workbook:jno-332:332_zones
Table of Contents
JN0-332: Security Zones
Необходимые знания:
- Identify concepts, benefits and operation of zones
- Zone types
- Dependencies
- Host inbound packet behavior
- Transit packet behavior
- Demonstrate knowledge of how to configure, monitor and troubleshoot zones
- Zone configuration steps
- Hierarchy priority (Inheritance)
- Monitoring and troubleshooting
Зона безопасности это сущность в которую объединяются интерфейс и сети со схожими\одинаковыми настройками безопасности. Объединяем в зону несколько интерфейсов и разрешаем на ней одни и те же протоколы или пишем политики безопасности сразу для нескольких сетей. Так же зонами определяются направления действий политик безопасности.
Отношение зоны и интерфейсов и роутинг инстансов
Тезисно:
- В зоны безопасности можно определить только логический интерфейс, не физику.
- Один логический интерфейс может принадлежать только одной зоне безопасности.
- Один логический интерфейс может принадлежать только одному роутинг инстансу.
- В одну зону безопасности можно назначать несколько логических интерфейсов.
- Все логические интерфейсы, принадлежащие одной из зоны, должны принадлежать одному и тому же роутинг инстансу.
Вставить картинку с отношением
Zone types
- System defined - встроенная зона безопасности.
- Null zone - зона в которой находятся все интерфейсы до того как их определят в функциональную зону или к какой-либо зоне безопасности. SRX дропает весь трафик от\к интерфейсам находящимся в null зоне.
- User defined - зоны которые задает администратор, соответственно зоны можно настраивать.
[edit security zones] admin@nsk-01-srx2# set ? Possible completions: + apply-groups Groups from which to inherit configuration data + apply-groups-except Don't inherit configuration data from these groups > functional-zone Functional zone > security-zone Security zones
- Functionsl zone - в функциональную зону (она может быть только одна) определяется out-of-bound managment интерфейс. Через функциональную зону не может пройти транзитный трафик.
Функциональная зона всегда называется managenment.[edit security zones] admin@nsk-01-srx2# set functional-zone ? Possible completions: > management Host for out of band management interfaces [edit security zones] admin@nsk-01-srx2# set functional-zone management ? Possible completions: <[Enter]> Execute this command + apply-groups Groups from which to inherit configuration data + apply-groups-except Don't inherit configuration data from these groups description Text description of zone > host-inbound-traffic Allowed system services & protocols > interfaces Interfaces that are part of this zone screen Name of ids option object applied to the zone | Pipe through a command
- Secutity zone - в зоны безопасности определяем интерфейсы между которыми ходит транзитный трафик. Тут же определяем по каким сервисам и протоколам можно обратиться к самому srx через интерфейсы находящиеся в зоне.
Зоны можно называть как угодно.[edit security zones] admin@nsk-01-srx2# set security-zone ? Possible completions: <name> Name of the zone ATM Name of the zone INTERNAL Name of the zone MGMT Name of the zone PAYSYS Name of the zone TRUST Name of the zone UNTRUST Name of the zone VPN Name of the zone [edit security zones] admin@nsk-01-srx2# set security-zone ATM ? Possible completions: <[Enter]> Execute this command > address-book Address book entries application-tracking Enable Application tracking support for this zone + apply-groups Groups from which to inherit configuration data + apply-groups-except Don't inherit configuration data from these groups description Text description of zone > host-inbound-traffic Allowed system services & protocols > interfaces Interfaces that are part of this zone screen Name of ids option object applied to the zone tcp-rst Send RST for NON-SYN packet not matching TCP session | Pipe through a command
- junos-host - специальная зона которая позволяет политиками безопасности регулировать входящий и исходящий трафик самого srx. В эту зону не надо определять интерфейсы. Название поменять нельзя.
Контекст и политики определяются так же как и с обычными зонами безопасности, только вместо одной из зон ставится junos-host.[edit security policies] admin@nsk-01-srx2# set from-zone VPN to-zone ? Possible completions: <to-zone> Destination zone ATM INTERNAL MGMT PAYSYS TRUST UNTRUST VPN junos-host [edit security policies] admin@nsk-01-srx2# set from-zone VPN to-zone junos-host ? Possible completions: + apply-groups Groups from which to inherit configuration data + apply-groups-except Don't inherit configuration data from these groups > policy Define security policy in specified zone-to-zone direction [edit security policies] admin@nsk-01-srx2# set from-zone junos-host to-zone UNTRUST ? Possible completions: + apply-groups Groups from which to inherit configuration data + apply-groups-except Don't inherit configuration data from these groups > policy Define security policy in specified zone-to-zone direction
Посмотреть зоны и интерфейсы:
[edit]
admin@nsk-01-srx2# run show security zones
Security zone: ATM
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 3
Interfaces:
vlan.505
vlan.506
vlan.507
Security zone: INTERNAL
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 1
Interfaces:
fe-0/0/1.0
Security zone: MGMT
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
lo0.0
vlan.508
Security zone: PAYSYS
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
gr-0/0/0.0
vlan.504
Security zone: TRUST
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 5
Interfaces:
vlan.501
vlan.502
vlan.503
vlan.509
vlan.516
Security zone: UNTRUST
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Screen: untrust-screen
Interfaces bound: 2
Interfaces:
fe-0/0/0.0
fe-0/0/2.0
Security zone: VPN
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 5
Interfaces:
st0.1
st0.701
st0.85
st0.885
st0.901
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
workbook/jno-332/332_zones.txt · Last modified: 2021/08/12 08:35 by 127.0.0.1