Professional Documents
Culture Documents
Volumen 2:
Fundamentos
www.juniper.net
Nmero de pieza: 093-1660-000-SP, Revisin B
Copyright Notice
Copyright 2005 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen
ix
Arquitectura de ScreenOS
Zonas
25
iii
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)
Interfaces
45
Tipos de interfaces......................................................................................... 45
Interfaces de la zona de seguridad........................................................... 45
Interfaces fsicas ............................................................................... 45
Subinterfaces .................................................................................... 46
Interfaces agregadas ......................................................................... 46
Interfaces redundantes...................................................................... 46
Interfaces de seguridad virtuales ....................................................... 47
Interfaces de zonas de funcin ................................................................ 47
Interfaces de administracin ............................................................. 47
Interfaces de alta disponibilidad........................................................ 47
Interfaces de tnel................................................................................... 48
Eliminar interfaces de tnel .............................................................. 51
Visualizacin de interfaces ............................................................................. 52
Configuracin de interfaces de la zona de seguridad...................................... 53
Asociacin de una interfaz a una zona de seguridad................................ 54
Separar una interfaz de una zona de seguridad ....................................... 54
Direccionar una interfaz de la zona de seguridad L3 ............................... 54
Direcciones IP pblicas ..................................................................... 55
Direcciones IP privadas..................................................................... 56
Direccionar una interfaz.................................................................... 56
Modificar los ajustes de la interfaz........................................................... 56
Crear una subinterfaz en el sistema raz .................................................. 57
Eliminar una subinterfaz ......................................................................... 58
Crear una direccin IP secundaria.................................................................. 59
Interfaces de bucle invertido (loopback)......................................................... 60
Crear una interfaz de bucle invertido....................................................... 60
Ajustar la interfaz de bucle invertido para Administracin.......................61
Ajustar BGP en una interfaz de bucle invertido ........................................ 61
Ajustar VSI en una interfaz de bucle invertido ......................................... 62
Ajustar la interfaz de bucle invertido como interfaz de origen ................. 62
Cambios de estado de la interfaz ................................................................... 62
Supervisin de la conexin fsica ............................................................. 64
Dar seguimiento a direcciones IP ............................................................ 65
Supervisin de interfaces......................................................................... 70
Supervisin de dos interfaces............................................................ 71
Supervisar un bucle de interfaz ......................................................... 72
Supervisin de zonas de seguridad .......................................................... 75
Interfaces inactivas y flujo de trfico ....................................................... 75
Fallo en la interfaz de salida.............................................................. 76
Fallo en la interfaz de entrada........................................................... 78
iv
Contenido
Contenido
Captulo 4
81
Modo transparente......................................................................................... 82
Ajustes de zona ....................................................................................... 83
Zona VLAN........................................................................................ 83
Zonas de capa 2 predefinidas............................................................ 83
Reenvo de trfico ................................................................................... 83
Opciones unicast desconocidas ............................................................ 84
Mtodo de inundacin ...................................................................... 85
Mtodo ARP/Trace-Route .................................................................. 86
Configuracin de la interfaz VLAN1 para administracin .................. 89
Configuracin del modo transparente ............................................... 91
Modo NAT...................................................................................................... 94
Trfico NAT entrante y saliente ............................................................... 96
Ajustes de interfaz ................................................................................... 97
Configuracin del modo NAT................................................................... 97
Modo de ruta ...............................................................................................100
Ajustes de interfaz .................................................................................101
Configuracin del modo de ruta ............................................................101
Captulo 5
105
Direcciones ..................................................................................................106
Entradas de direcciones.........................................................................106
Modificar una direccin...................................................................107
Eliminar una direccin ....................................................................107
Grupos de direcciones ...........................................................................108
Editar una entrada de grupo de direcciones ....................................110
Eliminar un miembro y un grupo ....................................................110
Servicios ......................................................................................................111
Servicios predefinidos............................................................................111
Protocolo de mensajes de control de Internet .................................112
Servicios de llamadas de procedimiento remoto de Microsoft.........117
Protocolo de enrutamiento dinmico ..............................................119
Vdeo de secuencia .........................................................................119
Servicios de llamadas de procedimiento remoto de Sun .................120
Servicios de tnel y seguridad .........................................................121
Servicios relacionados con IP ..........................................................121
Servicios de administracin: ...........................................................122
Servicios de correo..........................................................................123
Servicios miscelneos .....................................................................124
Servicios personalizados........................................................................125
Agregar un servicio personalizado...................................................126
Modificar un servicio personalizado ................................................126
Eliminar un servicio personalizado..................................................127
Establecer el tiempo de espera de un servicio .......................................127
Bsqueda y configuracin de tiempo de espera de servicio.............127
Ejemplo...........................................................................................130
Definir un Servicio de protocolo de mensaje de control de Internet
personalizado..................................................................................130
Puerta de enlace "Remote Shell" en la capa de aplicacin ....................131
Sun Remote Procedure Call Application Layer Gateway.........................131
Situacin tpica de llamadas RPC ....................................................131
Personalizar los Servicios Sun RPC..................................................132
Contenido
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)
Directivas
163
vi
Contenido
Contenido
Asignacin de trfico
197
221
Contenido
vii
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)
viii
Contenido
ix
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)
En texto:
NOTA:
Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequvoca la palabra que se est
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este mtodo se puede utilizar para introducir comandos, en la presente
documentacin todos ellos se representan con sus palabras completas.
Zona de seguridad
Interfaz de tnel
Equipo de escritorio
Equipo porttil
Servidor
Tnel VPN
Concentrador (hub)
Enrutador
Telfono IP
Conmutador
xi
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)
NOTA:
xii
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegacin y
establecimientos de configuracin:
La siguiente figura muestra la ruta al cuadro de dilogo de configuracin de
direcciones con los siguientes ajustes de configuracin de muestra:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zona: Untrust
Figura 3: Ruta de navegacin y ajustes de configuracin
xiii
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)
xiv
Captulo 1
Arquitectura de ScreenOS
La arquitectura del sistema ScreenOS de Juniper Networks ofrece una gran
flexibilidad a la hora de disear la estructura de seguridad de una red. En los
dispositivos de seguridad de Juniper Networks con ms de dos interfaces es posible
crear numerosas zonas de seguridad y configurar directivas para regular el trfico
dentro de una zona (trfico intrazonal) y entre zonas distintas (trfico interzonal).
Puede enlazar una o varias interfaces a cada zona y habilitar en cada zona un
conjunto distinto de opciones de administracin y de vigilancia de ataques a la
pared de fuego. Bsicamente, ScreenOS permite crear el nmero de zonas que cada
entorno de red necesita, asignar el nmero de interfaces que cada zona necesita y
disear cada interfaz segn las necesidades especficas.
En este captulo se presenta ScreenOS, describiendo los siguientes componentes
principales:
Directivas en la pgina 5
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Zonas de seguridad
Una zona de seguridad es un conjunto de uno o varios segmentos de red, lo que
requiere regular el trfico entrante y saliente por medio de directivas (consulte
Directivas en la pgina 5). Las zonas de seguridad son entidades lgicas que
tienen asociadas una o varias interfaces. Si dispone de distintos tipos de
dispositivos de seguridad de Juniper Networks, podr definir mltiples zonas de
seguridad, dependiendo su nmero exacto de las necesidades de su red. Adems de
las zonas definidas por el usuario, tambin puede utilizar las zonas predefinidas:
Trust, Untrust y DMZ (para el funcionamiento de la capa 3), o V1-Trust, V1-Untrust y
V1-DMZ (para el funcionamiento de la capa 2). Si lo desea, puede seguir utilizando
slo las zonas predefinidas. Tambin puede ignorar las zonas predefinidas y utilizar
exclusivamente las zonas definidas por el usuario. Tambin es posible utilizar los
dos tipos de zonas (predefinidas y definidas por el usuario) simultneamente. Esta
flexibilidad en la configuracin de las zonas permite disear la red que mejor
responda a sus necesidades especficas. Consulte Figura 4.
NOTA:
Finance
Untrust
Trust
Motor de la
directiva
Eng
Zonas de seguridad
Dispositivo
de seguridad
DMZ
NOTA:
Para intercambiar trfico entre dos interfaces asociadas a una misma zona no se
requiere ninguna directiva, ya que ambas tendrn el mismo nivel de seguridad.
ScreenOS necesita directivas para controlar el trfico entre zonas, no dentro de
ellas.
Para permitir que el trfico pase de una zona a otra, debe asociar una interfaz a la
zona y, en el caso de una interfaz en modo de ruta o en modo NAT (consulte
Modos de las interfaces en la pgina 81), asignar una direccin IP a la interfaz.
Dos tipos de interfaz comnmente utilizados son las interfaces fsicas y, en
dispositivos que admitan sistemas virtuales, las subinterfaces (es decir, la
realizacin de una interfaz fsica en la capa 2). Para obtener ms informacin,
consulte Interfaces en la pgina 45.
Interfaces fsicas
Una interfaz fsica se refiere a los componentes fsicamente presentes en el
dispositivo de seguridad. Las convenciones de nomenclatura de interfaces difieren
de un dispositivo a otro. En el dispositivo NetScreen-500, por ejemplo, una interfaz
fsica se identifica por la posicin de un mdulo de interfaz y un puerto Ethernet en
ese mdulo. Por ejemplo, la interfaz ethernet1/2 designa el mdulo de interfaz
situado en el primer bastidor (ethernet1/2) y en el segundo puerto (ethernet1/2).
Consulte Figura 5.
Figura 5: Asignaciones de las interfaces fsicas
NOTA:
1/1
1/2
3/1
3/2
2/1
2/2
4/1
4/2
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Subinterfaces
En los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz fsica se
puede dividir lgicamente en varias subinterfaces virtuales, que ocupan el ancho de
banda que precisan en cada momento de la interfaz fsica de la que proceden. Una
subinterfaz es un elemento abstracto con funciones idnticas a las de una interfaz
fsica, de la que se diferencia por el etiquetado VLAN 802.1Q. El dispositivo de
seguridad dirige el trfico desde o hacia una zona con subinterfaz a travs de su
direccin IP y su etiqueta VLAN. Por razones prcticas, los administradores
normalmente utilizan el mismo nmero para la etiqueta VLAN y para la subinterfaz.
Por ejemplo, la interfaz ethernet1/2 con la etiqueta VLAN 3 se llamar ethernet1/2.3.
As se identifica el mdulo de interfaz que se encuentra en el primer bastidor, el
segundo puerto del mdulo y la subinterfaz nmero 3 (ethernet1/2.3).
NOTA:
802.1Q es una norma IEEE que define los mecanismos para implementar redes
LAN virtuales enlazadas y los formatos de trama Ethernet utilizados para indicar la
pertenencia a una VLAN mediante etiquetas VLAN.
Observe que aunque una subinterfaz comparte parte de su identidad con una
interfaz fsica, la zona a la que se asocia es independiente de la zona a la que se
asocia la interfaz fsica. Puede asociar la subinterfaz ethernet1/2.3 a una zona
distinta de la utilizada para la interfaz fsica ethernet1/2 o a la que desee asociar
ethernet1/2.2. Asimismo, no hay restricciones en cuanto a la asignacin de
direcciones IP. El trmino subinterfaz no implica que su direccin se encuentre en
una subred dentro del espacio de direcciones de la interfaz fsica. Consulte Figura 6.
1/2.1
1/2.2
3/1.1
3/1.2
3/1.3
3/2.1
3/2.2
3/2.3
1/1
1/2
3/1
3/2
2/1
2/2
4/1
4/2
2/1.1
2/1.2
2/2.1
2/2.2
4/1.1
4/1.2
4/2.1
4/2.2
Enrutadores virtuales
Un enrutador virtual (VR) funciona como un enrutador. Dispone de sus propias
interfaces y de sus propias tablas de enrutamiento unicast y multicast. En
ScreenOS, un dispositivo de seguridad admite dos enrutadores virtuales
predefinidos. Esto permite al dispositivo de seguridad mantener dos tablas de
enrutamiento unicast y multicast independientes y ocultar la informacin de
enrutamiento de un enrutador al otro. Por ejemplo, untrust-vr se suele utilizar para
la comunicacin con interlocutores sin confianza, por lo que no contiene
informacin de enrutamiento para las zonas protegidas. La informacin de
enrutamiento de las zonas protegidas se actualiza por medio de trust-vr. Por lo
tanto, no es posible recopilar informacin interna de la red mediante la extraccin
encubierta de rutas de untrust-vr. Consulte Figura 7 en la pgina 5.
4
Enrutadores virtuales
Finance
Untrust
Trust
Eng
DMZ
Reenvo de rutas
Directivas
Los dispositivos de seguridad de Juniper Networks aseguran la red inspeccionando,
y luego permitiendo o denegando, todo intento de conexin que necesite pasar de
una zona de seguridad a otra.
De forma predeterminada, un dispositivo de seguridad denegar todo el trfico de
datos en todos los sentidos. La creacin de directivas permite controlar el flujo de
trfico entre zonas definiendo qu tipo de trfico puede pasar de los orgenes a los
destinos especificados y cundo. En el nivel ms permisivo, es posible permitir que
todo tipo de trfico pase de cualquier origen en una zona a cualquier destino en el
resto de zonas sin ninguna restriccin en el tiempo. En el nivel ms restrictivo, se
puede crear una directiva que slo permita un tipo de trfico entre un host
determinado en una zona y otro en otra zona durante un periodo programado.
Consulte Figura 8 en la pgina 6.
NOTA:
Directivas
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Zona
Untrust
Zona
Untrust
Zona
Trust
Zona
Trust
Cada vez que un paquete intenta pasar de una zona a otra, o entre dos interfaces
enlazadas a la misma zona, el dispositivo de seguridad comprueba si en su lista de
directivas existe alguna que permita ese tipo de trfico (consulte Listas de
conjuntos de directivas en la pgina 167). Para que el trfico pueda pasar de una
zona de seguridad a otra (p. ej., de la zona A a la zona B), es necesario configurar
una directiva que permita que la zona A enve trfico a la zona B. Para que el trfico
pueda pasar en sentido inverso, se debe configurar otra directiva que permita el
trfico de la zona B a la zona A. Para que cualquier tipo de trfico pase de una zona
a otra, debe haber una directiva que lo permita. Asimismo, cuando est habilitado
el bloqueo intrazonal (bloqueo del interior de una zona), deber existir una directiva
que permita que el trfico pase de una interfaz a otra dentro de esa misma zona.
Consulte Figura 9 en la pgina 7.
Directivas
Finance
Untrust
Motor de
directivas
Trust
DMZ
Eng
Reenvo de rutas
NOTA:
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Una VPN basada en rutas es la opcin adecuada para configuraciones VPN punto a
punto, ya que es posible aplicar mltiples directivas al trfico que pasa a travs de
un nico tnel VPN. La VPN basada en directivas resulta adecuada para
configuraciones VPN de acceso telefnico, ya que el cliente de acceso telefnico
probablemente no dispone de una direccin IP interna hacia la que establecer una
ruta. Consulte Figura 10.
En las siguientes instrucciones se muestran los principales pasos a seguir para
configurar una VPN basada en rutas:
1. Cuando configure el tnel VPN (p. ej., vpn-to-SF, donde SF es el destino o
entidad final), especifique una interfaz fsica o una subinterfaz en el dispositivo
local como interfaz de salida. (El interlocutor remoto deber utilizar la direccin
IP de esta interfaz para configurar su puerta de enlace remota.)
2. Cree una interfaz de tnel (por ejemplo, tunnel.1) y asciela a una zona de
seguridad.
NOTA:
Zona de origen
Paquete enviado
Motor de
directivas
Interfaz
de tnel
Tnel VPN
tunnel.1
vpn a SF
Zona de destino
Tabla de
enrutamiento
Paquete entrando
Llegados a este punto, el tnel est listo para el trfico dirigido a SF. Ahora puede
crear entradas en la libreta de direcciones, como Trust LAN (10.1.1.0/24) y SF
LAN (10.2.2.0/24), y configurar directivas para permitir o bloquear distintos tipos
de trfico desde un origen especificado, como Trust LAN, y hacia un destino
especificado, como SF LAN. Consulte Figura 11 en la pgina 9.
SF LAN
10.2.2.0/24
utilice
eth1/2
Zona Untrust
Interfaz de salida
eth1/2, 1.1.1.1/24
10.2.2.0/24
tunnel.1
0.0.0.0/0
1.1.1.250
Tunnel.1
de la
interfaz
Dispositivo local
Dominio de enrutamiento
Para llegar a
utilice
10.1.1.0/24
eth3/2
0.0.0.0/0
untrust-vr
NOTA:
Puerta de enlace
predeterminada:
1.1.1.250
Tnel VPN
vpn a SF
Zona Trust
eth3/210.1.1.1/24
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Sistemas virtuales
Algunos dispositivos de seguridad de Juniper Networks admiten sistemas virtuales
(vsys). Un sistema virtual es una subdivisin del sistema principal que para el
usuario aparece como una entidad independiente. Los sistemas virtuales se
encuentran separados del sistema raz y entre s dentro de un mismo dispositivo de
seguridad. La aplicacin de ScreenOS a los sistemas virtuales implica la
coordinacin de tres componentes principales: zonas, interfaces y rutas virtuales.
La Figura 12 en la pgina 10 presenta una vista conceptual de cmo ScreenOS
integra estos componentes en los niveles raz y de sistema virtual.
Figura 12: Arquitectura de sistemas virtuales
Nota: El icono del castillo representa una
interfaz de una zona de seguridad.
trust-vr
untrust-vr
Finance
DMZ
Trust
Mail
Interfaz compartida
por vsys1 y raz
sistema raz
Untrust
Subinterfaz
dedicada para
vsys2
Eng
vsys1-vr
Trust-vsys1
vsys1
vsys2
vsys2-vr
Trust-vsys2
vsys3
interfaz fsica
dedicada para vsys3
vsys3-vr
Trust-vsys3
NOTA:
10
Sistemas virtuales
Sesin
Bsqueda
MIP/VIP
IP de host
Interfaz
Interfaz
Si el paquete no coincide
con una sesin existente,
lleve a cabo los pasos 4 a 9.
Origen
Zona
Si lo hace, vaya
directamente al paso 9.
Zonas de
seguridad
Directiva
Bsqueda
Tabla de reenvos
Lista de directivas
10.10.10.0/24 eth1/1
0.0.0.0/0 untrust-vr
Interfaz de destino
y
Zona de destino
NAT-Dst y
luego/o NAT-Src
Crear
sesin
Realizar
operacin
Tabla de sesiones
d 977 vsys id 0, flag 000040/00,
pid -1, did 0, time 180
13 (01) 10.10.10.1/1168 ->
211.68.1.2/80, 6,
002be0c0066b,
subif 0, tun 0
Ruta
Bsqueda
11
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
12
13
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Finance
Trust
Eng
Untrust
DMZ
Las zonas Trust, Untrust y DMZ estn preconfiguradas. Usted definir las zonas
Finance, Eng y Mail. De forma predeterminada, las zonas definidas por el usuario
se ubican en el dominio de enrutamiento trust-vr. Por lo tanto, no es necesario
especificar un enrutador virtual para las zonas Finance y Eng. Sin embargo, adems
de configurar la zona Mail, tambin deber especificar que se encuentre en el
dominio de enrutamiento untrust-vr. Tambin se deben transferir los enlaces de los
enrutadores virtuales de las zonas DMZ y Untrust de trust-vr a untrust-vr . Consulte
Figura 14 en la pgina 14.
NOTA:
14
Finance
Trust
Untrust
Eng
DMZ
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Finance
Virtual Router Name: trust-vr
Zone Type: Layer 3: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Eng
Virtual Router Name: trust-vr
Zone Type: Layer 3: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Mail
Virtual Router Name: untrust-vr
Zone Type: Layer 3: (seleccione)
Network > Zones > Edit (para Untrust): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, despus haga clic en OK.
Network > Zones > Edit (para DMZ): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, despus haga clic en OK.
CLI
set zone name finance
set zone name eng
set zone name mail
set zone mail vrouter untrust-vr
set zone untrust vrouter untrust-vr
set zone dmz vrouter untrust-vr
save
15
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Finance
10.1.2.1/24
Etiqueta VLAN 1
eth3/2.1
Trust
10.1.1.1/24
eth3/2
Mail
1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2
1/1
1/2
3/1
3/2
2/1
2/2
4/1
4/2
Eng
10.1.3.1/24
eth3/1
Untrust
1.1.1.1/24
eth1/2
DMZ
1.2.2.1/24
eth2/2
WebUI
1.
Interfaz ethernet3/2
Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Manageable: (seleccione)
Management Services: WebUI, Telnet, SNMP, SSH (seleccione)
Other Services: Ping (seleccione)
2.
Interfaz ethernet3/2.1
Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet3/2.1
Zone Name: Finance
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.2.1/24
VLAN Tag: 1
Other Services: Ping (seleccione)
16
3.
Interfaz ethernet3/1
Network > Interfaces > Edit (para ethernet3/1): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Eng
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.3.1/24
Other Services: Ping (seleccione)
4.
Interfaz ethernet1/1
Network > Interfaces > Edit (para ethernet1/1): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Mail
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.3.3.1/24
5.
Interfaz ethernet1/1.2
Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet1/1.2
Zone Name: Mail
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.4.4.1/24
VLAN Tag: 2
6.
Interfaz ethernet1/2
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Manageable: (seleccione)
Management Services: SNMP (seleccione)
7.
Interfaz ethernet2/2
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: DMZ
Static IP: (seleccione)
IP Address/Netmask: 1.2.2.1/24
CLI
1.
Interfaz ethernet3/2
set
set
set
set
set
set
set
17
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
2.
Interfaz ethernet3/2.1
Interfaz ethernet3/1
Interfaz ethernet1/1
Interfaz ethernet1/1.2
Interfaz ethernet1/2
Interfaz ethernet2/2
18
trust-vr
dominio de enrutamiento
Finance
10.1.2.1/24
Etiqueta VLAN 1
eth3/2.1, NAT
1.3.3.1/24
eth1/1, ruta
1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2, ruta
Trust
10.1.1.1/24
eth3/2, NAT
Untrust
1.1.1.1/24
eth1/2, ruta
Eng
10.1.3.1/24
eth3/1, NAT
DMZ
1.2.2.1/24
eth2/2, ruta
Reenvo de rutas
WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione); untrust-vr
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 1.1.1.254
CLI
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 1.1.1.254
save
19
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
0.0.0.0/0
n/a
untrust-vr
Configurado por el
usuario
10.1.3.0/24
eth3/1
0.0.0.0
Dispositivo de
seguridad
10.1.1.0/24
eth3/2
0.0.0.0
Dispositivo de
seguridad
10.1.2.0/24
eth3/2.1
0.0.0.0
Dispositivo de
seguridad
Utilizar interfaz:
1.2.2.0/24
eth2/2
0.0.0.0
Dispositivo de
seguridad
1.1.1.0/24
eth1/2
0.0.0.0
Dispositivo de
seguridad
1.4.4.0/24
eth1/1.2
0.0.0.0
Dispositivo de
seguridad
1.3.3.0/24
eth1/1
0.0.0.0
Dispositivo de
seguridad
0.0.0.0/0
eth1/2
1.1.1.254
Configurado por el
usuario
trust-vr
dominio de
Finance
Trust
Motor de
directivas
Eng
DMZ
Reenvo de rutas
20
Untrust
Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivas
es necesario crear nuevos grupos de servicios.
NOTA:
Grupos de servicios
Objects > Services > Groups > New: Introduzca los siguientes datos y haga
clic en OK:
Group Name: Mail-Pop3
Directivas
Directivas > (From: Finance, To: Mail) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Directivas > (From: Trust, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
21
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Directivas > (From: Eng, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Directivas > (From: Untrust, To: Mail) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail
Action: Permit
Directivas > (From: Finance, To: Untrust) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Directivas > (From: Finance, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Directivas > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
22
Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP-Put
Action: Permit
Directivas > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
CLI
1.
Grupos de servicios
set
set
set
set
2.
group
group
group
group
Directivas
23
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
24
Captulo 2
Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lgico que tiene asociada una interfaz
de tnel VPN (zona de tnel), o una entidad fsica o lgica que realiza una funcin
especfica (zona de funcin).
Este captulo examina cada uno de los tipos de zonas, poniendo un especial nfasis
en la zona de seguridad, y describe los modos de puerto. El captulo incluye las
siguientes secciones:
Zona HA en la pgina 33
25
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
26
Captulo 2: Zonas
ID
Name)
Type)
Attr)
VR)
0)
Null)
Null)
Shared) untrust-vr)
1)
Untrust) Sec(L3))
Shared) trust-vr)
2)
Trust)
Sec(L3))
)
trust-vr)
3)
DMZ)
Sec(L3))
)
trust-vr)
4)
Self)
Func)
)
trust-vr)
5)
MGT)
Func)
)
trust-vr)
6)
HA)
Func)
)
trust-vr)
10)
Global)
Sec(L3))
)
trust-vr)
11)
V1-Untrust) Sec(L2))) trust-vr) v1-untrust)
12)
V1-Trust) Sec(L2))
)
trust-vr)
13)
V1-DMZ) Sec(L2))
)
trust-vr)
14)
VLAN)
Func)
)
trust-vr
16)
Untrust-Tun) Tun))
trust-vr) null)
-----------------------------------------------------------------------
Default-IF) VSYS)
null)
Root)
ethernet1/2) Root)
ethernet3/2) Root)
ethernet2/2) Root)
self)
Root)
mgt)
Root)
ha)
Root)
null)
Root)
Root)
v1-trust)
Root)
v1-dmz)
Root)
vlan)
Root)
Root)
27
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Zonas de seguridad
En un solo dispositivo de seguridad se pueden configurar varias zonas de seguridad,
dividiendo la red en segmentos a los que se pueden aplicar diversas opciones de
seguridad para satisfacer las necesidades de cada segmento. Deben definirse como
mnimo dos zonas de seguridad, bsicamente para proteger un rea de la red de la
otra. En algunas plataformas de seguridad se pueden definir muchas zonas de
seguridad, lo que refina an ms la granularidad del diseo de seguridad de la red,
evitando la necesidad de distribuir mltiples dispositivos de seguridad para
conseguir el mismo fin.
Zona Global
Puede identificar una zona de seguridad porque tiene una libreta de direcciones y
se puede hacer referencia a ella en directivas. La zona Global satisface estos
criterios. Sin embargo, le falta un elemento del que s disponen las dems zonas de
seguridad: una interfaz. La zona Global sirve como rea de almacenamiento de
direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP). La direccin
predefinida Any de la zona Global puede aplicarse a todas las MIP, VIP y a otras
direcciones definidas por el usuario establecidas en la zona Global. Dado que el
trfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global no
requiere una interfaz para que el trfico fluya a travs de ella.
La zona Global tambin contiene direcciones para su utilizacin en directivas
globales. Para obtener ms informacin acerca de directivas globales, consulte
Directivas globales en la pgina 166).
NOTA:
Cualquier directiva que utilice la zona Global como su destino no puede admitir
NAT ni asignacin de trfico.
Opciones SCREEN
Una pared de fuego de Juniper Networks asegura una red inspeccionando, y luego
permitiendo o denegando, todo intento de conexin que necesite pasar de una
zona de seguridad a otra. Por cada zona de seguridad y zona MGT, puede habilitar
un conjunto de opciones SCREEN predefinidas que detecten y bloqueen los
diversos tipos de trfico que el dispositivo de seguridad identifica como
potencialmente dainos.
Para obtener ms informacin sobre las opciones SCREEN disponibles, consulte el
Volume 4: Attack Detection and Defense Mechanisms.
28
Zonas de seguridad
Captulo 2: Zonas
NOTA:
El sistema raz y todos los sistemas virtuales pueden compartir la zona Untrust.
Sin embargo, cada sistema tiene su propia zona Untrust-Tun separada.
De forma predeterminada, una zona de tnel se encuentra en el dominio de
enrutamiento trust-vr, pero tambin puede mover una zona de tnel a otro dominio
de enrutamiento. Consulte Figura 20 en la pgina 29.
Zona de seguridad
Zona de tnel
Trfico hacia o desde un tnel
VPN
La interfaz de tnel, que cuando est
asociada a una zona de tnel debe
tener una direccin IP y una mscara
de red, admite NAT basada en
directivas para el trfico VPN
pre-encapsulado y
post-desencapsulado.
Interfaz de
tnel
Tnel VPN
El trfico saliente penetra en la zona de tnel a travs de la interfaz de tnel, es encapsulado y sale a travs de la interfaz de la zona de seguridad.
El trfico entrante accede a travs de la interfaz de la zona de seguridad, es desencapsulado en la zona de tnel, y sale a travs de la interfaz de tnel.
29
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
WebUI
1.
Interfaz de tnel
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.3
Zone (VR): Untrust-Tun (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask 3.3.3.3/24
2.
MIP
Network > Interfaces > Edit (para tunnel.3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
IP asignada: 3.3.3.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
CLI
1.
Interfaz de tnel
MIP
NOTA:
30
Captulo 2: Zonas
NOTA:
El nombre de una zona de seguridad de capa 2 ("Layer 2") debe comenzar con
L2-; por ejemplo, L2-Corp o L2-XNet.
CLI
set zone name zone [ l2 vlan_id_num | tunnel sec_zone ]
set zone zone block
set zone zone vrouter name_str
NOTA:
NOTA:
Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella.
Antes de poder cambiar el enrutador virtual por una zona, primero debe eliminar
todas las interfaces asociadas a ella.
WebUI
1.
Network > Zones: Haga clic en Remove (para la zona de seguridad o zona de
tnel cuyo nombre desea cambiar, o para la zona de tnel cuya zona portadora
desea cambiar).
Cuando aparezca la peticin de confirmacin para eliminar, haga clic en
Yes.
Network > Zones > New: Introduzca los ajustes de zona con sus cambios,
despus haga clic en OK.
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
2.
Network > Zones > Edit (para las zonas que desea modificar): Introduzca los
siguientes datos y haga clic en OK:
Virtual Router Name: En la lista desplegable, seleccione el enrutador virtual
a cuyo dominio de enrutamiento desea mover la zona.
Block Intra-Zone Traffic: Para activar, seleccione la casilla de verificacin.
Para desactivar la opcin, desactive la casilla.
CLI
1.
Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella. Para desasociar una interfaz de una zona, consulte Asociacin de
una interfaz a una zona de seguridad en la pgina 54.
Zonas de funcin
Las cinco zonas de funcin son Null, MGT, HA, Self y VLAN. Cada zona existe con un
solo propsito, segn se explica en la subseccin siguiente.
Zona Null
Esta zona sirve como almacenamiento temporal para cualquier interfaz que no est
asociada a ninguna otra zona.
Zona MGT
Esta zona contiene la interfaz de administracin de fuera de banda, MGT. Puede
establecer opciones de la pared de fuego en esta zona para proteger la interfaz de
administracin contra diversos tipos de ataques. Para obtener ms informacin
sobre opciones de la pared de fuego, consulte el Volume 4:
Attack Detection and Defense Mechanisms.
32
Zonas de funcin
Captulo 2: Zonas
Zona HA
Esta zona contiene las interfaces de alta disponibilidad, HA1 y HA2. Aunque puede
configurar interfaces para la zona HA, la zona propiamente dicha no es
configurable.
Zona VLAN
Esta zona contiene la interfaz VLAN1, que se utiliza para administrar el dispositivo y
terminar el trfico VPN cuando el dispositivo est en modo transparente. Tambin
puede establecer opciones de la pared de fuego en esta zona para proteger la
interfaz VLAN1 de diversos ataques.
Modos de puerto
Puede seleccionar un modo de puerto para ciertos dispositivos de seguridad de
Juniper Networks. El modo de puerto establece automticamente diversas
asociaciones de puertos, interfaces y zonas para el dispositivo.
En el contexto de modos de puertos, puerto se refiere a una interfaz fsica en la
parte posterior del dispositivo. Para hacer referencia a un puerto se utiliza su
etiqueta:
Untrusted
1-4
Console
Modem
El trmino interfaz se refiere a una interfaz lgica que se puede configurar con
WebUI o CLI. Cada puerto se puede asociar a una sola interfaz, pero a cada interfaz
se le pueden asociar mltiples puertos.
La Tabla 3 muestra los modos disponibles en los dos dispositivos de seguridad. Para
visualizar las asociaciones de interfaz inalmbrica a zona, consulte Red de rea
local inalmbrica en la pgina 12 -33.
Modos de puerto
33
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Disponibles en dispositivos
Trust-Untrust (Predeterminado)
Home-Work
Dual Untrust
Combined
Trust/Untrust/DMZ (extendido)
(Debe contar con la clave de
licencia extendida)
Dual DMZ
(Debe contar con la clave de
licencia extendida)
Modo Trust-Untrust
El modo Trust-Untrust es el modo de puerto predeterminado. Consulte Figura 21.
Figura 21: Enlaces de interfaz a zona del modo de puerto Trust-Untrust
Interfaces Untrust
Zona Untrust
34
Modos de puerto
Interfaz Trust
Zona Trust
Captulo 2: Zonas
Interfaz
Zona
Untrusted
Untrust
Untrust
Trust
Trust
Trust
Trust
Trust
Trust
Trust
Trust
Modem
serial
Null
Modo Home-Work
El modo Home-Work asocia interfaces a la zona de seguridad Untrust y a las zonas
de seguridad Home y Work. Las zonas Work y Home permiten segregar
usuarios y recursos en cada zona. En este modo, las directivas predeterminadas
permiten el flujo de trfico y conexiones entre las zonas Work y Home pero no
permiten trfico de la zona Home a la zona Work. Es posible personalizar las
directivas que aplican al trfico transmitido de la zona Home a la zona Work.
Consulte Figura 22. De forma predeterminada, no hay ninguna restriccin para el
trfico de la zona Home a la zona Untrust. La zona Home responde a los comandos
ping.
Figura 22: Enlaces de interfaz a zona del modo de puerto Home-Work
ethernet3
Zona Untrust
ethernet1
ethernet2
Zona Home
Zona Work
Interfaz
Zona
Untrusted
Untrust
Untrust
ethernet1
Work
ethernet1
Work
ethernet2
Home
ethernet2
Home
Mdem
ethernet3
Untrust
35
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
ethernet1
ethernet2
ethernet3
Zona Untrust
Zona Trust
La Tabla 6proporciona los enlaces de interfaz a zona del modo Dual Untrust.
Tabla 6: Enlaces del Modo Dual Untrust
NOTA:
Puerto
Interfaz
Zona
Untrusted
ethernet3
Untrust
ethernet1
Trust
ethernet1
Trust
ethernet1
Trust
ethernet2
Untrust
Modem
N/D
N/D
36
Modos de puerto
Captulo 2: Zonas
Modo combinado
El modo combinado asocia una interfaz principal y una de respaldo a Internet y
permite la segregacin de usuarios y recursos en las zonas Work y Home. Consulte
Figura 24.
Figura 24: Enlaces de interfaz a zona del modo de puerto combinado
ethernet4
ethernet3
ethernet2
ethernet1
Zona Home
Zona Untrust
NOTA:
Zona Work
NOTA:
Interfaz
Zona
Untrusted
ethernet4
Untrust
ethernet1
Work
ethernet2
Home
ethernet2
Home
ethernet3
Untrust
Modem
N/D
N/D
Modos de puerto
37
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Serie
ethernet2
Untrust
Zona Untrust
Zona DMZ
ethernet1
Zona Trust
Interfaz
Zona
Untrusted
Untrust
Untrust
ethernet1
Trust
ethernet1
Trust
ethernet2
DMZ
ethernet2
DMZ
Modem
serie
Untrust
ethernet4
Zona Untrust
38
Modos de puerto
ethernet2
ethernet3
Zona DMZ
ethernet1
Zona Trust
Captulo 2: Zonas
NOTA:
NOTA:
Puerto
Interfaz
Zona
Untrusted
ethernet4
Untrust
ethernet1
Trust
ethernet1
Trust
ethernet2
DMZ
ethernet3
Untrust
Modem
N/D
N/D
ethernet1
ethernet4
Zona Untrust
NOTA:
Zona DMZ2
Zona DMZ
ethernet3
ethernet2
Zona Trust
Modos de puerto
39
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Tabla 10proporciona los enlaces de interfaz a zona del modo Dual DMZ.
Tabla 10: Enlaces Dual DMZ
Puerto
Interfaz
Zona
Untrusted
ethernet5
Untrust
ethernet1
Trust
ethernet2
DMZ
ethernet3
DMZ2
ethernet4
Untrust
Modem
N/D
N/D
Ejecutar el comando CLI unset all no afecta al ajuste del modo de puerto del
dispositivo. Por ejemplo, si desea cambiar el modo de puerto de Combined al
modo predeterminado Trust-Untrust, ejecutar el comando unset all eliminar
la configuracin existente, pero no pondr el dispositivo en el modo
Trust-Untrust.
CLI
exec port-mode home-work
40
Captulo 2: Zonas
Zona Untrust
Zona Home
Zona Untrust
Zona Home
Zona Work
Combined
Zona Work
41
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Bloquear todo el trfico desde la zona Home a la zona Work (esta directiva no
se puede eliminar)
Puede crear nuevas directivas para el trfico de la zona Work a la zona Untrust, de
la zona Home a la zona Untrust y de la zona Work a la zona Home. Tambin puede
eliminar las directivas predeterminadas que permiten todo el trfico desde la zona
Work a la zona Untrust, desde la zona Home a la zona Untrust y desde la zona Work
a la zona Home.
42
Captulo 2: Zonas
WebUI
Configuration > Port Mode > Port Mode: Seleccione Home-Work en la lista
desplegable y haga clic en Apply.
Cuando aparezca la pregunta siguiente, haga clic en OK:
Operational mode change will erase current configuration and reset the
device, continue?
home-work
43
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
44
Captulo 3
Interfaces
Las interfaces y subinterfaces fsicas permiten que entre y salga trfico de una zona
de seguridad. Para permitir que el trfico de una red fluya dentro y fuera de una
zona de seguridad, sta debe tener asociada una interfaz y, si se trata de una zona
de capa 3, deber asignrsele una direccin IP. A continuacin se debern
configurar directivas para permitir que el trfico pase de interfaz en interfaz entre
las diferentes zonas. Se pueden asignar varias interfaces a una zona, pero una
misma interfaz no se puede asignar a varias zonas.
Este captulo contiene las siguientes secciones:
Tipos de interfaces
En esta seccin se describen la zona de seguridad, la zona de funcin y las
interfaces de tnel. Para obtener ms informacin sobre cmo visualizar una tabla
de todas estas interfaces, consulte Visualizacin de interfaces en la pgina 52.
Interfaces fsicas
Cada puerto de su dispositivo de seguridad representa una interfaz fsica, estando el
nombre de la interfaz predefinido. El nombre de una interfaz fsica se compone del
tipo de medio, nmero de la ranura (en algunos dispositivos de seguridad) y
nmero de puerto, por ejemplo, ethernet3/2 o ethernet2 (consulte tambin
Tipos de interfaces
45
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Interfaces de zonas de seguridad en la pgina 3). Puede asociar una interfaz fsica
a cualquier zona de seguridad en la que acte como entrada a travs de la que el
trfico entre y salga de la zona. Sin una interfaz, ningn trfico puede entrar ni salir
de la zona.
En los dispositivos de seguridad que admiten cambios en las asociaciones
interfaz-a-zona, tres de las interfaces fsicas Ethernet estn pre-asociadas a zonas de
seguridad especficas de capa 2: V1-Trust, V1-Untrust y V1-DMZ. La interfaz que se
asocia a cada zona depende de la plataforma en cuestin. (Para obtener ms
informacin sobre zonas de seguridad, consulte Zonas de seguridad en la
pgina 2).
Subinterfaces
Una subinterfaz, como una interfaz fsica, acta como puerta por la que entra y sale
el trfico de una zona de seguridad. Una interfaz fsica se puede dividir lgicamente
en varias subinterfaces virtuales. Cada subinterfaz virtual toma prestado el ancho
de banda que necesita de la interfaz fsica de la que procede, por lo que su nombre
es una extensin del nombre de la interfaz fsica, por ejemplo, ethernet3/2.1 o
ethernet2.1. (Consulte Interfaces de zonas de seguridad en la pgina 3).
Una subinterfaz se puede asociar a cualquier zona. Una subinterfaz se puede
asociar a la misma zona que su interfaz fsica, o bien a otra zona. (Para obtener ms
informacin, consulte Asociacin de una interfaz a una zona de seguridad en la
pgina 54).
Interfaces agregadas
Los dispositivos de la serie NetScreen-5000 admiten interfaces agregadas. Una
interfaz agregada es la acumulacin de dos o ms interfaces fsicas, entre las que se
reparte equitativamente la carga de trfico dirigida a la direccin IP de la interfaz
agregada. Utilizando interfaces agregadas se puede aumentar el ancho de banda
disponible para una direccin IP determinada. Asimismo, si falla algn miembro de
una interfaz agregada, los otros miembros pueden seguir procesando trfico,
aunque con menos ancho de banda que el disponible anteriormente.
NOTA:
Interfaces redundantes
Dos interfaces fsicas se pueden asociar para crear una interfaz redundante, que
entonces se puede asociar a una zona de seguridad. Una de las dos interfaces
fsicas acta como interfaz principal y gestiona todo el trfico dirigido a la interfaz
redundante. La otra interfaz fsica acta como interfaz secundaria y permanece en
estado de espera por si la interfaz activa experimenta algn fallo. En ese caso, el
trfico dirigido a la interfaz redundante se desva a la interfaz secundaria, que se
convierte en la nueva interfaz principal. El uso de interfaces redundantes
proporciona un primer frente de redundancia antes de que el fallo sea comunicado
como error al nivel de dispositivo.
NOTA:
46
Tipos de interfaces
Captulo 3: Interfaces
NOTA:
Para obtener ms informacin sobre VSI y cmo funcionan con VSD en un clster
HA, consulte Volumen 11: Alta disponibilidad.
Interfaces de administracin
En algunos dispositivos de seguridad, el dispositivo se puede administrar a travs
de una interfaz fsica separada (la interfaz de administracin o MGT) sacando el
trfico administrativo fuera del trfico de usuario de red habitual. Separando el
trfico administrativo del trfico de los usuarios de red se aumenta
significativamente la seguridad y se garantiza un ancho de banda de administracin
constante.
NOTA:
Tipos de interfaces
47
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
red a la zona de HA se utiliza el mismo procedimiento que para asociar una interfaz
de red a una zona de seguridad (consulte Asociacin de una interfaz a una zona de
seguridad en la pgina 54).
NOTA:
Interfaces de tnel
Una interfaz de tnel acta como entrada a un tnel VPN. El trfico entra y sale por
el tnel VPN a travs de una interfaz de tnel.
Cuando se asocia una interfaz de tnel a un tnel VPN, se puede establecer una
referencia a esa interfaz de tnel en una ruta hacia un destino determinado y
despus hacer referencia a ese destino en una o ms directivas. Este mtodo
permite un control muy detallado del flujo de trfico a travs del tnel. Tambin
permite el enrutamiento dinmico para el trfico VPN. Cuando no hay ninguna
interfaz de tnel asociada a un tnel VPN, se debe especificar el tnel mismo en la
directiva y elegir tunnel como accin. Dado que la accin tunnel lleva implcito un
permiso, no se puede rechazar especficamente el trfico procedente de un tnel
VPN.
Se puede aplicar NAT basada en directivas al trfico entrante o saliente usando un
conjunto de direcciones IP dinmicas (DIP) en la misma subred que la interfaz de
tnel. Un motivo tpico para utilizar NAT basada en directivas en una interfaz de
tnel es evitar conflictos de direcciones IP entre los sitios de ambos extremos de un
tnel VPN.
Un tnel VPN basado en rutas debe asociarse a una interfaz de tnel para que el
dispositivo de seguridad pueda enrutar el trfico entrante y saliente. Un tnel VPN
basado en rutas se puede asociar a una interfaz de tnel numerada (con direccin
IP y mscara de red) o no numerada (sin direccin IP y mscara de red). Si la
interfaz de tnel no est numerada, debe especificar una interfaz que preste a la
interfaz de tnel una direccin IP. El dispositivo de seguridad solamente utiliza la
direccin IP prestada como direccin de origen cuando el dispositivo de seguridad
mismo genera trfico (como el de los mensajes OSPF) a travs del tnel. La interfaz
de tnel puede tomar prestada la direccin IP de otra interfaz en la misma zona de
seguridad, o bien de una interfaz en otra zona, siempre que ambas zonas se
encuentren en el mismo dominio de enrutamiento.
Se puede alcanzar un control muy fiable del enrutamiento del trfico VPN
asociando todas las interfaces de tnel no numeradas a una zona, que se encuentra
en su propio dominio de enrutamiento virtual, y tomando la direccin IP de una
interfaz loopback asociada a la misma zona. Por ejemplo, se pueden asociar todas
las interfaces de tnel no numeradas a una zona definida por el usuario llamada
VPN y configurarlas para que tomen su direccin IP de la interfaz loopback.1,
tambin asociada a la zona VPN. La zona VPN se encuentra en un dominio de
enrutamiento definido por el usuario llamado vpn-vr. Usted pondr todas las
direcciones de destino a las que conducen los tneles en la zona VPN. Sus rutas a
estas direcciones apuntan a las interfaces de tnel, y sus directivas controlan el
trfico VPN entre otras zonas y la zona VPN. Consulte Figura 29 en la pgina 49.
48
Tipos de interfaces
Captulo 3: Interfaces
ethernet3
1.1.1.1/24
ethernet1
10.1.1.1/24
Zona Trust
trust-vr
Zona Untrust
externos
enrutador
1.1.1.250
src- 10.1.1.5
loopback.1
tunnel.1 sin 172.16.1.1/24
numerar
Zona VPN
dst-1
10.2.2.5
vpn-vr
Poner todas las interfaces de tnel en una zona de estas caractersticas es muy
seguro porque no hay posibilidad de que, por un fallo de la VPN (que provocara la
desactivacin de la ruta hacia la interfaz de tnel asociada), el trfico destinado al
tnel sea desviado hacia una ruta sin tnel, como la ruta predeterminada. (Para ver
varias sugerencias sobre cmo evitar este problema, consulte Consideraciones
sobre seguridad en redes privadas virtuales basadas en rutas en la pgina 5-72).
Tambin puede asociar una interfaz de tnel a una zona de tnel. En tal caso, debe
tener una direccin IP. La finalidad de asociar una interfaz de tnel a una zona de
tnel es que los servicios de NAT estn disponibles para los tneles VPN basados en
directivas. Consulte la Figura 30 en la pgina 50.
NOTA:
Tipos de interfaces
49
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Numerado o
No numerado
Zona de seguridad
Interfaces
Tnel VPN
Zona
Cuando una interfaz de tnel se encuentra en una zona de seguridad, debe asociarse un tnel
VPN a la interfaz de tnel. Esto permite crear una configuracin de VPN basada en rutas. La
interfaz de tnel puede estar numerada o no numerada. Si no est numerada, la interfaz de tnel
toma prestada la direccin IP de la interfaz predeterminada de la zona de seguridad en la que fue
creada.
Nota: Slo una interfaz de tnel con una direccin IP y una mscara de red puede admitir NAT
basada en directivas.
Seguridad
Numerada
Tnel VPN
Zona
Numerada
Tnel
Zona
Tnel VPN
Cuando una interfaz de tnel numerada se encuentra en una zona de seguridad y es la nica
interfaz en esa zona, no es necesario crear una interfaz de zona de seguridad. En este caso, la
zona de seguridad admite trfico de VPN a travs de la interfaz de tnel, pero ningn otro tipo de
trfico.
Cuando una interfaz de tnel est asociada a una zona de tnel, la interfaz de tnel debe tener
una direccin IP y una mscara de red. Esto permite definir conjuntos de DIP y direcciones MIP
en esa interfaz. Si usted asocia un tnel VPN a una zona de tnel, no puede asociarlo tambin a
una interfaz de tnel. En tales casos, debe crear una configuracin de VPN basada en directivas.
NOTA:
Para ver cmo asociar una interfaz de tnel a un tnel, consulte los ejemplos de
VPN basada en rutas en Redes privadas virtuales de punto a punto en la
pgina 5-81 y Redes privadas virtuales de acceso telefnico en la pgina 5-159.
Si est transmitiendo paquetes multicast a travs de un tnel VPN, puede habilitar
la encapsulacin de enrutamiento genrica (Generic Routing Encapsulation o
GRE) en las interfaces de tnel para encapsular los paquetes multicast en paquetes
50
Tipos de interfaces
Captulo 3: Interfaces
Policies (From: Trust, To: Untrust): Haga clic en Remove para la directiva con ID
10.
2.
Network > Interfaces > Edit (para tunnel.2) > DIP: Haga clic en Remove para
la DIP con ID 8.
3.
VPN > AutoKey IKE > Edit (para vpn1) > Advanced: Seleccione None en la
lista desplegable Bind to: Tunnel Interface, haga clic en Return y despus en
OK.
4.
Eliminar tunnel.2
unset policy 10
2.
Eliminar tunnel.2
Tipos de interfaces
51
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Visualizacin de interfaces
Puede visualizar una tabla que muestre todas las interfaces existentes en su
dispositivo de seguridad. Al estar predefinidas, las interfaces fsicas aparecen en la
lista tanto si se configuran como si no. Las subinterfaces e interfaces de tnel
solamente aparecen despus de crearlas y configurarlas.
Para visualizar la tabla de interfaces en WebUI, haga clic en Network > Interfaces.
Puede especificar los tipos de interfaces a mostrar en la lista desplegable List
Interfaces.
Para ver la tabla de interfaces en CLI, utilice el comando get interface.
La tabla de interfaces muestra la informacin siguiente sobre cada interfaz:
Zone: Este campo identifica las zonas a las que est asociada la interfaz.
Type: Este campo indica el tipo de interfaz: capa 2 (Layer 2), capa 3 (Layer
3), tnel (tunnel), redundante (redundant), agregada (aggregate), VSI.
Link: Este campo identifica si la interfaz est activa (up) o inactiva (down).
52
Visualizacin de interfaces
Captulo 3: Interfaces
NOTA:
Crear subinterfaces
Eliminar subinterfaces
53
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
CLI
set interface ethernet3 ip 0.0.0.0/0
set interface ethernet3 zone null
save
NOTA:
54
Para ver ejemplos de configuracin de los modos NAT y Route, consulte el Modos
de las interfaces en la pgina 81.
Captulo 3: Interfaces
Los dos tipos bsicos de direcciones IP que pueden considerarse para asignar
direcciones de interfaces son:
NOTA:
Direcciones IP pblicas
Si una interfaz se conecta a una red pblica, debe tener una direccin IP pblica.
Asimismo, si una zona de seguridad L3 en untrust-vr se conecta a una red pblica y
las interfaces de las zonas en trust-vr estn en modo de ruta, todas las direcciones
de las zonas en trust-vr (para las interfaces y para los hosts) tambin deben ser
direcciones pblicas. Las direcciones IP pblicas se dividen en tres clases: A, B, y C,
segn se muestra en la Tabla 11.
Tabla 11: Rangos de direcciones pblicas
Clase de direccin Rango de direcciones
0.0.0.0 127.255.255.255
128.0.0.0 191.255.255.255
172.16.0.0 172.31.255.255
192.0.0.0 223.255.255.255
192.168.0.0 192.168.255.255
NOTA:
55
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Direcciones IP privadas
Si una interfaz se conecta a una red privada, un administrador de la red local puede
asignarle cualquier direccin, aunque segn la convencin se suele utilizar una
direccin del rango de direcciones reservado para uso privado (10.0.0.0/8,
172.16.0.0 172.31.255.255, 192.168.0.0/16) segn se define en RFC 1918,
Address Allocation for Private Internets.
Si una zona de seguridad L3 en untrust-vr se conecta a una red pblica y las
interfaces asociadas a las zonas en trust-vr estn en el modo NAT, todas las
direcciones de las zonas en trust-vr (para interfaces y para hosts) pueden ser
privadas.
NOTA:
CLI
set interface ethernet5 ip 210.1.1.1/24
set interface ethernet5 manage-ip 210.1.1.5
save
56
Captulo 3: Interfaces
(Interfaz fsica) Ajustes del ancho de banda del trfico (consulte Asignacin de
trfico en la pgina 197).
(Interfaces L3) Impedir que el trfico entre y salga por la misma interfaz,
incluyendo el trfico entre una subred principal y una secundaria o entre
subredes secundarias (esto se realiza mediante el comando CLI set interface
con la opcin route-deny).
CLI
set interface ethernet1 manage-ip 10.1.1.12
set interface ethernet1 manage ssh
set interface ethernet1 manage ssl
unset interface ethernet1 manage telnet
unset interface ethernet1 manage web
save
57
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
CLI
set interface ethernet1.3 zone accounting
set interface ethernet1.3 ip 10.2.1.1/24 tag 3
save
58
Captulo 3: Interfaces
NOTA:
CLI
set interface ethernet1 ip 192.168.2.1/24 secondary
save
Crear una direccin IP secundaria 59
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
NOTA:
60
Captulo 3: Interfaces
WebUI
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Interface Name: loopback.1
Zona: Untrust (seleccione)
IP Address/Netmask: 1.1.1.27./24
CLI
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.1.27
save
NOTA:
NOTA:
Para habilitar BGP en la interfaz loopback, primero debe crear una instancia de
BGP para el enrutador virtual al que planea asociar la interfaz. Para obtener ms
informacin sobre cmo configurar BGP en dispositivos de seguridad de Juniper
Networks, consulte Volumen 7: Enrutamiento.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione Protocol BGP; a
continuacin, haga clic en OK.
CLI
set interface loopback.1 protocol bgp
save
61
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
CLI
set interface loopback.1:1 ip 1.1.1.1/24
save
CLI
set syslog config 10.1.1.1 log all
set syslog src-interface loopback.1
set syslog enable
save
62
Captulo 3: Interfaces
Lgicamente activas: Tanto para interfaces fsicas como para interfaces lgicas
(subinterfaces, interfaces redundantes e interfaces agregadas). Una interfaz
est lgicamente activa cuando el trfico que la atraviesa puede alcanzar los
dispositivos especificados (en las direcciones IP supervisadas) de una red.
El estado fsico de una interfaz tiene prioridad sobre su estado lgico. Una interfaz
puede estar fsicamente activa y, al mismo tiempo, lgicamente activa o inactiva.
Cuando una interfaz est fsicamente inactiva, su estado lgico es irrelevante.
Cuando el estado de una interfaz es activo, todas las rutas que utilizan esa interfaz
permanecen activas y utilizables. Cuando el estado de una interfaz es inactivo, el
dispositivo de seguridad desactiva todas las rutas que utilizan esa interfaz aunque,
dependiendo de si la interfaz est fsicamente o lgicamente inactiva, el trfico
podra seguir atravesando una interfaz en estado inactivo (consulte Interfaces
inactivas y flujo de trfico en la pgina 75). Para compensar la prdida de rutas
que implica la prdida de una interfaz, puede configurar rutas alternativas
utilizando una interfaz alternativa.
Dependiendo de la accin configurada para ejecutarse al detectar un cambio de
estado en una interfaz supervisada, el cambio del estado activo al inactivo en una
interfaz supervisada puede hacer que la interfaz supervisora cambie su estado de
inactivo a activo. Para configurar este comportamiento, puede utilizar el siguiente
comando CLI:
set interface interface monitor threshold number action up { logically | physically }
Desconexin/reconexin fsica
63
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Desconexin
fsica
La interfaz se desconecta.
Fallo del
seguimiento de IP
entonces la interfaz
supervisora se desactiva.
Falla de la Interfaz
supervisada
Supervisin
de Interfaz
Falla de la zona
supervisada
Si, despus de fallar, un objeto supervisado tiene xito (la interfaz se reconecta o el
seguimiento de IP vuelve a tener xito), la interfaz supervisora vuelve a activarse.
Existe un retardo de aproximadamente un segundo entre el momento en que el
objeto supervisado tiene xito y la reactivacin de la interfaz supervisora.
Cada uno de los eventos antes indicados se presenta en las secciones siguientes.
64
Captulo 3: Interfaces
NOTA:
En ciertos dispositivos con ScreenOS, esta accin tambin hace que se conmute
por error a la interfaz de respaldo asociada a la misma zona que la interfaz en la
que se configur el seguimiento de IP (consulte Definir la conmutacin por error
de interfaces en la pgina 11-52).
ScreenOS utiliza una supervisin de rutas de capa 3, o seguimiento de IP, similar a la
utilizada con NSRP para supervisar la accesibilidad de direcciones IP especficas a
travs de una interfaz. Por ejemplo, si una interfaz se conecta directamente a un
enrutador, es posible hacer un seguimiento de la direccin de salto siguiente en la
interfaz para determinar si el enrutador sigue estando accesible. Al configurar el
seguimiento de IP en una interfaz, el dispositivo de seguridad enva peticiones de
eco ICMP (ping) en la interfaz a un mximo de cuatro direcciones IP de destino a
intervalos definidos por el usuario. El dispositivo de seguridad supervisa estos
objetivos para comprobar si se recibe una respuesta. Si no se recibe respuesta de un
destino durante un nmero especfico de veces, dicha direccin IP se considera
inaccesible. Si no se obtiene respuesta de uno o ms destinos, es posible que el
dispositivo de seguridad desactive las rutas asociadas a dicha interfaz. Si hay
disponible otra ruta que conduzca al mismo destino, el dispositivo de seguridad
redirige el trfico para utilizar la nueva ruta.
Puede definir el seguimiento de IP en las siguientes interfaces para las que haya
configurado una direccin IP de administracin:
NOTA:
NOTA:
Interfaz fsica asociada a una zona de seguridad (no las zonas funcionales HA o
MGT)
Subinterfaz
Interfaz redundante
Interfaz agregada
Aunque la interfaz puede ser una interfaz redundante o una interfaz agregada, no
puede ser un miembro de una interfaz redundante o agregada.
En los dispositivos que admiten sistemas virtuales, la interfaz en la que se
establezca el seguimiento de IP puede pertenecer al sistema raz o a un sistema
virtual (vsys). Sin embargo, en una interfaz compartida el seguimiento de IP slo se
puede establecer en el nivel raz.
Cambios de estado de la interfaz
65
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Peso de la conexin IP fallida (una vez que la suma de pesos de todas las
conexiones IP fallidas supera un umbral determinado, se desactivan las rutas
asociadas a la interfaz).
66
Captulo 3: Interfaces
ethernet1
10.1.1.1/24
ethernet3
1.1.1.1/24
Enrutador
1.1.1.250
Zona Trust
Zona Untrust
Internet
10.1.1.0/24
ethernet4
2.2.2.1/24
Enrutador
2.2.2.250
67
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
IP-Prefix
Interface
Gateway P Pref
Mtr
Vsys
----------------------------------------------------------------------------------------------------* 4
0.0.0.0/0
eth3
* 2
1.1.1.0/24
eth3
0.0.0.0/0
eth4
1.1.1.250 S 20
0.0.0.0 C
2.2.2.250 S 20
* 6
2.2.2.0/24
eth4
0.0.0.0 C
* 5
10.1.1.0/24
eth1
0.0.0.0 C 20
1
0
10
1
1
Root
Root
Root
Root
Root
68
Captulo 3: Interfaces
CLI
set interface ethernet3 monitor track-ip ip 1.1.1.250 weight 10
set interface ethernet3 monitor track-ip threshold 5
set interface ethernet3 monitor track-ip
save
30.0.0.0/0eth42.2.2.250S2010Root
62.2.2.0/24eth40.0.0.0C01Root
510.1.1.0/24eth10.0.0.0C201Root
Recuerde que aunque las rutas que pasan por ethernet3 no estn activas, el
seguimiento de IP utiliza las rutas asociadas a ethernet3 para continuar enviando
peticiones de eco a la direccin IP de destino. Cuando el seguimiento de IP puede
acceder de nuevo a 1.1.1.250, la ruta predeterminada que atraviesa ethernet3 se
vuelve a convertir en la ruta activa del dispositivo de seguridad. Al mismo tiempo,
la ruta predeterminada que pasa por ethernet4 se convierte en ruta inactiva, ya que
su nivel de prioridad es inferior al de la ruta predeterminada que pasa por
ethernet3.
Cambios de estado de la interfaz
69
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Supervisin de interfaces
Un dispositivo de seguridad puede supervisar el estado fsico y lgico de las
interfaces y ejecutar una determinada accin en funcin de los cambios
observados. Consulte la Figura 38. Por ejemplo, si el estado de una interfaz
supervisada cambia de activo a inactivo, puede ocurrir lo siguiente, segn se
muestra en la Tabla 12.
Tabla 12: Interfaz supervisada
Si:
Despus:
ethernet3
IP 1.1.1.1
ethernet2
IP 2.1.1.1
CLI
set interface interface1 monitor interface interface2 [ weight number ]
70
Captulo 3: Interfaces
ethernet3
IP 1.1.1.1
Segundo cambio de
estado, si:
ethernet2
IP 2.1.1.1
El peso de la falla de la
primera interfaz es mayor que o
igual al umbral de la falla de
supervisin de la segunda
interfaz
La accin en caso de fallo es
cambiar de activo a inactivo
Despus:
La segunda interfaz tambin cambia
su estado de activo a inactivo.
W=8
W=8
F-T: 16
Interfaces supervisadas:
ethernet1, peso 8
ethernet2, peso 8
Umbral de fallos de supervisin: 16
71
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
ethernet1: (seleccione), Weight: 8
ethernet2: (seleccione), Weight: 8
Network > Interfaces > Edit (para ethernet3) > Monitor: Escriba 16 en el
campo Monitor Threshold; a continuacin, haga clic en Apply.
CLI
set interface ethernet3 monitor interface ethernet1 weight 8
set interface ethernet3 monitor interface ethernet2 weight 8
set interface ethernet3 monitor threshold 16
save
72
Enrutador
externo
1.1.1.250
1.1.2.250
1.1.1.1/24
10.1.2.1/24 Zona Untrust
Zona Trust
A Internet
1.1.2.1/24
Zona Untrust
Captulo 3: Interfaces
WebUI
1.
Network > Interfaces > Edit (para ethernet1) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
Enable Track IP: (seleccione)
Monitor Threshold: 8
Track IP Option: Threshold: 8
Weight: 8
NOTA:
Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
Enable Track IP: (seleccione)
Monitor Threshold: 8
Track IP Option: Threshold: 8
Weight: 8
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en
Add:
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 8
Interval: 3 segundos
Threshold: 10
2.
Supervisin de interfaces
Network > Interfaces > Edit (para ethernet1) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
ethernet3: (seleccione), Weight: 8
Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
ethernet1: (seleccione), Weight: 8
73
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
3.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.0.0/16
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 10.1.1.250
Metric: 10
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.0.0/16
Gateway: (seleccione)
Interface: ethernet2
Gateway IP Address: 10.1.2.250
Metric: 12
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Metric: 10
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet4
Gateway IP Address: 1.1.2.250
Metric: 12
CLI
1.
Supervisin de interfaces
set
set
set
set
74
Captulo 3: Interfaces
3.
Rutas
CLI
set interface interface monitor zone zone [ weight number ]
75
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
NOTA:
76
Primero hay que crear dos rutas que conduzcan al host B y ambas interfaces de
salida deben encontrarse en la misma zona para que se aplique la misma directiva
al trfico antes y despus del redireccionamiento.
Captulo 3: Interfaces
Interfaz de entrada
ethernet1
10.1.1.1/24
Seguimiento de IP
activado desde ethernet2
2
Bsqueda
de sesin
Zona Trust
10.1.1.1/24
10.1.1.0/24
Bsqueda
de rutas
Zona Untrust
Bsqueda de
directivas
Host B
2.2.2.2
4
1
Host A
10.1.1.5
Respondedor
Iniciador
Segunda interfaz de salida
ethernet3
1.1.2.1/24
Puertas de enlace:
1.1.1.254
1.1.2.254
Cuando el host B responde al host A, el trfico de retorno sigue una ruta de regreso
similar a travs del dispositivo de seguridad, como se indica en la Figura 43.
Figura 43: Flujo de trfico de salida del host B al host A
Flujo de trfico del host A al host B: respuesta
Interfaz de entrada
ethernet1
10.1.1.1/24
3
Actualiz
acin de
Zona Trust
10.1.1.1/24
10.1.1.0/24
Seguimiento de IP desde
ethernet2 correcto
Zona Untrust
2
1
Host B
2.2.2.2
4
Host A
10.1.1.5
Respondedor
Iniciador
Segunda interfaz de salida
ethernet3
1.1.2.1/24
Puertas de enlace:
1.1.1.254
1.1.2.254
77
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
1
Zona Trust
Cambio
de ruta
10.1.1.1/24
10.1.1.0/24
Seguimiento de IP desde
ethernet2 incorrecto
Zona Untrust
Actualizacin
de sesin
Host B
2.2.2.2
2
Host A
10.1.1.5
Respondedor
Iniciador
Segunda interfaz de salida
ethernet3
1.1.2.1/24
Puertas de
enlace:
1.1.1.254
1.1.2.254
Seguimiento de IP activado
desde ethernet2
2
Bsqueda de
directivas
Zona Trust
Bsqueda
de rutas
Bsqueda
de sesin
Zona Untrust
10.1.1.1/24
10.1.1.0/24
1
3
Host A
10.1.1.5
Respondedor
78
Host B
2.2.2.2
Iniciador
Puertas de enlace:
1.1.1.254
1.1.2.254
Captulo 3: Interfaces
Cuando el host A responde al host B, el trfico de retorno sigue una ruta de regreso
similar a travs del dispositivo de seguridad, como se indica en la Figura 46.
Figura 46: Flujo de trfico de entrada del host A al host B
Flujo de trfico del host B al host A: respuesta
Interfaz de entrada
ethernet1
10.1.1.1/24
Zona Untrust
Bsqueda
de sesin
Zona Trust
Seguimiento de IP desde
ethernet2 correcto
10.1.1.1/24
10.1.1.0/24
Host B
2.2.2.2
4
1
Host A
10.1.1.5
Iniciador
Respondedor
Segunda interfaz de salida
ethernet3
1.1.2.1/24
Puertas de enlace:
1.1.1.254
1.1.2.254
1. El host A en 10.1.1.5 enva un paquete de respuesta a ethernet1 en 10.1.1.1 destinado al host B (2.2.2.2).
2. El dispositivo de seguridad realiza una bsqueda de sesin. Como se trata de una respuesta, el dispositivo la relaciona con una
sesin existente y actualiza
la entrada en la tabla de la sesin.
3. Utilizando la direccin MAC de la puerta de enlace en 1.1.1.254 guardada en cach o realizando una bsqueda ARP para averiguar
la direccin MAC, el dispositivo
79
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Interfaz de entrada
ethernet1
10.1.1.1/24
1
Zona Trust
Cambio Actualizacin
de ruta de sesin
Seguimiento de IP desde
ethernet2 incorrecto
Zona Untrust
10.1.1.1/24
10.1.1.0/24
Host A
10.1.1.5
Host B
2.2.2.2
3
Iniciador
Puertas de enlace:
1.1.1.254
1.1.2.254
Segunda interfaz de salida
ethernet3
1.1.2.1/24
Respondedor
Interfaz de entrada
ethernet1
10.1.1.1/24
2
Zona Trust
Bsqueda
de sesin
10.1.1.1/24
10.1.1.0/24
Seguimiento de IP desde
ethernet2 incorrecto
Zona Untrust
Host B
2.2.2.2
1
Host A
10.1.1.5
Iniciador
Respondedor
Segunda interfaz de salida
ethernet3
1.1.2.1/24
80
Puertas de enlace:
1.1.1.254
1.1.2.254
Captulo 4
NOTA:
81
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Modo transparente
Cuando una interfaz est en modo transparente, el dispositivo de seguridad filtra
los paquetes que atraviesan la pared de fuego sin modificar ninguna informacin de
origen ni de destino en el encabezado de los paquetes IP. Todas las interfaces se
comportan como si fuesen parte de la misma red, con el dispositivo de seguridad
actuando en gran medida como conmutador o puente de capa 2 (Layer 2). En el
modo transparente, las direcciones IP de las interfaces se establecen en 0.0.0.0,
haciendo que el dispositivo de seguridad parezca transparente (o invisible) a los
usuarios. Consulte Figura 49.
Figura 49: Modo transparente
209.122.30.3
209.122.30.2
209.122.30.2
209.122.30.4
209.122.30.1
209.122.30.5
Zona Trust
Conmutador
Espacio de
direcciones
pblico
Zona Untrust
Enrutador externo
A Internet
82
Modo transparente
Ajustes de zona
De forma predeterminada, ScreenOS crea una zona de funcin, la zona VLAN, y
tres zonas de seguridad L2: V1-Trust, V1-Untrust y V1-DMZ.
Zona VLAN
La zona VLAN contiene la interfaz VLAN1, que tiene la misma configuracin y las
mismas posibilidades de administracin que una interfaz fsica. Cuando el
dispositivo de seguridad est en modo transparente, utiliza la interfaz VLAN1 para
administrar el dispositivo y terminar el trfico VPN. Puede configurar la interfaz
VLAN1 para permitir que los hosts en las zonas de seguridad L2 puedan administrar
el dispositivo. Para ello, debe establecer la direccin IP de la interfaz VLAN1 en la
misma subred que los hosts de las zonas de seguridad L2.
Para el trfico administrativo, la IP de administracin de VLAN1 tiene preferencia
sobre la IP de la interfaz VLAN1. Puede reservar la IP de administracin de VLAN1
para el trfico administrativo y dedicar la IP de la interfaz VLAN1 solamente a la
terminacin del tnel VPN.
NOTA:
Reenvo de trfico
Un dispositivo de seguridad que operan en la capa 2 (Layer 2 o L2) no permiten
ningn trfico interzonal ni intrazonal a menos que haya una directiva configurada
en el dispositivo. Para obtener ms informacin sobre cmo establecer directivas,
consulte Directivas en la pgina 2-163. Una vez configurada una directiva en el
dispositivo de seguridad, hace lo siguiente:
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Para permitir que todo el trfico L2 no IP pueda pasar por el dispositivo, ejecute
el comando set interface vlan1 bypass-non-ip .
NOTA:
84
Modo transparente
NOTA:
NOTA:
Mtodo de inundacin
El mtodo de inundacin reenva paquetes del mismo modo que la mayora de
conmutadores (switches) de la capa 2. Un conmutador mantiene una tabla de
reenvos que contiene direcciones MAC y sus puertos asociados para cada dominio
de capa 2. La tabla tambin contiene la interfaz correspondiente a travs de la cual
el conmutador puede reenviar trfico a cada dispositivo. Cada vez que un paquete
llega con una nueva direccin MAC de origen en su encabezado de trama, el
conmutador agrega la direccin MAC a su tabla de reenvos. Tambin detecta a
travs de qu interfaz lleg el paquete. Si la direccin MAC de destino es
desconocida para el conmutador, ste duplica el paquete y lo inunda saliendo por
Modo transparente 85
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
ethernet4
IP 0.0.0.0/0
El paquete llega a
ethernet1.
Enrutador
Zona V1-Trust
V1-DMZ
Zona
ethernet3
IP 0.0.0.0/0
Zona V1-Untrust
Enrutador
Enrutador
El dispositivo de seguridad inunda el paquete saliendo por ethernet2, sin embargo
no recibe ninguna respuesta.
Se encontr Untrust
Mtodo ARP/Trace-Route
Cuando se habilita el mtodo ARP con la opcin trace-route y el dispositivo de
seguridad recibe una trama de Ethernet con una direccin MAC de destino que no
consta en su tabla de MAC, el dispositivo de seguridad realiza la siguiente serie de
acciones:
86
Modo transparente
NOTA:
NOTA:
NOTA:
Modo transparente 87
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Trama Ethernet
dst
src
type
11bb
11aa
src
src
ffff
type src
src
Mensaje ARM
type src
Modo transparente
ethernet4
0.0.0.0/0
0010.db15.39ce
Enrutador A
210.1.1.100
00cc.11cc.11cc
V1-DMZ
Zona
Enrutador
Comn
Direccin
Espacio
ethernet2
0.0.0.0/0
0010.db15.39ce
Zona
L2-Finance
ethernet3
0.0.0.0/0
0010.db15.39ce
Zona
V1-Untrust
dst
88
Zona V1-Trust
dst
dst
ethernet1
0.0.0.0/0
0010.db15.39ce
Mensaje ARM
dst
Trama Ethernet
PC A
210.1.1.5
00aa.11aa.11aa
dst
VLAN1
210.1.1.1/24
0010.db15.39ce
PC B encontrado
PC B
210.1.1.75
00bb.11bb.11bb
Enrutador B
210.1.1.200
00dd.11dd.11dd
Si el paquete siguiente:
Trama Ethernet
Datagrama IP
dst
src
type
src
dst
11dd
11aa
0800
210.1.1.5
195.1.1.5
dst
src
type
dst
210.1.1.5
195.1.1.5
Comn
Direccin
Espacio
dst
src
type
ethernet3
0.0.0.0/0
0010.db15.39ce
Zona
V1-Untrust
Zona
L2-Finance
Mensaje ICMP
src
ethernet2
0.0.0.0/0
0010.db15.39ce
TTL
dst
msg
210.1.1.200 210.1.1.5
Enrutador A
210.1.1.100
00cc.11cc.11cc
Zona V1-Trust
Mensaje ICMP
src
ethernet4
0.0.0.0/0
0010.db15.39ce
V1-DMZ
Zona
Trama Ethernet
ethernet1
0.0.0.0/0
0010.db15.39ce
PC B
210.1.1.75
00bb.11bb.11bb
Enrutador B
210.1.1.200
00dd.11dd.11dd
Tiempo
excedido
Se encontr
Untrust
Servidor C
195.1.1.5
00dd.22dd.22dd
NOTA:
Habilitar Web, Telnet, SSH y Ping tanto en la interfaz VLAN1 como en la zona
de seguridad V1-Trust.
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Agregar una ruta en el enrutador virtual trust (todas las zonas de seguridad de
capa 2 estn en el dominio de enrutamiento trust-vr) para permitir que el
trfico administrativo fluya entre el dispositivo de seguridad y una estacin de
trabajo administrativa situada ms all de la subred inmediata del dispositivo
de seguridad. Todas las zonas de seguridad se encuentran en el dominio de
enrutamiento trust-vr.
Internal Router
1.1.1.251
1.1.2.250
1.1.1.0/24
Subred
Enrutador externo
1.1.1.250
Internet
IP de VLAN1
1.1.1.1/24
Zona V1-Trust
Interfaz V1-Trust
ethernet1
0.0.0.0/0
Estacin de trabajo
admin
1.1.2.5
Zona V1-Untrust
Interfaz V1-Untrust
ethernet3
0.0.0.0/0
WebUI
1.
Interfaz VLAN1
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet, SSH (seleccione)
Other Services: Ping (seleccione)
2.
Zona V1-Trust
Network > Zones > Edit (para V1-Trust): Introduzca los siguientes datos y haga
clic en OK:
Management Services: WebUI, Telnet, SSH
Other Services: Ping
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 1.1.2.0/24
Gateway: (seleccione)
Interface: vlan1(trust-vr)
Gateway IP Address: 1.1.1.251
Metric: 1
CLI
1.
Interfaz VLAN1
Modo transparente
2.
Zona V1-Trust
set
set
set
set
3.
zone
zone
zone
zone
Ruta
set vrouter trust-vr route 1.1.2.0/24 interface vlan1 gateway 1.1.1.251 metric 1
save
NOTA:
Mail_Server
1.1.1.10
Enrutador externo
1.1.1.250
1.1.1.0/24
Espacio de direcciones
Internet
IP de VLAN1
1.1.1.1/24
Zona V1-Trust
Interfaz V1-Trust
ethernet1
0.0.0.0/0
Zona V1-Untrust
Interfaz V1-Untrust
ethernet3
0.0.0.0/0
Modo transparente 91
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
WebUI
1.
Interfaz VLAN1
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet (seleccione)
Other Services: Ping (seleccione)
2.
Puerto HTTP
Configuration > Admin > Management: En el campo HTTP Port, escriba 5555
y despus haga clic en Apply.
NOTA:
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
4.
Zona V1-Trust
Network > Zones > Edit (para v1-trust): Introduzca los siguientes datos y haga
clic en OK:
Management Services: WebUI, Telnet
Other Services: Ping
5.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: FTP_Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.5/32
Zona: V1-Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: Mail_Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.10/32
Zona: V1-Trust
92
Modo transparente
6.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: vlan1(trust-vr)
Gateway IP Address: 1.1.1.250
Metric: 1
7.
Directivas
Directivas > (From: V1-Trust, To: V1-Untrust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
Directivas > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail_Server
Service: Mail
Action: Permit
Directivas > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), FTP_Server
Service: FTP-GET
Action: Permit
CLI
1.
VLAN1
Telnet
Modo transparente 93
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
3.
Interfaces
Zona V1-Trust
Direcciones
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1
7.
Directivas
Modo NAT
Cuando una interfaz de entrada est en el modo de traduccin de direcciones de
red (NAT), el dispositivo de seguridad, actuando como conmutador (o enrutador) de
capa 3, traduce dos componentes del encabezado de un paquete IP saliente
destinado a la zona Untrust: su direccin IP de origen y el nmero del puerto de
origen. El dispositivo de seguridad reemplaza la direccin IP de origen del host de
origen con la direccin IP de la interfaz de la zona Untrust. Tambin reemplaza el
nmero del puerto de origen con otro nmero de puerto generado aleatoriamente
por el dispositivo de seguridad.
94
Modo NAT
10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de
direcciones privado
Espacio de
direcciones pblico
Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
zona Untrust
1.1.1.1/24
Enrutador
externo
Zona Untrust
Internet
Modo NAT
95
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
192.168.0.0 192.168.255.255
Slo se puede definir una direccin IP virtual (VIP) en una interfaz asociada a la
zona Untrust.
ethernet3
1.1.1.1/24
Modo de ruta
MIP 1.1.1.10 a 10.1.1.10
MIP 1.1.1.20 a 10.1.2.20
Zona Untrust
NAT
ethernet1
10.1.1.1/24
Modo NAT
Zona Trust
NOTA:
96
Modo NAT
2
NAT
4
Sin NAT
Las MIP
6
son
opcionales
ethernet2
10.1.2.1/24
Modo NAT
Zona definida
por el usuario
Ajustes de interfaz
Para el modo NAT, defina los siguientes ajustes de interfaz, donde dir_ip1 y dir_ip2
representan los nmeros de una direccin IP, mscara representa los nmeros de
una mscara de red, nm_id_vlan representa el nmero de una etiqueta VLAN, zona
representa el nombre de una zona y nmero representa el tamao del ancho de
banda en kbps:
Interfaces de zona
Ajustes
Subinterfaces de zona
IP: ip_addr1
Mscara de red: mask
Etiqueta VLAN: nm_id_vlan
Nombre de la zona: zone
NAT: (seleccione)
Untrust4
IP: ip_addr1
Mscara de red: mask
Etiqueta VLAN: nm_id_vlan
Nombre de la zona: zone
IP: ip_addr1
Mscara de red: mask
IP de administracin*: ip_addr2
Ancho de banda del trfico:
number
NOTA:
NOTA:
Compare la Figura 57 con el del modo ruta en la Figura 59, Dispositivo en modo
de ruta, en la pgina 102.
Modo NAT
97
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Internet
ethernet1
10.1.1.1/24
Modo NAT
ethernet3
1.1.1.1/24
Modo de ruta
Zona Untrust
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
NOTA:
NOTA:
VIP
Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca los siguientes
datos y haga clic en Add:
Virtual IP Address (direccin IP virtual o VIP): 1.1.1.5
Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service:
Introduzca los siguientes datos y haga clic en OK:
Virtual Port: 25
Map to Service: Mail
Map to IP: 10.1.1.5
98
Modo NAT
NOTA:
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
4.
Directivas
Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Directivas > (From: Untrust, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.5)
Service: MAIL
Action: Permit
CLI
1.
Interfaces
Modo NAT
99
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
2.
VIP
Ruta
Directivas
Modo de ruta
Cuando una interfaz est en modo de ruta (Route), el dispositivo de seguridad
enruta el trfico entre diferentes zonas sin ejecutar NAT de origen (NAT-src); es
decir, la direccin de origen y el nmero de puerto en el encabezado del paquete IP
permanecen invariables mientras atraviesan el dispositivo de seguridad. A
diferencia de NAT-src, no es necesario establecer direcciones IP asignadas (MIP) e IP
virtuales (VIP) para permitir que trfico entrante llegue a los hosts cuando la
interfaz de la zona de destino est en modo de ruta. A diferencia del modo
transparente, las interfaces de cada zona se encuentran en subredes diferentes.
Figura 58: Topologa de NAT
10.1.1.15
10.1.1.10
10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de
direcciones privado
Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
zona Untrust
1.1.1.1/24
Espacio de
direcciones pblico
Enrutador
externo
Zona Untrust
Internet
100
Modo de ruta
NOTA:
Ajustes de interfaz
Para el modo Route, defina los siguientes ajustes de interfaz, donde dir_ip1 y
dir_ip2 representan los nmeros de una direccin IP, mscara representa los
nmeros de una mscara de red, nm_id_vlan representa el nmero de una
etiqueta VLAN, zona representa el nombre de una zona y nmero representa el
tamao del ancho de banda en kbps:
Tabla 13: Ajustes de interfaz
I
Interfaces de zona
Ajustes
Subinterfaces de zona
IP: ip_addr1
Netmask: mscara
IP de administracin1: ip_addr2
Ancho de banda del trfico2:
nmero
Route3: (seleccione)
IP: ip_addr1
Mscara de red: mask
Etiqueta VLAN: nm_id_vlan
Nombre de la zona: zone
Ruta: (seleccione)
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Internet
ethernet1
1.2.2.1/24
Modo de ruta
Zona Trust
ethernet3
1.1.1.1/24
Modo de ruta
Zona Untrust
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: Ruta
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
NOTA:
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: Trust
102
Modo de ruta
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
4.
Policies
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Directivas > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: MAIL
Action: Permit
CLI
1.
Interfaces
Direccin
Ruta
Directivas
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
104
Modo de ruta
Captulo 5
105
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Direcciones
ScreenOS clasifica las direcciones de todos los dems dispositivos segn su
ubicacin y mscara de red. Cada zona posee su propia lista de direcciones y sus
grupos de direcciones.
Los hosts individuales solamente tienen definida una direccin IP, por lo que su
mscara de red debe tener el valor 255.255.255.255 (que enmascara todos los
hosts salvo el propio).
Las subredes tienen una direccin IP y una mscara de red (por ejemplo,
255.255.255.0 o 255.255.0.0).
Para poder configurar directivas que permitan, rechacen o canalicen el trfico a
travs de un tnel desde y hacia determinados hosts y subredes, es necesario crear
las correspondientes entradas en las listas de direcciones de ScreenOS, que estn
organizadas por zonas.
NOTA:
Entradas de direcciones
Para poder establecer muchas de las opciones de configuracin de la pared de
fuego de Juniper, de VPN y de asignacin del trfico, es necesario definir
direcciones en unas o varias listas de direcciones. La lista de direcciones de una
zona de seguridad contiene las direcciones IP o nombres de dominios de los hosts o
subredes cuyo trfico est permitido, bloqueado, encriptado o autenticado por el
usuario.
NOTA:
106
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Juniper
IP Address/Domain Name:
Domain Name: (seleccione), www.juniper.net
Zona: Untrust
CLI
set address trust Sunnyvale_Eng 10.1.10.0/24
set address untrust Juniper www.juniper.net
save
CLI
unset address trust Sunnyvale_Eng
set address trust Sunnyvale_SW_Eng 10.1.40.0/24
save
NOTA:
107
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
WebUI
Objects > Addresses > List: Haga clic en Remove en la columna Configure
para Sunnyvale_SW_Eng.
CLI
unset address trust Sunnyvale_SW_Eng
save
Grupos de direcciones
En Entradas de direcciones en la pgina 106 se explica cmo crear, modificar y
eliminar las entradas en la libreta de direcciones correspondientes a los diferentes
hosts y subredes. Segn se vayan agregando direcciones a una lista de direcciones,
se har ms difcil controlar cmo las directivas afectan a cada entrada de
direccin. ScreenOS permite crear a grupos de direcciones. En lugar de administrar
un gran nmero de entradas de direcciones, puede administrar un pequeo
nmero de grupos. Los cambios que efecte al grupo se aplicarn a todas las
entradas de direcciones que lo componen.
Figura 60: Grupos de direcciones
1 directiva por direccin
Nombre
Direccin
Directiva
de
acceso
Nombre
Direccin
Directiva
de
acceso
Nombre
Direccin
Directiva
de
acceso
Name
Name
Address
Name
Address
Address
Directiva
de
acceso
108
Direcciones
Puede crear grupos de direcciones con los usuarios existentes, o bien crear
grupos de direcciones vacos e introducir posteriormente los usuarios.
NOTA:
NOTA:
ScreenOS aplica las directivas a cada miembro del grupo creando internamente
directivas individuales para cada miembro del grupo. Aunque usted solamente
tiene que crear una directiva para un grupo, en realidad ScreenOS crea una
directiva interna para cada miembro del grupo (as como para cada servicio
configurado para cada usuario).
Direcciones
109
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
110
Direcciones
CLI
unset group address trust HQ 2nd Floor remove Support
unset group address trust Sales
save
NOTA:
Servicios
Los servicios son tipos de trfico para los que existen estndares de protocolos.
Cada servicio tiene asociados un protocolo de transporte y uno o varios nmeros de
puertos de destino, como el puerto TCP n 21 para FTP y el puerto TCP n 23 para
Telnet. Al crear una directiva se debe especificar un servicio para ella. Puede
seleccionar uno de los servicios predefinidos del libro de servicios, o bien un
servicio personalizado o grupo de servicios que haya creado. Para consultar qu
servicio puede utilizar en una directiva, visualice la lista desplegable Service de la
pgina Policy Configuration (WebUI) o ejecute el comando get service (CLI).
Servicios predefinidos
Puede visualizar la lista de servicios predefinidos o personalizados, o bien los
grupos de servicios en el dispositivo de seguridad mediante WebUI o CLI.
Mediante WebUI:
Mediante CLI:
get service [ group | predefined | user ]
NOTA:
111
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
112
Servicios
Cdigo Tipo
ICMP-ANY
todos
Descripcin
ICMP-ADDRESS-MASK
Request (peticin)
17
Reply (respuesta)
18
ICMP-DEST-UNREACH
11
ICMP-HOST-UNREACH
Servicios
113
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Cdigo Tipo
Descripcin
Request (peticin)
15
Reply (respuesta)
16
ICMP-INFO
ICMP-PARAMETER-PROBLEM
12
ICMP-PORT-UNREACH
ICMP-PROTOCOL-UNREACH
ICMP-REDIRECT
114
ICMP-REDIRECT-HOST
ICMP-REDIRECT-TOS-HOST
ICMP-REDIRECT-TOS-NET
Servicios
Cdigo Tipo
Descripcin
ICMP-SOURCE-QUENCH
ICMP-TIME-EXCEEDED
11
ICMP-TIMESTAMP
Request (peticin)
13
Reply (respuesta)
14
ICMP-ECHO-FRAGMENTASSEMBLY-EXPIRE
11
Traceroute
Forward (reenvo)
30
Discard (descartar)
30
Servicios
115
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Puertos
AOL
5190-5193
DHCP-Relay
67
(predetermin
ado)
DHCP
68 cliente
67 servidor
DNS
53
FTP
FTP-Get
20 datos
FTP-Put
21 control
Gopher
70
HTTP
8080
HTTP-EXT
HTTPS
443
116
Servicios
Puertos
IRC
6665-6669
LDAP
389
PC-Anywhere
TFTP
69
WAIS
Parmetro/UUID
Descripcin
MS-RPC-EPM
135
e1af8308-5d1f-11c9-91a4-08002b14a0fa
MS-RPC-ANY
MS-AD
4 miembros
MS-EXCHANGE
6 miembros
Servicios
117
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Servicio
Parmetro/UUID
Descripcin
MS-IIS
6 miembros
MS-AD-BR
16e0cf3a-a604-11d0-96b1-00a0c91ece30
MS-AD-DRSUAPI
e3514235-4b06-11d1-ab04-00c04fc2dcd2
MS-AD-DSROLE
1cbcad78-df0b-4934-b558-87839ea501c9
MS-AD-DSSETUP
3919286a-b10c-11d0-9ba8-00c04fd92ef5
MS-DTC
906b0ce0-c70b-1067-b317-00dd010662da
MS-EXCHANGE-DATABASE
1a190310-bb9c-11cd-90f8-00aa00466520
f5cc5a18-4264-101a-8c59-08002b2f8426
MS-EXCHANGE-DIRECTORY
ecec0d70-a603-11d0-96b1-00a0c91ece30
f5cc5a7c-4264-101a-8c59-08002b2f8426
f5cc59b4-4264-101a-8c59-08002b2f8426
MS-EXCHANGE-INFO-STORE 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
MS-EXCHANGE-MTA
9e8ee830-4459-11ce-979b-00aa005ffebe
38a94e72-a9bc-11d2-8faf-00c04fa378ff
MS-EXCHANGE-STORE
99e66040-b032-11d0-97a4-00c04fd6551d
89742ace-a9ed-11cf-9c0c-08002be7ae86
a4f1db00-ca47-1067-b31e-00dd010662da
a4f1db00-ca47-1067-b31f-00dd010662da
MS-EXCHANGE-SYSATD
67df7c70-0f04-11ce-b13f-00aa003bac6c
f930c514-1215-11d3-99a5-00a0c9b61b04
83d72bf0-0d89-11ce-b13f-00aa003bac6c
469d6ec0-0d87-11ce-b13f-00aa003bac6c
06ed1d30-d3d3-11cd-b80e-00aa004b9c30
MS-FRS
f5cc59b4-4264-101a-8c59-08002b2f8426
d049b186-814f-11d1-9a3c-00c04fc9b232
a00c021c-2be2-11d2-b678-0000f87a8f8e
MS-IIS-COM
70b51430-b6ca-11d0-b9b9-00a0c922e750
a9e69612-b80d-11d0-b9b9-00a0c922e70
118
MS-IIS-IMAP4
2465e9e0-a873-11d0-930b-00a0c90ab17c
MS-IIS-INETINFO
82ad4280-036b-11cf-972c-00aa006887b0
Servicios
Servicio
Parmetro/UUID
Descripcin
MS-IIS-NNTP
4f82f460-0e21-11cf-909e-00805f48a135
MS-IIS-POP3
1be617c0-31a5-11cf-a7d8-00805f48a135
MS-IIS-SMTP
8cfb5d70-31a4-11cf-a7d8-00805f48a135
MS-ISMSERV
68dcd486-669e-11d1-ab0c-00c04fc2dcd2
130ceefb-e466-11d1-b78b-00c04fa32883
MS-MESSENGER
17fdd703-1827-4e34-79d4-24a55c53bb37
5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc
MS-MQQM
fdb3a030-065f-11d1-bb9b-00a024ea5525
76d12b80-3467-11d3-91ff-0090272f9ea3
1088a980-eae5-11d0-8d9b-00a02453c33
5b5b3580-b0e0-11d1-b92d-0060081e87f0
41208ee0-e970-11d1-9b9e-00e02c064c39
MS-NETLOGON
MS-SCHEDULER
12345678-1234-abcd-ef00-01234567cffb
1ff70682-0a51-30e8-076d-740be8cee98b
378e52b0-c0a9-11cf-822d-00aa0051e40f
0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53
MS-WIN-DNS
50abc2a4-574d-40b3-9d66-ee4fd5fba076
MS-WINS
45f52c28-7f9f-101a-b52b-08002b2efabe
811109bf-a4e1-11d1-ab54-00a0c91e9b45
Puerto Descripcin
RIP
520
OSPF
89
BGP
179
Vdeo de secuencia
La siguiente tabla enumera cada servicio de vdeo de secuencia compatible por
nombre e incluye el puerto predeterminado y la descripcin. Dependiendo de los
requerimientos de su red, puede seleccionar permitir o denegar alguno o todos
estos servicios.
Servicios
119
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Servicio
Puerto
Descripcin
H.323
TCP origen
1-65535; TCP
destino
1720, 1503,
389, 522,
1731
UDP origen
1-65535;
UDP origen
1719
NetMeeting
TCP origen
Microsoft NetMeeting utiliza TCP para proporcionar
1-65535; TCP servicios de teleconferencias (vdeo y audio) en el
destino
Internet.
1720, 1503,
389, 522
UDP origen
1719
Real media
TCP origen
Real Media es un vdeo de secuencia y tecnologa de
1-65535; TCP audio.
destino 7070
RTSP
554
SIP
5056
VDO Live
Nombre completo
SUN-RPC-PORTMAPPER
111
100000
SUN-RPC-ANY
ANY
SUN-RPC-PROGRAM-MOUNTD
100005
100003
Servicio
SUN-RPC-PROGRAM-NFS
100227
120
Servicios
SUN-RPC-PROGRAM-NLOCKMGR 100021
SUN-RPC-PROGRAM-RQUOTAD
100011
SUN-RPC-PROGRAM-RSTATD
100001
Servicio
Nmeros del
programa
SUN-RPC-PROGRAM-RUSERD
100002
SUN-RPC-PROGRAM-SADMIND
100232
SUN-RPC-PROGRAM-SPRAYD
100012
SUN-RPC-PROGRAM-STATUS
100024
SUN-RPC-PROGRAM-WALLD
100008
SUN-RPC-PROGRAM-YPBIND
100007
Nombre completo
Puerto
Descripcin
IKE
UDP origen
1-65535; UDP
destino 500
algoritmos de autenticacin
Compatible: cuatro algoritmos de
1723
PPTP
Puerto
Descripcin
Any
Cualquier servicio
TCP-ANY
1-65535
UDP-ANY
137
Servicios
121
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Puerto
Descripcin
Gnutella
6346
(predeterminad
o)
MSN
1863
NNTP
119
SMB
445
YMSG
5010
Servicios de administracin:
La siguiente tabla enumera los servicios predefinidos de administracin. Cada
entrada incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripcin del servicio.
122
Servicios
Servicio
Puerto
Descripcin
NBNAME
137
NDBDS
138
NFS
NS Global
NS Global PRO
NSM
Servicio
Puerto
Descripcin
NTP
123
RLOGIN
513
RSH
514
SNMP
161
SQL*Net V1
66
SQL*Net V2
66
MSSQL
1433 (caso
predetermin
ado)
SSH
22
SYSLOG
514
Talk
517-518
Telnet
23
WinFrame
X-Windows
Servicios de correo
La siguiente tabla enumera los servicios predefinidos de correo. Cada uno incluye el
nombre del servicio, el nmero de puerto asignado o predeterminado y una
descripcin del servicio.
Servicios
123
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Servicio
Puerto
Descripcin
IMAP
143
Mail (SMTP)
25
POP3
110
Servicios de UNIX
La siguiente tabla enumera los servicios predefinidos de UNIX. Cada entrada
incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripcin del servicio.
Servicio
Puerto
Descripcin
FINGER
79
UUCP
117
Servicios miscelneos
La siguiente tabla enumera los servicios miscelneos predefinidos. Cada entrada
incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripcin del servicio.
Servicio
Puerto
Descripcin
CHARGEN
19
DISCARD
IDENT
113
LPR
515 listen;
721-731 rango
de origen
(inclusive)
RADIUS
124
Servicios
1812
Servicio
Puerto
Descripcin
SQLMON
1434 (Puerto de
supervisin de
SQL)
VNC
5800
WHOIS
43
IPSEC-NAT
SCCP
2000
VOIP
Servicios personalizados
En lugar de utilizar servicios predefinidos, puede crear fcilmente servicios
personalizados. Puede asignar a cada servicio personalizado los atributos
siguientes:
Nombre
Protocolo de transporte
Nmeros de los puertos de origen y de destino para los servicios que utilizan
TCP o UDP
Servicios
125
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Si el servicio utiliza el protocolo TCP o UDP u otro protocolo compatible con las
especificaciones de Internet. En este ejemplo, el protocolo es TCP.
WebUI
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
Service Name: cust-telnet
Service Timeout: Custom (seleccione), 30 (escriba)
Transport Protocol: TCP (seleccione)
Source Port Low: 1
Source Port High: 65535
Destination Port Low: 23000
Destination Port High: 23000
CLI
set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000
set service cust-telnet timeout 30
save
NOTA:
126
Servicios
CLI
set service cust-telnet clear
set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230
save
Servicios
127
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Protocolo
Tiempo de espera
predeterminado (minutos)
TCP
30
UDP
ICMP
OSPF
Otros
30
Para los grupos de servicio, incluso los grupos ocultos creados en configuraciones
de directivas de varias celdas y para el servicio predefinido ANY (si no est
establecido el tiempo de espera), la bsqueda de tiempo de espera de servicio se
realiza como se muestra a continuacin:
1. La tabla de tiempo de espera con base en puerto UDP y TCP de vsys, si est
establecido el tiempo de espera.
2. La tabla de tiempo de espera predeterminada con base en el protocolo
Contingencias
Cuando se establecen los tiempos de espera, est al tanto de lo siguiente:
128
Servicios
129
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Ejemplo
En el siguiente ejemplo cambiar el umbral del tiempo de espera para el
servicio predefinido FTP a 75 minutos:
WebUI
Objects > Services > Predefined > Edit (FTP): Introduzca los siguientes datos
y haga clic en OK:
Service Timeout: Custom (seleccione), 75 (escriba)
CLI
set service FTP timeout 75
save
NOTA:
Cdigo de mensaje
5 = Reenviar (Redirect)
11 = Cdigos de tiempo
excedido (Time Exceeded)
130
Servicios
CLI
set service host-unreachable protocol icmp type 5 code 0
set service host-unreachable timeout 2
save
131
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
CLI
set service my-sunrpc-nfs protocol sun-rpc program 100003-100003
set service my-sunrpc-nfs + sun-rpc program 100227-100227
save
132
Servicios
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
Servicios
133
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
CLI
set service my-ex-info-store protocol ms-rpc uuid
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
set service my-ex-info-store + ms-rpc uuid
1453c42c-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
10f24e8e-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
1544f5e0-613c-11d1-93df-00c04fd7bd09
save
134
Servicios
Cliente de RealPlayer
Puerto 3408
Dispositivo de seguridad
Servidor RealMedia
Puerto 554
Servicios
135
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Sentido
Objeto
Requisito
OPTIONS
Cliente a servidor
Presentacin, secuencia
Cliente a servidor
requerido
Servidor a cliente
Presentacin, secuencia
Servidor a cliente
opcional
DESCRIBE
Cliente a servidor
Presentacin, secuencia
Recomendado
ANNOUNCE
Cliente a servidor
Presentacin, secuencia
Opcional
Servidor a cliente
Presentacin, secuencia
SETUP
Cliente a servidor
Secuencia
Requerido
GET_PARAMETER
Cliente a servidor
Presentacin, secuencia
Opcional
Presentacin, secuencia
Opcional
Servidor a cliente
SET_PARAMETER
Cliente a servidor
Servidor a cliente
PLAY
Cliente a servidor
Presentacin, secuencia
Requerido
PAUSE
Cliente a servidor
Presentacin, secuencia
Recomendado
RECORD
Cliente a servidor
Presentacin, secuencia
Opcional
REDIRECT
Servidor a cliente
Presentacin, secuencia
Opcional
TEARDOWN
Cliente a servidor
Presentacin, secuencia
Requerido
136
Servicios
Error del servidor (500 a 599): el servidor no pudo cumplir una peticin
aparentemente vlida
Servicios
137
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
La tabla siguiente enumera todos los cdigos de estado definidos para RTSP 1.0 y
las frases de motivo recomendadas. Las frases de motivo se pueden revisar o
redefinir sin que ello afecte al funcionamiento del protocolo.
Tabla 16: Cdigos de estado de RTSP 1.0
Cdigo de
estado
NOTA:
138
Servicios
Cdigo de
estado
100
Continue
414
200
OK
415
201
Created
451
250
452
300
Multiple Choices
453
301
Moved Permanently
454
303
See Other
455
304
Not Modified
456
305
Use Proxy
457
Invalid Range
400
Bad Request
458
Parameter is Read-Only
401
Unauthorized
459
402
Payment Required
460
403
Forbidden
461
Unsupported transport
404
Not Found
462
Destination unreachable
405
500
406
Not Acceptable
501
Not Implemented
407
Proxy Authentication
Required
502
Bad Gateway
408
Request Time-out
503
Service Unavailable
410
Gone
504
Gateway Time-out
411
Length Required
505
412
Precondition Failed
551
413
Para ver las definiciones completas de los cdigos de estado, consulte RFC 2326,
Real Time Streaming Protocol (RTSP).
ethernet3
1.1.1.1
Zona Trust
Zona Untrust
Dispositivo de seguridad
LAN
Dispositivo virtual
MIP en ethernet3
1.1.1.3 -> 10.1.1.3
Servidor de medios
10.1.1.3
LAN
Client1.1.1.5
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.2
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: media_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: client
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.5/24
Zone: Untrust
Servicios
139
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
3.
MIP
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.3
Host IP Address: 10.1.1.5
4.
Directiva
Directivas > (De: Untrust, A: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), cliente
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.3)
Service: RTSP
Action: Permit
CLI
1.
Interfaces
set
set
set
set
2.
Direcciones
MIP
Directiva
Zona Trust
LAN
Cliente
10.1.1.3
140
Servicios
ethernet3
1.1.1.1
ethernet1
10.1.1.1
Dispositivo de seguridad
Rango DIP
en ethernet3
1.1.1.5 a 1.1.1.50
Zona Untrust
LAN
Servidor de medios
1.1.1.3
WebUI
1.
Interface
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Manage IP: 10.1.1.2
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: client
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.3/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: media_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.3/24
Zone: Untrust
3.
Rango DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione) 1.1.1.5 ~ 1.1.1.50
Port Translation: (seleccione)
4.
Directiva
Directivas > (De: Trust, A: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry (seleccione): client
Destination Address:
Address Book Entry (seleccione): media_server
Service: RTSP
Action: Permit
Servicios
141
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.5-1.1.1.50)/port-xlate
CLI
1.
Interface
Direcciones
Rango DIP
Directiva
set policy from trust to untrust client media_server rtsp nat dip 5 permit
save
Grupos de servicios
Un grupo de servicios es un conjunto de servicios agrupados bajo un nombre. Una
vez creado un grupo que contenga varios servicios, se pueden aplicar servicios a las
directivas a nivel de grupo, simplificando la administracin.
La opcin de grupo de servicios de ScreenOS tiene las siguientes caractersticas:
142
Servicios
Los grupos de servicios no pueden llamarse igual que los servicios; por ejemplo,
si existe un servicio llamado FTP, no puede existir un grupo de servicios con
el mismo nombre.
grp1
grp1 add ike
grp1 add ftp
grp1 add ldap
143
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Grupo de IP dinmico
Un grupo de IP dinmico (DIP) es un rango de direcciones IP del cual el dispositivo
de seguridad toma direcciones de forma dinmica o determinista para aplicar la
traduccin de direcciones de red a la direccin IP de origen (NAT-src) en los
encabezados de paquetes IP. (Para obtener ms informacin sobre la traduccin
determinista de direcciones de origen, consulte NAT-Src desde un conjunto de DIP
con desplazamiento de direcciones en la pgina 8-22). Si el rango de direcciones
de un rango DIP pertenece a la misma subred que la direccin IP de la interfaz, el
conjunto debe excluir la direccin IP de la interfaz, las direcciones IP del enrutador
y cualquier direccin IP asignada (MIP) o virtual (VIP) que pueda haber en esa
misma subred. Si el rango de direcciones se encuentra en la subred de una interfaz
extendida, el conjunto debe excluir la direccin IP extendida de la interfaz.
Existen tres clases de interfaces que se pueden enlazar a rangos de IP dinmico
(DIP): interfaces fsicas y subinterfaces para el trfico de red y VPN, e interfaces de
tnel slo para tneles VPN.
144
Grupo de IP dinmico
A la zona Untrust
Tneles VPN
A la zona Trust
Pared de fuego
10.10.1.2
210.10.1.2
220.10.1.2
10.20.1.2
10.30.1.2
10.10.1.20
210.10.1.20
220.10.1.20
10.20.1.20
10.30.1.20
ethernet1
ethernet2
ethernet3
Tunnel
Tunnel
10.10.1.1/24
210.10.1.1/24
220.10.1.1/24
10.20.1.1/24
10.30.1.1/24
Rango DIP
Interfaces
Grupo de IP dinmico
145
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
NOTA:
146
Grupo de IP dinmico
NOTA:
NOTA:
No hay directivas que utilicen este conjunto de DIP en particular. Para que una
directiva utilice un conjunto de DIP, primero debe eliminar la directiva o
modificarla para que no pueda utilizar el conjunto de DIP antes de que usted lo
haya modificado.
WebUI
Network > Interfaces > Edit (for tunnel.1) > DIP > Edit (for ID 5): Introduzca
los siguientes datos y haga clic en OK:
IP Address Range: 10.20.1.2 ~ 10.20.1.10
CLI
unset interface tunnel.1 dip 5
set interface tunnel.1 dip 5 10.20.1.2 10.20.1.10
save
NOTA:
Grupo de IP dinmico
147
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Por ejemplo, es importante tener la misma direccin IP para varias sesiones cuando
se utiliza el cliente AOL Instant Messaging (AIM). Crear una sesin durante el inicio
de su sesin y otra por cada chat. Para que el servidor AIM pueda verificar que un
nuevo chat pertenece a un usuario autenticado, debe comparar la direccin IP de
origen del inicio de sesin con la direccin de la sesin de chat. Si son diferentes
(posiblemente porque hubiesen sido asignadas aleatoriamente desde un conjunto
de DIP durante el proceso NAT), el servidor AIM rechazar la sesin de chat.
Para garantizar que el dispositivo de seguridad asigna la misma direccin IP de un
conjunto de DIP a las diferentes sesiones simultneas de un host, puede habilitar la
caracterstica sticky de la direccin DIP ejecutando el comando CLI set dip sticky.
Oficina A 195.1.1.1/24
211.10.1.1/24
Oficina B 201.1.1.1/24
211.20.1.1/24
En ambos sitios, los dispositivos de seguridad tienen una zona Trust y una zona
Untrust. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
trust-vr. Enlazar ethernet1 a la zona Trust y le asignar la direccin IP 10.1.1.1/24.
Enlazar ethernet3 a la zona Untrust y le asignar la direccin IP generada por los
correspondientes ISP: 195.1.1.1/24 para la Oficina A y 201.1.1.1/24 para la Oficina
B. A continuacin, crear una interfaz extendida con un conjunto de DIP que
contendr la direccin IP autorizada en ethernet3:
148
Grupo de IP dinmico
200.1.1.1
Zona Untrust
ISP
Lnea punto
a punto
Lnea punto
a punto
Internet
Zona Untrust, ethernet3
El ISP asigna 195.1.1.1/24
(interfaz fsica)
HQ autoriza 211.10.1.1/24
(interfaz extendida)
Puerta de enlace
predeterminada 195.1.1.254
Zona Trust, ethernet1
10.1.1.1/24
NOTA:
ISP
ISP
Oficina A
Zona Trust
Oficina B
Zona Untrust
Para poder utilizar una lnea punto a punto, cada ISP debe establecer una ruta para
el trfico destinado al sitio que se encuentra en el extremo de esa lnea. Los ISP
desviarn a Internet cualquier otro trfico que reciban de un dispositivo de
seguridad local.
WebUI (Sucursal A)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 195.1.1.1/24
Interface Mode: Ruta
Grupo de IP dinmico
149
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.10.1.1 ~ 211.10.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.10.1.10/255.255.255.0
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 195.1.1.254
4.
Directivas
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (211.10.1.1-211.10.1.1)/X-late
150
Grupo de IP dinmico
WebUI (Sucursal B)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 201.1.1.1/24
Interface Mode: Ruta
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.20.1.1 ~ 211.20.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.20.1.10/255.255.255.0
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 201.1.1.254
4.
Directivas
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Grupo de IP dinmico
151
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 5 (211.20.1.1-211.20.1.1)/X-late
CLI (Sucursal A)
1.
Interfaces
Direccin
Ruta
Directivas
CLI (Sucursal B)
1.
Interfaces
Direccin
Ruta
Directivas
152
Grupo de IP dinmico
NOTA:
IP de destino
2.2.2.2
DATOS
ethernet2
1.1.1.1/24
Interfaz loopback
loopback 1
1.3.3.1/30
IP de origen
10.1.1.5
IP de destino
2.2.2.2
ethernet3
1.2.2.1/24
IP de origen
1.3.3.2
IP de destino
2.2.2.2
DATOS
IP de origen
10.1.1.6
IP de destino
2.2.2.2
DATOS
Rango DIP
1.3.3.2 - 1.3.3.2
Dispositivo de seguridad
ethernet1
10.1.1.1/24
DATOS
Host A
10.1.1.5
Host B
10.1.1.6
Asociar estas interfaces a la zona Untrust y despus les asignar las direcciones IP
indicadas anteriormente. Tambin asociar ethernet1 a la zona Trust y le asignar la
direccin IP 10.1.1.1/24.
Grupo de IP dinmico
153
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Para indicar una ruta preferente, incluya mtricas en ambas rutas y asigne a su
ruta preferida una mtrica ms alta, es decir, un valor ms cercano a 1.
Por ltimo, crear una directiva que aplicar la traduccin de direcciones de red de
origen (NAT-src) al trfico saliente hacia la oficina remota. La directiva har
referencia al rango DIP con la identificacin 10.
IP de origen
1.3.3.2
IP de destino
2.2.2.2
r-office
2.2.2.2
DATOS
ISP-1
154
ISP-2
ethernet3, 1.2.2.1/24
puerta de enlace 1.2.2.250
ethernet2, 1.1.1.1/24
gateway 1.1.1.250
El dispositivo de
seguridad traduce
todas las direcciones
IP de origen de los
paquetes destinados
a 2.2.2.2 de 10.1.1.X
a 1.3.3.2,
independientemente
de la interfaz de
salida utilizada.
IP de origen
10.1.1.X
Zona
Untrust
Loopback.1
Zona Untrust
1.3.3.1/30
10.1.1.0/24
IP de destino
2.2.2.2
Grupo de IP dinmico
DATOS
Zona
Trust
WebUI
1.
Interfaces
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Interface Name: loopback.1
Zone: Untrust (trust-vr)
IP Address/Netmask: 1.3.3.1/30
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
As member of loopback group: loopback.1
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
As member of loopback group: loopback.1
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Ruta
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
Interface Mode: Ruta
2.
Rango DIP
Network > Interfaces > Edit (para loopback.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 1.3.3.2 ~ 1.3.3.2
Port Translation: (seleccione)
3.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: r-office
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.2/32
Zone: Untrust
Grupo de IP dinmico
155
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
4.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet2
Gateway IP address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP address: 1.2.2.250
5.
Directiva
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), r-office
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 10 (1.3.3.2-1.3.3.2)/port-xlate
CLI
1.
Interfaces
156
Grupo de IP dinmico
2.
Rango DIP
Direccin
Rutas
Directiva
set policy from trust to untrust any r-office any nat src dip-id 10 permit
save
Zona Untrust
VSI de la zona Untrust
ethernet2
1.1.1.1/24
VSD
maestro 0
ethernet3:1
1.1.1.2/24
Dispositivo A
TX/RX
LINK
TX/RX
VSD de
respaldo 0
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
VSD de
respaldo 1
LINK
Grupo VSD: 1
Grupo VSD: 0
Clster NSRP
LINK
ID de rango DIP
1.1.1.101 1.1.1.150
Dispositivo B
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
VSD
maestro 1
ethernet1:1
10.1.1.2/24
ethernet1
10.1.1.1/24
Zona Trust
Grupo de IP dinmico
157
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Para solucionar este problema, cree dos rangos DIP (uno en la VSI de la zona
Untrust por cada grupo VSD) y combine ambos rangos DIP en un grupo de DIP, al
que luego har referencia en la directiva. Cada VSI utiliza su propio conjunto de VSD
incluso aunque en la directiva se especifique el grupo de DIP.
Figura 70: Crear dos rangos DIP en un grupo de DIP
Utilizacin recomendada de un grupo de DIP en una directiva cuando se
encuentra en un clster NSRP:
set policy name out-nat from trust to untrust any any any nat dip-id 9 permit
Zona Untrust
Rango DIP con ID 8
1.1.1.151 210.1.1.200
ID de rango DIP
1.1.1.101 1.1.1.150
ethernet3
1.1.1.1/24
VSD
maestro 0
Clster NSRP
ethernet3:1
1.1.1.2/24
Grupo de DIP 9
Dispositivo A
TX/RX
LINK
TX/RX
LINK
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
VSD de
respaldo 1
Grupo VSD: 1
Grupo VSD: 0
VSD de
respaldo 0
TX/RX
Dispositivo B
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
VSD
maestro 1
ethernet1
10.1.1.1/24
Combinando los rangos DIP situados en ambas VSI
de la zona Untrust (para los grupos VSD 0 y 1) en un
grupo de DIP, ambos Dispositivos A y B pueden
procesar el trfico que cumpla la directiva out-nat, en
la que no se hace referencia a un rango DIP especfico
de interfaz, sino al grupo de DIP compartido.
NOTA:
Zona Trust
158
Grupo de IP dinmico
Rango DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 1.1.1.20 1.1.1.29
Port Translation: (seleccione)
Network > Interfaces > Edit (para ethernet3:1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: 1.1.1.30 1.1.1.39
Port Translation: (seleccione)
NOTA:
Directiva
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 7
CLI
1.
Rango DIP
Grupos de DIP
Directivas
set policy from trust to untrust any any any nat src dip-id 7 permit
save
Grupo de IP dinmico
159
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Recurring: Habilite esta opcin cuando desee que el programa se repita con
una periodicidad semanal.
Start and End Times: Debe configurar tanto la hora de comienzo como de fin.
Puede especificar hasta dos periodos de un mismo da.
En este ejemplo hay un empleado a tiempo parcial llamado Tom que utiliza el
acceso a Internet de la empresa para asuntos personales despus del trabajo. Usted
crear una programacin para el horario no comercial que asociar a una directiva
para denegar el trfico TCP/IP saliente generado por el equipo de ese trabajador
(10.1.1.5/32) fuera del horario de oficina normal.
WebUI
1.
Programacin
Objects > Schedules > New: Introduzca los siguientes datos y haga clic en OK:
Schedule Name: After Hours
Comment: For non-business hours
Recurring: (seleccione)
Periodo 1:
160
Hora final
Domingo
23:59
00:00
Lunes
00:00
06:00
Martes
00:00
06:00
Mircoles
00:00
06:00
Jueves
00:00
06:00
Viernes
00:00
06:00
Sbado
00:00
23:59
Periodo 2:
Da de la semana Hora comienzo
Hora final
Domingo
17:00
23:59
Lunes
17:00
23:59
Martes
17:00
23:59
Mircoles
17:00
23:59
Jueves
17:00
23:59
Viernes
17:00
23:59
Sbado
17:00
23:59
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Tom
Comment: Temp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3.
Directiva
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: No Net
Source Address:
Address Book Entry: (seleccione), Tom
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Deny
Schedule: After Hours
161
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
CLI
1.
Programacin
set schedule after hours recurrent sunday start 00:00 stop 23:59
set schedule after hours recurrent monday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent tuesday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent wednesday start 00:00 stop 06:00 start
17:00 stop 23:59
set schedule after hours recurrent thursday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent friday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent saturday start 00:00 stop 23:59 comment
for non-business hours
2.
Direccin
Directiva
set policy from trust to untrust tom any http deny schedule after hours
save
162
Captulo 6
Directivas
El comportamiento predeterminado de un dispositivo de seguridad es rechazar
todo el trfico entre zonas de seguridad (trfico entre zonas) y, con excepcin del
trfico dentro de la zona Untrust, permitir todo el trfico entre interfaces asociadas
a una misma zona (trfico dentro de zonas). Para permitir que determinado trfico
entre zonas pase por un dispositivo de seguridad, debe crear directivas entre zonas
que tengan preferencia sobre el comportamiento predeterminado. De forma
anloga, para impedir que determinado trfico dentro de zonas pueda pasar por un
dispositivo de seguridad, debe crear las correspondientes directivas dentro de
zonas.
NOTA:
NOTA:
163
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Elementos bsicos
Una directiva permite, deniega o canaliza por un tnel los tipos de trfico
especificados de forma unidireccional entre dos puntos. El tipo de trfico (o
servicio), la ubicacin de los dos puntos finales y la accin invocada componen
los elementos bsicos de una directiva. Aunque puede haber otros componentes,
los elementos requeridos, que juntos constituyen el ncleo de una directiva, son los
siguientes:
NOTA:
Sentido: La direccin del trfico entre dos zonas de seguridad (desde una zona
de origen a una zona de destino)
164
Elementos bsicos
Sentido: from trust to untrust (es decir, de la zona Trust a la zona Untrust)
Captulo 6: Directivas
Host A
Zona Trust
Zona Untrust
Dispositivo de seguridad
Peticin HTTP
Respuesta HTTP
Peticin HTTP
Nota: El dispositivo de seguridad deniega la peticin HTTP del servidor B porque no hay ninguna directiva que lo p
165
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
ethernet1
10.1.1.1/24
ethernet4
10.1.2.1/24
Conmutadores de capa 2
Host A
10.1.1.5
LAN 1
10.1.1.0/24
LAN
10.1.2.0/24
Servidor B
10.1.2.30
Zona Trust
Directivas globales
A diferencia de las directivas entre zonas y dentro de zonas, las directivas globales
no hacen referencia a zonas de origen y de destino especficas. Las directivas
globales hacen referencia a direcciones de la zona Global definidas por el usuario o
a la direccin any de la zona predefinida Global. Estas direcciones pueden pasar
por varias zonas de seguridad. Por ejemplo, si desea proporcionar acceso hacia o
desde varias zonas, puede crear una directiva global con la direccin any de la
zona Global, que abarca todas las direcciones de todas las zonas.
NOTA:
166
Captulo 6: Directivas
Directivas globales
167
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Definicin de directivas
Una pared de fuego representa el lmite de una red con un solo punto de entrada y
de salida. Como todo el trfico debe pasar a travs de este punto, puede
supervisarlo y dirigirlo implementando listas de conjuntos de directivas (para
directivas entre zonas, directivas dentro de zonas y directivas globales).
Las directivas permiten denegar, permitir, rechazar (denegar y enviar un mensaje
de puerto inalcanzable TCP RST o ICMP al host de origen), encriptar y desencriptar,
autenticar, priorizar, programar, filtrar y supervisar el trfico que intente pasar de
una zona de seguridad a otra. Usted decide qu usuarios y qu datos pueden entrar
y salir, as como cundo y a dnde pueden ir.
NOTA:
Para los dispositivos de seguridad que admiten sistemas virtuales, las directivas
establecidas en el sistema raz no afectan a las directivas establecidas en sistemas
virtuales.
Directivas y reglas
Una sola directiva definida por el usuario produce internamente una o ms reglas
lgicas, y cada regla lgica consta de un conjunto de componentes: la direccin de
origen, la direccin de destino y el servicio. Los componentes consumen recursos
de memoria. Las reglas lgicas que se refieren a los componentes no.
Dependiendo de si en una directiva se utilizan mltiples entradas o grupos para la
direccin de origen, la direccin de destino y los componentes del servicio, el
nmero de reglas lgicas puede ser mucho mayor de lo que puede parecer al crear
la directiva nica. Por ejemplo, la directiva siguiente produce 125 reglas lgicas:
1 directiva: 5 direcciones de origen x 5 direcciones de destino x 5 servicios =
125 reglas lgicas
Sin embargo, el dispositivo de seguridad no duplica componentes para cada regla
lgica. Las reglas utilizan el mismo conjunto de componentes en diferentes
combinaciones. Por ejemplo, la directiva antedicha que produce 125 reglas lgicas
solamente contiene 15 componentes:
5 direcciones de origen + 5 direcciones de destino + 5 servicios = 15
componentes
Estos 15 componentes se combinan de varias maneras para producir las 125 reglas
lgicas generadas por la directiva nica. Permitiendo que mltiples reglas lgicas
utilicen el mismo conjunto de componentes en diferentes combinaciones, el
dispositivo de seguridad consume muchos menos recursos que si cada regla lgica
tuviera una relacin uno a uno con sus componentes.
Dado que el tiempo de instalacin de una nueva directiva es proporcional al
nmero de componentes que el dispositivo de seguridad agrega, elimina o
modifica, la instalacin de directivas es ms rpida cuantos menos componentes
haya. Asimismo, al permitir que un gran nmero de reglas lgicas comparta un
pequeo conjunto de componentes, ScreenOS permite crear ms directivas (y el
dispositivo de seguridad permite crear ms reglas), que lo que sera posible si cada
regla requiriese componentes dedicados.
168
Definicin de directivas
Captulo 6: Directivas
Servicios
Aplicacin
Nombre
Encapsulamiento VPN
Encapsulamiento L2TP
Deep Inspection
Autenticacin de usuarios
Filtrado de Web
Registro
Recuento
Tareas programadas
Anlisis antivirus
Asignacin de trfico
Definicin de directivas
169
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
ID
Cada directiva tiene un nmero de identificacin, tanto si el usuario define uno
como si el dispositivo de seguridad lo asigna automticamente. Solamente se puede
definir un nmero de identificacin para una directiva ejecutando el comando set
policy de CLI: set policy id number Una vez conocido el nmero de
identificacin, puede entrar en el contexto de la directiva para ejecutar otros
comandos con el fin de modificarla. (Para obtener ms informacin sobre
contextos de directivas, consulte Entrada al contexto de una directiva en la
pgina 189).
Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lgico que tiene asociada una interfaz
de tnel VPN (zona de tnel), o una entidad fsica o lgica que realiza una funcin
especfica (zona de funcin). Una directiva permite que el trfico fluya entre dos
zonas de seguridad (directiva entre zonas) o entre dos interfaces asociadas a la
misma zona (directiva dentro de zonas). (Para obtener ms informacin, consulte
Zonas en la pgina 25, Directivas entre zonas en la pgina 165 y Directivas
dentro de zonas en la pgina 165).
Direcciones
Las direcciones son objetos que identifican dispositivos de red tales como hosts y
redes por su ubicacin en relacin a la pared de fuego (en una de las zonas de
seguridad). Los hosts individuales se especifican utilizando la mscara
255.255.255.255, que indica que los 32 bits de la direccin son significativos. Las
redes se especifican utilizando su mscara de subred para indicar qu bits son
significativos. Para crear una directiva para direcciones especficas, primero debe
crear entradas para los hosts y redes correspondientes en la libreta de direcciones.
Tambin puede crear grupos de direcciones y aplicarles directivas como hara con
otras entradas en la libreta de direcciones. Cuando utilice grupos de direcciones
como elementos de directivas, tenga presente que, debido a que el dispositivo de
seguridad aplica la directiva a cada direccin en el grupo, el nmero disponibles de
reglas lgicas internas y de componentes que componen esas reglas se puede
agotar ms rpidamente de lo esperado. Esto supone un peligro, especialmente
cuando se utilizan grupos de direcciones tanto para el origen como para el destino.
(Para obtener ms informacin, consulte Directivas y reglas en la pgina 168).
Servicios
Los servicios son objetos que identifican los protocolos de aplicacin usando
informacin de la capa 4, como los nmeros de puerto TCP y UDP estndar y
universalmente aceptados para los servicios de aplicaciones como Telnet, FTP,
SMTP y HTTP. ScreenOS incluye servicios bsicos de Internet predefinidos. Tambin
se pueden definir servicios personalizados.
Puede definir directivas que especifiquen qu servicios deben permitirse,
denegarse, encriptarse, autenticarse, registrarse o contabilizarse.
170
Definicin de directivas
Captulo 6: Directivas
Accin
Una accin es un objeto que describe el tratamiento que la pared de fuego debe dar
al trfico que recibe.
NOTA:
NOTA:
Para L2TP sobre IPSec, las direcciones de origen y de destino del tnel VPN IPSec
deben ser iguales que las del tnel L2TP.
El dispositivo de seguridad aplica la accin especificada al trfico que cumple los
criterios presentados anteriormente: zonas (origen y destino), direcciones (origen y
destino) y servicio.
Definicin de directivas
171
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Aplicacin
La opcin de la aplicacin especifica la aplicacin de la capa 7 que apunta al
servicio de capa 4 al que se hace referencia en una directiva. Los servicios
predefinidos ya disponen de una asignacin a una aplicacin de capa 7. Sin
embargo, para los servicios personalizados es necesario vincular explcitamente el
servicio a una aplicacin, especialmente si se desea que la directiva aplique una
Puerta de enlace de la capa de aplicacin (ALG) o Deep Inspection al servicio
personalizado.
NOTA:
ScreenOS admite ALG para numerosos servicios, a saber: DNS, FTP, H.323, HTTP,
RSH, SIP, Telnet y TFTP.
La aplicacin de un ALG a un servicio personalizado implica los dos pasos
siguientes:
Nombre
Puede dar a una directiva un nombre descriptivo para permitir identificar
fcilmente su finalidad.
NOTA:
Encapsulamiento VPN
Puede aplicar una sola o varias directivas a cualquier tnel VPN que tenga
configurado. En WebUI, la opcin VPN Tunnel abre una lista desplegable de todos
esos tneles. En CLI puede consultar todos los tneles disponibles ejecutando el
comando get vpn. (Para obtener ms informacin, consulte Redes privadas
virtuales de punto a punto en la pgina 5-81 y Redes privadas virtuales de acceso
telefnico en la pgina 5-159).
Cuando las configuraciones VPN de ambos extremos de un tnel VPN utilizan NAT
basada en directivas, los administradores de ambos dispositivos de puerta de
enlace necesitan crear una directiva de trfico saliente y otra de trfico entrante
(cuatro directivas en total). Cuando las directivas de VPN constituyen un par
coincidente (es decir, las configuraciones de las directivas de trfico entrante y de
trfico saliente son iguales, salvo que las direcciones de origen y de destino estn
invertidas), puede configurar una directiva y seleccionar la casilla de verificacin
Modify matching bidirectional VPN policypara crear automticamente una
segunda directiva para el sentido opuesto. Para la configuracin de una nueva
directiva, la casilla de verificacin Matching VPN Policy est desactivada de forma
predeterminada. Para la modificacin de una directiva existente que sea un
172
Definicin de directivas
Captulo 6: Directivas
NOTA:
Encapsulamiento L2TP
Puede aplicar una sola directiva o varias a cualquier tnel del protocolo de
encapsulamiento de capa 2 (L2TP) que haya configurado. En WebUI, la opcin de
L2TP proporciona una lista desplegable de todos esos tneles. En la interfaz CLI,
puede visualizar el estado de los tneles L2TP activos mediante el comando get
l2tp tunn_str active y ver todos los tneles disponibles mediante el comando get
l2tp all. Tambin puede combinar un tnel VPN con un tnel L2TP (si ambos tienen
el mismo punto final) para crear un tnel que combine las caractersticas de cada
uno. Esto se llama L2TP-over-IPSec (L2TP sobre IPSec).
NOTA:
Deep Inspection
Deep Inspection (DI) es un mecanismo para filtrar el trfico permitido en las capas
Network y Transport, al examinar no solamente estas capas, sino las caractersticas
de contenido y protocolo en la capa de aplicacin. El objetivo de DI es detectar y
prevenir cualquier ataque o comportamiento anmalo que pudiera existir en el
trfico permitido por el cortafuegos de Juniper Networks.
NOTA:
Definicin de directivas
173
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Autenticacin de usuarios
Seleccionar esta opcin requiere que el usuario de autenticacin en la direccin de
origen autentique su identidad proporcionando un nombre de usuario y la
contrasea antes de permitir al trfico atravesar el cortafuegos o introducirse en el
tnel VPN. El dispositivo de seguridad puede utilizar la base de datos local o un
servidor RADIUS, SecurID o LDAP autenticado externo para realizar la
comprobacin de la autenticacin.
NOTA:
174
Definicin de directivas
Captulo 6: Directivas
Para cualquier conexin que sigue a una autenticacin correcta, todos los servicios
especificados en la directiva son vlidos.
NOTA:
Una directiva con la autenticacin habilitada no admite DNS (puerto 53) como
servicio.
Autenticacin de comprobacin previa a la directiva (WebAuth)
Definicin de directivas
175
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
NOTA:
Filtrado de Web
El filtrado de URL, denominado tambin filtrado de URL, permite administrar los
accesos a Internet e impedir el acceso a contenidos no apropiados. Para obtener
ms informacin, consulte Web Filtering on page 4-80.
Registro
Cuando se habilita el registro en una directiva, el dispositivo de seguridad registra
todas las conexiones a las que esa directiva en particular sea aplicable. Los registros
se pueden visualizar con WebUI o CLI. En la WebUI, haga clic en Reports > Policies
> Logging (para la directiva cuyo registro desee consultar). En CLI, utilice el
comando get log traffic policy id_num.
176
Definicin de directivas
Captulo 6: Directivas
NOTA:
Recuento
Cuando se habilita el recuento en una directiva, el dispositivo de seguridad cuenta
el nmero total de bytes de trfico para los que esa directiva es aplicable y registra
la informacin en grficos de historial. Para visualizar los grficos de historial de
una directiva en la WebUI, haga clic en Reports >Counting (para la directiva cuyo
recuento de trfico desea consultar).
NOTA:
Tareas programadas
Asociando una programacin a una directiva, se puede determinar cundo debe
activarse esa directiva. Puede configurar programaciones repetitivas y como evento
nico. Las programaciones proporcionan una potente herramienta para controlar el
flujo de trfico de la red e implementar seguridad en sta. Como ejemplo de esto
ltimo, si le preocupa que algunos empleados puedan transmitir datos importantes
fuera de la empresa, puede establecer una directiva que bloquee los tipos de trfico
saliente FTP-Put y MAIL despus del horario de oficina normal.
En WebUI, defina tareas programadas en la seccin Objects > Schedules. En CLI,
ejecute el comando set schedule.
NOTA:
En WebUI, las directivas programadas aparecen con un fondo gris para indicar que
la hora actual no est dentro de la programacin definida. Cuando una directiva
programada se activa, aparece con un fondo blanco.
Anlisis antivirus
Algunos dispositivos de Juniper Networks admiten un analizador antivirus interno
que se puede configurar para filtrar trfico FTP, HTTP, IMAP, POP3 y SMTP. Si el
analizador AV incorporado detecta un virus, descarta el paquete y enva un mensaje
al cliente que inici el trfico para informarle sobre dicho virus.
NOTA:
Definicin de directivas
177
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Asignacin de trfico
Puede establecer los parmetros de control y asignacin del trfico para cada
directiva. Los parmetros de asignacin de trfico son:
NOTA:
NOTA:
Se aconseja no utilizar tasas inferiores a 10 kbps. Las tasas inferiores a este umbral
conducen al descarte de paquetes y a un nmero excesivo de reintentos que
contravienen el objetivo de la administracin del trfico.
Traffic Priority: Cuando el ancho de banda del trfico se encuentra entre los
ajustes garantizado y mximo, el dispositivo de seguridad permite pasar
primero el trfico de mayor prioridad, y el trfico de menor prioridad slo
cuando no hay otro trfico de prioridad superior. Existen ocho niveles de
prioridad.
178
Definicin de directivas
Captulo 6: Directivas
Directivas aplicadas
Esta seccin describe la administracin de directivas: visualizacin, creacin,
modificacin, ordenacin y reordenacin y eliminacin de directivas.
Visualizacin de directivas
Para visualizar directivas a travs de WebUI, haga clic en Policies. Puede clasificar
las directivas mostradas por zonas de origen y de destino, eligiendo nombres de
zonas en las listas desplegables From y To, y haciendo clic en Go. En CLI, utilice el
comando get policy [ all | from zone to zone | global | id number ] .
Creacin de directivas
Para permitir el flujo de trfico entre dos zonas, debe crear directivas para permitir,
denegar, rechazar o tunelizar el trfico entre esas zonas. Tambin puede crear
directivas para controlar el trfico dentro de la misma zona si el dispositivo de
seguridad es el nico dispositivo de red capaz de enrutar el trfico intrazonal entre
las direcciones de origen y de destino referidas en la directiva. Tambin puede crear
directivas globales que utilizan direcciones de origen y de destino en la libreta de
direcciones de la zona Global.
Para permitir trfico bidireccional entre dos zonas (por ejemplo, entre la zona Trust
y la zona Untrust) se necesita crear una directiva para el trfico de Trust a Untrust y
otra para el trfico de Untrust a Trust. Dependiendo de sus necesidades, las
directivas pueden utilizar la misma direccin IP o bien direcciones diferentes,
invirtiendo las direcciones de origen y destino.
Se pueden definir directivas entre cualesquiera zonas situadas dentro del mismo
sistema, ya sea raz o virtual. Para definir una directiva entre el sistema raz y un
sistema virtual (vsys), una de las zonas debe ser compartida. (Para obtener ms
informacin sobre zonas compartidas en lo referente a sistemas virtuales, consulte
el Volumen 10: Sistemas virtuales.)
Directivas aplicadas
179
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: DMZ
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
180
Directivas aplicadas
Captulo 6: Directivas
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: corp_net
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zona: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: mail_svr
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zona: DMZ
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: r-mail_svr
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.5/32
Zona: Untrust
3.
Grupo de servicios
Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva
los siguientes servicios y haga clic en OK:
Group Name: MAIL-POP3
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
5.
Directivas
Directivas > (De: Trust, A: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Directivas aplicadas
181
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Source Address:
Address Book Entry: (seleccione), corp_net
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: Mail-POP3
Action: Permit
Directivas > (De: DMZ, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), mail_svr
Destination Address:
Address Book Entry: (seleccione), r-mail_svr
Service: MAIL
Action: Permit
Directivas > (De: Untrust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), r-mail_svr
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: MAIL
Action: Permit
CLI
1.
Interfaces
Direcciones
Grupo de servicios
Ruta
Directivas
Directivas aplicadas
Captulo 6: Directivas
Tambin tiene una zona DMZ para sus servidores de web y correo electrnico.
El ejemplo siguiente presenta un conjunto tpico de directivas para los siguientes
usuarios:
Eng puede utilizar todos los servicios de trfico saliente salvo FTP-Put, IMAP,
MAIL y POP3.
Cada usuario de la zona Trust puede acceder a los servidores de web y correo
electrnico en la zona DMZ.
www.abc.com
mail.abc.com
Enrutador externo
Dispositivo de seguridad
Enrutador interno
Zona DMZ
LAN de Eng
LAN de Office
Zona Trust
Directivas aplicadas
183
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Servicio
Accin
Trust - Any
Untrust - Any
Rechazo
Trust - Eng
Untrust - Any
Any
Permit
Trust - Office
Untrust - Any
Permit (+ WebAuth)
Untrust - Any
DMZ - mail.abc.com
Permit
Untrust - Any
DMZ - www.abc.com
Permit
Trust - Any
DMZ - mail.abc.com
Permit
Trust - Any
DMZ - www.abc.com
Permit
Trust - sys-admins
DMZ - Any
Any
Permit
DMZ - mail.abc.com
Untrust - Any
Permit
NOTA:
De Trust a Untrust
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Eng
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Office
Destination Address:
Address Book Entry: (seleccione), Any
Service: Internet
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Authentication: (seleccione)
WebAuth: (seleccione)
NOTA:
184
Directivas aplicadas
Captulo 6: Directivas
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Com
Action: Reject
Position at Top: (seleccione)
NOTA:
2.
De Untrust a DMZ
Directivas > (De: Untrust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: MAIL
Action: Permit
Directivas > (De: Untrust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.abc.com
Service: Web
Action: Permit
NOTA:
De Trust a DMZ
Directivas > (De: Trust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: correo electrnico
Action: Permit
Directivas aplicadas
185
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Directivas > (De: Trust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), sys-admins
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
4.
De DMZ a Untrust
Directivas > (De: DMZ, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), mail.abc.com
Destination Address:
Address Book Entry: (seleccione), Any
Service: MAIL
Action: Permit
CLI
1.
De Trust a Untrust
De Untrust a DMZ
186
Directivas aplicadas
Captulo 6: Directivas
3.
De Trust a DMZ
De DMZ a Untrust
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.5.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Block Intra-Zone Traffic: (seleccione)
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Directivas aplicadas
187
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: accounting
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.5.0/24
Zone: Trust
3.
Directiva
Directivas > (De: Trust, A: Trust) > New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), accounting
Destination Address:
Address Book Entry: (seleccione), Hamilton
Service: ANY
Action: Permit
CLI
1.
Direcciones
Directiva
NOTA:
188
Directivas aplicadas
Captulo 6: Directivas
WebUI
1.
Direccin global
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: server1
IP Address/Domain Name:
Domain Name: (seleccione), www.juniper.net
Zona: Global
2.
Directiva
Directivas > (De: Global, A: Global) > New : Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), server1
Service: HTTP
Action: Permit
CLI
1.
Direccin global
Directiva
Directivas aplicadas
189
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Direccin de origen
Direccin de destino
Servicio
Grupo de ataque
NOTA:
190
Directivas aplicadas
Captulo 6: Directivas
NOTA:
Tercero, crear una direccin (10.1.2.5/32) para el servidor FTP llamado vulcan
en la zona Trust.
Despus de completar estos dos pasos, podr crear las directivas dentro de zonas.
NOTA:
Directivas aplicadas
191
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
ethernet4
10.1.2.1/24
Conmutadores internos
10.1.1.0/24
(Resto de
Corporate)
10.1.2.0/24
(Ingeniera)
Zona Trust
Bloqueo dentro de zonas habilitado
Servidor FTP
vulcan
10.1.2.5
WebUI
1.
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
2.
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
192
Directivas aplicadas
Captulo 6: Directivas
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
3.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: vulcan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.2.5/32
Zona: Trust
4.
Directiva
Directivas > (De: Trust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), vulcan
CLI
1.
Direccin
Directiva
Directivas aplicadas
193
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Verificacin de directivas
ScreenOS ofrece una herramienta para verificar si el orden de las directivas dentro
de la lista de directivas es vlido. Una directiva puede eclipsar (ocultar), otra
directiva. Considere el ejemplo siguiente:
set policy id 1 from trust to untrust any any HTTP permit
set policy id 2 from trust to untrust any dst-A HTTP deny
194
Directivas aplicadas
Captulo 6: Directivas
Por supuesto, este ejemplo tan simple slo pretende ilustrar el concepto bsico. En
casos donde hay docenas o incluso centenares de directivas, la deteccin de
directivas eclipsadas por otras directivas puede no resultar tan sencilla. Para
comprobar si hay alguna directiva oculta en su lista de directivas, ejecute el
comando CLI siguiente:
exec policy verify
NOTA:
Reordenar directivas
El dispositivo de seguridad compara todos los intentos de atravesar el cortafuegos
con las directivas, comenzando por la primera que aparece en el conjunto de
directivas de la lista correspondiente (consulte Listas de conjuntos de directivas
en la pgina 167) y avanzando en la lista. Debido a que el dispositivo de seguridad
aplica la accin especificada en la directiva a la primera directiva que coincide en la
lista, es necesario reordenar las directivas desde la ms especfica a la ms general.
(Aunque una directiva especfica no impide la aplicacin de una directiva ms
general situada ms abajo en la lista, una directiva general situada ms arriba en la
lista que una especfica s lo impide).
De forma predeterminada, una directiva recin creada aparece al final de la lista de
conjuntos de directivas. Existe una opcin que permite colocar una directiva al
principio de la lista. En la pgina de configuracin Policy de WebUI, active la casilla
de verificacin Position at Top. En CLI, agregue la palabra clave top al comando set
policy: set policy top
Para mover una directiva a otra posicin dentro de la lista, ejecute cualquiera de los
siguientes procedimientos:
Directivas aplicadas
195
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
WebUI
Hay dos maneras de reordenar directivas en WebUI: haciendo clic en las flechas
circulares o haciendo clic en la flecha nica de la columna Configure
correspondiente a la directiva que desee mover.
Si hace clic en las flechas circulares:
aparecer un cuadro de dilogo con un mensaje para el usuario.
Para mover la directiva al final de la lista, introduzca <-1>. Para moverla
hacia arriba en la lista, introduzca el nmero de identificacin de la
directiva que desea mover.
Haga clic en OK para ejecutar el movimiento.
Si hace clic en la flecha nica:
Aparecer la pgina Policy Move mostrando la directiva que desea mover
y una tabla mostrando las otras directivas.
En la tabla que muestra las otras directivas, la primera columna, Move
Location, contiene flechas sealando hacia las diversas ubicaciones a las
que puede mover la directiva. Haga clic en la flecha que apunte a la
ubicacin en la lista a la que desea mover la directiva.
La pgina Policy List reaparecer con la directiva movida en su nueva
ubicacin.
CLI
set policy move id_num { before | after } number
save
196
Directivas aplicadas
Captulo 7
Asignacin de trfico
Este captulo presenta las mltiples formas de utilizar un dispositivo de seguridad
de Juniper Networks para administrar el ancho de banda limitado sin comprometer
la calidad y disponibilidad de la red de cara a todos los usuarios. Contiene las
siguientes secciones:
197
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Zona Untrust
Zona Trust
T345 Mbps
Mercadeo: 10 Mbps de entrada, 10
Mbps de salida
Internet
Ventas: 5 Mbps de entrada, 10 Mbps
de salida
198
Enrutador
Enrutador
DMZ para
servidores
Zona DMZ
WebUI
1.
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Traffic Bandwidth: 45000
NOTA:
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Marketing Traffic Shaping
Source Address:
Address Book Entry: (seleccione), Marketing
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
VPN Tunnel: Ninguna
NOTA:
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Sales Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Sales
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 10000
Maximum Bandwidth: 10000
199
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Support Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Support
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 10000
Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Allow Incoming Access to Marketing
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketing
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 10000
Maximum Bandwidth: 10000
Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Nombre: Allow Incoming Access to Sales
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Asignacin de trfico: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 10000
200
Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Allow Incoming Access to Support
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 5000
CLI
Para habilitar la asignacin de trfico por cada directiva, haga lo siguiente:
1.
set policy name Marketing Traffic Shaping from trust to untrust marketing any
any permit traffic gbw 10000 priority 0 mbw 15000
set policy name Sales Traffic Shaping Policy from trust to untrust sales any any
permit traffic gbw 10000 priority 0 mbw 10000
set policy name Support Traffic Shaping Policy from trust to untrust support any
any permit traffic gbw 5000 priority 0 mbw 10000
set policy name Allow Incoming Access to Marketing from untrust to trust any
marketing any permit traffic gbw 10000 priority 0 mbw 10000
set policy name Allow Incoming Access to Sales from untrust to trust any sales
any permit traffic gbw 5000 priority 0 mbw 10000
set policy name Allow Incoming Access to Support from untrust to trust any
support any permit traffic gbw 5000 priority 0 mbw 5000
save
201
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
202
Trfico saliente
garantizado
Trfico
Trfico entrante combinado
garantizado
garantizado
Prioridad
Soporte
10
Alta
Ventas
2.5
3.5
Mercadeo
2.5
1.5
Total
10
10
20
Zona Untrust
Zona Trust
T345 Mbps
Soporte: 5 Mbps de salida, 5 Mbps de entrada,
High Priority
Internet
Enrutador
Enrutador
Ventas: 2,5 Mbps de salida, 3,5 Mbps de
entrada, 2nd Priority
DMZ para
servidores
Zona DMZ
WebUI
1.
Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic
en OK:
Traffic Bandwidth: 40000
Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic
en OK:
Traffic Bandwidth: 40000
203
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
2.
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Sup-out
Source Address:
Address Book Entry: (seleccione), Support
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority (alta prioridad)
DiffServ Codepoint Marking: (seleccione)
NOTA:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority (2 prioridad)
DiffServ Codepoint Marking: Enable
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Mar-out
Source Address:
Address Book Entry: (seleccione), Marketing
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
204
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 3rd priority (3 prioridad)
DiffServ Codepoint Marking: (seleccione)
Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Nombre: Sup-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority (alta prioridad)
DiffServ Codepoint Marking: (seleccione)
Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Sal-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 3500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority (2 prioridad)
DiffServ Codepoint Marking: (seleccione)
Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Mar-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketing
Service: Any
Action: Permit
205
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 1500
Maximum Bandwidth: 40000
Traffic Priority: 3rd priority (3 prioridad)
DiffServ Codepoint Marking: (seleccione)
CLI
1.
set policy name sup-out from trust to untrust support any any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-out from trust to untrust sales any any permit traffic gbw 2500
priority 2 mbw 40000 dscp enable
set policy name mar-out from trust to untrust marketing any any permit traffic gbw
2500 priority 3 mbw 40000 dscp enable
set policy name sup-in from untrust to trust any support any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-in from untrust to trust any sales any permit traffic gbw 3500
priority 2 mbw 40000 dscp enable
set policy name mar-in from untrust to trust any marketing any permit traffic gbw
1500 priority 3 mbw 40000 dscp enable
save
Directivas de ingreso
Las directivas de ingreso controlan el trfico en el lado de entrada del dispositivo de
seguridad. Al restringir el flujo de trfico en el punto de ingreso, el trfico supera el
ajuste del ancho de banda se descarta mediante un procesamiento mnimo,
conservando los recursos del sistema. Las directivas de ingreso se pueden
configurar en el nivel de la interfaz y en las directivas de seguridad.
Las directivas de ingreso se configuran en una interfaz al ajustar el ancho de banda
mximo (la palabra clavembw ). El siguiente comando, por ejemplo, limita el ancho
de banda en Ethernet1 y la interfaz de entrada a 22 Mbps:
set interface ethernet1 bandwidth ingress mbw 22000
206
Directivas de ingreso
Se descarta el trfico FTP entrante que supera el ancho de banda de las directivas
configuradas (la palabra clave es pbw). Tambin puede ajustar el mbw en la
directiva, pero el nivel de directiva mbw se aplica nicamente en el lado de entrada
de flujo de trficoel trfico que supera la tasa configurada tambin se procesa y se
descarta nicamente en el lado de salida (consulte Figura 78, Flujo de paquetes de
asignacin de trfico, en la pgina 210). En una directiva se puede configurar mbw
o pbw, pero no las dos.
La configuracin y el refuerzo de las directivas de ingreso en interfaces virtuales es
la misma que se utiliza en las interfaces fsicas, con la nica excepcin que tambin
puede configurar el ancho de banda garantizado (la palabra clave es gbw) en
interfaces virtuales (consulte Asignacin del trfico a nivel de directiva en la
pgina 209). En interfaces fsicas, el ancho de banda garantizado es el mismo que
el ancho de banda mximo.
NOTA:
207
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Interfaces virtuales
Ethernet1.1
gbw 5000 - mbw 7000
Ethernet 1.2
gbw 2000 - mbw 5000
Tunnel.1
Tunnel.2
Tunnel.1
gbw 2000 - mbw 3000
Tunnel.2
gbw 2000 - mbw 3000
Tunnel.3
Tunnel.4
Cuando se trabaja con interfaces virtuales, hay que tener presentes las siguientes
reglas sobre jerarquas de interfaces:
208
El ancho de banda que se asign a las subinterfaces no puede ser mayor que la
capacidad de transmisin de la interfaz fsica a la que est asociado. En la
Figura 77, por ejemplo, la combinacin de gbw de ethernet1.1 y ethernet 1.2
es 9000 Kbps, 1000 Kbps por abajo del mbw de ethernet1. Observe que, sin
embargo, el ancho de banda mximo combinado de estas dos subinterfaces
supera la capacidad de transmisin de la interfaz fsica a la que se asocian por
2000 Kbps. Lo que es aceptable, ya que la palabra clave mbw se utiliza
nicamente para limitar el trfico a una taza mxima. Si el trfico se encuentra
abajo del ajuste mximo en una subinterfaz, dicho ancho de banda est
disponible para cualquier otra subintefaz asociada a la misma interfaz fsica.
El ancho de banda que se asign a las interfaces de tnel no puede ser mayor
que el ancho de banda garantizado de la subinterfaz a la que est asociado.
El ancho de banda garantizado total de las interfaces que actan como hijas
no pueden superar el ancho de banda garantizado del padre.
Observe que este comando utiliza la palabra clave del ancho de banda de las
directivas (pbw). En una directiva se puede utilizar pbw o mbw, pero no las dos. El
beneficio de utilizar pbw es que el trfico se descarta en el lado de entrada del
dispositivo de seguridad, reduciendo el procesamiento de rendimiento y
conservando los recursos del sistema. (Consulte Directivas de ingreso en la
pgina 206).
En la WebUI, despus de crear una directiva, haga clic en el botn Advanced para
configurar los parmetros de asignacin de trfico.
Aunque debe ajustar el modo de asignacin de trfico a encendido para asignar el
trfico en las interfaces, no es necesario encender la asignacin del trfico cuando
se asigna el trfico en las directivas. Esto se debe a que el modo de asignacin de
trfico se ajusta a auto predeterminadamente. Cuando una sesin se activa y una
consulta de directivas descubre la asignacin de trfico, ScreenOS activa la
asignacin de trfico para dicha sesin. Se puede ajustar o no el modo de
asignacin de trfico a auto nicamente en la WebUI: Configuration > Advanced
> Traffic Shaping.
209
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Flujo de paquetes
La Figura 78 ilustra la parte del flujo de paquetes a travs del dispositivo de
seguridad que afecta la asignacin del trfico y las directivas. (Consulte Secuencia
de flujo de paquetes en la pgina 11 para obtener una ilustracin completa del flujo
de paquetes). Los paquetes que superan el pbw (o el mbw configurado en la
interfaz) se descartan en el paso 9; la asignacin y marcado de DSCP se lleva a cabo
en el paso 10 y los paquetes que superan el mbw (configurado en una directiva) se
descarta en el paso 11.
Figura 78: Flujo de paquetes de asignacin de trfico
Paquete
entrante
Crear
sesin
Directivas
(si est habilitado)
10
11
Tareas programadas
Tabla de sesiones
d 977 vsys id 0, flag 000040/00,
pid -1, did 0, time 180
13 (01) 10.10.10.1/1168 ->
211.68.1.2/80, 6, 002be0c0066b,
subif 0, tun 0
San Francisco
Dispositivo1
e2
e2
e2.1, 2.2.2.1/24
e1, 10.1.1.1/24
e2.1, 2.2.2.2/24
Subinterfaces
t.1
Interfaces de tnel
New York
Dispositivo2
e1, 10.2.0.2/24
t.1
Clientes
Servidor
Zona Trust
210
Zona Trust
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.1.1.1/24
Zona: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Interface Name: (Seleccione) ethernet2 y escriba: 1
Zone: Untrust
IP Address/Netmask: 2.2.2.1/24
VLAN Tag: 128
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Tunnel Interface Name: 1
Zone: Untrust
Unnumbered (seleccione) ethernet2.1
Interface: e2.1
2.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.2.0.0/24
Interface (seleccione): Tunnel.1
3.
IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device1_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Clave previamente compartida
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device1_vpn
Gateway Name: device1_ike
211
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Interfaces
IKE
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.2.0.2/24
Zona: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Interface Name: (Seleccione) ethernet2 y escriba: 1
Zone: Untrust
IP Address/Netmask: 2.2.2.2/24
VLAN Tag: 128
Network > Interfaces > Tunnel IF > New: Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
Sin numerar (seleccione) ethernet2.1
Interfaz: e2.1
2.
Network > Interfaces > Edit (para ethernet2.1): Introduzca los siguientes
datos y haga clic en OK:
Traffic Bandwidth, Ingress: 1200
Network > Interfaces > Edit (para tunnel.1): Introduzca los siguientes datos y
haga clic en OK:
Traffic Bandwidth, Ingress: 1000
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.1.0/24
Interface (seleccione): Tunnel.1
212
4.
IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device2_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Clave previamente compartida
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device2_vpn
Gateway Name: device2_ike
Directivas
Directivas > (From: Trust, A: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Service: Any
Action: Permit
Directivas > (From: Untrust, A: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Service: Any
Action: Permit
Interfaces
IKE
set ike gateway device2_ike address 2.2.2.1 preshare secret sec-level standard
set vpn device2_vpn gateway 208b_ike sec-level standard
set vpn device2_vpn bind interface t.1
4.
Directiva
213
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
San Francisco
New York
Dispositivo1
Dispositivo2
e2, 2.1.1.1
e1, 10.1.1.1.1
e2, 10.2.2.1
e1, 1.1.1.2
Clientes
Servidor
Zona Trust
Zona Trust
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.1.1.1/24
Zone: Trust
Interface mode: (seleccione) NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 2.1.1.1/24
Zone: Untrust
Modo de interfaz: (seleccione) Route
2.
VPN IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device2_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
214
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device2_vpn
Gateway Name: device2_ike
3.
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Ancho de Bandwidth de ingreso: 20000
4.
Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Network IP Address/Netmask: 10.2.1.0/24
Interface: (seleccione) ethernet2
Gateway IP Address: 2.2.2.2
5.
Directivas
Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device2_vpn
Modify matching bidirectional VPN policy: (seleccione)
Interfaces
VPN IKE
set ike gateway device2_ike address 2.2.2.2 main outgoing interface ethernet2
preshare secret proposal pre-g2-3des-sha
set vpn device2_vpn gateway device2_ike no-replay tunnel idletime 0 sec-level
standard
215
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
3.
Enrutamiento
Directivas
set policy from trust to untrust any any ftp tunnel vpn device2_vpn pair-policy 2
traffic pbw 5000
set policy from untrust to trust any any ftp tunnel vpn netscreeen2_vpn pair-policy
1 traffic pbw 5000
5.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Zone: Trust
Interface mode: (seleccione) Route
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.2.2.1/24
Zone: Untrust
Modo de interfaz: (seleccione) NAT
2.
VPN IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device1_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.1.1.1
Clave previamente compartida
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device1_vpn
Gateway Name: device1_ike
3.
Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
216
Directivas
Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device1_vpn
Modify matching bidirectional VPN policy: (seleccione)
Interfaces
set
set
set
set
2.
VPN IKE
set ike gateway device1_ike address 2.1.1.1 main outgoing interface ethernet2
preshare secret proposal pre-g2-3des-sha
set vpn device1_vpn gateway device1_ike no-replay tunnel idletime 0 sec-level
standard
3.
Enrutamiento
Directivas
set policy id 1 from trust to untrust any any ftp tunnel vpn device1_vpn pair-policy 2
set policy id 2 from untrust to trust any any ftp tunnel vpn device1_vpn pair-policy 1
217
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Sin marcado.
Sin marcado.
Descripcin
218
Mantenga el marcado en el
paquete.
Sobrescriba el marcado en el
paquete con base en las
directivas.
Sin marcado.
Sin marcado.
nicamente el encabezado
ESP se marc, con base en las
directivas.
nicamente el encabezado
ESP se marc, con base en las
directivas.
Marque previamente el
paquete de la VPN basada en
directivas sin ningn marcado
en las directivas.
El encabezado ESP no se
marc, mantenga el marcado
en el paquete interno.
El encabezado ESP no se
marc, mantenga el marcado
en el paquete interno.
Marque previamente el
paquete de la VPN basada en
directivas con marcado en las
directivas.
Descripcin
Sin marcado.
Sin marcado.
El paquete interno y el
encabezado ESP se marcaron,
con base en las directivas.
Marque previamente el
paquete de la VPN basada en
rutas sin ningn marcado en
las directivas.
El encabezado ESP no se
marc, mantenga el marcado
en el paquete interno.
Marque previamente el
paquete de la VPN basada en
rutas con marcado en las
directivas.
Sobrescriba el marcado en el
paquete interno con base en
las directivas y copie el
marcado del paquete interno
en el encabezado ESP.
Sobrescriba el marcado en el
paquete interno, con base en
las directivas. El encabezado
ESP no se marc.
Descripcin
219
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
220
Captulo 8
Syslog
Correo electrnico
WebTrends
Websense
LDAP
SecurID
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
RADIUS
NetScreen-Security Manager
NOTA:
Consulta DNS
El dispositivo de seguridad actualiza todas las entradas de su tabla DNS
comprobndolas en un servidor DNS especificado en los momentos siguientes:
Adems del mtodo existente de establecer una hora para la actualizacin diaria y
automtica de la tabla DNS, tambin puede definir un intervalo de tiempo entre 4 y
24 horas.
NOTA:
222
El dispositivo de seguridad debe realizar una nueva consulta cada da, que se puede
programar en el mismo para que la realice a una hora determinada:
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Actualizacin de DNS cada da a las: Seleccione la casilla de verificacin e
introduzca la hora <hh:mm>
CLI
set dns host schedule time_str
Direccin IP
Estado
ltima bsqueda
www.yahoo.com
204.71.200.74
204.71.200.75
204.71.200.67
204.71.200.68
209.185.151.28
209.185.151.210
216.32.228.18
xito
8/13/2000 16:45:33
xito
8/13/2000 16:45:38
www.hotbot.com
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Zona Trust
Zona Untrust
Servidor DNS
secundario 24.1.64.38
Servidor DNS
principal 24.0.0.3
Internet
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Primary DNS Server: 24.0.0.3
Secondary DNS Server: 24.1.64.38
DNS Refresh: (seleccione)
Every Day at: 23:00
CLI
set dns host dns1 24.0.0.3
set dns host dns2 24.1.64.38
set dns host schedule 23:00
save
CLI
set dns host schedule 00:01:00 interval 4
save
CPE (como un dispositivo de seguridad) que proteja un servidor web. Los clientes
procedentes de Internet pueden acceder el servidor web usando un nombre de
dominio, aunque la direccin IP del enrutador CPE haya cambiado previamente.
Este cambio es posible gracias a un servidor DDNS como dyndns.org o ddo.jp, que
contienen las direcciones cambiadas dinmicamente y sus nombres de dominio
asociados. El CPE actualiza los servidores DDNS con esta informacin,
peridicamente o en respuesta a cambios de direcciones IP.
Para utilizar DDNS, cree una cuenta (nombre de usuario y contrasea) en el
servidor DDNS. El servidor utiliza esta informacin de cuenta para configurar el
dispositivo cliente.
Figura 83: DNS dinmico
Servidor web
www.my_host.com
Cliente
Dispositivo de
seguridad
Zona Trust
Internet
Servidor DDNS
ethernet7
dyndns.org or ddo.jp
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
CLI
set dns ddns
set dns ddns enable
set dns ddns id 25 server ddo.jp server-type ddo refresh-interval 24
minimum-update-interval 15
set dns ddns id 25 src-interface ethernet7
set dns ddns id 25 username my_host password ad93lvb
save
226
Los comandos siguientes crean dos entradas DNS por proxy que reenvan
selectivamente las consultas DNS a diferentes servidores.
Figura 84: Dividir peticiones de DNS
Servidores DNS del ISP
juniper.net
1.1.1.23
Internet
63.126.135.170
acme.com =>
3.1.1.2
ethernet3
acme_eng.com =>
3.1.1.5
tunnel.1
acme.com
Empresa
Servidores DNS
2.1.1.21
2.1.1.34
acme_eng.com
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Todas las dems consultas DNS (marcadas con un asterisco) evitan a los
servidores corporativos y salen a travs de la interfaz ethernet3 al servidor DNS
en la direccin IP 1.1.1.23.
Por ejemplo, si el host y el nombre de dominio son www.juniper.net, el
dispositivo evita automticamente los servidores corporativos y dirige la
consulta a este servidor, que resuelve la consulta obteniendo la direccin IP
207.17.137.68.
WebUI
1.
Network > DNS > Proxy: Introduzca los siguientes datos y haga clic en Apply:
Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: *
Outgoing Interface: ethernet3
Primary DNS Server: 1.1.1.23
CLI
set dns proxy
set dns proxy enable
set interface ethernet3 proxy dns
set dns server-select domain acme.com outgoing-interface tunnel.1 primary-server
2.1.1.21
set dns server-select domain acme_eng.com outgoing-interface tunnel.1
primary-server 2.1.1.34
set dns server-select domain * outgoing-interface ethernet3 primary-server
1.1.1.23
save
228
NOTA:
Aunque utilice el mdulo del servidor DHCP para asignar direcciones a hosts tales
como las estaciones de trabajo de una zona, tambin puede utilizar direcciones IP
fijas para otros equipos, como servidores de correo y servidores WINS.
229
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
En los dispositivos que pueden tener varias interfaces asociadas a la zona Trust, la
interfaz predeterminada es la primera interfaz asociada a esa zona a la que se
haya asignado una direccin IP.
NOTA:
230
NOTA:
172.16.10.10 a 172.16.10.19
172.16.10.120 a 172.16.10.129
172.16.10.210 a 172.16.10.219
Zona Trust
ethernet1
172.16.10.1/24 (NAT)
Conjunto de
direcciones
172-16.10.10
172.16.10.19
IP reservada
172.16.10.11
MAC: 12:34:ab:cd:56:78
Servidores DNS
Direcciones IP fijas
172.16.10.240
172.16.10.241
172.16.10.1/24
LAN
Conjunto de
direcciones
172-16.10.210
172.16.10.219
Conjunto de
direcciones
172-16.10.120
172.16.10.129
IP reservada
172.16.10.112
MAC: ab:cd:12:34:ef:gh
231
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
WebUI
1.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: DNS#1
Comment: Servidor DNS principal
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.240/32
Zona: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: DNS#2
Comment: Servidor DNS secundario
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.241/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: SMTP
Comment: Servidor SMTP
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.25/32
Zona: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: POP3
Comment: Servidor POP3
IP Address/Domain Name:
IP/Netmask: (seleccione), 172.16.10.110/32
Zone: Trust
2.
Servidor DHCP
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los
siguientes datos y haga clic en Apply:
Lase: Unlimited (seleccione)
WINS#1: 0.0.0.0
DNS#1: 172.16.10.240
NOTA:
232
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
WINS#2: 0.0.0.0
DNS#2: 172.16.10.241
DNS#3: 0.0.0.0
SMTP: 172.16.10.25
POP3: 172.16.10.110
NEWS: 0.0.0.0
NetInfo Server # 1: 0.0.0.0
NetInfo Server # 2: 0.0.0.0
NetInfo Tag: (deje el campo vaco)
Domain Name: dynamic.com
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.10
IP Address End: 172.16.10.19
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.120
IP Address End: 172.16.10.129
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.210
IP Address End: 172.16.10.219
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
IP Address: 172.16.10.11
Ethernet Address: 1234 abcd 5678
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
Direccin IP: 172.16.10.112
Ethernet Address: abcd 1234 efgh
CLI
1.
Direcciones
set
set
set
set
2.
address
address
address
address
Servidor DHCP
set
set
set
set
set
set
domainname dynamic.com
lease 0
dns1 172.16.10.240
dns2 172.16.10.241
smtp 172.16.10.25
pop3 172.16.10.110
Protocolo de configuracin dinmica de hosts
233
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
234
Terminologa
Terminologa de la CLI de
ScreenOS
Cdigo de opcin
Mscara de subred
netmask
gateway
Nombre de dominio
domainname
15
wins1, wins2
44
Tiempo de arrendamiento de
la direccin IP
lease
51
smtp
69
pop3
70
news
71
(N/D)
nis1, nis2
112
(N/D)
nistag
113
CLI
1.
Direcciones
Servidor DHCP
set
set
set
set
set
set
set
set
235
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
CLI
set interface ethernet1 dhcp server auto
save
236
CLI
set interface ethernet1 dhcp server enable
save
NOTA:
NOTA:
237
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Agente de retransmisin
Tnel VPN en la
zona Untrust
DHCP
Servidor
Host
Peticin
Peticin
DHCP
Servidor
Host
Asignacin
Asignacin
DHCP
Servidor
Host
Peticin
Peticin
238
ethernet3
1.1.1.1/24
ethernet1
180.10.10.1/24
Zona Untrust
Servidor
DHCP
194.2.9.10
Dispositivo de seguridad
Agente de retransmisin
de DHCP
Conjunto de
direcciones IP
180.10.10.2-
WebUI
1.
Interfaces
Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic
en Apply:
Zone: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 180.10.10.1/24
Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic
en OK:
Zone: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direccin
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Servidor DHCP
IP Address/Domain Name:
IP/Netmask: (seleccione), 194.2.9.10/32
Zona: Untrust
239
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: dhcp server
Security Level: Custom
Remote Gateway Type:
Static IP: (seleccione), Address/Hostname: 2.2.2.2
Outgoing Interface: ethernet3
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Security Level:
User Defined: Custom (seleccione)
Phase1 Proposal: rsa-g2-3des-sha
Mode (Initiator): Main (Proteccin de la identificacin)
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: to_dhcp
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), to_dhcp
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
Bind to: Ninguna
4.
Network > DHCP > Edit (para ethernet1) > DHCP Relay Agent: Introduzca los
siguientes datos y haga clic en Apply:
Relay Agent Server IP or Domain Name: 194.2.9.10
Use Trust Zone Interface as Source IP for VPN: (seleccione)
5.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
NOTA:
240
6.
Directivas
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DHCP Server
Service: DHCP-Relay
Action: Tunnel
Tunnel VPN: to_dhcp
Modify matching outgoing VPN policy: (seleccione)
CLI
1.
Interfaces
Direccin
VPN
Ruta
Directivas
set policy from trust to untrust any dhcp_server dhcp-relay tunnel vpn to_dhcp
set policy from untrust to trust dhcp_server any dhcp-relay tunnel vpn to_dhcp
save
NOTA:
241
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
LAN interna
ISP
(servidor DHCP)
2.2.2.5
Internet
Zona Untrust
NOTA:
Antes de poder configurar un sitio para el servicio DHCP, debe disponer de una
Lnea de abonado digital (DSL) y una cuenta con un proveedor de servicios de
Internet (ISP).
WebUI
Network > Interfaces > Edit (para ethernet3): Seleccione Obtain IP using
DHCP, despus haga clic en OK.
NOTA:
242
NOTA:
DNS (3)
WINS (2)
NetInfo (2)
SMTP (1)
POP3 (1)
News (1)
243
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
ISP
Servidor DHCP
Ajustes TCP/IP
Clientes de DHCP
Zona Trust
Para propagar todos los ajustes TCP/IP que reciba del mdulo de cliente DHCP,
puede configurar el mdulo del servidor DHCP ejecutando el comando set
interface interface dhcp-client settings update-dhcpserver. Tambin puede dar
preferencia a cualquier ajuste sobre otro.
En este ejemplo configurar el dispositivo de seguridad para actuar a la vez como
cliente DHCP en la interfaz ethernet3 y como servidor DHCP en la interfaz
ethernet1. (El servidor DHCP predeterminado se encuentra en la interfaz
ethernet1).
Como cliente DHCP, el dispositivo de seguridad recibe una direccin IP para la
interfaz ethernet3 y sus ajustes TCP/IP de un servidor DHCP externo con la
direccin 211.3.1.6. Habilitar el mdulo de cliente DHCP en el dispositivo de
seguridad para transferir al mdulo de servidor DHCP los ajustes TCP/IP que reciba.
Configurar el mdulo de servidor DHCP para hacer lo siguiente con los ajustes
TCP/IP que reciba del mdulo de cliente DHCP:
244
SMTP: 211.1.8.150
POP3: 211.1.8.172
NOTA:
Cliente DHCP
set
set
set
set
2.
Servidor DHCP
245
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
NOTA:
Configurar PPPoE
El ejemplo siguiente ilustra cmo definir la interfaz no fiable de un dispositivo de
seguridad para conexiones PPPoE, y cmo iniciar el servicio PPPoE.
En este ejemplo, el dispositivo de seguridad recibe del ISP una direccin IP
asignada dinmicamente para su interfaz de la zona Untrust (ethernet3), al tiempo
que el dispositivo de seguridad asigna dinmicamente direcciones IP para los tres
hosts de su zona Trust. En este caso, el dispositivo de seguridad acta como cliente
PPPoE y como servidor DHCP. La interfaz de la zona Trust debe estar en modo NAT
o Route. En este ejemplo se encuentra en modo NAT.
Figura 90: PPPoE
Interfaz de Trust: 172.16.30.10/24
Concentrador
(hub)
Mdem DSL
ISP
DSLAM
CA
Lnea DSL
Internet
Principal
Servidor DNS
Rango de DHCP:
172.16.30.2 - 172.16.30.5
Zona Trust
Servidor DNS
secundario
Zona Untrust
Antes de configurar el sitio de este ejemplo para el servicio PPPoE, debe disponer
de los siguientes medios:
246
WebUI
1.
Interfaces y PPPoE
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zona: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 172.16.30.10/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zona: Untrust
Obtain IP using PPPoE: (seleccione)
User Name/Password: <nombre>/<contrasea>
Network > Interfaces > Edit (para ethernet3): Para verificar su conexin
PPPoE, haga clic en Connect.
NOTA:
Servidor DHCP
Network > Interfaces > Edit (para ethernet1) > DHCP: Seleccione DHCP
Server, despus haga clic en Apply.
Network > Interfaces > Edit (para ethernet1) > DHCP: Introduzca los
siguientes datos y haga clic en Apply:
Lease: 1 hour
Gateway: 0.0.0.0
Netmask: 0.0.0.0
DNS#1: 0.0.0.0
Network > Interfaces > DHCP (para ethernet1) > New Address: Introduzca los
siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.30.2
IP Address End: 172.16.30.5
247
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
3.
Cuando se utiliza DHCP para asignar direcciones IP a los hosts de la zona Trust, el
dispositivo de seguridad reenva automticamente las direcciones IP de los
servidores DNS que recibe del ISP a los hosts.
Si las direcciones IP para los hosts no se asignan dinmicamente mediante DHCP,
deber introducir manualmente las direcciones IP de los servidores DNS en cada
host.
Cada conexin TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automticamente por el proceso de encapsulado PPPoE.
CLI
1.
Interfaces y PPPoE
set
set
set
set
set
Servidor DHCP
4.
Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
PPPoE instance: eth3-pppoe
Unido a la interfaz: ethernet3 (seleccione)
Username: user1
Password: 123456
Authentication: Any (seleccione)
Access Concentrator: ac-11
Configuracin de PPPoE para la interfaz ethernet2
Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
PPPoE instance: eth2-pppoe
Unido a la interfaz: ethernet2 (seleccione)
Username: user2
Password: 654321
Authentication: Any (seleccione)
Access Concentrator: ac-22
CLI
1.
set
set
set
set
2.
249
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
isp_1
e7
isp_1ac
isp_2
e7.1
isp_2ac
isp_3
e7.2
isp_3ac
Zona Untrust
Zona Trust
isp_1ac
isp_2ac
isp_3ac
ethernet7
Concentradores de accesos
250
WebUI
Interfaz y subinterfaces
1.
251
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
8.
9.
CLI
1.
Interfaz y subinterfaces
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
save
3.
name
name
name
name
name
name
name
name
name
isp_1
isp_1
isp_1
isp_2
isp_2
isp_2
isp_3
isp_3
isp_3
252
Claves de licencia
La caracterstica de la clave de licencia permite ampliar las prestaciones del
dispositivo de seguridad de Juniper Networks sin tener que actualizar a otro
dispositivo o imagen del sistema. Se pueden comprar los siguientes tipos de claves:
Avanzada
Capacidad
Extendido
Virtualizacin
GTP
Vsys
IDP
Claves de licencia
253
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Registrar la suscripcin
Servicio de prueba
Para que usted pueda utilizar los servicio de AV, DI, anti-spam o filtrado de web, el
dispositivo de seguridad le otorga un periodo de prueba. Durante este tiempo, el
dispositivo puede obtener servicios temporalmente. Para descargar las claves de
licencia de prueba que se pueden elegir del servidor de autorizacin, utilice el
comando CLI exec license-key update trials.
NOTA:
La clave se vence
Para borrar una clave de licencia nica del archivo de claves, utilice el comando
CLI exec license-key delete name_str.
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Ahora puede configurar el dispositivo para que realice la descarga de los servicios
de firma de forma automtica o manual. Para obtener instrucciones sobre cmo
configurar su dispositivo de seguridad para estos servicios, consulte las siguientes
secciones:
Fecha y hora
Para poner el reloj en hora con la fecha y hora actuales, puede utilizar WebUI o CLI.
A travs de WebUI, esta operacin se efecta sincronizando el reloj del sistema con
el reloj de su computadora:
1. Configuration > Date/Time: Haga clic en el botn Sync Clock with Client.
Aparecer un mensaje preguntndole si tiene habilitada la opcin del horario
de verano en el reloj de su computadora.
2. Haga clic en Yes para sincronizar el reloj del sistema y ajustarlo segn el horario
de verano o invierno, o bien en No para sincronizarlo sin el ajuste de horario de
verano.
Con CLI, el reloj se pone en hora manualmente introduciendo la fecha y hora
mediante el comando set clock mm/dd/yyyy hh:mm:ss.
Huso horario
El huso horario se establece especificando el nmero de horas de adelanto o de
retraso de la hora local del dispositivo de seguridad con respecto a GMT
(Greenwich Mean Time, hora media de Greenwich). Por ejemplo, si el huso
horario local del dispositivo es la hora estndar del Pacfico (Pacific Standard Time
o PST), tendr un retraso de 8 horas con respecto a GMT. Por lo tanto, deber
poner el reloj en -8.
256
o bien
ns -> set ntp timezone number (nmero entre -12 y 12)
257
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en
Apply:
Primary Server IP/Name: 1.1.1.1
Identificador de claves del servidor principal: 10
Source interface: Seleccione Trust en la lista.
Preshared Key: !2005abc
Backup Server1 IP/Name: 1.1.1.2
Primary server Key ID: 10
Source interface: Seleccione Trust en la lista.
Preshared Key: !2005abc
Backup Server2 IP/Name: 1.1.1.3
Primary server Key ID: 10
Source interface: Seleccione Trust en la lista.
Preshared Key: !2005abc
CLI
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
save
server 1.1.1.1
server backup1 1.1.1.2
server backup2 1.1.1.3
server src-interface trust
server backup1 src-interface trust
server backup2 src-interface trust
server key-id 10 pre-share-key !2005abc
server backup1 key-id 10 pre-share-key !2005abc
server backup2 key-id 10 pre-share-key !2005abc
258
NOTA:
CLI
set clock ntp
set ntp server 1.1.1.1
set ntp server backup1 1.1.1.2
set ntp server backup2 1.1.1.3
set ntp interval 5
set ntp max-adjustment 2
save
259
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Required
Preferred:
260
ndice
A
alarmas, umbrales de ..................................................177
ALG
MS RPC ...................................................................133
para servicios personalizados ..............................172
RTSP .......................................................................134
Sun RPC ..................................................................131
alta disponibilidad
Vase HA
ancho de banda ...........................................................178
administrar ............................................................197
garantizado ............................................178, 197, 203
mximo ..................................................178, 197, 203
mximo ilimitado ..................................................198
ARP..................................................................................84
ARP, direccin IP de entrada ........................................87
asignacin de trfico ...................................................197
automtica .............................................................198
prioridades del servicio ........................................202
autenticacin
Allow Any ...............................................................176
directivas ................................................................174
usuarios ..................................................................174
autenticacin en tiempo de ejecucin ......................175
C
claves de licencia .........................................................253
claves, licencia .............................................................253
CLI, set arp always-on-dest .....................................76, 79
colas de prioridad
de ancho de banda ...............................................202
predeterminadas ...................................................202
Conjuntos de direcciones IP
vase Conjuntos de DIP
Conjuntos de IP dinmico (DIP).................................174
D
DHCP ..............................................................98, 102, 246
agente de retransmisin.......................................229
client .......................................................................229
HA ...........................................................................236
servidor ..................................................................229
DiffServ .................................................................178, 204
Vase tambin DS Codepoint Marking
DIP............................................................... 101, 144 a 148
conjuntos ................................................................174
conjuntos, modificar .............................................147
grupos ...........................................................157 a 159
PAT ..................................................................145, 146
puerto fijo ...............................................................147
direcciones
definicin................................................................170
en directivas ...........................................................170
entradas en la libreta de direcciones ........106 a 110
ID de IP, de host y de red.......................................55
privadas ....................................................................56
pblicas.....................................................................55
Direcciones IP
Administracin ........................................................97
direcciones IP
ID de host .................................................................55
ID de red...................................................................55
interfaces, seguimiento de .....................................65
privadas ....................................................................55
pblicas.....................................................................55
puertos, definicin para cada uno.......................106
rangos de direcciones privadas .............................56
secundarias ..............................................................59
secundarias, enrutamiento entre ..........................59
zonas de seguridad L3 ....................................54 a 56
direcciones IP secundarias ...........................................59
direcciones privadas ......................................................56
direcciones pblicas ......................................................55
direcciones, negacin de ............................................191
directivas...........................................................................3
acciones ..................................................................171
administracin .......................................................179
administrar ancho de banda ................................197
alarmas ...................................................................177
aplicacin, enlazar explcitamente servicio a ....172
asignacin de trfico .............................................178
autenticacin..........................................................174
cambiar...................................................................194
colocar al principio ........................................173, 195
contexto de una directiva .....................................189
copia de seguridad de la sesin HA ....................176
Deep Inspection (DI) .............................................173
denegar ...................................................................171
dentro de zonas .....................................165, 179, 187
desactivar ...............................................................194
ndice
IX-I
IX-II
ndice
E
enrutadores virtuales
vase VR
Etiquetas VLAN ................................................................4
etiquetas VLAN ................................................................4
F
filtrado de URL
Consulte filtrado de web
filtrado de web .............................................................176
flujo de paquetes ................................................... 11 a 13
G
gestin de colas de prioridades .................................202
grficos de historial .....................................................177
grupos
direcciones .............................................................108
servicios..................................................................142
grupos de direcciones .........................................108, 170
crear ........................................................................110
edicin ....................................................................110
entradas, eliminar .................................................110
opciones .................................................................108
grupos de servicios ............................................ 142 a 144
crear ........................................................................143
eliminar ..................................................................144
modificar ................................................................143
grupos de servicios (WebUI) .......................................142
H
HA
DHCP ......................................................................236
HA virtual, interfaces de .........................................47
interfaces ..................................................................47
vase tambin NSRP
historial, grficos .........................................................177
huso horario .................................................................256
I
interfaces
activas fsicamente..................................................62
activas lgicamente ................................................62
agregadas .................................................................46
asociar a zonas ........................................................54
cambios de estado ..................................................62
conexiones, supervisin de....................................64
de bucle invertido ...................................................60
DIP ..........................................................................144
direccionar ...............................................................54
direcciones IP secundarias .....................................59
ndice
fsicas ..........................................................................3
fsicas en zonas de seguridad ................................45
HA .............................................................................47
HA virtual .................................................................47
inactivas fsicamente ..............................................62
inactivas lgicamente .............................................62
MGT...........................................................................47
modificar ..................................................................56
predeterminadas .....................................................56
redundantes .............................................................46
Seguimiento de IP (Vase seguimiento de IP)
tabla de interfaces, visualizar ................................52
tnel ............................................................ 48, 48 a 51
tnel de NAT basada en directivas........................48
visualizar tabla de interfaces .................................52
VLAN1.......................................................................83
VSI .............................................................................47
zona de funcin .......................................................47
zona de funcin de HA ...........................................47
zonas de seguridad L3 ............................................54
zonas, separar de ....................................................54
interfaces agregadas ......................................................46
interfaces de bucle invertido ........................................60
interfaces de HA virtual ................................................47
Interfaces de ScreenOS
fsicas ..........................................................................3
subinterfaces..............................................................4
zonas de seguridad ...................................................3
interfaces de tnel .........................................................48
definicin .................................................................48
NAT basada en directivas .......................................48
interfaces de zonas de funcin ....................................47
administracin.........................................................47
HA .............................................................................47
interfaces, supervisin de ..................................... 70 a 75
bucles ........................................................................71
zonas de seguridad .................................................75
IP de administracin .....................................................97
ISP .................................................................................227
L
libretas de direcciones
direcciones, agregar ..............................................107
direcciones, eliminar ............................................110
direcciones, modificar ..........................................107
entradas..................................................................106
entradas de grupos, editar ...................................110
grupos .....................................................................108
Vase tambin direcciones
libro de servicio, servicios
agregar....................................................................126
personalizado (CLI) ...............................................126
personalizados .......................................................111
preconfigurado ......................................................111
libro de servicios
entradas, eliminar (CLI) ........................................127
entradas, modificar (CLI) ......................................126
M
mscaras de red .....................................................55, 170
MGT, interfaz ..................................................................47
MIP ..................................................................................12
MIP, a una zona con NAT basada en interfaces ..........96
modo de ruta ......................................................100 a 103
ajustes de interfaz .................................................101
NAT-src ...................................................................101
modo NAT .............................................................94 a 100
ajustes de interfaz ...................................................97
trfico a la zona Untrust ...................................81, 96
modo transparente ................................................82 a 94
ARP/trace-route .......................................................85
bloquear trfico no ARP .........................................84
bloquear trfico no IP .............................................84
inundacin ...............................................................85
opciones unicast ......................................................85
rutas ..........................................................................84
trfico broadcast ......................................................83
modos
Combined .................................................................37
disponibilidad del modo de puerto .......................34
Dual DMZ .................................................................39
Dual Untrust .............................................................36
Home-Work..............................................................35
NAT, trfico a la zona Untrust ...............................81
puerto .......................................................................33
Transparente ............................................................82
Trust-Untrust ............................................................34
modos de puertos ..........................................................33
Ajuste ........................................................................40
Combined .................................................................37
disponibilidad ..........................................................34
Dual DMZ .................................................................39
Dual Untrust .............................................................36
Home-Work..............................................................35
Modo DMZ/Dual Untrust.........................................38
predeterminados .....................................................34
Trust/Untrust/DMZ (extendido) ..............................38
Trust-Untrust ............................................................34
MS RPC ALG, definido .................................................133
N
NAT basada en directivas, interfaces de tnel de.......48
NAT-src, modo de ruta .................................................101
negacin de direcciones .............................................191
NetInfo ..........................................................................230
niveles de prioridad
de ancho de banda ................................................202
NSRP
ndice
IX-III
O
opcin de aplicacin, en directivas ........................... 172
opciones unicast desconocidas ........................ 84 a 89
ARP ................................................................... 86 a 89
inundacin ....................................................... 85 a 86
trace-route ................................................................ 87
P
parmetros del sistema .............................................. 259
PAT................................................................................. 145
personalizados, servicios
ALG ......................................................................... 172
Proveedor de servicios de Internet (ISP) .................. 227
Q
QoS (calidad del servicio) ........................................... 197
R
Rango IP dinmico(DIP) ............................................. 147
red, ancho de banda ................................................... 197
registro .......................................................................... 176
reglas, derivadas de directivas ................................... 168
reloj del sistema................................................. 256 a 260
fecha y hora ........................................................... 256
huso horario .......................................................... 256
sincronizacin con cliente ................................... 256
RFC
0792, Protocolo de mensajes de control de Internet ..
130
1349, Type of Service in the Internet Protocol Suite
178
1918, Address Allocation for Private Internets .....56
2132, Extensiones del proveedor BOOTP y opciones
DHCP .............................................................234
2326, Protocolo de secuencia en tiempo real (RTSP) .
134, 138
2474, Definition of the Differentiated Services
Field (DS Field) in the IPv4 and IPv6 Headers..178
RSH ALG ....................................................................... 131
RTSP ALG
IX-IV
ndice
S
SCREEN, zona MGT .......................................................28
ScreenOS
directivas ....................................................................3
flujo de paquetes ............................................. 11 a 13
sistemas virtuales ....................................................10
vista general ...............................................................1
zona de seguridad global..........................................2
zona global ...............................................................28
zonas ................................................................ 25 a 33
zonas de funcin .....................................................32
zonas de seguridad .............................................2, 28
zonas de seguridad predefinidas .............................2
zonas de tnel .........................................................28
seguimiento de IP
interfaces compartidas ...........................................65
interfaces compatibles............................................65
opcin dynamic ...................................................66
peso ..........................................................................67
redireccionar el trfico ................................... 65 a 80
umbral de fallos del objeto ....................................66
vsys ...........................................................................65
seguimiento de IP, fallo del
interfaz de entrada, en ................................... 78 a 80
interfaz de salida, en ...................................... 76 a 77
umbral de IP supervisado ......................................66
servicios ........................................................................111
definicin ...............................................................170
en directivas ..........................................................170
ICMP .......................................................................130
lista desplegable ....................................................111
umbral del tiempo de espera ...............................127
servicios ICMP..............................................................130
cdigos de mensaje ..............................................130
tipos de mensaje ...................................................130
servicios personalizados .............................................125
servicios personalizados, en raz y vsys ....................125
servicios, personalizados ............................................125
en vsys....................................................................125
Sistema de nombres de dominio
Consulte DNS
sistema, reloj
Consulte el reloj del sistema
sistemas virtuales ..........................................................10
subinterfaces ....................................................................4
crear (sistema raz) .................................................57
eliminar ....................................................................58
Sun RPC ALG
ndice
definido ..................................................................131
supuestos de llamadas ..........................................131
suscripciones
registro y activacin .................................... 254 a 256
servicio temporal...................................................254
T
tareas programadas .............................................160, 177
trace-route ......................................................................87
Traduccin de direcciones de puertos
Consulte PAT
trfico
asignacin ..............................................................197
prioridad .................................................................178
recuento .................................................................177
registro ...................................................................176
U
usuarios de autenticacin
autenticacin en tiempo de ejecucin ................175
autenticacin previa a la directiva ......................175
proceso de autenticacin en tiempo de ejecucin ..
tnel ..........................................................................28
VLAN ...................................................................33, 83
zonas de seguridad ....................................................2, 28
determinacin de la zona de destino....................12
determinacin de la zona de origen .....................11
global ..........................................................................2
predefinido .................................................................2
zonas de seguridad e interfaces .....................................3
zonas de seguridad, interfaces .....................................45
fsicas ........................................................................45
zonas de seguridad, interfaces de
subinterfaces ............................................................46
zonas de, seguridad
interfaces, supervisin de ......................................75
zonas, ScreenOS ....................................................25 a 33
interfaces de seguridad.............................................3
predefinido .................................................................2
zonas, seguridad
interfaces, fsicas .....................................................45
subinterfaces ............................................................46
175
WebAuth ................................................................175
V
VIP ...................................................................................12
VIP, a una zona con NAT basada en interfaces ..........96
VLAN1
interfaz ...............................................................83, 89
zonas.........................................................................83
VPN
a una zona con NAT basada en interfaces ...........96
directivas ................................................................172
zonas de tnel .........................................................28
VR
introduccin ...............................................................4
reenviar trfico entre dos .........................................5
W
WebAuth, proceso de autenticacin previo a directivas
175
Z
zona VLAN ......................................................................83
zonas ....................................................................... 25 a 33
definicin .................................................................30
edicin ......................................................................31
funcin .....................................................................32
funcin, interfaz MGT .............................................47
global ........................................................................28
interfaces de seguridad ..........................................45
Layer 2 ......................................................................83
seguridad global ........................................................2
ndice
IX-V
IX-VI
ndice