보안 존
보안 영역은 정책을 통해 인바운드 및 아웃바운드 트래픽의 규제가 필요한 하나 이상의 네트워크 세그먼트의 집합입니다. 보안 영역은 하나 이상의 인터페이스가 바인딩된 논리적 엔티티입니다. 여러 보안 영역을 정의할 수 있으며, 네트워크 요구 사항에 따라 정확한 개수를 결정합니다.
보안 영역 개요
인터페이스는 트래픽이 주니퍼 네트웍스 디바이스를 드나드는 출입구 역할을 합니다. 많은 인터페이스가 정확히 동일한 보안 요구 사항을 공유할 수 있습니다. 그러나 인터페이스마다 인바운드 및 아웃바운드 데이터 패킷에 대한 보안 요구 사항이 다를 수도 있습니다. 보안 요구 사항이 동일한 인터페이스를 단일 보안 영역으로 그룹화할 수 있습니다.
보안 영역은 정책을 통해 인바운드 및 아웃바운드 트래픽의 규제가 필요한 하나 이상의 네트워크 세그먼트의 집합입니다.
보안 영역은 하나 이상의 인터페이스가 바인딩된 논리적 엔티티입니다. 다양한 유형의 주니퍼 네트웍스 디바이스를 사용하여 여러 보안 영역을 정의할 수 있으며, 네트워크 요구 사항에 따라 정확한 개수를 결정할 수 있습니다.
단일 디바이스에서 여러 보안 영역을 구성하여 네트워크를 세그먼트로 나눌 수 있으며, 각 세그먼트의 요구 사항을 충족하기 위해 다양한 보안 옵션을 적용할 수 있습니다. 기본적으로 네트워크의 한 영역을 다른 영역으로부터 보호하기 위해 최소한 두 개의 보안 영역을 정의해야 합니다. 일부 보안 플랫폼에서는 여러 보안 어플라이언스를 구축하지 않고도 네트워크 보안 설계를 보다 세밀하게 구현하여 많은 보안 영역을 정의할 수 있습니다.
보안 정책의 관점에서 트래픽은 하나의 보안 영역으로 들어가고 다른 보안 영역으로 나갑니다. 이와 같은 a from-zone
와 a to-zone
의 조합은 컨텍스트로 정의됩니다. 각 컨텍스트에는 정렬된 정책 목록이 포함되어 있습니다. 정책에 대한 자세한 내용은 보안 정책 개요를 참조하십시오.
이 항목에는 다음 섹션이 포함되어 있습니다.
보안 영역 인터페이스 이해
보안 영역에 대한 인터페이스는 TCP/IP 트래픽이 해당 영역과 다른 영역 사이를 통과할 수 있는 출입구로 생각할 수 있습니다.
정의한 정책을 통해 영역 간의 트래픽이 한 방향 또는 두 방향으로 흐르도록 허용할 수 있습니다. 정의한 경로를 사용하여 한 영역에서 다른 영역으로 트래픽이 사용해야 하는 인터페이스를 지정합니다. 여러 인터페이스를 영역에 바인딩할 수 있기 때문에 차트로 표시하는 경로는 선택한 인터페이스로 트래픽을 전달하는 데 중요합니다.
인터페이스는 IPv4 주소, IPv6 주소 또는 둘 다로 구성할 수 있습니다.
기능 영역 이해
기능 영역은 관리 인터페이스와 같은 특수 용도로 사용됩니다. 현재는 관리(MGT) 영역만 지원됩니다. 관리 영역에는 다음과 같은 속성이 있습니다.
관리 영역 호스트 관리 인터페이스.
관리 영역으로 들어오는 트래픽은 정책과 일치하지 않습니다. 따라서 트래픽이 관리 인터페이스에서 수신된 경우 다른 인터페이스 외부로 전송할 수 없습니다.
관리 영역은 전용 관리 인터페이스에만 사용할 수 있습니다.
보안 영역 이해
보안 영역은 정책의 구성 요소입니다. 하나 이상의 인터페이스가 바인딩된 논리적 엔터티입니다. 보안 영역은 호스트 그룹(사용자 시스템 및 서버와 같은 다른 호스트)과 해당 리소스를 서로 구별하여 서로 다른 보안 조치를 적용하는 수단을 제공합니다.
보안 영역에는 다음과 같은 속성이 있습니다.
정책 - 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용하는 활성 보안 정책입니다. 자세한 내용은 보안 정책 개요를 참조하십시오.
화면 - 주니퍼 네트웍스 스테이트풀 방화벽은 한 보안 영역에서 다른 보안 영역으로 통과해야 하는 모든 연결 시도를 검사한 후 허용 또는 거부하여 네트워크를 보호합니다. 모든 보안 영역에 대해 디바이스가 잠재적으로 유해한 것으로 판단한 다양한 종류의 트래픽을 탐지하고 차단하는 사전 정의된 화면 옵션 세트를 활성화할 수 있습니다. 자세한 내용은 Reconnaissance Deterrence Overview를 참조하십시오.
주소록 - 정책을 적용할 수 있도록 구성원을 식별하기 위해 주소록을 구성하는 IP 주소 및 주소 집합입니다. 주소록 항목에는 IPv4 주소, IPv6 주소 및 DNS(Domain Name System) 이름의 조합이 포함될 수 있습니다. 자세한 내용은 예: 주소록 및 주소 집합 구성을 참조하십시오.
TCP-RST - 이 기능이 활성화되면 기존 세션과 일치하지 않고 SYNchronize 플래그가 설정되지 않은 트래픽이 도착할 때 시스템에서 RESET 플래그가 설정된 TCP 세그먼트를 전송합니다.
Interfaces(인터페이스) - 영역의 인터페이스 목록입니다.
보안 영역에는 다음과 같은 미리 구성된 영역이 있습니다.
트러스트 영역 - 공장 구성에서만 사용할 수 있으며 디바이스에 대한 초기 연결에 사용됩니다. 구성을 커밋한 후 트러스트 존을 재정의할 수 있습니다.
예: 보안 영역 생성
이 예에서는 영역을 구성하고 인터페이스를 할당하는 방법을 보여 줍니다. 보안 영역을 구성할 때 많은 매개 변수를 동시에 지정할 수 있습니다.
요구 사항
시작하기 전에 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
보안 영역에 대한 인터페이스는 TCP/IP 트래픽이 해당 영역과 다른 영역 사이를 통과할 수 있는 출입구로 생각할 수 있습니다.
기본적으로 인터페이스는 null 영역에 있습니다. 인터페이스는 영역에 할당될 때까지 트래픽을 전달하지 않습니다.
설치의 Junos OS 릴리스에 따라 SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 또는 SRX5800 디바이스의 보안 영역 내에서 2000개의 인터페이스를 구성할 수 있습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
영역을 생성하고 인터페이스를 할당하려면:
이더넷 인터페이스를 구성하고 IPv4 주소를 할당합니다.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
이더넷 인터페이스를 구성하고 IPv6 주소를 할당합니다.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
보안 영역을 구성하고 이더넷 인터페이스에 할당합니다.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
결과
구성 모드에서 및 show interfaces ge-0/0/1
명령을 입력하여 show security zones security-zone ABC
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
간결성을 위해 이 show
출력에는 이 예와 관련된 구성만 포함됩니다. 시스템의 다른 모든 구성은 줄임표(...)로 대체되었습니다.
[edit] user@host# show security zones security-zone ABC ... interfaces { ge-0/0/1.0 { ... } } [edit] user@host# show interfaces ge-0/0/1 ... unit 0 { family inet { address 203.0.113.1/24; } family inet6 { address 2001:db8:1::1/64; } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
호스트 인바운드 트래픽에 대해 지원되는 시스템 서비스
이 항목에서는 지정된 영역 또는 인터페이스의 호스트 인바운드 트래픽에 대해 지원되는 시스템 서비스에 대해 설명합니다.
예를 들어, 시스템이 영역의 ABC
인터페이스에 203.0.113.4
연결된 사용자가 영역의 ABC
인터페이스에 198.51.100.4
텔넷을 설치하려고 한다고 가정해 보겠습니다. 이 작업이 허용되려면 텔넷 애플리케이션이 두 인터페이스 모두에서 허용된 인바운드 서비스로 구성되어야 하며 정책에서 트래픽 전송을 허용해야 합니다.
호스트 인바운드 트래픽에 사용할 수 있는 시스템 서비스를 보려면 system-services(보안 영역 호스트 인바운드 트래픽)의 옵션 섹션을 참조하십시오.
SRX 시리즈 방화벽 xnm-clear-text
에서는 공장 기본 구성으로 필드가 활성화됩니다. 이 설정은 디바이스가 공장 기본 설정으로 작동할 때 디바이스의 트러스트 존에서 들어오는 Junos XML 프로토콜 트래픽을 활성화합니다. 박스가 구성되면 공장 기본 설정을 추가 보안을 제공하는 사용자 정의 구성으로 바꾸는 것이 좋습니다. CLI 명령을 delete system services xnm-clear-text
사용하여 필드를 수동으로 삭제 xnm-clear-text
해야 합니다.
호스트 인바운드 트래픽에 사용할 수 있는 지원되는 프로토콜을 보려면 프로토콜(보안 영역 인터페이스)의 옵션 섹션을 참조하십시오.
DHCP 및 BOOTP를 제외한 모든 서비스는 영역 또는 인터페이스별로 구성할 수 있습니다. DHCP 응답을 보낼 수 있으려면 서버에서 들어오는 인터페이스를 알고 있어야 하므로 DHCP 서버는 인터페이스별로 구성됩니다.
NDP(Neighbor Discovery Protocol)는 기본적으로 사용되므로 호스트 인바운드 트래픽에서 NDP(Neighbor Discovery Protocol)를 구성할 필요가 없습니다.
IPv6 NDP(Neighbor Discovery Protocol)에 대한 구성 옵션을 사용할 수 있습니다. 구성 옵션은 command입니다 set protocol neighbor-discovery onlink-subnet-only
. 이 옵션은 디바이스가 디바이스 인터페이스 접두사 중 하나로 포함되지 않은 접두사의 NS(Neighbor Solicitation)에 응답하지 못하게 합니다.
이 옵션을 설정한 후 라우팅 엔진을 재부팅하여 이전 IPv6 항목이 포워딩 테이블에 남아 있을 가능성을 제거해야 합니다.
트래픽 유형에 따라 인바운드 트래픽을 제어하는 방법 이해
이 주제는 인터페이스에 직접 연결된 시스템에서 디바이스에 도달할 수 있는 트래픽 종류를 지정하도록 영역을 구성하는 방법을 설명합니다.
다음 사항에 유의하십시오.
이러한 매개 변수는 영역 수준에서 구성할 수 있으며, 이 경우 영역의 모든 인터페이스 또는 인터페이스 수준에서 영향을 미칩니다. (인터페이스 구성은 영역의 구성보다 우선합니다.)
예상되는 모든 호스트 인바운드 트래픽을 사용하도록 설정해야 합니다. 이 디바이스로 향하는 인바운드 트래픽은 기본적으로 삭제됩니다.
또한 동적 라우팅 프로토콜에서 사용할 수 있도록 영역의 인터페이스를 구성할 수도 있습니다.
이 기능을 사용하면 인터페이스에 직접 또는 간접적으로 연결된 시스템에서 시작된 공격으로부터 장치를 보호 할 수 있습니다. 또한 관리자가 특정 인터페이스에서 특정 애플리케이션을 사용하여 관리할 수 있도록 디바이스를 선택적으로 구성할 수 있습니다. 영역의 동일하거나 다른 인터페이스에서 다른 애플리케이션의 사용을 금지할 수 있습니다. 예를 들어, 외부인이 시스템에 연결하는 것을 원하지 않기 때문에 외부에서 Telnet 응용 프로그램을 사용하여 장치에 로그인하지 않도록 할 수 있습니다.
예: 트래픽 유형에 따른 인바운드 트래픽 제어
이 예는 트래픽 유형에 따라 인바운드 트래픽을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
인바운드 트래픽 유형을 이해합니다. 트래픽 유형에 따라 인바운드 트래픽을 제어하는 방법 이해하기를 참조하십시오.
개요
시스템 서비스 실행을 허용하면 인터페이스에 직접 연결된 시스템에서 디바이스에 도달할 수 있는 다양한 트래픽 유형을 지정하도록 영역을 구성할 수 있습니다. 영역 수준에서 다양한 시스템 서비스를 구성할 수 있으며, 이 경우 영역의 모든 인터페이스 또는 인터페이스 수준에서 영향을 미칩니다. (인터페이스 구성은 영역의 구성보다 우선합니다.)
예상되는 모든 호스트 인바운드 트래픽을 사용하도록 설정해야 합니다. 디바이스의 인터페이스에 직접 연결된 디바이스의 인바운드 트래픽은 기본적으로 삭제됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
트래픽 유형에 따라 인바운드 트래픽 구성 방법:
보안 영역을 구성합니다.
[edit] user@host# edit security zones security-zone ABC
모든 시스템 서비스에 대한 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
첫 번째 인터페이스의 인터페이스 수준(영역 수준이 아님)에서 Telnet, FTP 및 SNMP 시스템 서비스를 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
두 번째 인터페이스의 모든 시스템 서비스에 대한 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
두 번째 인터페이스에서 FTP 및 HTTP 시스템 서비스를 제외합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
결과
구성 모드에서 를 입력하여 show security zones security-zone ABC
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security zones security-zone ABC host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.3 { host-inbound-traffic { system-services { ftp; telnet; snmp; } } } ge-0/0/1.0 { host-inbound-traffic { system-services { all; ftp { except; } http { except; } } } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
프로토콜을 기반으로 인바운드 트래픽을 제어하는 방법 이해
이 항목에서는 지정된 영역 또는 인터페이스의 인바운드 시스템 프로토콜에 대해 설명합니다.
host-inbound 트래픽 옵션 아래에 나열된 프로토콜에 해당하는 모든 host-inbound 트래픽이 허용됩니다. 예를 들어, 구성의 아무 곳에서나 프로토콜을 기본값이 아닌 다른 포트 번호에 매핑하는 경우 host-inbound 트래픽 옵션에서 프로토콜을 지정할 수 있으며 새 포트 번호가 사용됩니다. 표 1 에는 지원되는 프로토콜이 나와 있습니다. 값 all
은 다음 프로토콜의 트래픽이 지정된 인터페이스(영역 또는 지정된 단일 인터페이스)에서 인바운드로 허용됨을 나타냅니다.
지원되는 시스템 서비스 |
|||
---|---|---|---|
모든 |
Igmp |
Pim |
Sap |
Bfd |
Ldp |
Rip |
Vrrp |
Bgp |
증권 시세 표시기 |
리핑뱃 |
국가인권위원회(NHRP) |
라우터 검색 |
증권 시세 표시기 |
Ospf |
Rsvp |
Pgm |
OSPF3 |
인터페이스에 대해 DVMRP 또는 PIM이 활성화된 경우 IGMP 및 MLD 호스트 인바운드 트래픽이 자동으로 활성화됩니다. IS-IS는 OSI 주소 지정을 사용하고 IP 트래픽을 생성해서는 안 되기 때문에 IS-IS 프로토콜에 대한 host-inbound 트래픽 옵션이 없습니다.
NDP(Neighbor Discovery Protocol)는 기본적으로 사용되므로 호스트 인바운드 트래픽에서 NDP(Neighbor Discovery Protocol)를 구성할 필요가 없습니다.
IPv6 NDP(Neighbor Discovery Protocol)에 대한 구성 옵션을 사용할 수 있습니다. 구성 옵션은 command입니다 set protocol neighbor-discovery onlink-subnet-only
. 이 옵션은 디바이스가 디바이스 인터페이스 접두사 중 하나로 포함되지 않은 접두사의 NS(Neighbor Solicitation)에 응답하지 못하게 합니다.
포워딩 테이블에 이전 IPv6 항목이 남아 있을 가능성을 제거하려면 이 옵션을 설정한 후 라우팅 엔진을 재부팅해야 합니다.
예: 프로토콜 기반 인바운드 트래픽 제어
이 예는 인터페이스에 대한 인바운드 트래픽을 활성화하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
보안 영역을 구성합니다. 예: 보안 영역 생성을 참조하십시오.
네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
host-inbound 트래픽 옵션 아래에 나열된 프로토콜에 해당하는 모든 host-inbound 트래픽이 허용됩니다. 예를 들어, 구성의 어느 부분에서나 프로토콜을 기본값이 아닌 다른 포트 번호에 매핑하는 경우 host-inbound 트래픽 옵션에서 프로토콜을 지정할 수 있으며 새 포트 번호가 사용됩니다.
값 all
은 모든 프로토콜의 트래픽이 지정된 인터페이스(영역 또는 지정된 단일 인터페이스)에서 인바운드로 허용됨을 나타냅니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
프로토콜을 기반으로 인바운드 트래픽 구성 방법:
보안 영역을 구성합니다.
[edit] user@host# edit security zones security-zone ABC
인터페이스에 대한 OSPF 프로토콜을 기반으로 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
인터페이스에 대한 ospf3 프로토콜을 기반으로 인바운드 트래픽을 지원하도록 보안 영역을 구성합니다.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
결과
구성 모드에서 를 입력하여 show security zones security-zone ABC
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security zones security-zone ABC interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { ospf; ospf3; } } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
예: TCP-Reset 매개변수 구성
이 예는 영역에 대한 TCP-Reset 매개 변수를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 보안 영역을 구성하십시오. 예: 보안 영역 생성을 참조하십시오.
개요
TCP-Reset 파라미터 기능이 활성화된 경우, 기존 세션과 일치하지 않고 SYN 플래그가 설정되지 않은 트래픽이 도착할 때 시스템은 RESET 플래그가 설정된 TCP 세그먼트를 전송합니다.
구성
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
영역에 대한 TCP-Reset 매개 변수를 구성하려면 다음과 같이 하십시오.
보안 영역을 구성합니다.
[edit] user@host# edit security zones security-zone ABC
영역에 대한 TCP-Reset 매개 변수를 구성합니다.
[edit security zones security-zone ABC] user@host# set tcp-rst
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show security zones
.