논리적 시스템에 대한 보안 정책
보안 정책은 비즈니스 보안을 확보하고 LAN 리소스에 대한 액세스를 제어하는 데 사용됩니다. LAN 전반에서 그리고 인터넷과 같은 외부 네트워크와의 상호 작용 모두에서 안전한 액세스가 필요합니다. Junos OS 스테이트풀 방화벽, 애플리케이션 방화벽 및 사용자 ID 방화벽을 통해 강력한 네트워크 보안 기능을 제공합니다. 방화벽 적용의 세 가지 유형은 모두 보안 정책을 통해 구현됩니다. 자세한 내용은 다음 주제를 참조하십시오.
논리적 시스템 보안 정책 이해
논리적 시스템의 보안 정책
보안 정책은 어떤 트래픽이 방화벽을 통과할 수 있는지에 대한 규칙과 트래픽이 방화벽을 통과할 때 수행해야 하는 작업을 시행합니다. 보안 정책의 관점에서 트래픽은 하나의 보안 영역으로 들어가 다른 보안 영역을 나갑니다.
기본적으로 논리적 시스템은 영역 내 및 영역 간 방향을 포함하여 모든 방향에서 모든 트래픽을 거부합니다. 보안 정책을 생성하면, 논리적 시스템 관리자는 지정된 소스에서 지정된 목적지로 전달하도록 허용된 트래픽 종류를 정의하여 영역에서 영역으로의 트래픽 흐름을 제어할 수 있습니다.
보안 정책은 기본 논리적 시스템과 사용자 논리적 시스템에서 구성할 수 있습니다. 논리적 시스템에서 보안 정책을 구성하는 것은 논리적 시스템에 대해 구성되지 않은 디바이스에서 보안 정책을 구성하는 것과 동일합니다. 논리적 시스템 내에서 생성된 모든 보안 정책, 정책 규칙, 주소록, 애플리케이션 및 애플리케이션 세트 및 스케줄러는 해당 논리적 시스템에만 적용됩니다. , 와 같은 junos-ftp사전 정의된 애플리케이션 및 애플리케이션 세트만 논리적 시스템 간에 공유할 수 있습니다.
논리적 시스템에서는 보안 정책에서 존(from-zone) 또는 to-zone(to-zone) 중 하나로 지정할 global 수 없습니다.
사용자 논리적 시스템 관리자는 사용자 논리적 시스템에서 보안 정책에 대한 모든 속성을 구성하고 볼 수 있습니다. 사용자 논리 시스템의 보안 정책의 모든 속성도 기본 관리자에게 표시됩니다.
Junos OS 릴리스 18.4R1부터 사용자는 논리적 시스템 내에서 동적 주소를 생성할 수 있습니다. 동적 주소 항목에는 외부 소스에서 추출한 IP 주소와 접두사가 포함됩니다. 보안 정책은 소스 주소 필드 또는 대상 주소 필드에서 동적 주소를 사용합니다.
DAE(Dynamic Address Entry)는 논리적 시스템 내의 외부 소스에서 수동으로 입력하거나 가져올 수 있는 IP 주소 그룹입니다. DAE 기능을 사용하면 피드 기반 IP 개체를 보안 정책에 사용하여 소스 또는 대상 IP 기준에 따라 트래픽을 거부하거나 허용할 수 있습니다.
DAE의 최대 수는 논리적 시스템에 할당된 동적 주소에 따라 다릅니다. Junos 18.4R1 set security dynamic-address feed-server 부터는 논리적 시스템에서 명령을 구성할 수 있습니다.
애플리케이션 시간 제한
애플리케이션에 대한 애플리케이션 시간 제한 값 세트가 세션 시간 초과를 결정합니다. 애플리케이션 시간 제한 동작은 논리적 시스템에서 루트 수준과 동일합니다. 그러나 사용자 논리적 시스템 관리자는 보안 정책에서 사전 정의된 애플리케이션을 사용할 수 있지만 사전 정의된 애플리케이션의 시간 제한 값을 수정할 수는 없습니다. 사전 정의된 애플리케이션이 기본 논리적 시스템 및 모든 사용자 논리적 시스템에서 공유되므로 사용자 논리적 시스템 관리자는 동작을 변경할 수 없기 때문입니다. 애플리케이션 시간 제한 값은 애플리케이션 항목 데이터베이스와 해당 논리적 시스템 TCP 및 UDP 포트 기반 타임아웃 테이블에 저장됩니다.
트래픽과 일치하는 애플리케이션에 시간 제한 값이 있는 경우, 해당 시간 제한 값이 사용됩니다. 그렇지 않으면 애플리케이션 시간 제한 값이 발견될 때까지 조회가 다음 순서로 진행됩니다.
논리적 시스템 TCP 및 UDP 포트 기반 시간 제한 테이블이 시간 초과 값을 검색합니다.
루트 TCP 및 UDP 포트 기반 시간 제한 테이블이 시간 제한 값을 검색합니다.
프로토콜 기반 기본 시간 제한 테이블이 시간 제한 값을 검색합니다.
보안 정책 할당
기본 관리자는 각 사용자 논리적 시스템에 대한 최대 및 예약된 보안 정책 수를 구성합니다. 그러면 사용자 논리적 시스템 관리자는 사용자 논리적 시스템에서 보안 정책을 만들 수 있습니다. 사용자 논리적 시스템에서 사용자 논리적 시스템 관리자는 명령을 사용하여 show system security-profile policy 사용자 논리적 시스템에 할당된 보안 정책 수를 확인할 수 있습니다.
기본 관리자는 기본 논리적 시스템에 적용된 최대 및 예약된 보안 정책 수를 지정하는 기본 논리적 시스템에 대한 보안 프로필을 구성할 수 있습니다. 기본 논리적 시스템에 구성된 정책 수는 디바이스에서 사용할 수 있는 최대 정책 수에 대한 수입니다.
더 보기
예: 사용자 논리적 시스템에서 보안 정책 구성
이 예는 사용자 논리적 시스템에 대한 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
논리적 시스템 관리자로서 사용자 논리적 시스템에 로그인합니다. 사용자 논리적 시스템 구성 개요를 참조하십시오.
show system security-profiles policy명령을 사용하여 논리 시스템에 할당된 보안 정책 리소스를 확인합니다.영역 및 주소록을 구성합니다. 예: 사용자 논리적 시스템에 대한 보안 영역 구성을 참조하십시오.
개요
이 예는 예에 표시된 ls-product-design 사용자 논리적 시스템을 구성 합니다. 사용자 논리적 시스템 생성, 관리자, 사용자 및 상호 연결 논리적 시스템.
이 예는 표 1에 설명된 보안 정책을 구성합니다.
이름 |
구성 매개 변수 |
|---|---|
permit-all-to-otherlsys |
다음 트래픽을 허용합니다.
|
permit-all-from-otherlsys |
다음 트래픽을 허용합니다.
|
토폴로지
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리 시스템에서 보안 정책을 구성하려면 다음을 수행합니다.
논리적 시스템 관리자로 사용자 논리적 시스템에 로그인하고 구성 모드를 입력합니다.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ls-product-design-trust 영역에서 ls-product-design-untrust 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
ls-product-design-untrust 영역에서 ls-product-design-trust 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show security policies . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
논리적 시스템에 대한 동적 주소 구성
논리적 시스템의 동적 주소 입력은 보안 정책에 동적 IP 주소 정보를 제공합니다. 동적 주소를 사용하려면 논리 시스템에 대한 이름, 피드 및 속성을 포함하여 동적 주소의 기본 정보를 지정해야 합니다.
예 읽기 : 이 절차가 보안 정책을 구성하는 데 적합한 방법과 위치를 이해하기 위해 사용자 논리적 시스템에서 보안 정책 구성을 참조하십시오.
논리적 시스템 내에서 IPv4 네트워크에서 동적 주소를 구성하려면 다음을 수행합니다.
논리적 시스템에서 보안 정책을 구성하려면 다음을 수행합니다.
논리적 시스템 이름을 LSYS1로 정의합니다.
[edit] user@host# set logical-systems LSYS1
영역 신뢰에서 영역 신뢰할 수 없는 영역으로의 트래픽을 허용하는 p1로 보안 정책을 생성하고 일치 조건을 구성합니다.
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
명령을 입력하여 구성을 확인합니다
show logical-systems LSYS1 security policies.[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }