IBM Cloud Docs
Mit Firewalls arbeiten

Mit Firewalls arbeiten

Die Komponente IBM Cloud® Juniper vSRX verwendet das Konzept der Sicherheitszonen, bei dem jede vSRX-Schnittstelle zum Handhaben von statusabhängigen Firewalls einer 'Zone' zugeordnet ist. Statusunabhängige Firewalls werden von Firewallfiltern gesteuert.

Richtlinien werden verwendet, um Datenverkehr zwischen diesen definierten Zonen zuzulassen und zu blockieren. Die hier definierten Regeln sind zustandsbehaftet.

In IBM Cloud sind vSRX-Komponenten so konzipiert, dass sie vier unterschiedliche Sicherheitszonen aufweisen:

Sicherheitszonen
Zone Eigenständige Schnittstelle Hochverfügbarkeitsschnittstelle
SL-Private (ohne Tag) ge-0/0/0.0 or ae0.0 reth0.0
SL-Public (ohne Tag) ge-0/0/1.0 or ae1.0 reth1.0
Customer-Private (mit Tag versehen) ge-0/0/0.1 or ae0.1 reth2.1
Customer-Public (mit Tag versehen) ge-0/0/1.1 or ae1.1 reth3.1

Zonenrichtlinien

Mit den folgenden Schritten konfigurieren Sie eine statusabhängige Firewall:

  1. Erstellen Sie Sicherheitszonen und ordnen Sie die entsprechenden Schnittstellen zu:

    Eigenständiges Szenario:

    	 set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.1
	 set security zones security-zone CUSTOMER-PUBLIC interfaces ge-0/0/1.1

    Hochverfügbarkeitsszenario:

    set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.1
set security zones security-zone CUSTOMER-PUBLIC interfaces reth2.1

  2. Definieren Sie die Richtlinie und die Regeln, die zwischen zwei verschiedenen Zonen gelten sollen.

    Im folgenden Beispiel wird der Ping-Datenverkehr von der Zone Customer-Private zur Zone Customer-Public dargestellt:

    	set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP match source-address any destination-address any application junos-icmp

	set security policies from-zone CUSTOMER-PRIVATE to-zone CUSTOMER-PUBLIC policy ALLOW_ICMP then permit

Hier sind einige der Attribute, die in Ihren Richtlinien definiert werden können:

  • Quellenadressen
  • Zieladressen
  • Anwendungen
  • Aktion (permit/deny/reject/count/log)

Da es sich um einen zustandsbehafteten Vorgang handelt, müssen Sie keine Rückgabepakete zulassen (in diesem Fall die Echo-Antworten).

Verwenden Sie die folgenden Befehle, um Datenverkehr zuzulassen, der an die Komponente vSRX übertragen werden soll:

Eigenständiger Fall:

set security zones security-zone CUSTOMER-PRIVATE interfaces ge-0/0/0.0 host-inbound-traffic system-services all

Bei Hochverfügbarkeitslösung:

set security zones security-zone CUSTOMER-PRIVATE interfaces reth2.0 host-inbound-traffic system-services all

Verwenden Sie den folgenden Befehl, um Protokolle wie z. B. OSPF (Open Shortest Path First) oder BGP zuzulassen:

Eigenständiger Fall:

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all

Bei Hochverfügbarkeitslösung:

set security zones security-zone trust interfaces reth2.0 host-inbound-traffic protocols all

Firewallfilter

Standardmäßig lässt die Komponente IBM Cloud® Juniper vSRX das Pingsignal, SSH (Secure Shell) und HTTPS zu und beendet den gesamten übrigen Datenverkehr, indem der Filter PROTECT-IN auf die Schnittstelle lo angewendet wird.

Mit den folgenden Schritten konfigurieren Sie eine neue statusunabhängige Firewall:

  1. Erstellen Sie den Firewallfilter und -begriff (der folgende Filter lässt nur ICMP zu und löscht den gesamten anderen Datenverkehr):

    set firewall filter ALLOW-PING term ICMP from protocol icmp
set firewall filter ALLOW-PING term ICMP then accept

  2. Wenden Sie die Filterregel auf die Schnittstelle an (der folgende Befehl wendet den Filter auf den gesamten Datenverkehr im privaten Netz an):

    	set interfaces ge-0/0/0 unit 0 family inet filter input ALLOW-PING