User Tools

Site Tools


workbook:jno-332:332_zones

JN0-332: Security Zones

Необходимые знания:

  • Identify concepts, benefits and operation of zones
    • Zone types
    • Dependencies
    • Host inbound packet behavior
    • Transit packet behavior
  • Demonstrate knowledge of how to configure, monitor and troubleshoot zones
    • Zone configuration steps
    • Hierarchy priority (Inheritance)
    • Monitoring and troubleshooting

Зона безопасности это сущность в которую объединяются интерфейс и сети со схожими\одинаковыми настройками безопасности. Объединяем в зону несколько интерфейсов и разрешаем на ней одни и те же протоколы или пишем политики безопасности сразу для нескольких сетей. Так же зонами определяются направления действий политик безопасности.

Отношение зоны и интерфейсов и роутинг инстансов

Тезисно:

  • В зоны безопасности можно определить только логический интерфейс, не физику.
  • Один логический интерфейс может принадлежать только одной зоне безопасности.
  • Один логический интерфейс может принадлежать только одному роутинг инстансу.
  • В одну зону безопасности можно назначать несколько логических интерфейсов.
  • Все логические интерфейсы, принадлежащие одной из зоны, должны принадлежать одному и тому же роутинг инстансу.

Вставить картинку с отношением


Zone types

  • System defined - встроенная зона безопасности.
    1. Null zone - зона в которой находятся все интерфейсы до того как их определят в функциональную зону или к какой-либо зоне безопасности. SRX дропает весь трафик от\к интерфейсам находящимся в null зоне.
  • User defined - зоны которые задает администратор, соответственно зоны можно настраивать.
    [edit security zones]
    admin@nsk-01-srx2# set ?
    Possible completions:
    + apply-groups         Groups from which to inherit configuration data
    + apply-groups-except  Don't inherit configuration data from these groups
    > functional-zone      Functional zone
    > security-zone        Security zones
    1. Functionsl zone - в функциональную зону (она может быть только одна) определяется out-of-bound managment интерфейс. Через функциональную зону не может пройти транзитный трафик.
      Функциональная зона всегда называется managenment.
      [edit security zones]
      admin@nsk-01-srx2# set functional-zone ?
      Possible completions:
      > management           Host for out of band management interfaces
      [edit security zones]
      admin@nsk-01-srx2# set functional-zone management ?
      Possible completions:
        <[Enter]>            Execute this command
      + apply-groups         Groups from which to inherit configuration data
      + apply-groups-except  Don't inherit configuration data from these groups
        description          Text description of zone
      > host-inbound-traffic  Allowed system services & protocols
      > interfaces           Interfaces that are part of this zone
        screen               Name of ids option object applied to the zone
        |                    Pipe through a command
    2. Secutity zone - в зоны безопасности определяем интерфейсы между которыми ходит транзитный трафик. Тут же определяем по каким сервисам и протоколам можно обратиться к самому srx через интерфейсы находящиеся в зоне.
      Зоны можно называть как угодно.
      [edit security zones]
      admin@nsk-01-srx2# set security-zone ?
      Possible completions:
        <name>               Name of the zone
        ATM                  Name of the zone
        INTERNAL             Name of the zone
        MGMT                 Name of the zone
        PAYSYS               Name of the zone
        TRUST                Name of the zone
        UNTRUST              Name of the zone
        VPN                  Name of the zone
      [edit security zones]
      admin@nsk-01-srx2# set security-zone ATM ?
      Possible completions:
        <[Enter]>            Execute this command
      > address-book         Address book entries
        application-tracking  Enable Application tracking support for this zone
      + apply-groups         Groups from which to inherit configuration data
      + apply-groups-except  Don't inherit configuration data from these groups
        description          Text description of zone
      > host-inbound-traffic  Allowed system services & protocols
      > interfaces           Interfaces that are part of this zone
        screen               Name of ids option object applied to the zone
        tcp-rst              Send RST for NON-SYN packet not matching TCP session
        |                    Pipe through a command
  • junos-host - специальная зона которая позволяет политиками безопасности регулировать входящий и исходящий трафик самого srx. В эту зону не надо определять интерфейсы. Название поменять нельзя.
    Контекст и политики определяются так же как и с обычными зонами безопасности, только вместо одной из зон ставится junos-host.
    [edit security policies]
    admin@nsk-01-srx2# set from-zone VPN to-zone ?
    Possible completions:
      <to-zone>            Destination zone
      ATM
      INTERNAL
      MGMT
      PAYSYS
      TRUST
      UNTRUST
      VPN
      junos-host
    [edit security policies]
    admin@nsk-01-srx2# set from-zone VPN to-zone junos-host ?
    Possible completions:
    + apply-groups         Groups from which to inherit configuration data
    + apply-groups-except  Don't inherit configuration data from these groups
    > policy               Define security policy in specified zone-to-zone direction
    
    [edit security policies]
    admin@nsk-01-srx2# set from-zone junos-host to-zone UNTRUST ?
    Possible completions:
    + apply-groups         Groups from which to inherit configuration data
    + apply-groups-except  Don't inherit configuration data from these groups
    > policy               Define security policy in specified zone-to-zone direction

Посмотреть зоны и интерфейсы:

[edit]
admin@nsk-01-srx2# run show security zones

Security zone: ATM
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 3
  Interfaces:
    vlan.505
    vlan.506
    vlan.507

Security zone: INTERNAL
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 1
  Interfaces:
    fe-0/0/1.0

Security zone: MGMT
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 2
  Interfaces:
    lo0.0
    vlan.508

Security zone: PAYSYS
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 2
  Interfaces:
    gr-0/0/0.0
    vlan.504

Security zone: TRUST
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 5
  Interfaces:
    vlan.501
    vlan.502
    vlan.503
    vlan.509
    vlan.516

Security zone: UNTRUST
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Screen: untrust-screen
  Interfaces bound: 2
  Interfaces:
    fe-0/0/0.0
    fe-0/0/2.0

Security zone: VPN
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 5
  Interfaces:
    st0.1
    st0.701
    st0.85
    st0.885
    st0.901

Security zone: junos-host
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes
  Interfaces bound: 0
  Interfaces:

workbook/jno-332/332_zones.txt · Last modified: 2021/08/12 08:35 (external edit)

Page Tools