Zones JUNOS

From Teknologisk videncenter
Jump to: navigation, search

Zone konceptet stammer fra Screen OS dagene, og bruges til at inddele interfaces i forskellige zoner så trafik kan valideres imellem zonerne. Der findes som udgangspunkt 2 slags zoner: Funktionelle zoner og Sikkerheds zoner

Zoner

Sikkerheds zoner

Nogle zoner som trust, untrust og DMZ kunne førhen ikke slettes, men er i dag bare default navne som kan ændres som det passer en.[1] Sikkerheds zoner skal oprettes før de kan bruges i politikker, og de skal mindst indeholde et interface. Et interface kan kun være medlem af en sikkerhedszone(SRX S.143) Sikkerheds zoner er kun for trafik der går igennem udstyret, hvor funktionelle zoner som host-inbound-zone er for trafik til udstyret.[2]

Funktionelle Zoner

Bruges på interfaces til at tildele forskellige services til interfaces. Bruges mest til management adgang.[3] Skal ikke inddrages i undervisningen. Host-inbound-zone bruges som regl i stedet for at definere andre zoner. Sikkerheds zoner er kun for trafik der går igennem udstyret, hvor funktionelle zoner som host-inbound-zone er for trafik til udstyret.

Host-inbound-zone

Indeholder både protokoller og services. Nogle protokoller kan kun aktiveres på et interface og ikke på den funktionelle zone, som fx DHCP.

Konfiguration

root@SRX240> <input>show configuration security zones</input>
security-zone trust {
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        vlan.0;
    }
}
security-zone untrust {
    screen untrust-screen;
    interfaces {
        ge-0/0/0.0 {
            host-inbound-traffic {
                system-services {
                    dhcp;
                    tftp;
                }
            }
        }
    }
}

Show commandoer

root@SRX240> <input>show security zones</input>

Security zone: trust
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 1
  Interfaces:
    vlan.0

Security zone: untrust
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Screen: untrust-screen
  Interfaces bound: 1
  Interfaces:
    ge-0/0/0.0

Security zone: junos-host
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 0
  Interfaces:

Links

Attack Detection and Prevention

Referencer

  1. [https://www.juniper.net/techpubs/software/junos-es/junos-es92/junos-es-swconfig-security/understanding-security-zones.html#id-29204 Understanding Security Zones
  2. Example: Creating Security Zones
  3. Understanding Functional Zones
Retrieved from "http://mars.merhot.dk/w/index.php?title=Zones_JUNOS&oldid=29075"