Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de políticas de seguridad

Para proteger una red, un administrador de red debe crear una política de seguridad que describa todos los recursos de red dentro de esa empresa y el nivel de seguridad requerido para esos recursos. Junos OS le permite configurar políticas de seguridad. Las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa a través del firewall.

Descripción de los elementos de la política de seguridad

Una política de seguridad es un conjunto de instrucciones que controla el tráfico desde un origen especificado hasta un destino especificado mediante un servicio especificado. Una política permite, deniega o tuneliza tipos específicos de tráfico unidireccionalmente entre dos puntos.

Cada póliza consta de:

  • Un nombre único para la directiva.

  • A from-zone y a to-zone, por ejemplo: user@host# set security policies from-zone untrust to-zone untrust

  • Un conjunto de criterios de coincidencia que definen las condiciones que deben cumplirse para aplicar la regla de directiva. Los criterios de coincidencia se basan en una dirección IP de origen, una dirección IP de destino y aplicaciones. El firewall de identidad de usuario proporciona una mayor granularidad al incluir una tupla adicional, source-identity, como parte de la declaración de política.

  • Un conjunto de acciones que se deben realizar en caso de coincidencia: permitir, denegar o rechazar.

  • Elementos de contabilidad y auditoría: conteo, registro o registro estructurado del sistema.

Si la serie SRX recibe un paquete que coincide con esas especificaciones, realiza la acción especificada en la directiva.

Las políticas de seguridad imponen un conjunto de reglas para el tráfico de tránsito, identificando qué tráfico puede pasar a través del firewall y las acciones realizadas en el tráfico a medida que pasa a través del firewall. Las acciones para el tráfico que coincide con los criterios especificados incluyen permitir, denegar, rechazar, registrar o contar.

Para los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550M, se proporciona una política de seguridad predeterminada de fábrica que:

  • Permite todo el tráfico desde la zona de confianza a la zona que no es de confianza.

  • Permite todo el tráfico entre zonas de confianza, es decir, de la zona de confianza a las zonas de confianza dentro de la zona.

  • Deniega todo el tráfico desde la zona de no confianza a la zona de confianza.

Descripción de las reglas de la política de seguridad

La política de seguridad aplica las reglas de seguridad al tráfico de tránsito dentro de un contexto (from-zone a to-zone). Cada política se identifica de forma única por su nombre. El tráfico se clasifica haciendo coincidir sus zonas de origen y destino, las direcciones de origen y destino, y la aplicación que lleva el tráfico en sus encabezados de protocolo con la base de datos de políticas en el plano de datos.

Cada política está asociada a las siguientes características:

  • Una zona de origen

  • Una zona de destino

  • Uno o varios nombres de direcciones de origen o nombres de conjuntos de direcciones

  • Uno o varios nombres de direcciones de destino o nombres de conjuntos de direcciones

  • Uno o varios nombres de aplicación o nombres de conjuntos de aplicaciones

Estas características se denominan criterios de coincidencia. Cada política también tiene acciones asociadas: permitir, denegar, rechazar, contar, registrar y túnel VPN. Debe especificar los argumentos de condición de coincidencia al configurar una directiva, una dirección de origen, una dirección de destino y un nombre de aplicación.

Puede especificar que se configure una directiva con direcciones IPv4 o IPv6 mediante la entrada anycomodín . Cuando la compatibilidad con flujo no está habilitada para el tráfico IPv6, any coincide con las direcciones IPv4. Cuando la compatibilidad con flujo está habilitada para el tráfico IPv6, any coincide con las direcciones IPv4 e IPv6. Para habilitar el reenvío basado en flujos para el tráfico IPv6, use el set security forwarding-options family inet6 mode flow-based comando. También puede especificar el carácter comodín any-ipv4 o any-ipv6 que los criterios de coincidencia de direcciones de origen y destino incluyan solo direcciones IPv4 o solo IPv6, respectivamente.

Cuando la compatibilidad de flujo para el tráfico IPv6 está habilitada, el número máximo de direcciones IPv4 o IPv6 que puede configurar en una política de seguridad se basa en los siguientes criterios de coincidencia:

  • Number_of_src_IPv4_addresses + number_of_src_IPv6_addresses * 4 <= 1024

  • Number_of_dst_IPv4_addresses + number_of_dst_IPv6_addresses * 4 <= 1024

La razón de los criterios de coincidencia es que una dirección IPv6 utiliza cuatro veces el espacio de memoria que una dirección IPv4.

Nota:

Puede configurar una política de seguridad con direcciones IPv6 solo si la compatibilidad de flujo para el tráfico IPv6 está habilitada en el dispositivo.

Si no desea especificar una aplicación específica, escríbala any como aplicación predeterminada. Para buscar las aplicaciones predeterminadas, desde el modo de configuración, escriba show groups junos-defaults | find applications (predefined applications). Por ejemplo, si no proporciona un nombre de aplicación, la directiva se instala con la aplicación como comodín (valor predeterminado). Por lo tanto, cualquier tráfico de datos que coincida con el resto de los parámetros de una política determinada coincidirá con la directiva independientemente del tipo de aplicación del tráfico de datos.

Nota:

Si una directiva está configurada con varias aplicaciones y más de una de las aplicaciones coincide con el tráfico, se selecciona la aplicación que mejor cumpla los criterios de coincidencia.

La acción de la primera directiva con la que coincide el tráfico se aplica al paquete. Si no hay ninguna política de coincidencia, el paquete se descarta. Las políticas se buscan de arriba a abajo, por lo que es una buena idea colocar políticas más específicas cerca de la parte superior de la lista. También debe colocar las políticas de túnel VPN IPsec cerca de la parte superior. Coloque las políticas más generales, como una que permitiría a ciertos usuarios acceder a todas las aplicaciones de Internet, en la parte inferior de la lista. Por ejemplo, coloque las políticas de denegación o rechazo de todo en la parte inferior después de que todas las políticas específicas se hayan analizado antes y se haya permitido/contado/registrado el tráfico legítimo.

Nota:

La compatibilidad con direcciones IPv6 se agregó en Junos OS versión 10.2. La compatibilidad con direcciones IPv6 en configuraciones de clúster de chasis activo/activo (además de la compatibilidad existente con configuraciones de clúster de chasis activo/pasivo) se agrega en Junos OS versión 10.4.

Las políticas se buscan durante el procesamiento de flujo después de que se hayan procesado los filtros y las pantallas del firewall y la unidad de procesamiento de servicios (SPU) haya completado la búsqueda de rutas (para dispositivos SRX5400, SRX5600 y SRX5800). La búsqueda de políticas determina la zona de destino, la dirección de destino y la interfaz de salida.

Al crear una directiva, se aplican las siguientes reglas de directiva:

  • Las políticas de seguridad se configuran en una from-zone dirección a to-zone . Bajo una dirección de zona específica, cada política de seguridad contiene un nombre, criterios de coincidencia, una acción y opciones varias.

  • El nombre de la directiva, los criterios de coincidencia y la acción son obligatorios.

  • El nombre de la directiva es una palabra clave.

  • La dirección de origen en los criterios de coincidencia se compone de uno o más nombres de direcciones o nombres de conjunto de direcciones en el from-zone.

  • La dirección de destino de los criterios de coincidencia se compone de uno o más nombres de dirección o nombres de conjunto de direcciones en el to-zonearchivo .

  • El nombre de la aplicación en los criterios de coincidencia se compone del nombre de una o más aplicaciones o conjuntos de aplicaciones.

  • Se requiere una de las siguientes acciones: permitir, denegar o rechazar.

  • Se pueden especificar elementos de contabilidad y auditoría: recuento y registro.

  • Puede habilitar el registro al final de una sesión con el session-close comando o al principio de la sesión con el session-init comando.

  • Cuando la alarma de recuento esté activada, especifique los umbrales de alarma en bytes por segundo o kilobytes por minuto.

  • No puede especificar global como el from-zone o el excepto en la to-zone siguiente condición:

    Cualquier política configurada con la to-zone como zona global debe tener una única dirección de destino para indicar que se ha configurado en la política una NAT estática o una NAT entrante.

  • En los firewalls de la serie SRX, la opción de permiso de política con NAT se simplifica. Cada política indicará opcionalmente si permite la traducción NAT, no permite la traducción NAT o no le importa.

  • Los nombres de dirección no pueden comenzar con los siguientes prefijos reservados. Estos solo se utilizan para la configuración de NAT de direcciones:

    • static_nat_

    • incoming_nat_

    • junos_

  • Los nombres de las aplicaciones no pueden comenzar con el junos_ prefijo reservado.

Descripción de las direcciones comodín

Las direcciones de origen y destino son dos de los cinco criterios de coincidencia que deben configurarse en una política de seguridad. Ahora puede configurar direcciones comodín para los criterios de coincidencia de direcciones de origen y destino en una política de seguridad. Una dirección comodín se representa como A.B.C.D/wildcard-mask. La máscara comodín determina cuál de los bits de la dirección IP A.B.C.D debe ser ignorado por los criterios de coincidencia de la política de seguridad. Por ejemplo, la dirección IP de origen 192.168.0.11/255.255.0.255 en una política de seguridad implica que los criterios de coincidencia de la política de seguridad pueden descartar el tercer octeto de la dirección IP (representado simbólicamente como 192.168.*.11). Por lo tanto, los paquetes con direcciones IP de origen como 192.168.1.11 y 192.168.22.11 cumplen con los criterios de coincidencia. Sin embargo, los paquetes con direcciones IP de origen como 192.168.0.1 y 192.168.1.21 no cumplen los criterios de coincidencia.

El uso de la dirección comodín no se limita únicamente a octetos completos. Puede configurar cualquier dirección comodín. Por ejemplo, la dirección comodín 192.168. 7.1/255.255.7.255 implica que solo debe ignorar los primeros 5 bits del tercer octeto de la dirección comodín al hacer que la política coincida. Si el uso de la dirección comodín está restringido solo a octetos completos, se permitirán las máscaras comodín con 0 o 255 solo en cada uno de los cuatro octetos.

Nota:

El primer octeto de la máscara comodín debe ser mayor que 128. Por ejemplo, una máscara comodín representada como 0.255.0.255 o 1.255.0.255 no es válida.

Una directiva de seguridad comodín es una política de firewall sencilla que permite permitir, denegar y rechazar el tráfico que intenta cruzar de una zona de seguridad a otra. No debe configurar reglas de política de seguridad mediante direcciones comodín para servicios como Content Security.

Nota:

Solo se admite intrusiones y prevención (IDP) para sesiones IPv6 para todos los dispositivos SRX5400, SRX5600 y SRX5800. No se admite la seguridad de contenido para sesiones IPv6. Si su política de seguridad actual usa reglas con el comodín de dirección IP y las características de seguridad de contenido están habilitadas, encontrará errores de confirmación de configuración porque las características de seguridad de contenido aún no admiten direcciones IPv6. Para resolver los errores, modifique la regla que devuelve el error para que se utilice el comodín any-ipv4; y crear reglas independientes para el tráfico IPv6 que no incluyan funciones de seguridad de contenido.

La configuración de directivas de seguridad comodín en un dispositivo afecta al rendimiento y al uso de memoria en función del número de políticas comodín configuradas por contexto de zona y de zona. Por lo tanto, solo puede configurar un máximo de 480 políticas comodín para un contexto específico de zona y de zona.

Descripción de las políticas de seguridad para el tráfico propio

Las políticas de seguridad se configuran en los dispositivos para aplicar servicios al tráfico que fluye a través del dispositivo. Por ejemplo, las directivas de UAC y Seguridad de contenido están configuradas para aplicar servicios al tráfico transitorio.

El tráfico propio o tráfico de host, es el tráfico de entrada de host; es decir, el tráfico que termina en el dispositivo o el tráfico de salida del host que es el tráfico que se origina en el dispositivo. Ahora puede configurar políticas para aplicar servicios en el tráfico propio. Servicios como el servicio de pila SSL que debe terminar la conexión SSL desde un dispositivo remoto y realizar algún procesamiento en ese tráfico, los servicios IDP en el tráfico de entrada de host o el cifrado IPsec en el tráfico de salida de host deben aplicarse a través de las políticas de seguridad configuradas en el tráfico propio.

Cuando se configura una política de seguridad para el tráfico propio, el tráfico que fluye a través del dispositivo se comprueba primero con la directiva y, a continuación, con la host-inbound-traffic opción configurada para las interfaces enlazadas a la zona.

Puede configurar la directiva de seguridad para el tráfico autónomo para aplicar servicios al tráfico propio. Las directivas de salida de host solo funcionarán en los casos en que el paquete que se originó en el dispositivo host pase por el flujo y la interfaz entrante de este paquete se establezca en local.

Las ventajas de utilizar el autotráfico son:

  • Puede aprovechar la mayor parte de la infraestructura de flujo o política existente que se usa para el tráfico de tránsito.

  • No necesita una dirección IP separada para habilitar ningún servicio.

  • Puede aplicar servicios o políticas a cualquier tráfico entrante de host con la dirección IP de destino de cualquier interfaz del dispositivo.

Nota:

En los firewalls de la serie SRX, las reglas de política de seguridad predeterminadas no afectan al tráfico propio.

Nota:

Puede configurar la política de seguridad para el tráfico automático solo con los servicios pertinentes. Por ejemplo, no es relevante configurar el servicio fwauth en el tráfico saliente de host, y los servicios gprs-gtp no son relevantes para las políticas de seguridad para el tráfico propio.

Las políticas de seguridad para el tráfico propio se configuran en la nueva zona de seguridad predeterminada denominada junos-host zona. La zona junos-host formará parte de la configuración de valores predeterminados de junos, por lo que los usuarios no podrán eliminarla. Las configuraciones de zona existentes, como interfaces, screen, tcp-rst y opciones de tráfico entrante de host, no son significativas para la zona junos-host. Por lo tanto, no hay una configuración dedicada para la zona junos-host.

Nota:

Puede utilizar el tráfico entrante de host para controlar las conexiones entrantes a un dispositivo; sin embargo, no restringe el tráfico que sale del dispositivo. Considerando que, junos-host-zone le permite seleccionar la aplicación de su elección y también restringir el tráfico saliente. Por ejemplo, ahora se pueden habilitar servicios como NAT, IDP, seguridad de contenido, etc. para el tráfico que entra o sale del firewall de la serie SRX mediante junos-host-zone.

Descripción general de la configuración de directivas de seguridad

Debe completar las siguientes tareas para crear una directiva de seguridad:

  1. Crear zonas. Consulte Ejemplo: Creación de zonas de seguridad.

  2. Configure una libreta de direcciones con direcciones para la directiva. Consulte Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.

  3. Cree una aplicación (o un conjunto de aplicaciones) que indique que la directiva se aplica al tráfico de ese tipo. Consulte Ejemplo: Configuración de aplicaciones de políticas de seguridad y conjuntos de aplicaciones.

  4. Cree la directiva. Consulte Ejemplo: Configuración de una política de seguridad para permitir o denegar todo el tráfico, Ejemplo: Configuración de una política de seguridad para permitir o denegar el tráfico seleccionado y Ejemplo: Configuración de una política de seguridad para permitir o denegar tráfico de direcciones comodín.

  5. Cree programadores si planea usarlos para sus políticas. Consulte Ejemplo: Configuración de programadores para una programación diaria excluyendo un día.

El Asistente para directivas de firewall le permite realizar una configuración básica de directivas de seguridad. Para una configuración más avanzada, utilice la interfaz J-Web o la CLI.

Prácticas recomendadas para definir políticas en dispositivos de la serie SRX

Una red segura es vital para una empresa. Para proteger una red, un administrador de red debe crear una política de seguridad que describa todos los recursos de red dentro de esa empresa y el nivel de seguridad requerido para esos recursos. La política de seguridad aplica las reglas de seguridad al tráfico de tránsito dentro de un contexto (de zona a zona) y cada política se identifica de forma única por su nombre. El tráfico se clasifica haciendo coincidir las zonas de origen y destino, las direcciones de origen y destino, y la aplicación que lleva el tráfico en sus encabezados de protocolo con la base de datos de políticas en el plano de datos.

En la Tabla 1 se presentan las limitaciones de política para SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX650, SRX550M, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 y SRX5800. La compatibilidad de plataforma depende de la versión de Junos OS en su instalación.

Nota:

A partir de Junos OS versión 12.3X48-D15 y Junos OS versión 17.3R1, el número máximo de objetos de dirección por política para dispositivos SRX5400, SRX5600 y SRX5800 aumenta de 1024 a 4096, y el número máximo de directivas por contexto aumenta de 10240 a 80.000.

A partir de Junos OS versión 17.3R1, el número de políticas de seguridad y el número máximo de directivas por contexto para dispositivos SRX5400, SRX5600 y SRX5800 aumenta de 80 000 a 100 000.

A partir de Junos OS versión 15.1X49-D120, el número de objetos de dirección por política para SRX5400, SRX5600 y SRX5800 aumenta de 4096 a 16.000.

Tabla 1: Limitaciones de políticas para dispositivos de la serie SRX

Dispositivos de la serie SRX

Objetos de dirección

Objetos de aplicación

Políticas de seguridad

Contextos de políticas (pares de zonas)

Políticas por contexto

Políticas con conteo habilitado

SRX300SRX320

2048

128

1024

256

1024

256

SRX340

2048

128

2048

512

2048

256

SRX345

2048

128

4096

1024

4096

256

SRX380

2048

128

4096

1024

4096

256

SRX550M

2048

128

10240

2048

10240

1024

SRX1500

4096

3072

16000

4096

16000

1024

SRX4100

4096

3072

60000

4096

60000

1024

SRX4200

4096

3072

60000

4096

60000

1024

SRX4600

4096

3072

80000

8192

80000

1024

SRX5400 SRX5600 SRX5800

16384

3072

100000

8192

100000

1024

Por lo tanto, a medida que aumenta el número de direcciones y aplicaciones en cada regla, aumenta la cantidad de memoria utilizada por la definición de directiva y, a veces, el sistema se queda sin memoria con menos de 80.000 directivas.

Para obtener la utilización real de memoria de una política en el motor de reenvío de paquetes (PFE) y el motor de enrutamiento (RE), debe tener en cuenta varios componentes del árbol de memoria. El árbol de memoria incluye los dos componentes siguientes:

  • Contexto de políticas: se utiliza para organizar todas las políticas en este contexto. El contexto de políticas incluye variables como las zonas de origen y destino.

  • Entidad de política: se utiliza para almacenar los datos de la política. La entidad de política calcula la memoria utilizando parámetros como el nombre de la directiva, las direcciones IP, el recuento de direcciones, las aplicaciones, la autenticación de firewall, WebAuth, IPsec, el recuento, los servicios de aplicación y Junos Services Framework (JSF).

Además, las estructuras de datos utilizadas para almacenar directivas, conjuntos de reglas y otros componentes utilizan memoria diferente en el motor de reenvío de paquetes y en el motor de enrutamiento. Por ejemplo, los nombres de dirección de cada dirección de la directiva se almacenan en el motor de enrutamiento, pero no se asigna memoria en el nivel del motor de reenvío de paquetes. Del mismo modo, los intervalos de puertos se expanden a pares de prefijos y máscaras, y se almacenan en el motor de reenvío de paquetes, pero no se asigna dicha memoria en el motor de enrutamiento.

En consecuencia, dependiendo de la configuración de la directiva, los contribuyentes de políticas al motor de enrutamiento son diferentes de los del motor de reenvío de paquetes y la memoria se asigna dinámicamente.

La memoria también es consumida por el estado de "eliminación diferida". En el estado de eliminación diferida, cuando un firewall de la serie SRX aplica un cambio de política, hay un uso máximo transitorio en el que están presentes tanto las políticas antiguas como las nuevas. Por lo tanto, durante un breve período, existen políticas antiguas y nuevas en el motor de reenvío de paquetes, que ocupan el doble de los requisitos de memoria.

Por lo tanto, no hay una manera definitiva de inferir claramente cuánta memoria utiliza cualquiera de los componentes (motor de reenvío de paquetes o motor de enrutamiento) en un momento dado, ya que los requisitos de memoria dependen de configuraciones específicas de políticas y la memoria se asigna dinámicamente.

Los siguientes procedimientos recomendados para la implementación de directivas permiten utilizar mejor la memoria del sistema y optimizar la configuración de directivas:

  • Utilice prefijos únicos para las direcciones de origen y destino. Por ejemplo, en lugar de usar direcciones /32 y agregar cada dirección por separado, use una subred grande que cubra la mayoría de las direcciones IP que necesita.

  • Utilice la aplicación "cualquiera" siempre que sea posible. Cada vez que defina una aplicación individual en la directiva, puede utilizar 52 bytes adicionales.

  • Use menos direcciones IPv6 porque las direcciones IPv6 consumen más memoria.

  • Utilice menos pares de zonas en las configuraciones de directivas. Cada zona de origen o destino utiliza unos 16.048 bytes de memoria.

  • Los siguientes parámetros pueden cambiar la forma en que los bytes consumen la memoria según lo especificado:

    • Autenticación de firewall: aproximadamente 16 bytes o más (sin corregir)

    • Autenticación web: unos 16 bytes o más (sin corregir)

    • IPsec: 12 bytes

    • Servicios de aplicación: 28 bytes

    • Número–64 bytes

  • Compruebe el uso de la memoria antes y después de compilar las políticas.

    Nota:

    El requisito de memoria para cada dispositivo es diferente. Algunos dispositivos admiten 512.000 sesiones de forma predeterminada, y la memoria de arranque suele ser del 72 al 73 por ciento. Otros dispositivos pueden tener hasta 1 millón de sesiones y la memoria de arranque puede ser de hasta 83 a 84 por ciento. En el peor de los casos, para soportar alrededor de 80.000 políticas en la SPU, la SPU debe arrancar con un consumo de memoria de kernel fluido de hasta el 82 por ciento y con al menos 170 megabytes de memoria disponibles.

Configuración de directivas mediante el Asistente para firewall

El Asistente para directivas de firewall le permite realizar configuraciones básicas de políticas de seguridad en dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550M. Para una configuración más avanzada, utilice la interfaz J-Web o la CLI.

Para configurar directivas mediante el Asistente para directivas de firewall:

  1. Seleccione Configure>Tasks>Configure FW Policy esta opción en la interfaz de J-Web.
  2. Haga clic en el botón Iniciar el Asistente para directivas de firewall para iniciar el asistente.
  3. Siga las indicaciones del asistente.

El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de configuración. El área inferior izquierda de la página muestra ayuda sensible al campo. Al hacer clic en un vínculo bajo el encabezado Recursos, el documento se abre en el explorador. Si el documento se abre en una pestaña nueva, asegúrese de cerrar solo la pestaña (no la ventana del explorador) cuando cierre el documento.

Ejemplo: configurar una política de seguridad para permitir o denegar todo el tráfico

En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir o denegar todo el tráfico.

Requisitos

Antes de empezar:

Visión general

En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben llevarse a cabo en el tráfico a medida que pasa por el dispositivo. Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. En este ejemplo, se configuran las interfaces de confianza y no confianza, ge-0/0/2 y ge-0/0/1. Consulte la figura 1.

Figura 1: Permitir todo el tráfico Permitting All Traffic

En este ejemplo de configuración, se muestra cómo:

  • Permitir o denegar todo el tráfico de la zona de confianza a la zona de no confianza, pero bloquear todo, desde la zona de no confianza a la zona de confianza.

  • Permitir o denegar el tráfico seleccionado desde un host de la zona de confianza a un servidor de la zona que no es de confianza en un momento determinado.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una política de seguridad para permitir o denegar todo el tráfico:

  1. Configure las interfaces y las zonas de seguridad.

  2. Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.

  3. Cree la política de seguridad para denegar el tráfico de la zona de no confianza a la zona de confianza.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Nota:

El ejemplo de configuración es un permiso predeterminado para todos desde la zona de confianza a la zona que no es de confianza.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de la configuración de directivas

Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, escriba el show security policies detail comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Significado

El resultado muestra información sobre las directivas configuradas en el sistema. Verifique la siguiente información:

  • Desde y hacia zonas

  • Direcciones de origen y destino

  • Criterios de coincidencia

Ejemplo: configurar una política de seguridad para permitir o denegar el tráfico seleccionado

En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir o denegar el tráfico seleccionado.

Requisitos

Antes de empezar:

Visión general

En Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben llevarse a cabo en el tráfico a medida que pasa a través del dispositivo. Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. En este ejemplo, se configura una directiva de seguridad específica para permitir sólo el tráfico de correo electrónico desde un host de la zona de confianza a un servidor de la zona que no es de confianza. No se permite ningún otro tráfico. Consulte la figura 2.

Figura 2: Permitir el tráfico Permitting Selected Traffic seleccionado

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una política de seguridad que permita el tráfico seleccionado:

  1. Configure las interfaces y las zonas de seguridad.

  2. Cree entradas de libreta de direcciones tanto para el cliente como para el servidor. Además, adjunte zonas de seguridad a las libretas de direcciones.

  3. Defina la política para permitir el tráfico de correo.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de la configuración de directivas

Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, escriba el show security policies detail comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Significado

El resultado muestra información sobre las directivas configuradas en el sistema. Verifique la siguiente información:

  • Desde y hacia zonas

  • Direcciones de origen y destino

  • Criterios de coincidencia

Ejemplo: configuración de una política de seguridad para permitir o denegar tráfico de direcciones comodín

En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir o denegar el tráfico de direcciones comodín.

Requisitos

Antes de empezar:

Visión general

En el sistema operativo Junos (Junos OS), las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra. En este ejemplo, se configura una seguridad específica para permitir solo el tráfico de direcciones comodín desde un host de la zona de confianza a la zona que no es de confianza. No se permite ningún otro tráfico.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una política de seguridad que permita el tráfico seleccionado:

  1. Configure las interfaces y las zonas de seguridad.

  2. Cree una entrada de libreta de direcciones para el host y adjunte la libreta de direcciones a una zona.

  3. Defina la política para permitir el tráfico de direcciones comodín.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de la configuración de directivas

Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, escriba el show security policies policy-name permit-wildcard detail comando para mostrar detalles sobre la política de seguridad de comodín de permisos configurada en el dispositivo.

Significado

El resultado muestra información sobre la directiva de comodín de permisos configurada en el sistema. Verifique la siguiente información:

  • Zonas Desde y Hasta:

  • Direcciones de origen y destino

  • Criterios de coincidencia

Ejemplo: configuración de una política de seguridad para redirigir los registros de tráfico a un servidor de registro del sistema externo

En este ejemplo se muestra cómo configurar una directiva de seguridad para enviar los registros de tráfico generados en el dispositivo a un servidor de registro del sistema externo.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un cliente conectado a un dispositivo SRX5600 en la interfaz ge-4/0/5

  • Un servidor conectado al dispositivo SRX5600 en la interfaz ge-4/0/1

    Los registros generados en el dispositivo SRX5600 se almacenan en un servidor de registro del sistema basado en Linux.

  • Un dispositivo SRX5600 conectado al servidor basado en Linux en la interfaz ge-4/0/4

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Visión general

En este ejemplo, se configura una directiva de seguridad en el dispositivo SRX5600 para enviar registros de tráfico, generados por el dispositivo durante la transmisión de datos, a un servidor basado en Linux. Los registros de tráfico registran los detalles de cada sesión. Los registros se generan durante el establecimiento y la finalización de la sesión entre el dispositivo de origen y el dispositivo de destino que están conectados al dispositivo SRX5600.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una política de seguridad para enviar registros de tráfico a un servidor de registro del sistema externo:

  1. Configure los registros de seguridad para transferir los registros de tráfico generados en el dispositivo SRX5600 a un servidor de registro del sistema externo con la dirección IP 203.0.113.2. La dirección IP 127.0.0.1 es la dirección de circuito cerrado del dispositivo SRX5600.

  2. Configure una zona de seguridad y especifique los tipos de tráfico y protocolos permitidos en la interfaz ge-4/0/5.0 del dispositivo SRX5600.

  3. Configure otra zona de seguridad y especifique los tipos de tráfico permitidos en las interfaces ge-4/0/4.0 y ge-4/0/1.0 del dispositivo SRX5600.

  4. Cree una política y especifique los criterios de coincidencia para esa directiva. El criterio de coincidencia especifica que el dispositivo puede permitir tráfico desde cualquier origen, a cualquier destino y en cualquier aplicación.

  5. Habilite la directiva para registrar los detalles del tráfico al principio y al final de la sesión.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security log comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar zonas

Propósito

Compruebe que la zona de seguridad está habilitada o no.

Acción

Desde el modo operativo, ingrese el show security zones comando.

Verificación de políticas

Propósito

Compruebe que la directiva funciona.

Acción

Desde el modo operativo, ingrese el show security policies comando en todos los dispositivos.

Modo TAP para zonas y políticas de seguridad

El modo de punto de acceso de terminal (TAP) para zonas y políticas de seguridad le permite supervisar pasivamente los flujos de tráfico a través de una red mediante un conmutador SPAN o un puerto espejo.

Descripción de la compatibilidad del modo TAP con zonas y políticas de seguridad

El modo de punto de acceso de terminal (TAP) es un dispositivo en espera, que comprueba el tráfico reflejado a través del conmutador. Si se configuran zonas y políticas de seguridad, el modo TAP inspecciona el tráfico entrante y saliente configurando la interfaz TAP y generando un informe de registro de seguridad para mostrar el número de amenazas detectadas y el uso del usuario. Si algún paquete se pierde en la interfaz tap, las zonas de seguridad y las políticas terminan la conexión; como resultado, no se genera ningún informe para esta conexión. La configuración de la zona de seguridad y de la política sigue siendo la misma que en el modo que no es TAP.

Cuando configura un firewall de la serie SRX para que funcione en modo TAP, el dispositivo genera información de registro de seguridad para mostrar la información sobre las amenazas detectadas, el uso de la aplicación y los detalles del usuario. Cuando el dispositivo está configurado para funcionar en modo TAP, el firewall de la serie SRX solo recibe paquetes de la interfaz TAP configurada. Excepto la interfaz TAP configurada, otras interfaces se configuran para la interfaz normal que se utiliza como interfaz de administración o conectada al servidor externo. El firewall de la serie SRX generará un informe o registro de seguridad de acuerdo con el tráfico entrante.

La zona de seguridad y la política de seguridad predeterminada se configurarán después de configurar la interfaz TAP. Puede configurar otras zonas o políticas si es necesario. Si se utiliza una interfaz para conectar un servidor, también es necesario configurar la dirección IP, la interfaz de enrutamiento y la configuración de seguridad.

Nota:

Solo puede configurar una interfaz TAP cuando utilice el dispositivo en modo TAP.

Ejemplo: configuración de zonas y políticas de seguridad en modo TAP

En este ejemplo se muestra cómo configurar zonas y políticas de seguridad cuando el firewall de la serie SRX está configurado en modo TAP (Terminal Access Point).

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un firewall de la serie SRX

  • Junos OS versión 19.1R1

Antes de empezar:

Visión general

En este ejemplo, se configura el firewall de la serie SRX para que funcione en modo TAP. Cuando configura el firewall de la serie SRX para que funcione en modo TAP, el dispositivo genera información de registro de seguridad para mostrar la información sobre las amenazas detectadas, el uso de la aplicación y los detalles del usuario.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento
Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar zonas en modo TAP:

  1. Configure la interfaz tap-zone de la zona de seguridad.

  2. Configure el seguimiento de aplicaciones de zona tap-zone de seguridad.

  3. Configure una política de seguridad que permita el tráfico de zone tap-zone a zone tap-zone policy pulse y configure la condición de coincidencia.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security zones comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación de la configuración de políticas en modo TAP
Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, ingrese el show security policies detail comando.

Significado

Muestra un resumen de todas las políticas de seguridad configuradas en el dispositivo en modo TAP.

Grupos de direcciones dinámicos en directivas de seguridad

Agregar manualmente entradas de direcciones a una política puede llevar mucho tiempo. Hay fuentes externas que proporcionan listas de direcciones IP que tienen un propósito específico (como una lista de bloqueo) o que tienen un atributo común (como una ubicación o comportamiento particular que podría representar una amenaza). Puede usar el origen externo para identificar orígenes de amenazas por su dirección IP y, a continuación, agrupar esas direcciones en una entrada de dirección dinámica y hacer referencia a esa entrada en una política de seguridad. De este modo, puede controlar el tráfico hacia y desde esas direcciones. Cada uno de estos grupos de direcciones IP se denomina entrada de dirección dinámica.

Se admiten los siguientes tipos de direcciones IP:

  • IP única. Por ejemplo: 192.0.2.0

  • Rango IP. Por ejemplo: 192.0.2.0- 192.0.2.10

  • CIDR. Por ejemplo: 192.0.2.0/24

Cada entrada ocupa una línea. A partir de Junos OS versión 19.3R1, no es necesario ordenar los intervalos de direcciones IP en orden ascendente y el valor de las entradas IP puede superponerse en el mismo archivo de fuente. En las versiones de Junos OS anteriores a la 19.3R1, los intervalos de direcciones IP deben ordenarse en orden ascendente y el valor de las entradas IP no puede superponerse en el mismo archivo de fuente.

Nota:

Una entrada de dirección dinámica es un grupo de direcciones IP, no un único prefijo IP. Una entrada de dirección dinámica es diferente de los conceptos de direcciones de seguridad de las libretas de direcciones y las direcciones de entrada de direcciones.

Los siguientes son los beneficios de implementar entradas de direcciones dinámicas en las políticas de seguridad:

  • El administrador de red tiene más control sobre el tráfico hacia y desde grupos de direcciones IP.

  • El servidor externo proporciona fuentes de direcciones IP actualizadas al firewall de la serie SRX.

  • Los esfuerzos del administrador se reducen drásticamente. Por ejemplo, en una configuración de directiva de seguridad heredada, agregar 1000 entradas de dirección para que una política haga referencia requeriría unas 2000 líneas de configuración. Al definir una entrada de dirección dinámica y hacer referencia a ella en una política de seguridad, hasta millones de entradas podrían fluir hacia el firewall de la serie SRX sin mucho esfuerzo adicional de configuración.

  • No se requiere ningún proceso de confirmación para agregar nuevas direcciones. Agregar miles de direcciones a una configuración a través de un método heredado tarda mucho tiempo en confirmarse. Alternativamente, las direcciones IP en una entrada de dirección dinámica provienen de una fuente externa, por lo que no se requiere ningún proceso de confirmación cuando cambian las direcciones de una entrada.

La figura 3 ilustra una descripción general funcional de cómo funciona la entrada de direcciones dinámicas en una política de seguridad.

Figura 3: Componentes funcionales de la entrada de direcciones dinámicas en una política Functional Components of the Dynamic Address Entry in a Security Policy de seguridad

Una política de seguridad hace referencia a la entrada de dirección dinámica en un campo de dirección de origen o dirección de destino (de la misma manera que una política de seguridad hace referencia a una entrada de dirección heredada).

La figura 4 ilustra una directiva que usa una entrada de dirección dinámica en el campo Dirección de destino.

Figura 4: Entrada de dirección dinámica en una política A Dynamic Address Entry in a Security Policy de seguridad

En la figura 4, la directiva 1 usa la dirección de destino 10.10.1.1, que es una entrada de dirección de seguridad heredada. La directiva 2 usa la lista de bloqueo de proveedores de direcciones de destino, que es una entrada de dirección dinámica denominada por el administrador de red. Su contenido es la lista de direcciones IP recuperadas de un archivo de fuente externo. Los paquetes que cumplen los cinco criterios (la zona De-denominada no confiable, la zona Para-llamada ingeniero, cualquier dirección de origen, una dirección IP de destino que pertenezca a la entrada de dirección dinámica Lista de bloqueo de proveedores y la aplicación de correo) se manejan de acuerdo con las acciones de directiva, que son denegar y registrar el paquete.

Nota:

Los nombres de entrada de direcciones dinámicas comparten el mismo espacio de nombres que las entradas de direcciones de seguridad heredadas, por lo que no utilice el mismo nombre para más de una entrada. El proceso de confirmación de Junos OS comprueba que los nombres no estén duplicados para evitar conflictos.

Los grupos de direcciones dinámicas admiten las siguientes fuentes de datos:

  • Listas personalizadas (listas de permitidos y listas de bloqueo)

  • Geoip

Servidores de feeds

  • Los servidores de fuentes contienen entradas de direcciones dinámicas en un archivo de fuente. Puede crear feeds personalizados que pueden ser locales o remotos. Para la creación de fuentes personalizadas, consulte Creación de fuentes personalizadas

  • Configure el firewall de la serie SRX para usar las fuentes. Consulte, feed-server para configurar el firewall de la serie SRX.

Feeds de paquetes

Las direcciones IP, los prefijos IP o los rangos IP contenidos en una entrada de dirección dinámica se pueden actualizar periódicamente descargando una fuente externa. Los firewalls de la serie SRX inician periódicamente una conexión con el servidor de fuentes para descargar y actualizar las listas de IP que contienen las direcciones dinámicas actualizadas.

A partir de Junos OS versión 19.3R1, puede descargar un único archivo tgz del servidor y extraerlo en varios archivos de fuentes secundarias. Cada archivo individual corresponde a un feed. Permita que las direcciones dinámicas individuales hagan referencia a la fuente dentro del archivo de paquete. El archivo de paquete reduce la sobrecarga de la CPU cuando se configuran demasiadas fuentes, donde se comprimen varias fuentes secundarias en un archivo .tgz

Se admiten los siguientes modos de alimentación de paquetes:

Modo de archivo

En el modo de archivo, debe comprimir todos los archivos de alimentación para el firewall de la serie SRX en un archivo tgz. El firewall de la serie SRX descarga este archivo y extrae todas las fuentes después de la extracción. Este proceso se explica a continuación:

  • Cuando la dirección URL del servidor de fuentes es una dirección URL de un archivo con el sufijo .tgz en lugar de la dirección URL original de la carpeta, esto significa que este servidor utiliza un único archivo para transportar todas sus fuentes para la implementación de direcciones dinámicas de la serie SRX. En este caso, las fuentes de este servidor heredan el intervalo de actualización o el intervalo de espera del servidor. Se omite cualquier configuración de usuario del intervalo de actualización o intervalo de espera para esta fuente.

  • Después de este cambio, siga los pasos a continuación para mantener las fuentes del servidor como se muestra a continuación.

    En el siguiente ejemplo se muestran los pasos necesarios para mantener las fuentes del servidor:

    1. Coloque todos los archivos de fuente para el firewall de la serie SRX en la carpeta feeds-4-srx

    2. Generar todos los archivos de alimentación fd1 fd2 fd3 .. fdN en la carpeta feeds-4-srx

    3. Agregar o quitar los rangos de IP de las fuentes

    4. Acceda a los archivos ejecutando el siguiente comando: cd feeds-4-srx;tar -zcvf ../feeds-4-srx.tgz *;cd-

  • Después del paso 4, el archivo feeds-4-srx.tgz está listo para su descarga en el firewall de la serie SRX que contiene la misma carpeta que contiene el archivo feeds-4-srx.tgz . Después de la descarga, los archivos extraídos se colocan en la misma carpeta que feeds-4-srx.tgz. En el siguiente ejemplo se muestra una configuración samle en un firewall de la serie SRX:

El parámetro path requiere la ruta relativa de la fuente dentro del archivo del paquete.

  • Si el archivo tar -zxf feeds-4-srx.tgz genera una carpeta feeds-4-srx y esta carpeta contiene el archivo de fuente fd1, utilice el siguiente comando para configurar la fuente:

  • Si el archivo tar -zxf feeds-4-srx.tgz extrae el archivo fd1 directamente, utilice el siguiente comando para configurar la fuente:

Modo de archivo plano

El modo de archivo plano ofrece la máxima simplicidad para el usuario al introducir un cambio de sintaxis en el formato de archivo de fuente existente. El contenido de todos los archivos de fuente se compila en un solo archivo, con .bundle como sufijo. Esto le permite administrar un solo archivo. El firewall de la serie SRX clasifica los rangos de IP de este archivo de paquete en numerosos archivos de fuente. Puede comprimir este archivo como .bundle.gz si puede guardar algo de ancho de banda para la transmisión. Además del formato de archivo definido anteriormente, se introduce una etiqueta mayúscula FEED: seguida del nombre del feed. Las líneas debajo de esta etiqueta se consideran rangos de IP que pertenecen al feed. A continuación se muestra un ejemplo del aspecto del formato de archivo:

La configuración de un firewall de la serie SRX es similar al modo de archivo y se describe a continuación:

La diferencia entre el modo plano y el modo de archivo es el sufijo del archivo y el diseño dentro del archivo. Puede seleccionar el modo que más le convenga.

Como los archivos de fuente están en formato de texto sin formato, gzip puede reducir el tamaño del archivo. Si un servidor y un firewall de la serie SRX tienen un vínculo WAN intermedio, utilice un archivo de menor tamaño para transmitir en la red; en este caso, comprima el archivo de paquete y configure los siguientes comandos:

Compatibilidad del servidor de fuentes con firewalls de la serie SRX

Tabla 2:

Plataforma

Número máximo de servidores de feeds

Número máximo de feeds

Número máximo de entradas de direcciones dinámicas

SRX300SRX320SRX340SRX345SRX550SRX550MSRX650

10

500

500

SRX4100 SRX4200SRX4600SRX5400SRX5600SRX5800Firewallvirtual vSRX Firewall virtual vSRX 3.0

100

5000

5000

SRX1500

40

2000

2000

Configurar políticas de seguridad para VXLAN

RESUMEN Utilice este ejemplo para configurar políticas de seguridad para la inspección de túnel de Virtual Extensible LAN (VXLAN) de EVPN (Ethernet VPN).

Requisitos

La compatibilidad con VXLAN en firewalls de la serie SRX brinda la flexibilidad para ofrecer un firewall de nivel empresarial para conectar puntos finales en sus entornos de campus, centro de datos, sucursales y nube pública, a la vez que proporciona seguridad integrada.

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • SRX4600 dispositivo

  • Junos OS versión 20.4R1

Antes de empezar:

  • Asegúrese de entender cómo funcionan EVPN y VXLAN.

Visión general

La solución EVPN proporciona a las grandes empresas un marco común que se utiliza para administrar sus redes de campus y centros de datos. Una arquitectura EVPN-VxLAN admite una conectividad de red eficiente de capas 2 y 3 con escalabilidad, simplicidad y agilidad. La figura 5 muestra una topología simplificada de flujo de tráfico VXLAN.

Topología

Figura 5: Topología simplificada del flujo de tráfico de VXLAN

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar VXLAN:

  1. Definir zonas de seguridad.

  2. Definir el perfil de inspección del túnel.

  3. Definir políticas de sesión externa.

  4. Definir el conjunto de políticas.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar la función en su dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar los perfiles de inspección del túnel y VNI

Propósito

Verifique que el perfil de inspección del túnel y VNI estén combinados.

Acción

Desde el modo operativo, escriba los show security tunnel-inspection profiles ins-pf1 comandos y show security tunnel-inspection vnis .

Significado

El resultado muestra que la función VXLAN está habilitada y que no hay redireccionamientos de búsqueda seguros ni reescrituras de búsqueda segura.

Verificar la función de búsqueda segura

Propósito

Compruebe que la característica de búsqueda segura está habilitada para las soluciones de filtrado web de Content Security.

Acción

Desde el modo operativo, escriba el Show security flow tunnel-inspection statistic comando para ver las estadísticas de inspección del túnel.

Significado

El resultado muestra que la función VXLAN está habilitada y que no hay redireccionamientos de búsqueda seguros ni reescrituras de búsqueda segura.

Habilitar políticas de seguridad para la inspección del túnel de flujo de paquetes de Geneve

RESUMEN Utilice esta configuración para habilitar políticas de seguridad en vSRX Virtual Firewall 3.0 para la inspección de túnel de flujo de paquetes de Geneve.

Con la compatibilidad de Geneve en instancias de vSRX Virtual Firewall 3.0, puede utilizar vSRX3.0 para:

  • Conecte puntos finales en un campus, centro de datos y entornos de nube pública y sus bancos.

  • Proteja estos entornos con seguridad integrada.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Firewall virtual vSRX 3.0

  • Junos OS versión 23.1R1

Antes de empezar:

  • Asegúrese de entender cómo funciona el protocolo de Geneve.

Visión general

La compatibilidad con el flujo de Geneve en instancias de vSRX Virtual Firewall 3.0 proporciona a las grandes empresas un marco común para administrar sus redes de campus y centros de datos. La arquitectura basada en Geneve admite una conectividad de red eficiente de capa 3 (L3) y capa 4 (L4) al garantizar escalabilidad, simplicidad y agilidad.

Con esta configuración puede:

  • Habilite las políticas de seguridad para procesar los paquetes L3 encapsulados en el túnel de Geneve.

  • Crear perfiles distintos para el tráfico de Ginebra basados en VNI y atributos TLV del proveedor: la política, una vez adjunta a un perfil de inspección, dicta el tipo de tráfico de Ginebra que se procesará y las políticas que se aplicarán al tráfico interno.

  • Configure la política de seguridad habitual en vSRX Virtual Firewall 3.0 para aplicar servicios L4 y L7 en el tráfico interno.

Configuración (vSRX Virtual Firewall 3.0 como punto de conexión de túnel)

Topología simplificada del flujo de tráfico de Ginebra con AWS GWLB y vSRX Virtual Firewall 3.0 como punto de conexión del túnel

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Nota:

Defina una zona de confianza y no confianza para permitir todo el tráfico del host.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar la compatibilidad de flujo de Geneve para la inspección de túnel en vSRX Virtual Firewall 3.0:

  1. Defina una zona de confianza y no confianza para permitir todo el tráfico de host bajo la [edit security zones] jerarquía.

  2. Defina el tunnel-inspection perfil.

  3. Definir políticas de sesión externa para los paquetes externos y adjuntar el perfil de inspección de túnel al que se hace referencia

    Nota:

    En la configuración de la política, la directiva externa en el to-zone caso de vSRX Virtual Firewall 3.0 como extremo de túnel debe ser junos-host, que es una zona incorporada (identificador reservado) para procesar el tráfico.

  4. Defina una política interna en policy-set para procesar el paquete desencapsulado.

  5. Configure la interfaz asociada con from-zone del cliente de extremo de túnel virtual (VTEPC) para recibir los paquetes encapsulados en Geneve y los paquetes de comprobación de estado.

Resultados

Desde el modo de configuración, confirme su configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Después de completar la configuración de la función en el dispositivo, ingrese commit desde el modo de configuración.

Verificar el perfil de inspección del túnel y el VNI

Propósito

Compruebe que ha configurado el tunnel-inspection perfil y el identificador de red VXLAN (VNI).

Acción

Desde el modo operativo, escriba los show security tunnel-inspection profiles ti-vendor comandos y show security tunnel-inspection vnis .

Significado

El resultado muestra que el perfil de inspección del túnel de Ginebra está habilitado y que el identificador de red VXLAN (VNI) está configurado.

Verificar el perfil de inspección del túnel y el VNI

Propósito

Compruebe que ha configurado el tunnel-inspection perfil y el identificador de red VXLAN (VNI).

Acción

Desde el modo operativo, escriba los show security tunnel-inspection profiles ti-vendor comandos y show security tunnel-inspection vnis .

Significado

El resultado muestra que el perfil de inspección del túnel de Ginebra está habilitado y que el identificador de red VXLAN (VNI) está configurado.

Configuración (vSRX Virtual Firewall 3.0 como enrutador de tránsito)

Topología simplificada de flujo de tráfico de Ginebra Firewall virtual vSRX 3.0 como enrutador de tránsito

En este modo de implementación, el cliente de extremo de túnel virtual (vtepc) (extremo de túnel de Geneve) debe garantizar que los paquetes destinados tanto al cliente como al servidor pasan por el servidor de punto de conexión de túnel virtual (vteps) (vSRX Virtual Firewall 3.0). El puerto de origen es seleccionado por el extremo del túnel virtual (vtep).

Figura 6: Topología simplificada de vSRX Virtual Firewall 3.0 como enrutador Simplified Topology of vSRX Virtual Firewall 3.0 as Transit Router de tránsito

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar la compatibilidad del flujo de Ginebra para la inspección de túnel en el Firewall virtual vSRX 3.0 (vSRX Virtual Firewall 3.0 como enrutador de tránsito):

  1. Defina una zona de confianza y no confianza para permitir todo el tráfico de host bajo la [edit security zones] jerarquía.

  2. Defina el tunnel-inspection perfil.

  3. Definir políticas de sesión externa.

    Nota:

    Para vSRX Virtual Firewall 3.0 como enrutador de tránsito, se necesitan dos políticas en cada dirección. El from-zone y to-zone son las zonas respectivas que deben definirse en las interfaces.

  4. Defina una política interna en policy-set para procesar el paquete desencapsulado.

  5. Configure la interfaz asociada con from-zone del cliente de extremo de túnel virtual (VTEPC) para recibir los paquetes encapsulados en Geneve y los paquetes de comprobación de estado.

    Nota:

    En caso del modo de tránsito, el firewall virtual vSRX 3.0 debe configurarse con dos interfaces L3 para la entrada y la salida.

Resultados

Desde el modo de configuración, confirme su configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Después de completar la configuración de la función en el dispositivo, ingrese commit desde el modo de configuración.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
17.3R1
A partir de Junos OS versión 17.3R1, el número de políticas de seguridad y el número máximo de directivas por contexto para dispositivos SRX5400, SRX5600 y SRX5800 aumenta de 80 000 a 100 000.
15,1 X 49-D120
A partir de Junos OS versión 15.1X49-D120, el número de objetos de dirección por política para SRX5400, SRX5600 y SRX5800 aumenta de 4096 a 16.000.
12,3 X 48-D15
A partir de Junos OS versión 12.3X48-D15 y Junos OS versión 17.3R1, el número máximo de objetos de dirección por política para dispositivos SRX5400, SRX5600 y SRX5800 aumenta de 1024 a 4096, y el número máximo de directivas por contexto aumenta de 10240 a 80.000.
10.4
La compatibilidad con direcciones IPv6 en configuraciones de clúster de chasis activo/activo (además de la compatibilidad existente con configuraciones de clúster de chasis activo/pasivo) se agrega en Junos OS versión 10.4.
10.2
La compatibilidad con direcciones IPv6 se agregó en Junos OS versión 10.2.