Differences

This shows you the differences between two versions of the page.

--- workbook:jno-332:332_zones [2017/05/19 15:07] – k
+++ workbook:jno-332:332_zones [2021/08/12 08:35] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
-===== 332 Security Zones =====
+===== JN0-332: Security Zones =====
 ** Необходимые знания: **
   * Identify concepts, benefits and operation of zones
@@ Line 28: / Line 28: @@
 ==== Zone types ====
   * **System defined** - встроенная зона безопасности.
-    - Null zone - зона в которой находятся все интерфейсы до того как их определят в функциональную зону или к какой-либо зоне безопасности. SRX дропает весь трафик от\к интерфейсам находящимся в null зоне.
+    - **Null zone** - зона в которой находятся все интерфейсы до того как их определят в функциональную зону или к какой-либо зоне безопасности. SRX дропает весь трафик от\к интерфейсам находящимся в null зоне.
-  * **User defined** - зоны которые задает администратор, соответственно зоны можно настраивать.
+  * **User defined** - зоны которые задает администратор, соответственно зоны можно настраивать. <code>
-    - Secutity zone - в зоны безопасности определяем интерфейсы между которыми ходит транзитный трафик. Тут же определяем по каким сервисам и протоколам можно обратиться к самому srx.
+[edit security zones]
-    - Functionsl zone - в функциональную зону (она может быть только одна) определяется  out-of-bound managment интерфейс. Через функциональную зону не может пройти транзитный трафик.
+admin@nsk-01-srx2# set ?
+Possible completions:
-===== Полезные ссылки =====
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+> functional-zone      Functional zone
+> security-zone        Security zones
+</code>
+    - **Functionsl zone** - в функциональную зону (она может быть только одна) определяется  out-of-bound managment интерфейс. Через функциональную зону не может пройти транзитный трафик. \\ Функциональная зона всегда называется managenment. <code>
+[edit security zones]
+admin@nsk-01-srx2# set functional-zone ?
+Possible completions:
+> management           Host for out of band management interfaces
+[edit security zones]
+admin@nsk-01-srx2# set functional-zone management ?
+Possible completions:
+  <[Enter]>            Execute this command
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  description          Text description of zone
+> host-inbound-traffic  Allowed system services & protocols
+> interfaces           Interfaces that are part of this zone
+  screen               Name of ids option object applied to the zone
+  |                    Pipe through a command
+</code>
+    - **Secutity zone** - в зоны безопасности определяем интерфейсы между которыми ходит транзитный трафик. Тут же определяем по каким сервисам и протоколам можно обратиться к самому srx через интерфейсы находящиеся в зоне. \\ Зоны можно называть как угодно. <code>
+[edit security zones]
+admin@nsk-01-srx2# set security-zone ?
+Possible completions:
+  <name>               Name of the zone
+  ATM                  Name of the zone
+  INTERNAL             Name of the zone
+  MGMT                 Name of the zone
+  PAYSYS               Name of the zone
+  TRUST                Name of the zone
+  UNTRUST              Name of the zone
+  VPN                  Name of the zone
+[edit security zones]
+admin@nsk-01-srx2# set security-zone ATM ?
+Possible completions:
+  <[Enter]>            Execute this command
+> address-book         Address book entries
+  application-tracking  Enable Application tracking support for this zone
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+  description          Text description of zone
+> host-inbound-traffic  Allowed system services & protocols
+> interfaces           Interfaces that are part of this zone
+  screen               Name of ids option object applied to the zone
+  tcp-rst              Send RST for NON-SYN packet not matching TCP session
+  |                    Pipe through a command
+</code>
+  * **junos-host** - специальная зона которая позволяет политиками безопасности регулировать входящий и исходящий трафик самого srx. В эту зону не надо определять интерфейсы. Название поменять нельзя. \\ Контекст и политики  определяются так же как и с обычными зонами безопасности, только вместо одной из зон ставится junos-host. <code>
+[edit security policies]
+admin@nsk-01-srx2# set from-zone VPN to-zone ?
+Possible completions:
+  <to-zone>            Destination zone
+  ATM
+  INTERNAL
+  MGMT
+  PAYSYS
+  TRUST
+  UNTRUST
+  VPN
+  junos-host
+[edit security policies]
+admin@nsk-01-srx2# set from-zone VPN to-zone junos-host ?
+Possible completions:
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+> policy               Define security policy in specified zone-to-zone direction
+[edit security policies]
+admin@nsk-01-srx2# set from-zone junos-host to-zone UNTRUST ?
+Possible completions:
++ apply-groups         Groups from which to inherit configuration data
++ apply-groups-except  Don't inherit configuration data from these groups
+> policy               Define security policy in specified zone-to-zone direction
+</code>
+Посмотреть зоны и интерфейсы:
+<code>
+[edit]
+admin@nsk-01-srx2# run show security zones
+Security zone: ATM
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Interfaces bound: 3
+  Interfaces:
+    vlan.505
+    vlan.506
+    vlan.507
+Security zone: INTERNAL
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Interfaces bound: 1
+  Interfaces:
+    fe-0/0/1.0
+Security zone: MGMT
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Interfaces bound: 2
+  Interfaces:
+    lo0.0
+    vlan.508
+Security zone: PAYSYS
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Interfaces bound: 2
+  Interfaces:
+    gr-0/0/0.0
+    vlan.504
+Security zone: TRUST
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Interfaces bound: 5
+  Interfaces:
+    vlan.501
+    vlan.502
+    vlan.503
+    vlan.509
+    vlan.516
+Security zone: UNTRUST
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Screen: untrust-screen
+  Interfaces bound: 2
+  Interfaces:
+    fe-0/0/0.0
+    fe-0/0/2.0
+Security zone: VPN
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Interfaces bound: 5
+  Interfaces:
+    st0.1
+    st0.701
+    st0.85
+    st0.885
+    st0.901
+Security zone: junos-host
+  Send reset for non-SYN session TCP packets: Off
+  Policy configurable: Yes
+  Interfaces bound: 0
+  Interfaces:
+</code>
+----
+{{tag>juniper jn0-332 exam}}