Difference between revisions of "Zones JUNOS"
m (Created page with "{{TOCright}} Zone konceptet stammer fra Screen OS dagene, og bruges til at inddele interfaces i forskellige zoner så trafik kan valideres imellem zonerne. Der findes som udgangs...") |
m |
||
| Line 4: | Line 4: | ||
=Zoner= | =Zoner= | ||
==Sikkerheds zoner== | ==Sikkerheds zoner== | ||
| − | Nogle zoner som trust, untrust og DMZ kunne førhen ikke slettes, men er i dag bare default navne som kan ændres som det passer en. | + | Nogle zoner som trust, untrust og DMZ kunne førhen ikke slettes, men er i dag bare default navne som kan ændres som det passer en.<ref>[https://www.juniper.net/techpubs/software/junos-es/junos-es92/junos-es-swconfig-security/understanding-security-zones.html#id-29204 Understanding Security Zones</ref> |
Sikkerheds zoner skal oprettes før de kan bruges i politikker, og de skal mindst indeholde et interface. | Sikkerheds zoner skal oprettes før de kan bruges i politikker, og de skal mindst indeholde et interface. | ||
Et interface kan kun være medlem af en sikkerhedszone(SRX S.143) | Et interface kan kun være medlem af en sikkerhedszone(SRX S.143) | ||
Revision as of 08:43, 13 January 2015
Zone konceptet stammer fra Screen OS dagene, og bruges til at inddele interfaces i forskellige zoner så trafik kan valideres imellem zonerne. Der findes som udgangspunkt 2 slags zoner: Funktionelle zoner og Sikkerheds zoner
Zoner
Sikkerheds zoner
Nogle zoner som trust, untrust og DMZ kunne førhen ikke slettes, men er i dag bare default navne som kan ændres som det passer en.[1] Sikkerheds zoner skal oprettes før de kan bruges i politikker, og de skal mindst indeholde et interface. Et interface kan kun være medlem af en sikkerhedszone(SRX S.143) Sikkerheds zoner er kun for trafik der går igennem udstyret, hvor funktionelle zoner som host-inbound-zone er for trafik til udstyret.[2]
Funktionelle Zoner
Bruges på interfaces til at tildele forskellige services til interfaces. Bruges mest til management adgang.[3] Skal ikke inddrages i undervisningen. Host-inbound-zone bruges som regl i stedet for at definere andre zoner. Sikkerheds zoner er kun for trafik der går igennem udstyret, hvor funktionelle zoner som host-inbound-zone er for trafik til udstyret.
Host-inbound-zone
Indeholder både protokoller og services. Nogle protokoller kan kun aktiveres på et interface og ikke på den funktionelle zone, som fx DHCP.
Konfiguration
root@SRX240> <input>show configuration security zones</input>
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
}
}Show commandoer
root@SRX240> <input>show security zones</input>
Security zone: trust
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 1
Interfaces:
vlan.0
Security zone: untrust
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: untrust-screen
Interfaces bound: 1
Interfaces:
ge-0/0/0.0
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces: