RTFM && WTFN - backup

User Tools

Site Tools

Trace: Смена пуллера в cacti c cmd.php на spine Быстрые заметки по vi JN0-332: Junos Security Policies Быстрые заметки по сетевому оборудованию Mellanox
workbook:jno-332:332_zones

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
workbook:jno-332:332_zones [2017/05/19 14:45] kworkbook:jno-332:332_zones [2021/08/12 08:35] (current) – external edit 127.0.0.1
Line 1: Line 1:
-===== 332 Security Zones =====+===== JN0-332Security Zones =====
 ** Необходимые знания: ** ** Необходимые знания: **
   * Identify concepts, benefits and operation of zones   * Identify concepts, benefits and operation of zones
Line 13: Line 13:
 Зона безопасности это сущность в которую объединяются интерфейс и сети со схожими\одинаковыми настройками безопасности. Объединяем в зону несколько интерфейсов и разрешаем на ней одни и те же протоколы или пишем политики безопасности сразу для нескольких сетей. Так же зонами определяются направления действий политик безопасности. Зона безопасности это сущность в которую объединяются интерфейс и сети со схожими\одинаковыми настройками безопасности. Объединяем в зону несколько интерфейсов и разрешаем на ней одни и те же протоколы или пишем политики безопасности сразу для нескольких сетей. Так же зонами определяются направления действий политик безопасности.
  
-==== Отношение зоны и интерфейсов ==== +==== Отношение зоны и интерфейсов и роутинг инстансов ==== 
 Тезисно: Тезисно:
   * В зоны безопасности можно определить только логический интерфейс, не физику.    * В зоны безопасности можно определить только логический интерфейс, не физику. 
Line 20: Line 20:
   * В одну зону безопасности можно назначать несколько логических интерфейсов.    * В одну зону безопасности можно назначать несколько логических интерфейсов. 
   * Все логические интерфейсы, принадлежащие одной из зоны, должны принадлежать одному и тому же роутинг инстансу.   * Все логические интерфейсы, принадлежащие одной из зоны, должны принадлежать одному и тому же роутинг инстансу.
 +
 +**Вставить картинку с отношением**\\
 +{{workbook:jno-332:junos-interface-zones-routing-instance-.png?600}}
  
 ----- -----
-===== Полезные ссылки =====+ 
 +==== Zone types ==== 
 +  * **System defined** - встроенная зона безопасности. 
 +    - **Null zone** - зона в которой находятся все интерфейсы до того как их определят в функциональную зону или к какой-либо зоне безопасности. SRX дропает весь трафик от\к интерфейсам находящимся в null зоне.  
 +  * **User defined** - зоны которые задает администратор, соответственно зоны можно настраивать. <code> 
 +[edit security zones] 
 +admin@nsk-01-srx2# set ? 
 +Possible completions: 
 ++ apply-groups         Groups from which to inherit configuration data 
 ++ apply-groups-except  Don't inherit configuration data from these groups 
 +> functional-zone      Functional zone 
 +> security-zone        Security zones 
 +</code> 
 +    - **Functionsl zone** - в функциональную зону (она может быть только одна) определяется  out-of-bound managment интерфейс. Через функциональную зону не может пройти транзитный трафик. \\ Функциональная зона всегда называется managenment. <code> 
 +[edit security zones] 
 +admin@nsk-01-srx2# set functional-zone ? 
 +Possible completions: 
 +> management           Host for out of band management interfaces 
 +[edit security zones] 
 +admin@nsk-01-srx2# set functional-zone management ? 
 +Possible completions: 
 +  <[Enter]>            Execute this command 
 ++ apply-groups         Groups from which to inherit configuration data 
 ++ apply-groups-except  Don't inherit configuration data from these groups 
 +  description          Text description of zone 
 +> host-inbound-traffic  Allowed system services & protocols 
 +> interfaces           Interfaces that are part of this zone 
 +  screen               Name of ids option object applied to the zone 
 +  |                    Pipe through a command 
 +</code> 
 +    - **Secutity zone** - в зоны безопасности определяем интерфейсы между которыми ходит транзитный трафик. Тут же определяем по каким сервисам и протоколам можно обратиться к самому srx через интерфейсы находящиеся в зоне. \\ Зоны можно называть как угодно. <code> 
 +[edit security zones] 
 +admin@nsk-01-srx2# set security-zone ? 
 +Possible completions: 
 +  <name>               Name of the zone 
 +  ATM                  Name of the zone 
 +  INTERNAL             Name of the zone 
 +  MGMT                 Name of the zone 
 +  PAYSYS               Name of the zone 
 +  TRUST                Name of the zone 
 +  UNTRUST              Name of the zone 
 +  VPN                  Name of the zone 
 +[edit security zones] 
 +admin@nsk-01-srx2# set security-zone ATM ? 
 +Possible completions: 
 +  <[Enter]>            Execute this command 
 +> address-book         Address book entries 
 +  application-tracking  Enable Application tracking support for this zone 
 ++ apply-groups         Groups from which to inherit configuration data 
 ++ apply-groups-except  Don't inherit configuration data from these groups 
 +  description          Text description of zone 
 +> host-inbound-traffic  Allowed system services & protocols 
 +> interfaces           Interfaces that are part of this zone 
 +  screen               Name of ids option object applied to the zone 
 +  tcp-rst              Send RST for NON-SYN packet not matching TCP session 
 +  |                    Pipe through a command 
 +</code> 
 +  * **junos-host** - специальная зона которая позволяет политиками безопасности регулировать входящий и исходящий трафик самого srx. В эту зону не надо определять интерфейсы. Название поменять нельзя. \\ Контекст и политики  определяются так же как и с обычными зонами безопасности, только вместо одной из зон ставится junos-host. <code> 
 +[edit security policies] 
 +admin@nsk-01-srx2# set from-zone VPN to-zone ? 
 +Possible completions: 
 +  <to-zone>            Destination zone 
 +  ATM 
 +  INTERNAL 
 +  MGMT 
 +  PAYSYS 
 +  TRUST 
 +  UNTRUST 
 +  VPN 
 +  junos-host 
 +[edit security policies] 
 +admin@nsk-01-srx2# set from-zone VPN to-zone junos-host ? 
 +Possible completions: 
 ++ apply-groups         Groups from which to inherit configuration data 
 ++ apply-groups-except  Don't inherit configuration data from these groups 
 +> policy               Define security policy in specified zone-to-zone direction 
 + 
 +[edit security policies] 
 +admin@nsk-01-srx2# set from-zone junos-host to-zone UNTRUST ? 
 +Possible completions: 
 ++ apply-groups         Groups from which to inherit configuration data 
 ++ apply-groups-except  Don't inherit configuration data from these groups 
 +> policy               Define security policy in specified zone-to-zone direction 
 +</code>  
 + 
 +Посмотреть зоны и интерфейсы: 
 +<code> 
 +[edit] 
 +admin@nsk-01-srx2# run show security zones 
 + 
 +Security zone: ATM 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 3 
 +  Interfaces: 
 +    vlan.505 
 +    vlan.506 
 +    vlan.507 
 + 
 +Security zone: INTERNAL 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 1 
 +  Interfaces: 
 +    fe-0/0/1.0 
 + 
 +Security zone: MGMT 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 2 
 +  Interfaces: 
 +    lo0.0 
 +    vlan.508 
 + 
 +Security zone: PAYSYS 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 2 
 +  Interfaces: 
 +    gr-0/0/0.0 
 +    vlan.504 
 + 
 +Security zone: TRUST 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 5 
 +  Interfaces: 
 +    vlan.501 
 +    vlan.502 
 +    vlan.503 
 +    vlan.509 
 +    vlan.516 
 + 
 +Security zone: UNTRUST 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Screen: untrust-screen 
 +  Interfaces bound: 2 
 +  Interfaces: 
 +    fe-0/0/0.0 
 +    fe-0/0/2.0 
 + 
 +Security zone: VPN 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 5 
 +  Interfaces: 
 +    st0.1 
 +    st0.701 
 +    st0.85 
 +    st0.885 
 +    st0.901 
 + 
 +Security zone: junos-host 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 0 
 +  Interfaces: 
 +</code> 
 + 
 +---- 
 +{{tag>juniper jn0-332 exam}}
workbook/jno-332/332_zones.1495194320.txt.gz · Last modified: (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki