RTFM && WTFN - backup

User Tools

Site Tools

Trace: Настройка port-mirroring на Juniper SRX Установка Racktables Быстрые заметки по vi JN0-332: IPSec VPNs Производительность ipsec на маршрутизаторе Cisco 1841
workbook:jno-332:332_zones

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
workbook:jno-332:332_zones [2017/05/19 14:47] – [Отношение зоны и интерфейсов] kworkbook:jno-332:332_zones [2021/08/12 08:35] (current) – external edit 127.0.0.1
Line 1: Line 1:
-===== 332 Security Zones =====+===== JN0-332Security Zones =====
 ** Необходимые знания: ** ** Необходимые знания: **
   * Identify concepts, benefits and operation of zones   * Identify concepts, benefits and operation of zones
Line 24: Line 24:
 {{workbook:jno-332:junos-interface-zones-routing-instance-.png?600}} {{workbook:jno-332:junos-interface-zones-routing-instance-.png?600}}
  
 +-----
  
 +==== Zone types ====
 +  * **System defined** - встроенная зона безопасности.
 +    - **Null zone** - зона в которой находятся все интерфейсы до того как их определят в функциональную зону или к какой-либо зоне безопасности. SRX дропает весь трафик от\к интерфейсам находящимся в null зоне. 
 +  * **User defined** - зоны которые задает администратор, соответственно зоны можно настраивать. <code>
 +[edit security zones]
 +admin@nsk-01-srx2# set ?
 +Possible completions:
 ++ apply-groups         Groups from which to inherit configuration data
 ++ apply-groups-except  Don't inherit configuration data from these groups
 +> functional-zone      Functional zone
 +> security-zone        Security zones
 +</code>
 +    - **Functionsl zone** - в функциональную зону (она может быть только одна) определяется  out-of-bound managment интерфейс. Через функциональную зону не может пройти транзитный трафик. \\ Функциональная зона всегда называется managenment. <code>
 +[edit security zones]
 +admin@nsk-01-srx2# set functional-zone ?
 +Possible completions:
 +> management           Host for out of band management interfaces
 +[edit security zones]
 +admin@nsk-01-srx2# set functional-zone management ?
 +Possible completions:
 +  <[Enter]>            Execute this command
 ++ apply-groups         Groups from which to inherit configuration data
 ++ apply-groups-except  Don't inherit configuration data from these groups
 +  description          Text description of zone
 +> host-inbound-traffic  Allowed system services & protocols
 +> interfaces           Interfaces that are part of this zone
 +  screen               Name of ids option object applied to the zone
 +  |                    Pipe through a command
 +</code>
 +    - **Secutity zone** - в зоны безопасности определяем интерфейсы между которыми ходит транзитный трафик. Тут же определяем по каким сервисам и протоколам можно обратиться к самому srx через интерфейсы находящиеся в зоне. \\ Зоны можно называть как угодно. <code>
 +[edit security zones]
 +admin@nsk-01-srx2# set security-zone ?
 +Possible completions:
 +  <name>               Name of the zone
 +  ATM                  Name of the zone
 +  INTERNAL             Name of the zone
 +  MGMT                 Name of the zone
 +  PAYSYS               Name of the zone
 +  TRUST                Name of the zone
 +  UNTRUST              Name of the zone
 +  VPN                  Name of the zone
 +[edit security zones]
 +admin@nsk-01-srx2# set security-zone ATM ?
 +Possible completions:
 +  <[Enter]>            Execute this command
 +> address-book         Address book entries
 +  application-tracking  Enable Application tracking support for this zone
 ++ apply-groups         Groups from which to inherit configuration data
 ++ apply-groups-except  Don't inherit configuration data from these groups
 +  description          Text description of zone
 +> host-inbound-traffic  Allowed system services & protocols
 +> interfaces           Interfaces that are part of this zone
 +  screen               Name of ids option object applied to the zone
 +  tcp-rst              Send RST for NON-SYN packet not matching TCP session
 +  |                    Pipe through a command
 +</code>
 +  * **junos-host** - специальная зона которая позволяет политиками безопасности регулировать входящий и исходящий трафик самого srx. В эту зону не надо определять интерфейсы. Название поменять нельзя. \\ Контекст и политики  определяются так же как и с обычными зонами безопасности, только вместо одной из зон ставится junos-host. <code>
 +[edit security policies]
 +admin@nsk-01-srx2# set from-zone VPN to-zone ?
 +Possible completions:
 +  <to-zone>            Destination zone
 +  ATM
 +  INTERNAL
 +  MGMT
 +  PAYSYS
 +  TRUST
 +  UNTRUST
 +  VPN
 +  junos-host
 +[edit security policies]
 +admin@nsk-01-srx2# set from-zone VPN to-zone junos-host ?
 +Possible completions:
 ++ apply-groups         Groups from which to inherit configuration data
 ++ apply-groups-except  Don't inherit configuration data from these groups
 +> policy               Define security policy in specified zone-to-zone direction
  
------ +[edit security policies] 
-===== Полезные ссылки =====+admin@nsk-01-srx2# set from-zone junos-host to-zone UNTRUST ? 
 +Possible completions: 
 ++ apply-groups         Groups from which to inherit configuration data 
 ++ apply-groups-except  Don't inherit configuration data from these groups 
 +> policy               Define security policy in specified zone-to-zone direction 
 +</code>  
 + 
 +Посмотреть зоны и интерфейсы
 +<code> 
 +[edit] 
 +admin@nsk-01-srx2# run show security zones 
 + 
 +Security zone: ATM 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 3 
 +  Interfaces: 
 +    vlan.505 
 +    vlan.506 
 +    vlan.507 
 + 
 +Security zone: INTERNAL 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 1 
 +  Interfaces: 
 +    fe-0/0/1.0 
 + 
 +Security zone: MGMT 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 2 
 +  Interfaces: 
 +    lo0.0 
 +    vlan.508 
 + 
 +Security zone: PAYSYS 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 2 
 +  Interfaces: 
 +    gr-0/0/0.0 
 +    vlan.504 
 + 
 +Security zone: TRUST 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 5 
 +  Interfaces: 
 +    vlan.501 
 +    vlan.502 
 +    vlan.503 
 +    vlan.509 
 +    vlan.516 
 + 
 +Security zone: UNTRUST 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Screen: untrust-screen 
 +  Interfaces bound: 2 
 +  Interfaces: 
 +    fe-0/0/0.0 
 +    fe-0/0/2.0 
 + 
 +Security zone: VPN 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 5 
 +  Interfaces: 
 +    st0.1 
 +    st0.701 
 +    st0.85 
 +    st0.885 
 +    st0.901 
 + 
 +Security zone: junos-host 
 +  Send reset for non-SYN session TCP packets: Off 
 +  Policy configurable: Yes 
 +  Interfaces bound: 0 
 +  Interfaces: 
 +</code> 
 + 
 +---- 
 +{{tag>juniper jn0-332 exam}}
workbook/jno-332/332_zones.1495194462.txt.gz · Last modified: (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki