EN ESTA PÁGINA
Descripción de las políticas de seguridad para el tráfico propio
Descripción general de la configuración de directivas de seguridad
Prácticas recomendadas para definir políticas en dispositivos de la serie SRX
Configuración de directivas mediante el Asistente para firewall
Ejemplo: configurar una política de seguridad para permitir o denegar todo el tráfico
Ejemplo: configurar una política de seguridad para permitir o denegar el tráfico seleccionado
Habilitar políticas de seguridad para la inspección del túnel de flujo de paquetes de Geneve
Configuración de políticas de seguridad
Para proteger una red, un administrador de red debe crear una política de seguridad que describa todos los recursos de red dentro de esa empresa y el nivel de seguridad requerido para esos recursos. Junos OS le permite configurar políticas de seguridad. Las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa a través del firewall.
Descripción de los elementos de la política de seguridad
Una política de seguridad es un conjunto de instrucciones que controla el tráfico desde un origen especificado hasta un destino especificado mediante un servicio especificado. Una política permite, deniega o tuneliza tipos específicos de tráfico unidireccionalmente entre dos puntos.
Cada póliza consta de:
Un nombre único para la directiva.
A
from-zone
y ato-zone
, por ejemplo: user@host#set security policies from-zone untrust to-zone untrust
Un conjunto de criterios de coincidencia que definen las condiciones que deben cumplirse para aplicar la regla de directiva. Los criterios de coincidencia se basan en una dirección IP de origen, una dirección IP de destino y aplicaciones. El firewall de identidad de usuario proporciona una mayor granularidad al incluir una tupla adicional, source-identity, como parte de la declaración de política.
Un conjunto de acciones que se deben realizar en caso de coincidencia: permitir, denegar o rechazar.
Elementos de contabilidad y auditoría: conteo, registro o registro estructurado del sistema.
Si la serie SRX recibe un paquete que coincide con esas especificaciones, realiza la acción especificada en la directiva.
Las políticas de seguridad imponen un conjunto de reglas para el tráfico de tránsito, identificando qué tráfico puede pasar a través del firewall y las acciones realizadas en el tráfico a medida que pasa a través del firewall. Las acciones para el tráfico que coincide con los criterios especificados incluyen permitir, denegar, rechazar, registrar o contar.
Para los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550M, se proporciona una política de seguridad predeterminada de fábrica que:
-
Permite todo el tráfico desde la zona de confianza a la zona que no es de confianza.
-
Permite todo el tráfico entre zonas de confianza, es decir, de la zona de confianza a las zonas de confianza dentro de la zona.
Deniega todo el tráfico desde la zona de no confianza a la zona de confianza.
Descripción de las reglas de la política de seguridad
La política de seguridad aplica las reglas de seguridad al tráfico de tránsito dentro de un contexto (from-zone
a to-zone
). Cada política se identifica de forma única por su nombre. El tráfico se clasifica haciendo coincidir sus zonas de origen y destino, las direcciones de origen y destino, y la aplicación que lleva el tráfico en sus encabezados de protocolo con la base de datos de políticas en el plano de datos.
Cada política está asociada a las siguientes características:
Una zona de origen
Una zona de destino
Uno o varios nombres de direcciones de origen o nombres de conjuntos de direcciones
Uno o varios nombres de direcciones de destino o nombres de conjuntos de direcciones
Uno o varios nombres de aplicación o nombres de conjuntos de aplicaciones
Estas características se denominan criterios de coincidencia. Cada política también tiene acciones asociadas: permitir, denegar, rechazar, contar, registrar y túnel VPN. Debe especificar los argumentos de condición de coincidencia al configurar una directiva, una dirección de origen, una dirección de destino y un nombre de aplicación.
Puede especificar que se configure una directiva con direcciones IPv4 o IPv6 mediante la entrada any
comodín . Cuando la compatibilidad con flujo no está habilitada para el tráfico IPv6, any
coincide con las direcciones IPv4. Cuando la compatibilidad con flujo está habilitada para el tráfico IPv6, any
coincide con las direcciones IPv4 e IPv6. Para habilitar el reenvío basado en flujos para el tráfico IPv6, use el set security forwarding-options family inet6 mode flow-based
comando. También puede especificar el carácter comodín any-ipv4
o any-ipv6
que los criterios de coincidencia de direcciones de origen y destino incluyan solo direcciones IPv4 o solo IPv6, respectivamente.
Cuando la compatibilidad de flujo para el tráfico IPv6 está habilitada, el número máximo de direcciones IPv4 o IPv6 que puede configurar en una política de seguridad se basa en los siguientes criterios de coincidencia:
Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024
Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024
La razón de los criterios de coincidencia es que una dirección IPv6 utiliza cuatro veces el espacio de memoria que una dirección IPv4.
Puede configurar una política de seguridad con direcciones IPv6 solo si la compatibilidad de flujo para el tráfico IPv6 está habilitada en el dispositivo.
Si no desea especificar una aplicación específica, escríbala any
como aplicación predeterminada. Para buscar las aplicaciones predeterminadas, desde el modo de configuración, escriba show groups junos-defaults | find applications (predefined applications)
. Por ejemplo, si no proporciona un nombre de aplicación, la directiva se instala con la aplicación como comodín (valor predeterminado). Por lo tanto, cualquier tráfico de datos que coincida con el resto de los parámetros de una política determinada coincidirá con la directiva independientemente del tipo de aplicación del tráfico de datos.
Si una directiva está configurada con varias aplicaciones y más de una de las aplicaciones coincide con el tráfico, se selecciona la aplicación que mejor cumpla los criterios de coincidencia.
La acción de la primera directiva con la que coincide el tráfico se aplica al paquete. Si no hay ninguna política de coincidencia, el paquete se descarta. Las políticas se buscan de arriba a abajo, por lo que es una buena idea colocar políticas más específicas cerca de la parte superior de la lista. También debe colocar las políticas de túnel VPN IPsec cerca de la parte superior. Coloque las políticas más generales, como una que permitiría a ciertos usuarios acceder a todas las aplicaciones de Internet, en la parte inferior de la lista. Por ejemplo, coloque las políticas de denegación o rechazo de todo en la parte inferior después de que todas las políticas específicas se hayan analizado antes y se haya permitido/contado/registrado el tráfico legítimo.
La compatibilidad con direcciones IPv6 se agregó en Junos OS versión 10.2. La compatibilidad con direcciones IPv6 en configuraciones de clúster de chasis activo/activo (además de la compatibilidad existente con configuraciones de clúster de chasis activo/pasivo) se agrega en Junos OS versión 10.4.
Las políticas se buscan durante el procesamiento de flujo después de que se hayan procesado los filtros y las pantallas del firewall y la unidad de procesamiento de servicios (SPU) haya completado la búsqueda de rutas (para dispositivos SRX5400, SRX5600 y SRX5800). La búsqueda de políticas determina la zona de destino, la dirección de destino y la interfaz de salida.
Al crear una directiva, se aplican las siguientes reglas de directiva:
Las políticas de seguridad se configuran en una
from-zone
dirección ato-zone
. Bajo una dirección de zona específica, cada política de seguridad contiene un nombre, criterios de coincidencia, una acción y opciones varias.El nombre de la directiva, los criterios de coincidencia y la acción son obligatorios.
El nombre de la directiva es una palabra clave.
La dirección de origen en los criterios de coincidencia se compone de uno o más nombres de direcciones o nombres de conjunto de direcciones en el
from-zone
.La dirección de destino de los criterios de coincidencia se compone de uno o más nombres de dirección o nombres de conjunto de direcciones en el
to-zone
archivo .El nombre de la aplicación en los criterios de coincidencia se compone del nombre de una o más aplicaciones o conjuntos de aplicaciones.
Se requiere una de las siguientes acciones: permitir, denegar o rechazar.
Se pueden especificar elementos de contabilidad y auditoría: recuento y registro.
Puede habilitar el registro al final de una sesión con el
session-close
comando o al principio de la sesión con elsession-init
comando.Cuando la alarma de recuento esté activada, especifique los umbrales de alarma en bytes por segundo o kilobytes por minuto.
No puede especificar
global
como elfrom-zone
o el excepto en lato-zone
siguiente condición:Cualquier política configurada con la
to-zone
como zona global debe tener una única dirección de destino para indicar que se ha configurado en la política una NAT estática o una NAT entrante.En los firewalls de la serie SRX, la opción de permiso de política con NAT se simplifica. Cada política indicará opcionalmente si permite la traducción NAT, no permite la traducción NAT o no le importa.
Los nombres de dirección no pueden comenzar con los siguientes prefijos reservados. Estos solo se utilizan para la configuración de NAT de direcciones:
static_nat_
incoming_nat_
junos_
Los nombres de las aplicaciones no pueden comenzar con el
junos_
prefijo reservado.
Descripción de las direcciones comodín
Las direcciones de origen y destino son dos de los cinco criterios de coincidencia que deben configurarse en una política de seguridad. Ahora puede configurar direcciones comodín para los criterios de coincidencia de direcciones de origen y destino en una política de seguridad. Una dirección comodín se representa como A.B.C.D/wildcard-mask. La máscara comodín determina cuál de los bits de la dirección IP A.B.C.D debe ser ignorado por los criterios de coincidencia de la política de seguridad. Por ejemplo, la dirección IP de origen 192.168.0.11/255.255.0.255 en una política de seguridad implica que los criterios de coincidencia de la política de seguridad pueden descartar el tercer octeto de la dirección IP (representado simbólicamente como 192.168.*.11). Por lo tanto, los paquetes con direcciones IP de origen como 192.168.1.11 y 192.168.22.11 cumplen con los criterios de coincidencia. Sin embargo, los paquetes con direcciones IP de origen como 192.168.0.1 y 192.168.1.21 no cumplen los criterios de coincidencia.
El uso de la dirección comodín no se limita únicamente a octetos completos. Puede configurar cualquier dirección comodín. Por ejemplo, la dirección comodín 192.168. 7.1/255.255.7.255 implica que solo debe ignorar los primeros 5 bits del tercer octeto de la dirección comodín al hacer que la política coincida. Si el uso de la dirección comodín está restringido solo a octetos completos, se permitirán las máscaras comodín con 0 o 255 solo en cada uno de los cuatro octetos.
El primer octeto de la máscara comodín debe ser mayor que 128. Por ejemplo, una máscara comodín representada como 0.255.0.255 o 1.255.0.255 no es válida.
Una directiva de seguridad comodín es una política de firewall sencilla que permite permitir, denegar y rechazar el tráfico que intenta cruzar de una zona de seguridad a otra. No debe configurar reglas de política de seguridad mediante direcciones comodín para servicios como Content Security.
Solo se admite intrusiones y prevención (IDP) para sesiones IPv6 para todos los dispositivos SRX5400, SRX5600 y SRX5800. No se admite la seguridad de contenido para sesiones IPv6. Si su política de seguridad actual usa reglas con el comodín de dirección IP y las características de seguridad de contenido están habilitadas, encontrará errores de confirmación de configuración porque las características de seguridad de contenido aún no admiten direcciones IPv6. Para resolver los errores, modifique la regla que devuelve el error para que se utilice el comodín any-ipv4; y crear reglas independientes para el tráfico IPv6 que no incluyan funciones de seguridad de contenido.
La configuración de directivas de seguridad comodín en un dispositivo afecta al rendimiento y al uso de memoria en función del número de políticas comodín configuradas por contexto de zona y de zona. Por lo tanto, solo puede configurar un máximo de 480 políticas comodín para un contexto específico de zona y de zona.
Ver también
Descripción de las políticas de seguridad para el tráfico propio
Las políticas de seguridad se configuran en los dispositivos para aplicar servicios al tráfico que fluye a través del dispositivo. Por ejemplo, las directivas de UAC y Seguridad de contenido están configuradas para aplicar servicios al tráfico transitorio.
El tráfico propio o tráfico de host, es el tráfico de entrada de host; es decir, el tráfico que termina en el dispositivo o el tráfico de salida del host que es el tráfico que se origina en el dispositivo. Ahora puede configurar políticas para aplicar servicios en el tráfico propio. Servicios como el servicio de pila SSL que debe terminar la conexión SSL desde un dispositivo remoto y realizar algún procesamiento en ese tráfico, los servicios IDP en el tráfico de entrada de host o el cifrado IPsec en el tráfico de salida de host deben aplicarse a través de las políticas de seguridad configuradas en el tráfico propio.
Cuando se configura una política de seguridad para el tráfico propio, el tráfico que fluye a través del dispositivo se comprueba primero con la directiva y, a continuación, con la host-inbound-traffic
opción configurada para las interfaces enlazadas a la zona.
Puede configurar la directiva de seguridad para el tráfico autónomo para aplicar servicios al tráfico propio. Las directivas de salida de host solo funcionarán en los casos en que el paquete que se originó en el dispositivo host pase por el flujo y la interfaz entrante de este paquete se establezca en local.
Las ventajas de utilizar el autotráfico son:
Puede aprovechar la mayor parte de la infraestructura de flujo o política existente que se usa para el tráfico de tránsito.
No necesita una dirección IP separada para habilitar ningún servicio.
Puede aplicar servicios o políticas a cualquier tráfico entrante de host con la dirección IP de destino de cualquier interfaz del dispositivo.
En los firewalls de la serie SRX, las reglas de política de seguridad predeterminadas no afectan al tráfico propio.
Puede configurar la política de seguridad para el tráfico automático solo con los servicios pertinentes. Por ejemplo, no es relevante configurar el servicio fwauth en el tráfico saliente de host, y los servicios gprs-gtp no son relevantes para las políticas de seguridad para el tráfico propio.
Las políticas de seguridad para el tráfico propio se configuran en la nueva zona de seguridad predeterminada denominada junos-host zona. La zona junos-host formará parte de la configuración de valores predeterminados de junos, por lo que los usuarios no podrán eliminarla. Las configuraciones de zona existentes, como interfaces, screen, tcp-rst y opciones de tráfico entrante de host, no son significativas para la zona junos-host. Por lo tanto, no hay una configuración dedicada para la zona junos-host.
Puede utilizar el tráfico entrante de host para controlar las conexiones entrantes a un dispositivo; sin embargo, no restringe el tráfico que sale del dispositivo. Considerando que, junos-host-zone le permite seleccionar la aplicación de su elección y también restringir el tráfico saliente. Por ejemplo, ahora se pueden habilitar servicios como NAT, IDP, seguridad de contenido, etc. para el tráfico que entra o sale del firewall de la serie SRX mediante junos-host-zone.
Descripción general de la configuración de directivas de seguridad
Debe completar las siguientes tareas para crear una directiva de seguridad:
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Configure una libreta de direcciones con direcciones para la directiva. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
Cree una aplicación (o un conjunto de aplicaciones) que indique que la directiva se aplica al tráfico de ese tipo. Consulte Ejemplo: Configuración de aplicaciones de políticas de seguridad y conjuntos de aplicaciones.
Cree la directiva. Consulte Ejemplo: Configuración de una política de seguridad para permitir o denegar todo el tráfico, Ejemplo: Configuración de una política de seguridad para permitir o denegar el tráfico seleccionado y Ejemplo: Configuración de una política de seguridad para permitir o denegar tráfico de direcciones comodín.
Cree programadores si planea usarlos para sus políticas. Consulte Ejemplo: Configuración de programadores para una programación diaria excluyendo un día.
El Asistente para directivas de firewall le permite realizar una configuración básica de directivas de seguridad. Para una configuración más avanzada, utilice la interfaz J-Web o la CLI.
Ver también
Prácticas recomendadas para definir políticas en dispositivos de la serie SRX
Una red segura es vital para una empresa. Para proteger una red, un administrador de red debe crear una política de seguridad que describa todos los recursos de red dentro de esa empresa y el nivel de seguridad requerido para esos recursos. La política de seguridad aplica las reglas de seguridad al tráfico de tránsito dentro de un contexto (de zona a zona) y cada política se identifica de forma única por su nombre. El tráfico se clasifica haciendo coincidir las zonas de origen y destino, las direcciones de origen y destino, y la aplicación que lleva el tráfico en sus encabezados de protocolo con la base de datos de políticas en el plano de datos.
En la Tabla 1 se presentan las limitaciones de política para SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 y SRX5800. La compatibilidad de plataforma depende de la versión de Junos OS en su instalación.
A partir de Junos OS versión 12.3X48-D15 y Junos OS versión 17.3R1, el número máximo de objetos de dirección por política para dispositivos SRX5400, SRX5600 y SRX5800 aumenta de 1024 a 4096, y el número máximo de directivas por contexto aumenta de 10240 a 80.000.
A partir de Junos OS versión 17.3R1, el número de políticas de seguridad y el número máximo de directivas por contexto para dispositivos SRX5400, SRX5600 y SRX5800 aumenta de 80 000 a 100 000.
A partir de Junos OS versión 15.1X49-D120, el número de objetos de dirección por política para SRX5400, SRX5600 y SRX5800 aumenta de 4096 a 16.000.
Dispositivos de la serie SRX |
Objetos de dirección |
Objetos de aplicación |
Políticas de seguridad |
Contextos de políticas (pares de zonas) |
Políticas por contexto |
Políticas con conteo habilitado |
---|---|---|---|---|---|---|
SRX300SRX320 |
2048 |
128 |
1024 |
256 |
1024 |
256 |
SRX340 |
2048 |
128 |
2048 |
512 |
2048 |
256 |
SRX345 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX380 |
2048 |
128 |
4096 |
1024 |
4096 |
256 |
SRX550M |
2048 |
128 |
10240 |
2048 |
10240 |
1024 |
SRX1500 |
4096 |
3072 |
16000 |
4096 |
16000 |
1024 |
SRX4100 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4200 |
4096 |
3072 |
60000 |
4096 |
60000 |
1024 |
SRX4600 |
4096 |
3072 |
80000 |
8192 |
80000 |
1024 |
SRX5400 SRX5600 SRX5800 |
16384 |
3072 |
100000 |
8192 |
100000 |
1024 |
Por lo tanto, a medida que aumenta el número de direcciones y aplicaciones en cada regla, aumenta la cantidad de memoria utilizada por la definición de directiva y, a veces, el sistema se queda sin memoria con menos de 80.000 directivas.
Para obtener la utilización real de memoria de una política en el motor de reenvío de paquetes (PFE) y el motor de enrutamiento (RE), debe tener en cuenta varios componentes del árbol de memoria. El árbol de memoria incluye los dos componentes siguientes:
Contexto de políticas: se utiliza para organizar todas las políticas en este contexto. El contexto de políticas incluye variables como las zonas de origen y destino.
Entidad de política: se utiliza para almacenar los datos de la política. La entidad de política calcula la memoria utilizando parámetros como el nombre de la directiva, las direcciones IP, el recuento de direcciones, las aplicaciones, la autenticación de firewall, WebAuth, IPsec, el recuento, los servicios de aplicación y Junos Services Framework (JSF).
Además, las estructuras de datos utilizadas para almacenar directivas, conjuntos de reglas y otros componentes utilizan memoria diferente en el motor de reenvío de paquetes y en el motor de enrutamiento. Por ejemplo, los nombres de dirección de cada dirección de la directiva se almacenan en el motor de enrutamiento, pero no se asigna memoria en el nivel del motor de reenvío de paquetes. Del mismo modo, los intervalos de puertos se expanden a pares de prefijos y máscaras, y se almacenan en el motor de reenvío de paquetes, pero no se asigna dicha memoria en el motor de enrutamiento.
En consecuencia, dependiendo de la configuración de la directiva, los contribuyentes de políticas al motor de enrutamiento son diferentes de los del motor de reenvío de paquetes y la memoria se asigna dinámicamente.
La memoria también es consumida por el estado de "eliminación diferida". En el estado de eliminación diferida, cuando un firewall de la serie SRX aplica un cambio de política, hay un uso máximo transitorio en el que están presentes tanto las políticas antiguas como las nuevas. Por lo tanto, durante un breve período, existen políticas antiguas y nuevas en el motor de reenvío de paquetes, que ocupan el doble de los requisitos de memoria.
Por lo tanto, no hay una manera definitiva de inferir claramente cuánta memoria utiliza cualquiera de los componentes (motor de reenvío de paquetes o motor de enrutamiento) en un momento dado, ya que los requisitos de memoria dependen de configuraciones específicas de políticas y la memoria se asigna dinámicamente.
Los siguientes procedimientos recomendados para la implementación de directivas permiten utilizar mejor la memoria del sistema y optimizar la configuración de directivas:
Utilice prefijos únicos para las direcciones de origen y destino. Por ejemplo, en lugar de usar direcciones /32 y agregar cada dirección por separado, use una subred grande que cubra la mayoría de las direcciones IP que necesita.
Utilice la aplicación "cualquiera" siempre que sea posible. Cada vez que defina una aplicación individual en la directiva, puede utilizar 52 bytes adicionales.
Use menos direcciones IPv6 porque las direcciones IPv6 consumen más memoria.
Utilice menos pares de zonas en las configuraciones de directivas. Cada zona de origen o destino utiliza unos 16.048 bytes de memoria.
Los siguientes parámetros pueden cambiar la forma en que los bytes consumen la memoria según lo especificado:
Autenticación de firewall: aproximadamente 16 bytes o más (sin corregir)
Autenticación web: unos 16 bytes o más (sin corregir)
IPsec: 12 bytes
Servicios de aplicación: 28 bytes
Número–64 bytes
Compruebe el uso de la memoria antes y después de compilar las políticas.
Nota:El requisito de memoria para cada dispositivo es diferente. Algunos dispositivos admiten 512.000 sesiones de forma predeterminada, y la memoria de arranque suele ser del 72 al 73 por ciento. Otros dispositivos pueden tener hasta 1 millón de sesiones y la memoria de arranque puede ser de hasta 83 a 84 por ciento. En el peor de los casos, para soportar alrededor de 80.000 políticas en la SPU, la SPU debe arrancar con un consumo de memoria de kernel fluido de hasta el 82 por ciento y con al menos 170 megabytes de memoria disponibles.
Ver también
Configuración de directivas mediante el Asistente para firewall
El Asistente para directivas de firewall le permite realizar configuraciones básicas de políticas de seguridad en dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550M. Para una configuración más avanzada, utilice la interfaz J-Web o la CLI.
Para configurar directivas mediante el Asistente para directivas de firewall:
- Seleccione
Configure>Tasks>Configure FW Policy
esta opción en la interfaz de J-Web. - Haga clic en el botón Iniciar el Asistente para directivas de firewall para iniciar el asistente.
- Siga las indicaciones del asistente.
El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de configuración. El área inferior izquierda de la página muestra ayuda sensible al campo. Al hacer clic en un vínculo bajo el encabezado Recursos, el documento se abre en el explorador. Si el documento se abre en una pestaña nueva, asegúrese de cerrar solo la pestaña (no la ventana del explorador) cuando cierre el documento.
Ejemplo: configurar una política de seguridad para permitir o denegar todo el tráfico
En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir o denegar todo el tráfico.
Requisitos
Antes de empezar:
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Configure una libreta de direcciones y cree direcciones para usarlas en la directiva. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
Cree una aplicación (o un conjunto de aplicaciones) que indique que la directiva se aplica al tráfico de ese tipo. Consulte Ejemplo: Configuración de aplicaciones de políticas de seguridad y conjuntos de aplicaciones.
Visión general
En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben llevarse a cabo en el tráfico a medida que pasa por el dispositivo. Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. En este ejemplo, se configuran las interfaces de confianza y no confianza, ge-0/0/2 y ge-0/0/1. Consulte la figura 1.
En este ejemplo de configuración, se muestra cómo:
Permitir o denegar todo el tráfico de la zona de confianza a la zona de no confianza, pero bloquear todo, desde la zona de no confianza a la zona de confianza.
Permitir o denegar el tráfico seleccionado desde un host de la zona de confianza a un servidor de la zona que no es de confianza en un momento determinado.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy permit-all match source-address any set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy deny-all match source-address any set security policies from-zone untrust to-zone trust policy deny-all match destination-address any set security policies from-zone untrust to-zone trust policy deny-all match application any set security policies from-zone untrust to-zone trust policy deny-all then deny
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar una política de seguridad para permitir o denegar todo el tráfico:
Configure las interfaces y las zonas de seguridad.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address any user@host# set policy permit-all match destination-address any user@host# set policy permit-all match application any user@host# set policy permit-all then permit
Cree la política de seguridad para denegar el tráfico de la zona de no confianza a la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy deny-all match source-address any user@host# set policy deny-all match destination-address any user@host# set policy deny-all match application any user@host# set policy deny-all then deny
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies
comandos y show security zones
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
El ejemplo de configuración es un permiso predeterminado para todos desde la zona de confianza a la zona que no es de confianza.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny-all {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/2.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Verifique la información sobre las políticas de seguridad.
Acción
Desde el modo operativo, escriba el show security policies detail
comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
Significado
El resultado muestra información sobre las directivas configuradas en el sistema. Verifique la siguiente información:
Desde y hacia zonas
Direcciones de origen y destino
Criterios de coincidencia
Ejemplo: configurar una política de seguridad para permitir o denegar el tráfico seleccionado
En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir o denegar el tráfico seleccionado.
Requisitos
Antes de empezar:
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Configure una libreta de direcciones y cree direcciones para usarlas en la directiva. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
Cree una aplicación (o un conjunto de aplicaciones) que indique que la directiva se aplica al tráfico de ese tipo. Consulte Ejemplo: Configuración de aplicaciones de políticas de seguridad y conjuntos de aplicaciones.
Permitir tráfico hacia y desde zonas de confianza y no confianza. Consulte Ejemplo: Configuración de una política de seguridad para permitir o denegar todo el tráfico.
Visión general
En Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben llevarse a cabo en el tráfico a medida que pasa a través del dispositivo. Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. En este ejemplo, se configura una directiva de seguridad específica para permitir sólo el tráfico de correo electrónico desde un host de la zona de confianza a un servidor de la zona que no es de confianza. No se permite ningún otro tráfico. Consulte la figura 2.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address mail-untrust 203.0.113.14/24 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1/32 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar una política de seguridad que permita el tráfico seleccionado:
Configure las interfaces y las zonas de seguridad.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Cree entradas de libreta de direcciones tanto para el cliente como para el servidor. Además, adjunte zonas de seguridad a las libretas de direcciones.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.14/24 user@host# set attach zone untrust
[edit security address-book book2] user@host# set address mail-trust 192.168.1.1/32 user@host# set attach zone trust
Defina la política para permitir el tráfico de correo.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies
comandos y show security zones
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
interfaces {
ge-0/0/2 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-0/0/1 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
user@host# show security address-book
book1 {
address mail-untrust 203.0.113.14/24;
attach {
zone untrust;
}
}
book2 {
address mail-trust 192.168.1.1/32;
attach {
zone trust;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Verifique la información sobre las políticas de seguridad.
Acción
Desde el modo operativo, escriba el show security policies detail
comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
Significado
El resultado muestra información sobre las directivas configuradas en el sistema. Verifique la siguiente información:
Desde y hacia zonas
Direcciones de origen y destino
Criterios de coincidencia
Ejemplo: configuración de una política de seguridad para permitir o denegar tráfico de direcciones comodín
En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir o denegar el tráfico de direcciones comodín.
Requisitos
Antes de empezar:
Comprender las direcciones comodín. Consulte Descripción de las reglas de la política de seguridad.
Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.
Configure una libreta de direcciones y cree direcciones para usarlas en la directiva. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
Cree una aplicación (o un conjunto de aplicaciones) que indique que la directiva se aplica al tráfico de ese tipo. Consulte Ejemplo: Configuración de aplicaciones de políticas de seguridad y conjuntos de aplicaciones.
Permitir tráfico hacia y desde zonas de confianza y no confianza. Consulte Ejemplo: Configuración de una política de seguridad para permitir o denegar todo el tráfico.
Permitir el tráfico de correo electrónico hacia y desde las zonas de confianza y no confianza. Consulte Ejemplo: Configuración de una política de seguridad para permitir o denegar el tráfico seleccionado
Visión general
En el sistema operativo Junos (Junos OS), las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. En este ejemplo, se configura una seguridad específica para permitir solo el tráfico de direcciones comodín desde un host de la zona de confianza a la zona que no es de confianza. No se permite ningún otro tráfico.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit]
jerarquía y, a continuación, ingrese commit
al modo de configuración.
set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all set security address-book book1 address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 set security address-book book1 attach zone trust set security policies from-zone trust to-zone untrust policy permit-wildcard match source-address wildcard-trust set security policies from-zone trust to-zone untrust policy permit-wildcard match destination-address any set security policies from-zone trust to-zone untrust policy permit-wildcard match application any set security policies from-zone trust to-zone untrust policy permit-wildcard then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar una política de seguridad que permita el tráfico seleccionado:
Configure las interfaces y las zonas de seguridad.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/2 host-inbound-traffic system-services all user@host# set security-zone untrust interfaces ge-0/0/1 host-inbound-traffic system-services all
Cree una entrada de libreta de direcciones para el host y adjunte la libreta de direcciones a una zona.
[edit security address-book book1] user@host# set address wildcard-trust wildcard-address 192.168.0.11/255.255.0.255 user@host# set attach zone trust
Defina la política para permitir el tráfico de direcciones comodín.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-wildcard match source-address wildcard-trust user@host# set policy permit-wildcard match destination-address any user@host# set policy permit-wildcard match application any user@host# set policy permit-wildcard then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies
comandos y show security zones
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-wildcard {
match {
source-address wildcard-trust;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host#show security zones
security-zone trust { host-inbound-traffic { system-services { all; } interfaces { ge-0/0/2 { host-inbound-traffic { system-services { all; } } } } } } security-zone untrust { interfaces { ge-0/0/1 { host-inbound-traffic { system-services { all; } } } } } user@host#show security address-book
book1 { address wildcard-trust { wildcard-address 192.168.0.11/255.255.0.255; } attach { zone trust; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Verifique la información sobre las políticas de seguridad.
Acción
Desde el modo operativo, escriba el show security policies policy-name permit-wildcard detail
comando para mostrar detalles sobre la política de seguridad de comodín de permisos configurada en el dispositivo.
Significado
El resultado muestra información sobre la directiva de comodín de permisos configurada en el sistema. Verifique la siguiente información:
Zonas Desde y Hasta:
Direcciones de origen y destino
Criterios de coincidencia
Ejemplo: configuración de una política de seguridad para redirigir los registros de tráfico a un servidor de registro del sistema externo
En este ejemplo se muestra cómo configurar una directiva de seguridad para enviar los registros de tráfico generados en el dispositivo a un servidor de registro del sistema externo.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un cliente conectado a un dispositivo SRX5600 en la interfaz ge-4/0/5
Un servidor conectado al dispositivo SRX5600 en la interfaz ge-4/0/1
Los registros generados en el dispositivo SRX5600 se almacenan en un servidor de registro del sistema basado en Linux.
Un dispositivo SRX5600 conectado al servidor basado en Linux en la interfaz ge-4/0/4
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se configura una directiva de seguridad en el dispositivo SRX5600 para enviar registros de tráfico, generados por el dispositivo durante la transmisión de datos, a un servidor basado en Linux. Los registros de tráfico registran los detalles de cada sesión. Los registros se generan durante el establecimiento y la finalización de la sesión entre el dispositivo de origen y el dispositivo de destino que están conectados al dispositivo SRX5600.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit]
jerarquía y, a continuación, ingrese commit
al modo de configuración.
set security log source-address 127.0.0.1 set security log stream trafficlogs severity debug set security log stream trafficlogs host 203.0.113.2 set security zones security-zone client host-inbound-traffic system-services all set security zones security-zone client host-inbound-traffic protocols all set security zones security-zone client interfaces ge-4/0/5.0 set security zones security-zone server host-inbound-traffic system-services all set security zones security-zone server interfaces ge-4/0/4.0 set security zones security-zone server interfaces ge-4/0/1.0 set security policies from-zone client to-zone server policy policy-1 match source-address any set security policies from-zone client to-zone server policy policy-1 match destination-address any set security policies from-zone client to-zone server policy policy-1 match application any set security policies from-zone client to-zone server policy policy-1 then permit set security policies from-zone client to-zone server policy policy-1 then log session-init set security policies from-zone client to-zone server policy policy-1 then log session-close
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar una política de seguridad para enviar registros de tráfico a un servidor de registro del sistema externo:
Configure los registros de seguridad para transferir los registros de tráfico generados en el dispositivo SRX5600 a un servidor de registro del sistema externo con la dirección IP 203.0.113.2. La dirección IP 127.0.0.1 es la dirección de circuito cerrado del dispositivo SRX5600.
[edit security log] user@host# set source-address 127.0.0.1 user@host# set stream trafficlogs severity debug user@host# set stream trafficlogs host 203.0.113.2
Configure una zona de seguridad y especifique los tipos de tráfico y protocolos permitidos en la interfaz ge-4/0/5.0 del dispositivo SRX5600.
[edit security zones] user@host# set security-zone client host-inbound-traffic system-services all user@host# set security-zone client host-inbound-traffic protocols all user@host# set security-zone client interfaces ge-4/0/5.0
Configure otra zona de seguridad y especifique los tipos de tráfico permitidos en las interfaces ge-4/0/4.0 y ge-4/0/1.0 del dispositivo SRX5600.
[edit security zones] user@host# set security-zone server host-inbound-traffic system-services all user@host# set security-zone server interfaces ge-4/0/4.0 user@host# set security-zone server interfaces ge-4/0/1.0
Cree una política y especifique los criterios de coincidencia para esa directiva. El criterio de coincidencia especifica que el dispositivo puede permitir tráfico desde cualquier origen, a cualquier destino y en cualquier aplicación.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 match source-address any user@host# set policy policy-1 match destination-address any user@host# set policy policy-1 match application any user@host# set policy policy-1 match then permit
Habilite la directiva para registrar los detalles del tráfico al principio y al final de la sesión.
[edit security policies from-zone client to-zone server] user@host# set policy policy-1 then log session-init user@host# set policy policy-1 then log session-close
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security log
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security log format syslog; source-address 127.0.0.1; stream trafficlogs { severity debug; host { 203.0.113.2; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar zonas
Propósito
Compruebe que la zona de seguridad está habilitada o no.
Acción
Desde el modo operativo, ingrese el show security zones
comando.
Modo TAP para zonas y políticas de seguridad
El modo de punto de acceso de terminal (TAP) para zonas y políticas de seguridad le permite supervisar pasivamente los flujos de tráfico a través de una red mediante un conmutador SPAN o un puerto espejo.
- Descripción de la compatibilidad del modo TAP con zonas y políticas de seguridad
- Ejemplo: configuración de zonas y políticas de seguridad en modo TAP
Descripción de la compatibilidad del modo TAP con zonas y políticas de seguridad
El modo de punto de acceso de terminal (TAP) es un dispositivo en espera, que comprueba el tráfico reflejado a través del conmutador. Si se configuran zonas y políticas de seguridad, el modo TAP inspecciona el tráfico entrante y saliente configurando la interfaz TAP y generando un informe de registro de seguridad para mostrar el número de amenazas detectadas y el uso del usuario. Si algún paquete se pierde en la interfaz tap, las zonas de seguridad y las políticas terminan la conexión; como resultado, no se genera ningún informe para esta conexión. La configuración de la zona de seguridad y de la política sigue siendo la misma que en el modo que no es TAP.
Cuando configura un firewall de la serie SRX para que funcione en modo TAP, el dispositivo genera información de registro de seguridad para mostrar la información sobre las amenazas detectadas, el uso de la aplicación y los detalles del usuario. Cuando el dispositivo está configurado para funcionar en modo TAP, el firewall de la serie SRX solo recibe paquetes de la interfaz TAP configurada. Excepto la interfaz TAP configurada, otras interfaces se configuran para la interfaz normal que se utiliza como interfaz de administración o conectada al servidor externo. El firewall de la serie SRX generará un informe o registro de seguridad de acuerdo con el tráfico entrante.
La zona de seguridad y la política de seguridad predeterminada se configurarán después de configurar la interfaz TAP. Puede configurar otras zonas o políticas si es necesario. Si se utiliza una interfaz para conectar un servidor, también es necesario configurar la dirección IP, la interfaz de enrutamiento y la configuración de seguridad.
Solo puede configurar una interfaz TAP cuando utilice el dispositivo en modo TAP.
Ejemplo: configuración de zonas y políticas de seguridad en modo TAP
En este ejemplo se muestra cómo configurar zonas y políticas de seguridad cuando el firewall de la serie SRX está configurado en modo TAP (Terminal Access Point).
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 19.1R1
Antes de empezar:
Lea Descripción de la compatibilidad del modo TAP con zonas y políticas de seguridad para comprender cómo y dónde encaja este procedimiento en la compatibilidad general con zonas y políticas de seguridad.
Visión general
En este ejemplo, se configura el firewall de la serie SRX para que funcione en modo TAP. Cuando configura el firewall de la serie SRX para que funcione en modo TAP, el dispositivo genera información de registro de seguridad para mostrar la información sobre las amenazas detectadas, el uso de la aplicación y los detalles del usuario.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit]
modo de configuración.
set security zones security-zone tap-zone interfaces ge-0/0/0.0 set security zones security-zone tap-zone application-tracking set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar zonas en modo TAP:
Configure la interfaz tap-zone de la zona de seguridad.
user@host# set security zones security-zone tap-zone interfaces ge-0/0/0.0
Configure el seguimiento de aplicaciones de zona tap-zone de seguridad.
user@host# set security zones security-zone tap-zone application-tracking
Configure una política de seguridad que permita el tráfico de zone tap-zone a zone tap-zone policy pulse y configure la condición de coincidencia.
user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match source-address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match destination -address any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy match application any user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then permit user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-init user@host# set security policies from-zone tap-zone to-zone tap-zone policy tap-policy then log session-close
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security zones
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit] user@host#show security zones security-zone tap-zone { interfaces { ge-0/0/0.0; } application-tracking; } [edit] user@host#show security policies from-zone tap-zone to-zone tap-zone { policy tap-policy { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificación de la configuración de políticas en modo TAP
Propósito
Verifique la información sobre las políticas de seguridad.
Acción
Desde el modo operativo, ingrese el show security policies detail
comando.
user@host> show security policies detail node0: -------------------------------------------------------------------------- Default policy: permit-all Pre ID default policy: permit-all Policy: Trust_to_Untrust, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: izone, To zone: ozone Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy: Untrust_to_Trust, action-type: permit, State: enabled, Index: 5, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: ozone, To zone: izone Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close
Significado
Muestra un resumen de todas las políticas de seguridad configuradas en el dispositivo en modo TAP.
Grupos de direcciones dinámicos en directivas de seguridad
Agregar manualmente entradas de direcciones a una política puede llevar mucho tiempo. Hay fuentes externas que proporcionan listas de direcciones IP que tienen un propósito específico (como una lista de bloqueo) o que tienen un atributo común (como una ubicación o comportamiento particular que podría representar una amenaza). Puede usar el origen externo para identificar orígenes de amenazas por su dirección IP y, a continuación, agrupar esas direcciones en una entrada de dirección dinámica y hacer referencia a esa entrada en una política de seguridad. De este modo, puede controlar el tráfico hacia y desde esas direcciones. Cada uno de estos grupos de direcciones IP se denomina entrada de dirección dinámica.
Se admiten los siguientes tipos de direcciones IP:
-
IP única. Por ejemplo: 192.0.2.0
-
Rango IP. Por ejemplo: 192.0.2.0- 192.0.2.10
-
CIDR. Por ejemplo: 192.0.2.0/24
Cada entrada ocupa una línea. A partir de Junos OS versión 19.3R1, no es necesario ordenar los intervalos de direcciones IP en orden ascendente y el valor de las entradas IP puede superponerse en el mismo archivo de fuente. En las versiones de Junos OS anteriores a la 19.3R1, los intervalos de direcciones IP deben ordenarse en orden ascendente y el valor de las entradas IP no puede superponerse en el mismo archivo de fuente.
Una entrada de dirección dinámica es un grupo de direcciones IP, no un único prefijo IP. Una entrada de dirección dinámica es diferente de los conceptos de direcciones de seguridad de las libretas de direcciones y las direcciones de entrada de direcciones.
Los siguientes son los beneficios de implementar entradas de direcciones dinámicas en las políticas de seguridad:
-
El administrador de red tiene más control sobre el tráfico hacia y desde grupos de direcciones IP.
-
El servidor externo proporciona fuentes de direcciones IP actualizadas al firewall de la serie SRX.
-
Los esfuerzos del administrador se reducen drásticamente. Por ejemplo, en una configuración de directiva de seguridad heredada, agregar 1000 entradas de dirección para que una política haga referencia requeriría unas 2000 líneas de configuración. Al definir una entrada de dirección dinámica y hacer referencia a ella en una política de seguridad, hasta millones de entradas podrían fluir hacia el firewall de la serie SRX sin mucho esfuerzo adicional de configuración.
-
No se requiere ningún proceso de confirmación para agregar nuevas direcciones. Agregar miles de direcciones a una configuración a través de un método heredado tarda mucho tiempo en confirmarse. Alternativamente, las direcciones IP en una entrada de dirección dinámica provienen de una fuente externa, por lo que no se requiere ningún proceso de confirmación cuando cambian las direcciones de una entrada.
La figura 3 ilustra una descripción general funcional de cómo funciona la entrada de direcciones dinámicas en una política de seguridad.
Una política de seguridad hace referencia a la entrada de dirección dinámica en un campo de dirección de origen o dirección de destino (de la misma manera que una política de seguridad hace referencia a una entrada de dirección heredada).
La figura 4 ilustra una directiva que usa una entrada de dirección dinámica en el campo Dirección de destino.
En la figura 4, la directiva 1 usa la dirección de destino 10.10.1.1, que es una entrada de dirección de seguridad heredada. La directiva 2 usa la lista de bloqueo de proveedores de direcciones de destino, que es una entrada de dirección dinámica denominada por el administrador de red. Su contenido es la lista de direcciones IP recuperadas de un archivo de fuente externo. Los paquetes que cumplen los cinco criterios (la zona De-denominada no confiable, la zona Para-llamada ingeniero, cualquier dirección de origen, una dirección IP de destino que pertenezca a la entrada de dirección dinámica Lista de bloqueo de proveedores y la aplicación de correo) se manejan de acuerdo con las acciones de directiva, que son denegar y registrar el paquete.
Los nombres de entrada de direcciones dinámicas comparten el mismo espacio de nombres que las entradas de direcciones de seguridad heredadas, por lo que no utilice el mismo nombre para más de una entrada. El proceso de confirmación de Junos OS comprueba que los nombres no estén duplicados para evitar conflictos.
Los grupos de direcciones dinámicas admiten las siguientes fuentes de datos:
-
Listas personalizadas (listas de permitidos y listas de bloqueo)
-
Geoip
- Servidores de feeds
- Feeds de paquetes
- Compatibilidad del servidor de fuentes con firewalls de la serie SRX
Servidores de feeds
-
Los servidores de fuentes contienen entradas de direcciones dinámicas en un archivo de fuente. Puede crear feeds personalizados que pueden ser locales o remotos. Para la creación de fuentes personalizadas, consulte Creación de fuentes personalizadas
-
Configure el firewall de la serie SRX para usar las fuentes. Consulte, feed-server para configurar el firewall de la serie SRX.
Feeds de paquetes
Las direcciones IP, los prefijos IP o los rangos IP contenidos en una entrada de dirección dinámica se pueden actualizar periódicamente descargando una fuente externa. Los firewalls de la serie SRX inician periódicamente una conexión con el servidor de fuentes para descargar y actualizar las listas de IP que contienen las direcciones dinámicas actualizadas.
A partir de Junos OS versión 19.3R1, puede descargar un único archivo tgz del servidor y extraerlo en varios archivos de fuentes secundarias. Cada archivo individual corresponde a un feed. Permita que las direcciones dinámicas individuales hagan referencia a la fuente dentro del archivo de paquete. El archivo de paquete reduce la sobrecarga de la CPU cuando se configuran demasiadas fuentes, donde se comprimen varias fuentes secundarias en un archivo .tgz
Se admiten los siguientes modos de alimentación de paquetes:
Modo de archivo
En el modo de archivo, debe comprimir todos los archivos de alimentación para el firewall de la serie SRX en un archivo tgz. El firewall de la serie SRX descarga este archivo y extrae todas las fuentes después de la extracción. Este proceso se explica a continuación:
-
Cuando la dirección URL del servidor de fuentes es una dirección URL de un archivo con el sufijo .tgz en lugar de la dirección URL original de la carpeta, esto significa que este servidor utiliza un único archivo para transportar todas sus fuentes para la implementación de direcciones dinámicas de la serie SRX. En este caso, las fuentes de este servidor heredan el intervalo de actualización o el intervalo de espera del servidor. Se omite cualquier configuración de usuario del intervalo de actualización o intervalo de espera para esta fuente.
-
Después de este cambio, siga los pasos a continuación para mantener las fuentes del servidor como se muestra a continuación.
En el siguiente ejemplo se muestran los pasos necesarios para mantener las fuentes del servidor:
-
Coloque todos los archivos de fuente para el firewall de la serie SRX en la carpeta feeds-4-srx
-
Generar todos los archivos de alimentación fd1 fd2 fd3 .. fdN en la carpeta feeds-4-srx
-
Agregar o quitar los rangos de IP de las fuentes
-
Acceda a los archivos ejecutando el siguiente comando:
cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-
-
-
Después del paso 4, el archivo feeds-4-srx.tgz está listo para su descarga en el firewall de la serie SRX que contiene la misma carpeta que contiene el archivo feeds-4-srx.tgz . Después de la descarga, los archivos extraídos se colocan en la misma carpeta que feeds-4-srx.tgz. En el siguiente ejemplo se muestra una configuración samle en un firewall de la serie SRX:
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.tgz
set security dynamic-address feed-server server-4-srx feed-name feed1 path fd1
set security dynamic-address feed-server server-4-srx feed-name feed2 path fd2
set security dynamic-address feed-server server-4-srx feed-name feed3 path fdN
El parámetro path requiere la ruta relativa de la fuente dentro del archivo del paquete.
-
Si el archivo tar -zxf feeds-4-srx.tgz genera una carpeta feeds-4-srx y esta carpeta contiene el archivo de fuente fd1, utilice el siguiente comando para configurar la fuente:
[edit]
set security dynamic-address feed-server server-4-srx feed fd1 path feeds-4-srx/fd1
-
Si el archivo tar -zxf feeds-4-srx.tgz extrae el archivo fd1 directamente, utilice el siguiente comando para configurar la fuente:
[edit]
set security dynamic-address feed-server server-4-srx feed fd1 path fd1
Modo de archivo plano
El modo de archivo plano ofrece la máxima simplicidad para el usuario al introducir un cambio de sintaxis en el formato de archivo de fuente existente. El contenido de todos los archivos de fuente se compila en un solo archivo, con .bundle como sufijo. Esto le permite administrar un solo archivo. El firewall de la serie SRX clasifica los rangos de IP de este archivo de paquete en numerosos archivos de fuente. Puede comprimir este archivo como .bundle.gz si puede guardar algo de ancho de banda para la transmisión. Además del formato de archivo definido anteriormente, se introduce una etiqueta mayúscula FEED: seguida del nombre del feed. Las líneas debajo de esta etiqueta se consideran rangos de IP que pertenecen al feed. A continuación se muestra un ejemplo del aspecto del formato de archivo:
root>cat feeds-4-srx.bundle
FEED:fd1
12.1.1.1-12.1.1.2
11.1.1.1-11.1.1.2
FEED:fd2
14.1.1.1-14.1.1.2
La configuración de un firewall de la serie SRX es similar al modo de archivo y se describe a continuación:
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle
set security dynamic-address feed-server server-4-srx feed-name fd1 path fd1
set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
La diferencia entre el modo plano y el modo de archivo es el sufijo del archivo y el diseño dentro del archivo. Puede seleccionar el modo que más le convenga.
Como los archivos de fuente están en formato de texto sin formato, gzip puede reducir el tamaño del archivo. Si un servidor y un firewall de la serie SRX tienen un vínculo WAN intermedio, utilice un archivo de menor tamaño para transmitir en la red; en este caso, comprima el archivo de paquete y configure los siguientes comandos:
[edit]
set security dynamic-address feed-server server-4-srx url 10.170.40.50/feeds-4-srx.bundle.gz
set security dynamic-address feed-server server-4-srx feed-name fd1 path fd1
set security dynamic-address feed-server server-4-srx feed-name fd2 path fd2
Compatibilidad del servidor de fuentes con firewalls de la serie SRX
Plataforma |
Número máximo de servidores de feeds |
Número máximo de feeds |
Número máximo de entradas de direcciones dinámicas |
SRX300SRX320SRX340SRX345SRX550SRX550MSRX650 |
10 |
500 |
500 |
SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800Firewallvirtual vSRX Firewall virtual vSRX 3.0 |
100 |
5000 |
5000 |
SRX1500 |
40 |
2000 |
2000 |
Ver también
Configurar políticas de seguridad para VXLAN
RESUMEN Utilice este ejemplo para configurar políticas de seguridad para la inspección de túnel de Virtual Extensible LAN (VXLAN) de EVPN (Ethernet VPN).
Requisitos
La compatibilidad con VXLAN en firewalls de la serie SRX brinda la flexibilidad para ofrecer un firewall de nivel empresarial para conectar puntos finales en sus entornos de campus, centro de datos, sucursales y nube pública, a la vez que proporciona seguridad integrada.
En este ejemplo se utilizan los siguientes componentes de hardware y software:
SRX4600 dispositivo
Junos OS versión 20.4R1
Antes de empezar:
Asegúrese de entender cómo funcionan EVPN y VXLAN.
Visión general
La solución EVPN proporciona a las grandes empresas un marco común que se utiliza para administrar sus redes de campus y centros de datos. Una arquitectura EVPN-VxLAN admite una conectividad de red eficiente de capas 2 y 3 con escalabilidad, simplicidad y agilidad. La figura 5 muestra una topología simplificada de flujo de tráfico VXLAN.
Topología
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security zones security-zone cloud-1 set security zones security-zone dc set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r1 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r2 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r3 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 vni r4 set security tunnel-inspection inspection-profile ins-pf1 vxlan vx1 policy-set pset1 set security tunnel-inspection vni r1 vni-range 160 to 200 set security tunnel-inspection vni r2 vni-id 155 set security tunnel-inspection vni r3 vni-range 300 to 399 set security tunnel-inspection vni r4 vni-range 100 to 120 set security tunnel-inspection vni v1 vni-range 1 to 100 set security policies from-zone dc to-zone cloud-1 policy p1 match source-address any set security policies from-zone dc to-zone cloud-1 policy p1 match destination-address any set security policies from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan set security policies from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection ins-pf1 set security policies from-zone cloud-1 to-zone dc policy p1 match source-address any set security policies from-zone cloud-1 to-zone dc policy p1 match destination-address any set security policies from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan set security policies from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1 set security policies policy-set pset1 policy pset_p1 match source-address any set security policies policy-set pset1 policy pset_p1 match destination-address any set security policies policy-set pset1 policy pset_p1 match application any set security policies policy-set pset1 policy pset_p1 then permit set security policies default-policy deny-all
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar VXLAN:
Definir zonas de seguridad.
[edit security zones] user@host# set security-zone cloud-1 user@host# set zones security-zone dc
Definir el perfil de inspección del túnel.
[edit security tunnel-inspection] user@host# set inspection-profile ins-pf1 vxlan vx1 vni r1 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r2 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r3 user@host# set inspection-profile ins-pf1 vxlan vx1 vni r4 user@host# set inspection-profile ins-pf1 vxlan vx1 policy-set pset1 user@host# set vni r1 vni-range 160 to 200 user@host# set vni r2 vni-id 155 user@host# set vni r3 vni-range 300 to 399 user@host# set vni r4 vni-range 100 to 120 user@host# set vni v1 vni-range 1 to 100
Definir políticas de sesión externa.
[edit security policies] user@host# set from-zone dc to-zone cloud-1 policy p1 match source-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match destination-address any user@host# set from-zone dc to-zone cloud-1 policy p1 match application junos-vxlan user@host# set from-zone dc to-zone cloud-1 policy p1 then permit tunnel-inspection profile-1 user@host# set from-zone cloud-1 to-zone dc policy p1 match source-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match destination-address any user@host# set from-zone cloud-1 to-zone dc policy p1 match application junos-vxlan user@host# set from-zone cloud-1 to-zone dc policy p1 then permit tunnel-inspection ins-pf1
Definir el conjunto de políticas.
[edit security policies] user@host# set policy-set pset1 policy pset_p1 match source-address any user@host# set policy-set pset1 policy pset_p1 destination-address any user@host# set policy-set pset1 policy pset_p1 match application any user@host# set policy-set pset1 policy pset_p1 then permit user@host# set default-policy deny-all
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security policies
from-zone dc to-zone cloud-1 { policy p1 { match { source-address any; destination-address any; application junos-vxlan; } then { permit { tunnel-inspection { ins-pf1; } } } } } from-zone cloud-1 to-zone dc { policy p1 { match { source-address any; destination-address any; application junos-vxlan; } then { permit { tunnel-inspection { ins-pf1; } } } } } policy-set pset1 { policy pset_p1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }
Si ha terminado de configurar la función en su dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificar los perfiles de inspección del túnel y VNI
Propósito
Verifique que el perfil de inspección del túnel y VNI estén combinados.
Acción
Desde el modo operativo, escriba los show security tunnel-inspection profiles ins-pf1
comandos y show security tunnel-inspection vnis
.
user@host> show security tunnel-inspection profiles ins-pf1 node0: -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ins-pf1 Type: VXLAN Vxlan count: 1 Vxlan name: vx1 VNI count: 4 VNI:r1, r2, r3, r4 Policy set: pset1 Inspection level: 1
user@host> show security tunnel-inspection vnis node0: -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 5 VNI name: r1 VNI id count: 1 [160 - 200] VNI name: r2 VNI id count: 1 [155 - 155] VNI name: r3 VNI id count: 1 [300 - 399] VNI name: r4 VNI id count: 1 [100 - 120] VNI name: v1 VNI id count: 1 [1 - 100]
Significado
El resultado muestra que la función VXLAN está habilitada y que no hay redireccionamientos de búsqueda seguros ni reescrituras de búsqueda segura.
Verificar la función de búsqueda segura
Propósito
Compruebe que la característica de búsqueda segura está habilitada para las soluciones de filtrado web de Content Security.
Acción
Desde el modo operativo, escriba el Show security flow tunnel-inspection statistic
comando para ver las estadísticas de inspección del túnel.
user@host> show security flow tunnel-inspection statistics node0: -------------------------------------------------------------------------- Flow Tunnel-inspection statistics: Tunnel-inspection statistics of FPC4 PIC1: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 269 overlay session close: 269 underlay session active: 0 underlay session create: 566 underlay session close: 566 input packets: 349717 input bytes: 363418345 output packets: 348701 output bytes: 363226339 bypass packets: 501 bypass bytes: 50890 Tunnel-inspection statistics of FPC4 PIC2: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 270 overlay session close: 270 underlay session active: 0 underlay session create: 586 underlay session close: 586 input packets: 194151 input bytes: 200171306 output packets: 193221 output bytes: 199987258 bypass packets: 617 bypass bytes: 92902 Tunnel-inspection statistics of FPC4 PIC3: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 275 overlay session close: 275 underlay session active: 0 underlay session create: 615 underlay session close: 615 input packets: 216486 input bytes: 222875066 output packets: 213827 output bytes: 222460378 bypass packets: 2038 bypass bytes: 270480 Tunnel-inspection statistics summary: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 814 overlay session close: 814 underlay session active: 0 underlay session create: 1767 underlay session close: 1767 input packets: 760354 input bytes: 786464717 output packets: 755749 output bytes: 785673975 bypass packets: 3156 bypass bytes: 414272 node1: -------------------------------------------------------------------------- Flow Tunnel-inspection statistics: Tunnel-inspection statistics of FPC4 PIC1: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 269 overlay session close: 269 underlay session active: 0 underlay session create: 566 underlay session close: 566 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics of FPC4 PIC2: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 270 overlay session close: 270 underlay session active: 0 underlay session create: 586 underlay session close: 586 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics of FPC4 PIC3: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 275 overlay session close: 275 underlay session active: 0 underlay session create: 615 underlay session close: 615 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0 Tunnel-inspection statistics summary: Tunnel-inspection type VXLAN: overlay session active: 0 overlay session create: 814 overlay session close: 814 underlay session active: 0 underlay session create: 1767 underlay session close: 1767 input packets: 0 input bytes: 0 output packets: 0 output bytes: 0 bypass packets: 0 bypass bytes: 0
Significado
El resultado muestra que la función VXLAN está habilitada y que no hay redireccionamientos de búsqueda seguros ni reescrituras de búsqueda segura.
Habilitar políticas de seguridad para la inspección del túnel de flujo de paquetes de Geneve
RESUMEN Utilice esta configuración para habilitar políticas de seguridad en vSRX Virtual Firewall 3.0 para la inspección de túnel de flujo de paquetes de Geneve.
Con la compatibilidad de Geneve en instancias de vSRX Virtual Firewall 3.0, puede utilizar vSRX3.0 para:
-
Conecte puntos finales en un campus, centro de datos y entornos de nube pública y sus bancos.
-
Proteja estos entornos con seguridad integrada.
- Requisitos
- Visión general
- Configuración (vSRX Virtual Firewall 3.0 como punto de conexión de túnel)
- Configuración (vSRX Virtual Firewall 3.0 como enrutador de tránsito)
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Firewall virtual vSRX 3.0
-
Junos OS versión 23.1R1
Antes de empezar:
-
Asegúrese de entender cómo funciona el protocolo de Geneve.
Visión general
Con esta configuración puede:
-
Habilite las políticas de seguridad para procesar los paquetes L3 encapsulados en el túnel de Geneve.
-
Crear perfiles distintos para el tráfico de Ginebra basados en VNI y atributos TLV del proveedor: la política, una vez adjunta a un perfil de inspección, dicta el tipo de tráfico de Ginebra que se procesará y las políticas que se aplicarán al tráfico interno.
-
Configure la política de seguridad habitual en vSRX Virtual Firewall 3.0 para aplicar servicios L4 y L7 en el tráfico interno.
Configuración (vSRX Virtual Firewall 3.0 como punto de conexión de túnel)
- Topología simplificada del flujo de tráfico de Ginebra con AWS GWLB y vSRX Virtual Firewall 3.0 como punto de conexión del túnel
- Configuración rápida de CLI
- Procedimiento
- Resultados
- Verificar el perfil de inspección del túnel y el VNI
- Verificar el perfil de inspección del túnel y el VNI
Topología simplificada del flujo de tráfico de Ginebra con AWS GWLB y vSRX Virtual Firewall 3.0 como punto de conexión del túnel
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
Defina una zona de confianza y no confianza para permitir todo el tráfico del host.
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor
set security tunnel-inspection vni vni-vendor vni-id 0
set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve
set security policies from-zone vtepc to-zone junos-host policy self match source-address any
set security policies from-zone vtepc to-zone junos-host policy self match destination-address any
set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set ps-vendor policy self match source-address any
set security policies policy-set ps-vendor policy self match destination-address any
set security policies policy-set ps-vendor policy self match application any
set security policies policy-set ps-vendor policy self then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar la compatibilidad de flujo de Geneve para la inspección de túnel en vSRX Virtual Firewall 3.0:
-
Defina una zona de confianza y no confianza para permitir todo el tráfico de host bajo la [edit security zones] jerarquía.
-
Defina el
tunnel-inspection
perfil.[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
Definir políticas de sesión externa para los paquetes externos y adjuntar el perfil de inspección de túnel al que se hace referencia
Nota:En la configuración de la política, la directiva externa en el
to-zone
caso de vSRX Virtual Firewall 3.0 como extremo de túnel debe serjunos-host
, que es una zona incorporada (identificador reservado) para procesar el tráfico.[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
Defina una política interna en
policy-set
para procesar el paquete desencapsulado.[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
Configure la interfaz asociada con
from-zone
del cliente de extremo de túnel virtual (VTEPC) para recibir los paquetes encapsulados en Geneve y los paquetes de comprobación de estado.[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Resultados
Desde el modo de configuración, confirme su configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy dst-nat-pool-access { match { source-address any; destination-address 233.252.0.1/21; application any; } then { permit; } } } from-zone vtepc to-zone junos-host { policy self { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set ps-vendor { policy self { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } vni v1 { vni-id 0; } vni vni-vendor { vni-id 0; }
Después de completar la configuración de la función en el dispositivo, ingrese commit
desde el modo de configuración.
Verificar el perfil de inspección del túnel y el VNI
Propósito
Compruebe que ha configurado el tunnel-inspection
perfil y el identificador de red VXLAN (VNI).
Acción
Desde el modo operativo, escriba los show security tunnel-inspection profiles ti-vendor
comandos y show security tunnel-inspection vnis
.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
Significado
El resultado muestra que el perfil de inspección del túnel de Ginebra está habilitado y que el identificador de red VXLAN (VNI) está configurado.
Verificar el perfil de inspección del túnel y el VNI
Propósito
Compruebe que ha configurado el tunnel-inspection
perfil y el identificador de red VXLAN (VNI).
Acción
Desde el modo operativo, escriba los show security tunnel-inspection profiles ti-vendor
comandos y show security tunnel-inspection vnis
.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
Significado
El resultado muestra que el perfil de inspección del túnel de Ginebra está habilitado y que el identificador de red VXLAN (VNI) está configurado.
Configuración (vSRX Virtual Firewall 3.0 como enrutador de tránsito)
- Topología simplificada de flujo de tráfico de Ginebra Firewall virtual vSRX 3.0 como enrutador de tránsito
- Configuración rápida de CLI
- Procedimiento
- Resultados
Topología simplificada de flujo de tráfico de Ginebra Firewall virtual vSRX 3.0 como enrutador de tránsito
En este modo de implementación, el cliente de extremo de túnel virtual (vtepc) (extremo de túnel de Geneve) debe garantizar que los paquetes destinados tanto al cliente como al servidor pasan por el servidor de punto de conexión de túnel virtual (vteps) (vSRX Virtual Firewall 3.0). El puerto de origen es seleccionado por el extremo del túnel virtual (vtep).
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security tunnel-inspection vni r1 vni-range 1 to 100
set security tunnel-inspection vni r1 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1
set security tunnel-inspection vni r2 vni-range 200 to 400
set security tunnel-inspection vni r2 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve
set security policies from-zone vtepc to-zone vteps policy p1 match source-address any
set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any
set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor
set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve
set security policies from-zone vteps to-zone vtepc policy p1 match source-address any
set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any
set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set pset1 policy pset_p1 match source-address any
set security policies policy-set pset1 policy pset_p1 match destination-address any
set security policies policy-set pset1 policy pset_p1 match application any
set security policies policy-set pset1 policy pset_p1 then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar la compatibilidad del flujo de Ginebra para la inspección de túnel en el Firewall virtual vSRX 3.0 (vSRX Virtual Firewall 3.0 como enrutador de tránsito):
-
Defina una zona de confianza y no confianza para permitir todo el tráfico de host bajo la [edit security zones] jerarquía.
-
Defina el
tunnel-inspection
perfil.[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
Definir políticas de sesión externa.
Nota:Para vSRX Virtual Firewall 3.0 como enrutador de tránsito, se necesitan dos políticas en cada dirección. El
from-zone
yto-zone
son las zonas respectivas que deben definirse en las interfaces.[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
Defina una política interna en
policy-set
para procesar el paquete desencapsulado.[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
Configure la interfaz asociada con
from-zone
del cliente de extremo de túnel virtual (VTEPC) para recibir los paquetes encapsulados en Geneve y los paquetes de comprobación de estado.Nota:En caso del modo de tránsito, el firewall virtual vSRX 3.0 debe configurarse con dos interfaces L3 para la entrada y la salida.
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
Resultados
Desde el modo de configuración, confirme su configuración introduciendo el show security policies
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } } from-zone vtepc to-zone vteps { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } from-zone vteps to-zone vtepc { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set pset1 { policy pset_p1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }}
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } inspection-profile pro1; vni r1 { vni-id 500; } vni r2 { vni-id 500; } }
Después de completar la configuración de la función en el dispositivo, ingrese commit
desde el modo de configuración.
Ver también
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.