配置安全策略
要保护网络,网络管理员必须创建一个安全策略,概述该企业中的所有网络资源以及这些资源所需的安全级别。Junos OS 允许您配置安全策略。安全策略强制实施传输流量规则,包括哪些流量可以通过防火墙,以及在流量通过防火墙时需要对流量执行的操作。
了解安全策略元素
安全策略是一组语句,用于使用指定服务控制从指定源到指定目标的流量。策略允许、拒绝或隧道在两点之间单向传输指定类型的流量。
每个策略包括:
策略的唯一名称。
A
from-zone和 ato-zone,例如:user@host#set security policies from-zone untrust to-zone untrust一组匹配标准,用于定义应用策略规则时必须满足的条件。匹配标准基于源 IP 地址、目标 IP 地址和应用程序。用户身份防火墙通过在策略语句中包含附加元组(源身份)来提供更高的粒度。
匹配时要执行的一组操作 - 允许、拒绝或拒绝。
记帐和审计元素 - 计数、日志记录或结构化系统日志记录。
如果 SRX 系列收到与这些规格匹配的数据包,它将执行策略中指定的操作。
安全策略对传输流量实施一组规则,用于识别哪些流量可以通过防火墙,以及在流量通过防火墙时对流量执行的操作。符合指定条件的流量操作包括允许、拒绝、拒绝、记录或计数。
对于 SRX300、SRX320、SRX340、SRX345、SRX380 和SRX550M设备,提供了出厂默认安全策略:
-
允许从信任区域到不信任区域的所有流量。
-
允许受信任区域之间的所有流量,即从信任区域到区域内受信任区域的所有流量。
拒绝从不信任区域到信任区域的所有流量。
了解安全策略规则
安全策略将安全规则应用于上下文 (from-zone 到 to-zone) 内的传输流量。每个策略都由其名称唯一标识。通过将流量的源和目标区域、源地址和目标地址以及流量在其协议标头中携带的应用程序与数据平面中的策略数据库进行匹配来对流量进行分类。
每个策略都与以下特征相关联:
源区域
目标区域
一个或多个源地址名称或地址集名称
一个或多个目标地址名称或地址集名称
一个或多个应用程序名称或应用程序集名称
这些特征称为 匹配标准。每个策略还具有与之关联的操作:允许、拒绝、拒绝、计数、日志和 VPN 隧道。配置策略、源地址、目标地址和应用程序名称时,必须指定匹配条件参数。
您可以使用通配符条目 any指定使用 IPv4 或 IPv6 地址配置策略。如果未为 IPv6 流量启用流支持, any 则匹配 IPv4 地址。为 IPv6 流量启用流支持后,将 any 匹配 IPv4 和 IPv6 地址。要为 IPv6 流量启用基于流的转发,请使用 set security forwarding-options family inet6 mode flow-based 命令。您还可以指定通配符 any-ipv4 ,或者 any-ipv6 源地址和目标地址匹配标准分别仅包含 IPv4 地址或仅包含 IPv6 地址。
启用对 IPv6 流量的流支持后,您可以在安全策略中配置的最大 IPv4 或 IPv6 地址数基于以下匹配标准:
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
匹配标准的原因是 IPv6 地址使用的内存空间是 IPv4 地址使用的内存空间的四倍。
仅当设备上启用了对 IPv6 流量的流支持时,才能使用 IPv6 地址配置安全策略。
如果不想指定特定应用程序, any 请输入为默认应用程序。要查找默认应用程序,请在配置模式下输入 show groups junos-defaults | find applications (predefined applications)。例如,如果未提供应用程序名称,则会将策略作为通配符随应用程序一起安装(默认)。因此,无论数据流量的应用程序类型如何,与给定策略中其余参数匹配的任何数据流量都将匹配该策略。
如果策略配置了多个应用程序,并且多个应用程序与流量匹配,则会选择最符合匹配条件的应用程序。
流量匹配的第一个策略的操作将应用于数据包。如果没有匹配的策略,则会丢弃数据包。策略是从上到下搜索的,因此最好将更具体的策略放在列表顶部附近。还应将 IPsec VPN 隧道策略放置在靠近顶部的位置。将更一般的策略(例如允许某些用户访问所有 Internet 应用程序的策略)放在列表底部。例如,在之前解析了所有特定策略并允许/计数/记录了合法流量之后,将“全部拒绝”或“全部拒绝”策略放在底部。
Junos OS 10.2 版中添加了对 IPv6 地址的支持。Junos OS 10.4 版中添加了对主动/主动机箱群集配置中 IPv6 地址的支持(除了对主动/被动机箱群集配置的现有支持)。
在处理完防火墙过滤器和屏幕并且服务处理单元 (SPU)(针对 SRX5400、SRX5600 和 SRX5800 设备)完成路由查找之后,将在流处理期间查找策略。策略查找确定目标区域、目标地址和出口接口。
创建策略时,以下策略规则适用:
安全策略是按
from-zonetoto-zone方向配置的。在特定区域方向下,每个安全策略都包含一个名称、匹配标准、一个操作和其他选项。策略名称、匹配标准和操作是必需的。
策略名称是一个关键字。
匹配标准中的源地址由 中的
from-zone一个或多个地址名称或地址集名称组成。匹配标准的目标地址由 中的
to-zone一个或多个地址名称或地址集名称组成。匹配标准中的应用程序名称由一个或多个应用程序或应用程序集的名称组成。
需要执行以下操作之一:允许、拒绝或拒绝。
可以指定会计和审计元素:计数和日志。
您可以使用命令
session-close在会话结束时启用日志记录,也可以在会话session-init开始时使用命令启用日志记录。打开计数警报后,请指定警报阈值(以字节/秒或千字节/分钟为单位)。
除非在以下情况下,否则不能指定
global为 或from-zoneto-zone:使用 as
to-zone作为全局区域配置的任何策略都必须具有单个目标地址,以指示已在策略中配置静态 NAT 或传入 NAT。在 SRX 系列防火墙中,简化了带 NAT 的策略允许选项。每个策略都会选择性地指示它是否允许 NAT 转换、不允许 NAT 转换或不关心。
地址名称不能以以下保留前缀开头。这些仅用于地址 NAT 配置:
static_nat_incoming_nat_junos_
应用程序名称不能以保留前缀
junos_开头。
了解通配符地址
源地址和目标地址是应在安全策略中配置的五个匹配标准中的两个。现在,您可以在安全策略中为源地址和目标地址匹配标准配置通配符地址。通配符地址表示为 A.B.C.D/通配符掩码。通配符掩码确定安全策略匹配标准应忽略 IP 地址 A.B.C.D 中的哪些位。例如,安全策略中的源 IP 地址 192.168.0.11/255.255.0.255 意味着安全策略匹配标准可以丢弃 IP 地址中的第三个八位字节(符号表示为 192.168.*.11)。因此,具有源 IP 地址(如 192.168.1.11 和 192.168.22.11)的数据包符合匹配标准。但是,源 IP 地址(如 192.168.0.1 和 192.168.1.21)的数据包不满足匹配标准。
通配符地址的使用不仅限于完整的八位字节。您可以配置任何通配符地址。例如,通配符地址 192.168。7.1/255.255.7.255 表示在进行策略匹配时,只需忽略通配符地址第三个八位字节的前 5 位。如果通配符地址的使用仅限于完整的八位位组,则仅允许在四个八位位组中的每一个八位位组中使用 0 或 255 的通配符掩码。
通配符掩码的第一个八位字节应大于 128。例如,表示为 0.255.0.255 或 1.255.0.255 的通配符掩码无效。
通配符安全策略是一个简单的防火墙策略,允许您允许、拒绝和拒绝试图从一个安全区域跨越到另一个安全区域的流量。不应使用通配符地址为内容安全等服务配置安全策略规则。
所有 SRX5400、SRX5600 和 SRX5800 设备仅支持 IPv6 会话的入侵和防御 (IDP)。不支持 IPv6 会话的内容安全性。如果当前安全策略使用具有 IP 地址通配符的规则,并且启用了内容安全功能,则会遇到配置提交错误,因为内容安全功能尚不支持 IPv6 地址。要解决错误,请修改返回错误的规则,以便使用 any-ipv4 通配符;并为不包含内容安全功能的 IPv6 流量创建单独的规则。
根据每个从区域和到区域上下文配置的通配符策略数量,在设备上配置通配符安全策略会影响性能和内存使用情况。因此,您最多只能为特定的从区域和到区域上下文配置 480 个通配符策略。
参见
了解自身流量的安全策略
在设备上配置安全策略,以将服务应用于流经设备的流量。例如,UAC 和内容安全策略配置为将服务应用于瞬态流量。
自流量或主机流量,是主机入站流量;即,在设备上终止的流量或作为源自设备的流量的主机出站流量。现在,您可以配置策略以对自身流量应用服务。SSL 堆栈服务(必须终止来自远程设备的 SSL 连接并对该流量执行某些处理)、针对主机入站流量的 IDP 服务或对主机出站流量执行 IPsec 加密等服务必须通过对自身流量配置的安全策略来应用。
为自身流量配置安全策略时,首先根据策略检查流经设备的流量,然后根据为绑定到区域的接口配置的选项进行 host-inbound-traffic 检查。
您可以配置自我流量的安全策略,以将服务应用于自我流量。主机出站策略仅在源自主机设备的数据包通过流且此数据包的传入接口设置为本地的情况下才有效。
使用自流量的优点是:
您可以利用用于传输流量的大多数现有策略或流基础架构。
您不需要单独的 IP 地址即可启用任何服务。
您可以将服务或策略应用于设备上任何接口的目标 IP 地址的任何主机入站流量。
在 SRX 系列防火墙上,默认安全策略规则不会影响自身流量。
您只能为具有相关服务的自流量配置安全策略。例如,在主机出站流量上配置 fwauth 服务无关,gprs-gtp 服务与自我流量的安全策略无关。
自身流量的安全策略在称为区域 junos-host 的新默认安全区域下配置。junos 主机区域将是 junos 默认配置的一部分,因此用户无法将其删除。接口、屏幕、tcp-rst 和主机入站流量选项等现有区域配置对 junos 主机区域没有意义。因此,没有针对 junos 主机区域的专用配置。
您可以使用主机入站流量来控制与设备的传入连接;但是,它不会限制流出设备的流量。而 junos-host-zone 允许您选择所需的应用程序并限制传出流量。例如,现在可以使用 junos-host-zone 为进出 SRX 系列防火墙的流量启用 NAT、IDP、内容安全等服务。
安全策略配置概述
您必须完成以下任务才能创建安全策略:
创建区域。请参见 示例:创建安全区域。
使用策略地址配置地址簿。请参阅 示例:配置通讯簿和地址集。
创建一个应用程序(或应用程序集),指示策略适用于该类型的流量。请参阅 示例:配置安全策略应用程序和应用程序集。
创建策略。请参阅 示例:配置安全策略以允许或拒绝所有流量、 示例:配置安全策略以允许或拒绝选定流量和 示例:配置安全策略以允许或拒绝通配符地址流量。
如果您计划将计划程序用于策略,请创建计划程序。请参阅 示例:为不包括一天的每日计划配置计划程序。
防火墙策略向导使您能够执行基本安全策略配置。如需更高级的配置,请使用 J-Web 界面或 CLI。
参见
在 SRX 系列设备上定义策略的最佳实践
安全的网络对企业至关重要。要保护网络,网络管理员必须创建一个安全策略,概述该企业中的所有网络资源以及这些资源所需的安全级别。安全策略将安全规则应用于上下文(从区域到区域)中的传输流量,并且每个策略都由其名称唯一标识。通过将源和目标区域、源地址和目标地址以及流量在其协议标头中携带的应用程序与数据平面中的策略数据库进行匹配来对流量进行分类。
表 1 提供了 SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX650、SRX550M、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600和SRX5800设备的策略限制。平台支持取决于安装中的 Junos OS 版本。
从 Junos OS 版本 12.3X48-D15 和 Junos OS 版本 17.3R1 开始,SRX5400、SRX5600 和 SRX5800 设备的每个策略的最大地址对象数从 1024 个增加到 4096 个,每个情景的最大策略数从 10240 个增加到 80,000 个。
从 Junos OS 17.3R1 版开始,SRX5400、SRX5600和SRX5800设备的安全策略数量和每个情景的最大策略数从 80,000 增加到 100,000。
从 Junos OS 版本 15.1X49-D120 开始,每个策略用于 SRX5400、SRX5600 和 SRX5800 的地址对象数从 4096 个增加到 16,000 个。
SRX 系列设备 |
地址对象 |
应用程序对象 |
安全策略 |
策略上下文(区域对) |
每个情景的策略 |
启用了计数的策略 |
|---|---|---|---|---|---|---|
SRX300SRX320 |
2048 |
128 |
1024 |
256 |
1024 |
256 |
SRX340 |
2048 |
128 |
2048 |
512 |
2048 |
256 |
SRX345 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX380 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX550M |
2048 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX1500 |
4096 |
3072 |
16000 |
4096 |
16000 |
1024 |
SRX4100 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4200 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4600 |
4096 |
3072 |
80000 |
8192 |
80000 |
1024 |
SRX5400 SRX5600 SRX5800 |
16384 |
3072 |
100000 |
8192 |
100000 |
1024 |
因此,随着每个规则中的地址和应用程序数量的增加,策略定义使用的内存量会增加,有时系统会在策略少于 80,000 个的情况下耗尽内存。
要获取数据包转发引擎 (PFE) 和路由引擎 (RE) 上策略的实际内存利用率,需要考虑内存树的各个组件。内存树包括以下两个组件:
策略上下文 – 用于组织此上下文中的所有策略。策略上下文包括源区域和目标区域等变量。
策略实体 – 用于保存策略数据。策略实体使用策略名称、IP 地址、地址计数、应用程序、防火墙身份验证、WebAuth、IPsec、计数、应用程序服务和 Junos 服务框架 (JSF) 等参数计算内存。
此外,用于存储策略、规则集和其他组件的数据结构在数据包转发引擎和路由引擎上使用不同的内存。例如,策略中每个地址的地址名称存储在路由引擎上,但不会在数据包转发引擎级别分配内存。同样,端口范围扩展到前缀和掩码对,并存储在数据包转发引擎上,但路由引擎上未分配此类内存。
因此,根据策略配置,路由引擎的策略贡献者与数据包转发引擎的策略贡献者不同,内存是动态分配的。
内存也会被“延迟删除”状态消耗。在延迟删除状态下,当 SRX 系列防火墙应用策略更改时,会出现暂时的峰值使用量,其中旧策略和新策略都存在。因此,在短时间内,数据包转发引擎上同时存在新旧策略,占用的内存要求是其两倍。
因此,没有明确的方法来清楚地推断任一组件(数据包转发引擎或路由引擎)在任何给定时间点使用了多少内存,因为内存要求取决于策略的特定配置,并且内存是动态分配的。
以下策略实施最佳实践使您能够更好地使用系统内存并优化策略配置:
对源地址和目标地址使用单个前缀。例如,不要使用 /32 地址并单独添加每个地址,而是使用覆盖所需大部分 IP 地址的大型子网。
尽可能使用应用程序“any”。每次在策略中定义单个应用程序时,都可以使用额外的 52 个字节。
使用较少的 IPv6 地址,因为 IPv6 地址消耗更多内存。
在策略配置中使用较少的区域对。每个源或目标区域使用大约 16,048 字节的内存。
以下参数可以更改指定字节消耗内存的方式:
防火墙身份验证 – 大约 16 个字节或更多(未固定)
Web 身份验证 – 大约 16 个字节或更多(未固定)
IPsec–12 字节
应用程序服务 – 28 字节
计数–64 字节
检查编译策略前后的内存利用率。
注意:每个设备的内存要求不同。某些设备默认支持 512,000 个会话,启动内存通常为 72% 到 73%。其他设备最多可以有 100 万个会话,启动内存可以高达 83% 到 84%。在最坏的情况下,要在 SPU 中支持大约 80,000 个策略,SPU 应在流内核内存消耗高达 82% 且至少有 170 MB 可用内存的情况下启动。
参见
使用防火墙向导配置策略
防火墙策略向导允许您在 SRX300、SRX320、SRX340、SRX345、SRX380 和SRX550M设备上执行基本安全策略配置。如需更高级的配置,请使用 J-Web 界面或 CLI。
要使用防火墙策略向导配置策略,请执行以下操作:
- 在 J-Web 界面中选择
Configure>Tasks>Configure FW Policy。 - 单击“启动防火墙策略向导”按钮以启动该向导。
- 按照向导中的提示操作。
向导页面的左上角区域显示您在配置过程中所处的位置。页面的左下角区域显示与字段相关的帮助。单击“资源”标题下的链接时,文档将在浏览器中打开。如果文档在新选项卡中打开,请确保在关闭文档时仅关闭选项卡(而不是浏览器窗口)。
示例:配置安全策略以允许或拒绝所有流量
此示例说明如何配置安全策略以允许或拒绝所有流量。
要求
准备工作:
创建区域。请参见 示例:创建安全区域。
配置通讯簿并创建要在策略中使用的地址。请参阅 示例:配置通讯簿和地址集。
创建一个应用程序(或应用程序集),指示策略适用于该类型的流量。请参阅 示例:配置安全策略应用程序和应用程序集。
概述
在 Junos OS 中,安全策略强制执行传输流量规则,包括哪些流量可以通过设备,以及流量通过设备时需要对流量执行的操作。从安全策略的角度来看,流量进入一个安全区域并退出另一个安全区域。在此示例中,您将配置信任和不信任接口 ge-0/0/2 和 ge-0/0/1。参见 图 1。
此配置示例说明如何:
允许或拒绝从信任区域到不信任区域的所有流量,但阻止从不信任区域到信任区域的所有流量。
在特定时间允许或拒绝从信任区域中的主机到不信任区域中的服务器的选定流量。
拓扑
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要配置安全策略以允许或拒绝所有流量,请执行以下操作:
配置接口和安全区域。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
创建安全策略以允许从信任区域到不信任区域的流量。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
创建安全策略以拒绝从不信任区域到信任区域的流量。
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
结果
在配置模式下,输入 show security policies 和 show security zones 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
配置示例是从信任区域到不信任区域的默认全部允许。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
示例:配置安全策略以允许或拒绝选定流量
此示例说明如何配置安全策略以允许或拒绝所选流量。
要求
准备工作:
创建区域。请参见 示例:创建安全区域。
配置通讯簿并创建要在策略中使用的地址。请参阅 示例:配置通讯簿和地址集。
创建一个应用程序(或应用程序集),指示策略适用于该类型的流量。请参阅 示例:配置安全策略应用程序和应用程序集。
允许进出信任和不信任区域的流量。请参阅 示例:配置安全策略以允许或拒绝所有流量。
概述
在 Junos OS 中,安全策略根据哪些流量可以通过设备以及流量通过设备时需要对流量执行的操作来强制执行传输流量规则。从安全策略的角度来看,流量进入一个安全区域并退出另一个安全区域。在此示例中,您将特定安全策略配置为仅允许从信任区域中的主机到不信任区域中的服务器的电子邮件通信。不允许其他流量。参见 图 2。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要配置安全策略以允许所选流量,请执行以下操作:
配置接口和安全区域。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
为客户端和服务器创建通讯簿条目。此外,将安全区域附加到通讯簿。
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
定义允许邮件流量的策略。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
结果
在配置模式下,输入 show security policies 和 show security zones 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
如果完成设备配置,请从配置模式输入 commit 。
示例:配置安全策略以允许或拒绝通配符地址流量
此示例说明如何配置安全策略以允许或拒绝通配符地址流量。
要求
准备工作:
了解通配符地址。请参阅 了解安全策略规则。
创建区域。请参见 示例:创建安全区域。
配置通讯簿并创建要在策略中使用的地址。请参阅 示例:配置通讯簿和地址集。
创建一个应用程序(或应用程序集),指示策略适用于该类型的流量。请参阅 示例:配置安全策略应用程序和应用程序集。
允许进出信任和不信任区域的流量。请参阅 示例:配置安全策略以允许或拒绝所有流量。
允许电子邮件流量进出信任和不信任区域。请参阅 示例:配置安全策略以允许或拒绝选定流量
概述
在 Junos 操作系统 (Junos OS) 中,安全策略强制执行传输流量规则,包括哪些流量可以通过设备,以及流量通过设备时需要对流量执行的操作。从安全策略的角度来看,流量进入一个安全区域并退出另一个安全区域。在此示例中,您将特定安全性配置为仅允许从信任区域中的主机到不信任区域的通配符地址流量。不允许其他流量。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后进入 commit 配置模式。
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要配置安全策略以允许所选流量,请执行以下操作:
配置接口和安全区域。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
为主机创建通讯簿条目并将通讯簿附加到区域。
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
定义策略以允许通配符地址流量。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
结果
在配置模式下,输入 show security policies 和 show security zones 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zonessecurity-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-bookbook1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
如果完成设备配置,请从配置模式输入 commit 。
示例:配置安全策略以将流量日志重定向到外部系统日志服务器
此示例说明如何配置安全策略以将设备上生成的流量日志发送到外部系统日志服务器。
要求
此示例使用以下硬件和软件组件:
客户端连接到接口 ge-4/0/5 上的SRX5600设备
通过接口 ge-4/0/1 连接到SRX5600设备的服务器
在SRX5600设备上生成的日志存储在基于 Linux 的系统日志服务器中。
连接到基于 Linux 的服务器的SRX5600设备,接口为 ge-4/0/4
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将在 SRX5600 设备上配置安全策略,以将设备在数据传输期间生成的流量日志发送到基于 Linux 的服务器。流量日志记录每个会话的详细信息。日志是在连接到SRX5600设备的源设备和目标设备之间建立和终止会话期间生成的。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后进入 commit 配置模式。
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要配置安全策略以将流量日志发送到外部系统日志服务器,请执行以下操作:
配置安全日志以将在 SRX5600 设备上生成的流量日志传输到 IP 地址为 203.0.113.2 的外部系统日志服务器。IP 地址 127.0.0.1 是SRX5600设备的环路地址。
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
配置安全区域并指定 SRX5600 设备的接口 ge-4/0/5.0 上允许的流量和协议类型。
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
配置另一个安全区域并指定SRX5600设备的接口 ge-4/0/4.0 和 ge-4/0/1.0 上允许的流量类型。
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
创建策略并指定该策略的匹配标准。匹配标准指定设备可以允许来自任何源、任何目标和任何应用程序的流量。
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
启用策略以在会话开始和结束时记录流量详细信息。
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
结果
在配置模式下,输入 show security log 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show security log
format syslog;
source-address 127.0.0.1;
stream trafficlogs {
severity debug;
host {
203.0.113.2;
}
}
如果完成设备配置,请从配置模式输入 commit 。
安全区域和策略的 TAP 模式
安全区域和策略的终端接入点 (TAP) 模式允许您通过交换机 SPAN 或镜像端口被动监控网络上的流量。
了解安全区域和策略的 TAP 模式支持
终端接入点 (TAP) 模式是一种备用设备,用于检查通过交换机的镜像流量。如果配置了安全区域和策略,则 TAP 模式会通过配置 TAP 接口并生成安全日志报告来检查传入和传出流量,以显示检测到的威胁数和用户使用情况。如果某些数据包在 tap 接口中丢失,安全区域和策略将终止连接,因此不会为此连接生成任何报告。安全区域和策略配置与非 TAP 模式相同。
将 SRX 系列防火墙配置为在 TAP 模式下运行时,设备将生成安全日志信息,以显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。将设备配置为在 TAP 模式下运行时,SRX 系列防火墙仅从配置的 TAP 接口接收数据包。除已配置的 TAP 接口外,其他接口均配置为用作管理接口或连接到外部服务器的普通接口。SRX 系列防火墙将根据传入流量生成安全报告或日志。
安全区域和默认安全策略将在配置 TAP 接口后配置。如果需要,您可以配置其他区域或策略。如果使用一个接口连接服务器,则还需要配置 IP 地址、路由接口和安全配置。
在 TAP 模式下操作设备时,只能配置一个 TAP 接口。
示例:在 TAP 模式下配置安全区域和策略
此示例说明在 TAP(终端接入点)模式下配置 SRX 系列防火墙时如何配置安全区域和策略。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙
Junos OS 19.1R1 版
准备工作:
阅读 了解安全区域和策略的 TAP 模式支持 ,了解此过程如何以及在何处适合安全区域和策略的整体支持。
概述
在此示例中,您将 SRX 系列防火墙配置为在 TAP 模式下运行。将 SRX 系列防火墙配置为在 TAP 模式下运行时,设备将生成安全日志信息,以显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入提交。
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要在 TAP 模式下配置区域:
配置安全区域分路区域接口。
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
配置安全区域分流区域应用程序跟踪。
user@host# set security zones security-zone tap-zone application-tracking
配置安全策略,以允许从区域分路区域到区域分路区域策略分流的流量,并配置匹配条件。
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
结果
在配置模式下,输入 show security zones 和 show security policies 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host#show security zones
security-zone tap-zone {
interfaces {
ge-0/0/0.0;
}
application-tracking;
}
[edit]
user@host#show security policies
from-zone tap-zone to-zone tap-zone {
policy tap-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
在 TAP 模式下验证策略配置
目的
验证有关安全策略的信息。
行动
在操作模式下,输入 show security policies detail 命令。
user@host> show security policies detail
node0:
--------------------------------------------------------------------------
Default policy: permit-all
Pre ID default policy: permit-all
Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: izone, To zone: ozone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: ozone, To zone: izone
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Session log: at-create, at-close
意义
显示在 TAP 模式下设备上配置的所有安全策略的摘要。
安全策略中的动态地址组
手动将地址条目添加到策略中可能非常耗时。有些外部源提供具有特定用途(例如阻止列表)或具有共同属性(例如可能构成威胁的特定位置或行为)的 IP 地址列表。您可以使用外部源按 IP 地址识别威胁源,然后将这些地址分组到动态地址条目中,并在安全策略中引用该条目。因此,您可以控制进出这些地址的流量。每个这样的 IP 地址组称为一个动态地址条目。
支持以下类型的 IP 地址:
-
单个 IP。例如:192.0.2.0
-
IP 范围。例如:192.0.2.0- 192.0.2.10
-
CIDR.例如:192.0.2.0/24
每个条目占用一行。从 Junos OS 19.3R1 版开始,IP 地址范围无需按升序排序,IP 条目的值可以重叠在同一源文件中。在 19.3R1 之前的 Junos OS 版本中,IP 地址范围需要按升序排序,并且 IP 条目的值不能在同一源文件中重叠。
动态地址条目是一组 IP 地址,而不是单个 IP 前缀。动态地址条目不同于通讯簿和地址条目地址的安全地址概念。
以下是在安全策略中部署动态地址条目的好处:
-
网络管理员可以更好地控制进出 IP 地址组的流量。
-
外部服务器向 SRX 系列防火墙提供更新的 IP 地址源。
-
管理员的工作量大大减少。例如,在旧版安全策略配置中,添加 1000 个地址条目供策略引用将需要大约 2000 行配置。通过定义动态地址条目并在安全策略中引用该条目,多达数百万个条目可以流入 SRX 系列防火墙,而无需进行太多额外的配置工作。
-
添加新地址不需要提交过程。通过传统方法向配置添加数千个地址需要很长时间才能提交。或者,动态地址条目中的 IP 地址来自外部源,因此当条目中的地址更改时不需要提交过程。
图 3 说明了安全策略中的动态地址条目如何工作的功能概述。
中动态地址条目的功能组件
安全策略引用源地址或目标地址字段中的动态地址条目(与安全策略引用旧地址条目的方式大致相同)。
图 4 说明了在“目标地址”字段中使用动态地址条目的策略。
中的动态地址条目
在图 4 中,策略 1 使用目标地址 10.10.1.1,这是一个旧的安全地址条目。策略 2 使用目标地址供应商阻止列表,这是网络管理员指定的动态地址条目。其内容是从外部源文件中检索的 IP 地址列表。符合所有五个条件(名为 untrust 的起始区域、名为工程师的至区域、任何源地址、属于供应商阻止列表动态地址条目的目标 IP 地址和邮件应用程序)的数据包将根据拒绝和记录数据包的策略操作进行处理。
动态地址条目名称与旧版安全地址条目共享相同的名称空间,因此不要对多个条目使用相同的名称。Junos OS 提交过程会检查名称是否不重复以避免冲突。
动态地址组支持以下数据馈送:
-
自定义列表(允许列表和阻止列表)
-
地理IP
源服务器
捆绑包馈送
动态地址条目中包含的 IP 地址、IP 前缀或 IP 范围可以通过下载外部源定期更新。SRX 系列防火墙会定期启动与源服务器的连接,以下载和更新包含更新动态地址的 IP 列表。
从 Junos OS 19.3R1 版开始,您可以从服务器下载单个 tgz 文件并将其提取到多个子源文件中。每个单独的文件对应一个源。让各个动态地址引用捆绑包文件中的源。当配置了太多源时,捆绑文件减少了 CPU 开销,其中多个子源被压缩为一个 .tgz 文件
支持以下捆绑包馈送模式:
存档模式
在存档模式下,您需要将 SRX 系列防火墙的所有源文件压缩为一个 tgz 文件。SRX 系列防火墙会下载此文件,并在提取后提取所有源。此过程解释如下:
-
当源服务器的 url 是后缀为 .tgz 的文件的 url 而不是文件夹的原始 url 时,这意味着此服务器使用单个文件来承载其用于 SRX 系列动态地址部署的所有源。在这种情况下,此服务器下的源将从服务器继承更新间隔或保留间隔。此源的更新间隔或保留间隔的任何用户配置都将被忽略。
-
进行此更改后,请按照以下步骤维护服务器源,如下例所示。
下面的示例显示了维护服务器源所需的步骤:
-
将 SRX 系列防火墙的所有源文件放在文件夹 feeds-4-srx 下
-
生成所有源文件 fd1 fd2 fd3 ..文件夹中的 fdN feeds-4-srx
-
在源中添加或删除 IP 范围
-
通过运行以下命令访问文件:
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
步骤 4 后,文件 feeds-4-srx.tgz 已准备好在 SRX 系列防火墙上下载,其中包含包含 feeds-4-srx.tgz 文件的相同文件夹。下载后,提取的文件将与 feeds-4-srx.tgz放在同一文件夹中。以下示例显示了 SRX 系列防火墙上的 samle 配置:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgzset security dynamic-address feed-server server-4-srx feed-name feed1 path fd1set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
path 参数需要捆绑包存档中源的相对路径。
-
如果 tar -zxf feeds-4-srx.tgz 文件生成文件夹 feeds-4-srx ,并且此文件夹保存源文件 fd1,则使用以下命令配置源:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1 -
如果 tar -zxf feeds-4-srx.tgz 文件直接提取文件 fd1 ,则使用以下命令配置源:
[edit]set security dynamic-address feed-server server-4-srx feed fd1 path fd1
平面文件模式
平面文件模式通过在现有源文件格式中引入一项语法更改,为用户提供了极致的简单性。所有源文件的内容都编译为单个文件,并以 .bundle 作为后缀。这允许您管理单个文件。SRX 系列防火墙将此捆绑文件中的 IP 范围分类为多个源文件。如果可以节省一些带宽进行传输,则可以将此文件gzip为 .bundle.gz 。除了前面定义的文件格式外,还引入了大写标记 FEED: 后跟源名称。此标记下方的行被视为属于 Feed 的 IP 范围。下面给出了文件格式外观的示例:
root>cat feeds-4-srx.bundleFEED:fd112.1.1.1-12.1.1.211.1.1.1-11.1.1.2
FEED:fd214.1.1.1-14.1.1.2
SRX 系列防火墙上的配置类似于存档模式,如下所示:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundleset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
平面模式和存档模式之间的区别在于文件的后缀和文件内部的布局。您可以选择最方便的模式。
由于源文件采用纯文本格式,gzip 可以减小文件大小。如果服务器和 SRX 系列防火墙之间有 WAN 链路,请使用较小大小的文件在网络上传输,在这种情况下,请 gzip 捆绑文件并配置以下命令:
[edit]set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gzset security dynamic-address feed-server server-4-srx feed-name fd1 path fd1set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
源服务器对 SRX 系列防火墙的支持
| 平台 |
源服务器的最大数量 |
最大馈送数 |
最大动态地址条目数 |
| SRX300SRX320SRX340 SRX345SRX550SRX550MSRX650 |
10 |
500 |
500 |
| SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800vSRX 虚拟防火墙vSRX 虚拟防火墙 3.0 |
100 |
5000 |
5000 |
| SRX1500 |
40 |
2000 |
2000 |
参见
配置 VXLAN 安全策略
总结 使用此示例为 EVPN(以太网 VPN) 虚拟可扩展 LAN (VXLAN) 隧道检测配置安全策略。
要求
SRX 系列防火墙支持 VXLAN,可以灵活地引入企业级防火墙来连接园区、数据中心、分支机构和公共云环境中的端点,同时提供嵌入式安全性。
此示例使用以下硬件和软件组件:
SRX4600设备
Junos OS 20.4R1 版
准备工作:
确保您了解 EVPN 和 VXLAN 的工作原理。
概述
EVPN 解决方案为大型企业提供了一个用于管理园区和数据中心网络的通用框架。EVPN-VXLAN 架构支持高效的第 2 层和第 3 层网络连接,具有可扩展性、简单性和敏捷性。 图 5 显示了一个简化的 VXLAN 流量拓扑。
拓扑
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security zones security-zone cloud-1 set security zones security-zone dc set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r1 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r2 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r3 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r4 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 policy-set pset1 set security tunnel-inspection vni r1 vni-range 160 to 200 set security tunnel-inspection vni r2 vni-id 155 set security tunnel-inspection vni r3 vni-range 300 to 399 set security tunnel-inspection vni r4 vni-range 100 to 120 set security tunnel-inspection vni v1 vni-range 1 to 100 set security policies from-zone dc to-zone cloud-1 policy p1 match source-address any set security policies from-zone dc to-zone cloud-1 policy p1 match destination-address any set security policies from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan set security policies from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection ins-pf1 set security policies from-zone cloud-1 to-zone dc policy p1 match source-address any set security policies from-zone cloud-1 to-zone dc policy p1 match destination-address any set security policies from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan set security policies from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1 set security policies policy-set pset1 policy pset_p1 match source-address any set security policies policy-set pset1 policy pset_p1 match destination-address any set security policies policy-set pset1 policy pset_p1 match application any set security policies policy-set pset1 policy pset_p1 then permit set security policies default-policy deny-all
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置 VXLAN:
定义安全区域。
[edit security zones] user@host# set security-zone cloud-1 user@host# set zones security-zone dc
定义隧道检测配置文件。
[edit security tunnel-inspection] user@host# set inspection-profile ins-pf1 vxlan vx1 vni r1 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r2 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r3 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r4 user@host# set inspection-profile ins-pf1 vxlan vx1 policy-set pset1 user@host# set vni r1 vni-range 160 to 200 user@host# set vni r2 vni-id 155 user@host# set vni r3 vni-range 300 to 399 user@host# set vni r4 vni-range 100 to 120 user@host# set vni v1 vni-range 1 to 100
定义外部会话策略。
[edit security policies] user@host# set from-zone dc to-zone cloud-1 policy p1 match source-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match destination-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan user@host# set from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection profile-1 user@host# set from-zone cloud-1 to-zone dc policy p1 match source-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match destination-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan user@host# set from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1
定义策略集。
[edit security policies] user@host# set policy-set pset1 policy pset_p1 match source-address any user@host# set policy-set pset1 policy pset_p1 destination-address any user@host# set policy-set pset1 policy pset_p1 match application any user@host# set policy-set pset1 policy pset_p1 then permit user@host# set default-policy deny-all
结果
在配置模式下,输入 show security policies 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
user@host# show security policies
from-zone dc to-zone cloud-1 {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
from-zone cloud-1 to-zone dc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-vxlan;
}
then {
permit {
tunnel-inspection {
ins-pf1;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
如果在设备上完成功能配置,请从配置模式输入 commit 。
验证
验证隧道检查配置文件和 VNI
目的
验证隧道检测配置文件和 VNI 是否混淆。.
行动
在操作模式下,输入 show security tunnel-inspection profiles ins-pf1 和 show security tunnel-inspection vnis 命令。
user@host> show security tunnel-inspection profiles ins-pf1
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ins-pf1
Type: VXLAN
Vxlan count: 1
Vxlan name: vx1
VNI count: 4
VNI:r1, r2, r3, r4
Policy set: pset1
Inspection level: 1
user@host> show security tunnel-inspection vnis
node0:
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 5
VNI name: r1
VNI id count: 1
[160 - 200]
VNI name: r2
VNI id count: 1
[155 - 155]
VNI name: r3
VNI id count: 1
[300 - 399]
VNI name: r4
VNI id count: 1
[100 - 120]
VNI name: v1
VNI id count: 1
[1 - 100]
意义
输出显示已启用 VXLAN 功能,并且没有安全搜索重定向和安全搜索重写。
验证安全搜索功能
目的
验证是否为内容安全 Web 筛选解决方案启用了安全搜索功能。
行动
在操作模式下,输入 Show security flow tunnel-inspection statistic 命令以查看隧道检查统计信息。
user@host> show security flow tunnel-inspection statistics
node0:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 349717
input bytes: 363418345
output packets: 348701
output bytes: 363226339
bypass packets: 501
bypass bytes: 50890
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 194151
input bytes: 200171306
output packets: 193221
output bytes: 199987258
bypass packets: 617
bypass bytes: 92902
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 216486
input bytes: 222875066
output packets: 213827
output bytes: 222460378
bypass packets: 2038
bypass bytes: 270480
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 760354
input bytes: 786464717
output packets: 755749
output bytes: 785673975
bypass packets: 3156
bypass bytes: 414272
node1:
--------------------------------------------------------------------------
Flow Tunnel-inspection statistics:
Tunnel-inspection statistics of FPC4 PIC1:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 269
overlay session close: 269
underlay session active: 0
underlay session create: 566
underlay session close: 566
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC2:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 270
overlay session close: 270
underlay session active: 0
underlay session create: 586
underlay session close: 586
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics of FPC4 PIC3:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 275
overlay session close: 275
underlay session active: 0
underlay session create: 615
underlay session close: 615
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
Tunnel-inspection statistics summary:
Tunnel-inspection type VXLAN:
overlay session active: 0
overlay session create: 814
overlay session close: 814
underlay session active: 0
underlay session create: 1767
underlay session close: 1767
input packets: 0
input bytes: 0
output packets: 0
output bytes: 0
bypass packets: 0
bypass bytes: 0
意义
输出显示已启用 VXLAN 功能,并且没有安全搜索重定向和安全搜索重写。
为日内瓦数据包流隧道检测启用安全策略
总结 使用此配置可在 vSRX 虚拟防火墙 3.0 上为日内瓦数据包流隧道检查启用安全策略。
借助 vSRX 虚拟防火墙 3.0 实例对 Geneve 的支持,您可以使用 vSRX3.0 执行以下操作:
-
连接园区、数据中心和公共云环境中的端点及其区域。
-
利用嵌入式安全性保护这些环境。
要求
此示例使用以下硬件和软件组件:
-
vSRX 虚拟防火墙 3.0
-
Junos OS 23.1R1 版
准备工作:
-
确保您了解日内瓦协议的工作原理。
概述
使用此配置,您可以:
-
启用安全策略以处理日内瓦隧道封装的 L3 数据包。
-
根据 VNI 和供应商 TLV 属性为 Geneve 流量创建不同的配置文件 - 策略一旦与检查配置文件附加,就会指示要处理的 Geneve 流量类型以及要应用于内部流量的策略。
-
在 vSRX 虚拟防火墙 3.0 上配置常规安全策略,以对内部流量应用 L4 和 L7 服务。
配置(vSRX 虚拟防火墙 3.0 作为隧道端点)
以 AWS GWLB 和 vSRX 虚拟防火墙 3.0 作为隧道端点简化的日内瓦流量拓扑
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
定义信任和不信任区域以允许所有主机流量。
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendorset security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendorset security tunnel-inspection vni vni-vendor vni-id 0set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneveset security policies from-zone vtepc to-zone junos-host policy self match source-address anyset security policies from-zone vtepc to-zone junos-host policy self match destination-address anyset security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set ps-vendor policy self match source-address anyset security policies policy-set ps-vendor policy self match destination-address anyset security policies policy-set ps-vendor policy self match application anyset security policies policy-set ps-vendor policy self then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要在 vSRX 虚拟防火墙 3.0 上为隧道检测配置对 Geneve 流的支持,请执行以下操作:
-
定义信任和不信任区域以允许层次结构下 [edit security zones] 的所有主机流量。
-
定义
tunnel-inspection配置文件。[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
将外部会话策略定义为外部数据包,并附加引用的隧道检测配置文件
注意:在策略配置中,
to-zone对于 vSRX 虚拟防火墙 3.0 作为隧道端点的外部策略,必须是junos-host,这是一个用于处理流量的内置(保留标识符)区域。[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
在下
policy-set定义内部策略以处理已封装的数据包。[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
配置与
from-zone虚拟隧道端点客户端 (VTEPC) 关联的接口,以接收日内瓦封装的数据包和运行状况检查数据包。[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
结果
在配置模式下,输入命令以 show security policies 确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
from-zone vtepc to-zone junos-host {
policy self {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set ps-vendor {
policy self {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
vni v1 {
vni-id 0;
}
vni vni-vendor {
vni-id 0;
}
在设备上完成功能配置后,从配置模式输入 commit 。
验证隧道检测配置文件和 VNI
目的
验证是否已配置 tunnel-inspection 配置文件和 VXLAN 网络标识符 (VNI)。
行动
在操作模式下,输入 show security tunnel-inspection profiles ti-vendor 和 show security tunnel-inspection vnis 命令。
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
意义
输出显示,日内瓦隧道检测配置文件已启用,VXLAN 网络标识符 (VNI) 已配置。
验证隧道检测配置文件和 VNI
目的
验证是否已配置 tunnel-inspection 配置文件和 VXLAN 网络标识符 (VNI)。
行动
在操作模式下,输入 show security tunnel-inspection profiles ti-vendor 和 show security tunnel-inspection vnis 命令。
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
意义
输出显示,日内瓦隧道检测配置文件已启用,VXLAN 网络标识符 (VNI) 已配置。
配置(vSRX 虚拟防火墙 3.0 作为传输路由器)
简化的日内瓦流量拓扑 vSRX 虚拟防火墙 3.0 作为转发路由器
在此部署模式下,虚拟隧道端点客户端 (vtepc)(日内瓦隧道端点)必须确保发往客户端和服务器的数据包通过虚拟隧道端点服务器 (vteps)(vSRX 虚拟防火墙 3.0)。源端口由虚拟隧道端点 (vtep) 选择。
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set security tunnel-inspection vni r1 vni-range 1 to 100set security tunnel-inspection vni r1 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1set security tunnel-inspection vni r2 vni-range 200 to 400set security tunnel-inspection vni r2 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneveset security policies from-zone vtepc to-zone vteps policy p1 match source-address anyset security policies from-zone vtepc to-zone vteps policy p1 match destination-address anyset security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendorset security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneveset security policies from-zone vteps to-zone vtepc policy p1 match source-address anyset security policies from-zone vteps to-zone vtepc policy p1 match destination-address anyset security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set pset1 policy pset_p1 match source-address anyset security policies policy-set pset1 policy pset_p1 match destination-address anyset security policies policy-set pset1 policy pset_p1 match application anyset security policies policy-set pset1 policy pset_p1 then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要在 vSRX 虚拟防火墙 3.0(vSRX 虚拟防火墙 3.0 作为传输路由器)上配置对隧道检查的 Geneve Flow 支持,请执行以下操作:
-
定义信任和不信任区域以允许层次结构下 [edit security zones] 的所有主机流量。
-
定义
tunnel-inspection配置文件。[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
定义外部会话策略。
注意:对于作为中转路由器的 vSRX 虚拟防火墙 3.0,每个方向都需要两个策略。
from-zone和to-zone是必须在接口下定义的相应区域。[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
在下
policy-set定义内部策略以处理已封装的数据包。[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
配置与
from-zone虚拟隧道端点客户端 (VTEPC) 关联的接口,以接收日内瓦封装的数据包和运行状况检查数据包。注意:在传输模式下,必须为 vSRX 虚拟防火墙 3.0 配置两个用于入口和出口的 L3 接口。
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
结果
在配置模式下,输入命令以 show security policies 确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
}
from-zone vtepc to-zone vteps {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
from-zone vteps to-zone vtepc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
inspection-profile pro1;
vni r1 {
vni-id 500;
}
vni r2 {
vni-id 500;
}
}
在设备上完成功能配置后,从配置模式输入 commit 。
参见
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。