 直通身份验证 - 一个区域中的主机或用户尝试访问另一个区域中的资源。您必须使用 FTP、Telnet 或 HTTP 客户端访问受保护资源的 IP 地址,并通过防火墙进行身份验证。设备使用 FTP、Telnet 或 HTTP 收集用户名和密码信息,并根据此身份验证的结果允许或拒绝来自用户或主机的后续流量。

  • Web 身份验证 — 用户尝试使用 HTTP 连接到 IRB 接口上已启用 Web 身份验证的 IP 地址。系统将提示您输入设备验证的用户名和密码。根据此身份验证的结果,允许或拒绝从用户或主机到受保护资源的后续流量。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
12.3X48-D10
从 Junos OS 12.3X48-D10 版和 Junos OS 17.3R1 版开始,您可以在混合模式(默认模式)下为第 2 层和第 3 层接口创建单独的安全区域。