SRX安全网关操作手册102.docx

SRX安全网关操作手册 神州数码（中国）有限公司 二零一零年六月 目 录 1. 总体概述 7 1.1. 文档术语 7 2. SRX基本操作 8 2.1. 通过Console线缆连接路由器 8 2.2. 设备关闭 10 2.3. 设备重启 10 2.4. JUNOS升级 11 2.5. 密码恢复 11 3. SRX基本管理配置介绍 12 3.1. JUNOS CLI 12 4. SRX开机配置过程 14 4.1. SRX硬件设备简介 14 4.1.1 SRX 240面板图 14 4.1.2 SRX 210面板图 15 4.1.3 SRX 100面板图 15 4.2. SRX安装流程 15 4.3. 开始配置 15 4.3.1 开机登录 16 4.3.2 清空默认配置 16 4.3.3 从所有配置清空后开始配置 17 5. 常用故障诊断命令 20 查看端口状态 20 查看路由表 20 查看OSPF邻居关系 20 Ping 21 Traceroute 21 监控接口流量 21 监控RE CPU利用率 22 监控并发会话数 22 冷却系统故障检查 22 机箱硬件组件故障检查 23 6. 设备日常维护 24 日常维护步骤 24 配置文件查看 24 配置文件提交 24 7.SRX常用功能及典型配置 25 7.1 SRX常用功能配置 25 7.2 SRX一个典型配置 28 6. 硬件返修及CASE信息 34 一般性免责说明： 神州数码（中国）有限公司力求确保《Juniper SRX防火墙快速安装手册》中信息的准确性，但不对信息的准确性承担任何责任。神州数码（中国）有限公司可能随时更改本《手册》中提到的产品或调试命令等技术，恕不另行通知。 神州数码（中国）有限公司及其供应商不对因使用本《手册》或任何Juniper网络公司产品或服务而导致的任何间接、特殊、引致或意外损失而承担任何责任，包括但不限于利润或收入损失、替换产品或服务的成本、数据丢失或破坏，或使用或依赖使用本文提供的信息而造成的损失，即使Juniper 网络公司或其供应商事先已得知发生此类损失的可能性。 本《手册》中介绍的许多Juniper 网络公司产品和服务都提供了书面软件许可和有限保修。这些许可和保修为此类产品的购买者提供某些权利。本《手册》不应被视为扩展、更改或修改Juniper 网络公司为任何Juniper 网络公司产品提供的任何保证或许可、或创建任何新的或附加的保证或许可。 前言 Juniper网络公司介绍 Juniper网络公司致力于实现网络商务模式的转型。作为全球领先的联网解决方案和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。该公司的客户来自于全球各行各业,包括第一流的网络运营商、企业、政府机构以及研究和教育机构等。Juniper网络公司推出的一系列联网解决方案, 提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络, 其中包括全球顶尖的25 家服务供应商和《财富》全球500 强企业前15强中的8个企业。 Juniper网络公司成立的唯一宗旨是——预测并解决业内最高难度的联网及安全性问题。今天, Juniper网络公司通过以下努力, 帮助全球客户转变他们的网络经济模式, 从而建立强大的竞争优势： l 保护网络安全, 以抵御日益频繁复杂的攻击 l 利用网络应用和服务来取得市场竞争优势 l 为客户和业务合作伙伴提供安全的定制方式来接入远程资源 Juniper网络公司通过其专用平台及先进软件, 推动业界迈出了创新的一步。Juniper网络公司被公认是开发用于高性能智能网络的半导体及软件的佼佼者，一直走在业界创新的前沿，并通过这些创新不断推动其所支持的网络及企业实现转型。 神州数码控股有限公司概述 神州数码控股有限公司（以下简称”神州数码”或”集团”，股票代码：00861.香港）是中国领先的整合IT服务提供商。集团由原联想集团分拆而来，并于二零零一年六月一日在香港联合交易所有限公司主板独立上市。神州数码致力于为中国用户提供先进、适用的信息技术应用，以科技驱动工作与生活的创新，推进数字化中国进程。为此，集团努力将自身打造成为中国最广大用户提供最为全面IT服务的首选供货商。 集团业务主要包括IT规划、流程外包、应用开发、系统集成、硬件基础设施服务、维保、硬件安装、分销及零售等八类业务，面向中国市场，为行业客户、企业级客户、中小企业与个人消费者提供全方位的IT服务。 集团在全国19个主要城市设有区域中心。同超过100家全球顶尖IT品牌拥有良好的战略合作伙伴关系，覆盖全国超过1万家代理合作伙伴，为中国用户提供最优质便捷的IT服务。集团依靠多年经验积累的行业应用服务能力，在金融、电信、政府等行业的IT服务领域建立了领先优势。同时，神州数码亦在IT产品分销领域保持了多年市场第一的地位。 神州数码企业系统本部 神州数码企业系统本部是以企业数据中心建设为目标，重点覆盖网络、主机、存储、软件4大业务领域，致力于为客户提供国际上主流的企业级软硬件产品、骨干网络、基础网络设备和全面产品解决方案。 自1997年率先进入高端增值服务市场，经过不断的探索和努力，增值服务业务取得了高速增长，是国内第一的增值服务提供商，目前已成为神州数码集团重要利润支柱之一。与近50家国际著名IT厂商建立长期战略合作伙伴关系，合作的渠道伙伴超过4500家,目前已搭建由渠道市场、产品市场、解决方案及行业市场、技术支持、维修支持、培训支持构成的渠道支持系统，形成以北京、上海、广州三大区域销售中心、全国十五大平台、八个办事处为分销平台的销售网络，区域覆盖达40余个地市。 神州数码系统网络事业部 神州数码系统网络事是全球领先的网络和安全解决方案供应商Juniper网络公司的总分销商，是全球知名提供通讯服务的西门子公司在中国的总代理，是智能应用交换机全球领导者Radware公司和世界领先的下一代企业移动系统供应商Aruba无线网络公司在中国的总分销商。同时，系统网络事业部是Juniper Networks　SPG产品在中国地区唯一的授权认证培训中心和最主要的授权服务中心。 系统网络事业部有遍布全国的销售网络和技术服务体系。一直致力于追踪安全网络领域的新技术，构建安全网络联盟体系，提供安全网络产品及解决方案，推广安全网络的标准化服务。为客户提供：Juniper Networks从安全系列（防火墙、VPN、入侵检测和防御等一系列易于管理的安全设备和系统）到路由器、Infranet控制器和应用加速平台等全线联网和安全性产品及解决方案；Radware负载均衡和网络安全防护产品及解决方案；Aruba由移动控制器、接入点和Aruba移动管理系统组成的移动边缘产品和解决方案。 1. 总体概述 本文档为神州数码公司编写。用于说明Juniper SRX产品基本命令配置和硬件操作指导。 更多的信息请参考下面的网站： JUNOS 9.6 : SRX 硬件手册 :  1.1. 文档术语 Air Filter 空气过滤网 ESD Point 静电释放点 Fan Tray 风扇盘 PEM(Power Equipment Modules) 电源模块 Craft Interface 控制面板 RE：Routing Engine 路由引擎 SFB: Switch Fabric Board 交换矩阵板 PFE：Packet Forwarding Engine 转发引擎 FRU：Field-replaceable unit 可现场更换部件 DPC：Dense Port Concentrators 高密度接口卡 FPC ：Flexible PIC Concentrator 物理接口汇聚卡 PIC：Physical Interface Card 物理接口卡 SPC：Services Processing Cards 业务处理卡 NPC：Network Processing Cards 网络处理卡 IOC ：Input Output cards 接口卡 SFP：Small Factor Pluggable 小型可插拔光收发器，适用千兆以太网 2. SRX基本操作 JUNOS软件是专门为互联网设计的第一种路由操作系统。它运行在Juniper网络公司的所有T-系列、M/MX系列和J-系列路由器以及SRX系列集成安全网关上，被部署在全球最大、增长最迅速的网络中。它提供的全套具有工业强度的路由协议、灵活的策略语言和领先的功能特性，可以高效地扩展支持极大数量的网络接口和路由。 基于标准的JUNOS软件可以支持互联网路由协议，同时控制路由器及其接口并实现对各种规模的网络的系统管理。简便易用的界面使您可以配置路由协议和接口属性、监控路由、检测并排除协议和网络连接故障。 本节将描述设备的一些应急操作，这些操作都会影响设备的正常功能，操作时请谨慎使用： n 通过Console线缆连接路由器 n 设备关闭 n 设备重启 n JUNOS升级 n 密码恢复 2.1. 通过Console线缆连接路由器 使用下面的步骤连接路由器的Console接口： 1. 准备好Juniper路由设备自带的Console线缆 2. 将Console线缆的DB9插头一头插到PC或者笔记本电脑的COM口上，另外一端插到SRX的的CONSOLE口上，SRX的console口如下图的标号5的RJ45端口。 3. 打开计算机中的终端软件工具。例如：SecureCRT或者Windows自带的超级终端。设置如下： n 端口：选择第二步中Console线缆插入到PC上的端口，通常为COM 1或者COM 2 n 波特率：9600 n 数据位：8位 n 停止位：1位 n 流控：无 4. 打开配置到的SecureCRT或者超级终端，按“Enter”键，屏幕出现登陆的提示符，即连接成功。如果没有显示，请检查线缆或者终端的配置是否正确。 5. 默认用户名和密码为：用户名：root，密码为空 6. 如果密码丢失，可以按着前面板的reset按钮15秒以上，然后设备会自动重启，并将所有配置恢复成出厂默认值，此时的用户名为：root，密码为空 如果出现任何现场无法解决的问题，请寻求Juniper TAC的帮助，参阅寻求JTAC帮助。 2.2. 设备关闭 Juniper设备关闭必须按照下面的步骤进行操作，否则容易导致设备损坏： 1. 用Console或Telnet/SSH连接到主用路由引擎上 2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令： user@host> request system halt … The operating system has halted. Please press any key to reboot 4. 等待console设备的出现上面的输出，确认设备软件已经停止运行。 5. 关闭机箱背后电源模块电源。 如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅寻求JTAC帮助。 2.3. 设备重启 Juniper设备重启必须按照下面的步骤进行操作： 1. 用Console或Telnet/SSH连接到主用路由引擎上 2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令： user@host> request system reboot 4. 等待console设备的输出，确认设备软件已经重新启动。 如果要进行电源关闭的重新启动，请参阅“设备关闭”，在重新开启电源之前必须等待60秒。 如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅寻求JTAC帮助。 2.4. JUNOS升级 Juniper设备在出厂时一般的设备软件版本都比较低，因此一般建议使用比较新的版本，如10.0以上版本，软件版本升级时不能跨过3个版本进行，如9.*的需要升级到10.0以上的，必须先升级到9.6，再升级至10.0，否则会提示升级失败。 Juniper设备JUNOS软件升级必须按照下面的步骤进行操作： 1. 用Console或Telnet/SSH连接到设备console上 2. 下载新的JUNOS软件，放置到FTP服务器上。 3. 安装新的JUNOS软件，这个升级过程大概为15-25分钟： user@host> request system software add ftp//:username:password@192.168.1.1/ junos-srxsme-9.6R2.11-domestic.tgz no-copy unlink 4. 重新启动设备： user@host> request system reboot Reboot the system ? [yes,no] (no) yes 如果出现任何现场无法解决的问题，请寻求Juniper TAC的帮助，参阅寻求JTAC帮助。 2.5. 密码恢复 如果设备的Root密码丢失，而且没有其他的超级用户权限，那么就需要执行密码恢复，该操作需要中断设备的正常功能。 要进行密码恢复，请按照下面操作进行： 1. 断电后再加电以重新启动设备。 在启动过程中，按住设备前的reset按钮15秒以上再放手，则设备密码及配置会自动恢复成出厂默认配置 2. 进入配置模式，设置新的root密码： root> configure Entering configuration mode [edit] root# set system root-authentication plain-text-password New password: Retype new password: 3. 重新启动后，设备恢复正常。 3. SRX基本管理配置介绍 3.1. JUNOS CLI Shell模式 用root用户登录时，先进入的是shell模式，提示符为：%，必须输入cli命令后才能进入用户模式进行对设备的操作；如果以非root用户登录，则直接进入用户模式。 用户模式 user@host> #用户模式 在用户模式下可以显示SRX设备的配置、端口状态、路由信息等。登录到SRX上即进入路由器的用户模式： Example: BJ-BJ-JA-NSN-A-1-RE1 (ttyp6) login: NSN Password: NSN@BJ-BJ-JA-NSN-A-1-RE1> 配置模式 user@host# #配置模式 通过在用户模式使用edit命令进入配置模式： Example: NSN@BJ-BJ-JA-NSN-A-1-RE1> edit Entering configuration mode {master}[edit] NSN@BJ-BJ-JA-NSN-A-1-RE1# 设置系统时间 user@host> set date (YYYYMMDDhhmm.ss) #配置日期及时间 Example: NSN@BJ-BJ-JA-NSN-A-1-RE1> set date 201006061030.30 如果出现任何现场无法解决的问题，请咨询Juniper相关工程师，或者寻求Juniper TAC的帮助，参阅寻求JTAC帮助。 4. SRX开机配置过程 4.1. SRX硬件设备简介 SRX系列共有以下产品线： SRX 100、SRX 210、SRX 240、SRX 650、SRX 3400/3600、SRX 5600/5800 该产品线对应目前的SSG系列的简单对照图为： 4.1.1 SRX 240面板图 4.1.2 SRX 210面板图 4.1.3 SRX 100面板图 4.2. SRX安装流程 CLI命令行 对于路由器硬件、软件、路由协议、网络连接性的控制和故障检查，JUNOS的CLI命令行是主要的使用工具。CLI命令行可以显示路由表信息，路由协议的信息，使用ping和traceroute工具体现的网络连接信息。 可以通过连接设备上的CONSOLE、ETHERNET、AUX口进入CLI命令行接口。 4.3. 开始配置 根据此版本开机配置可以实现小型分支机构的网络基本连通，内网的私网地址可以通过源NAT为外网接口地址访问Internet。 4.3.1 开机登录 1. 第一次开机登录用户名为root，密码为空。（如何连上console详见System_management.docx） Console输出如下： Amnesiac (ttyu0) login: root --- JUNOS 10.1R2.8 built 2010-05-11 05:02:14 UTC 2. 登录之后，我们在shell 模式下，输入cli进入用户模式，然后输入configure进入配置模式： root@% root@% cli root> root> configure Entering configuration mode [edit] root# 4.3.2 清空默认配置 1. 刚进入配置模式下，通过show命令可以看到设备原有的配置，这是初始默认配置，包括以后用reset键恢复配置，恢复出来的都是出厂默认配置。 此默认配置对SRX进行了基本连通性的配置，其中fe-0/0/0为外网口，接广域网出口，fe-0/0/1-7为内网口，地位等同，接内网交换机。同时，防火墙对内网开启DHCP服务，网段为192.168.1.0/24。默认策略放开所有由内到外的数据，拒绝所有从外到内的主动访问。 2. 一般情况下这份配置不要保留使用，为了方便日后故障排查，我们需要将其删除，重新配置： root# delete This will delete the entire configuration Delete everything under this level? [yes,no] (no) yes 配置root根用户密码，这个必须配置，否则无法commit提交生效配置。 root# set system root-authentication plain-text-password New password: Retype new password: root# commit 4.3.3 从所有配置清空后开始配置 1. 配置root根用户密码，这个必须配置，否则无法commit提交生效配置。 root# set system root-authentication plain-text-password New password: Retype new password: 2. 配置hostname [edit] root# set system host-name SRX100 3. 配置时区 [edit] root# set system time-zone GMT+8 4. 配置登录登录权限及用户名密码，这里配置了一个名为lab，权限为超级用户的登录用户。Junos系统的要求密码最少为六位，而且必须包含字母和数字。 set system login class super idle-timeout 20 set system login class super permissions all set system login user lab class super set system login user lab authentication plain-text-password new password: retype new password: 5. 配置telnet、web管理服务，这个需要在将来的zone的配置中进一步放行流量。默认情况下，系统禁止所有流量。在这里，针对fe-0/0/1接口开启web管理服务。 [edit] root# set system services telnet root# set system services web-management http interface fe-0/0/1 6. 配置接口地址，这里配置外网接口fe-0/0/0地址为10.1.1.1/24，内网接口fe-0/0/1地址为192.168.1.1/24。对于SRX210，对应前两个接口为千兆口，所以端口命名为:ge-0/0/0和ge-0/0/1，其余的为fe-。 [edit] root# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/24 [edit] root# set interfaces fe-0/0/1 unit 0 family inet address 192.168.1.1/24 7. 将接口放到对应的zone中，这里是将fe-0/0/0放到untrust zone，fe-0/0/1放到trust zone。 [edit] root# set security zones security-zone untrust interfaces fe-0/0/0 [edit] root# set security zones security-zone trust interfaces fe-0/0/1 8. 在内网区域trust zone内放行系统管理的流量，默认情况下，外网口禁止telnet和web管理的访问流量。 [edit] root#set security zones security-zone trust host-inbound-traffic system-services telnet [edit] root# set security zones security-zone trust host-inbound-traffic system-services http 9. 配置允许内网到外网的流量和策略。 [edit] root#set security zones security-zone trust host-inbound-traffic protocols all [edit] root#set security policies from-zone trust to-zone untrust policy trust_to_untrust match source-address any [edit] root#set security policies from-zone trust to-zone untrust policy trust_to_untrust match destination-address any [edit] root#set security policies from-zone trust to-zone untrust policy trust_to_untrust match application any [edit] root#set security policies from-zone trust to-zone untrust policy trust_to_untrust then permit 10. 配置出口默认路由。 [edit] root# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.2 11. 配置基于出口的源nat，所有内网ip经过fe-0/0/0出口后的数据包，全部转换为fe-0/0/0的地址路由到公网上。 [edit] root#set security nat source rule-set trust-to-untrust from zone trust [edit] root#set security nat source rule-set trust-to-untrust to zone untrust [edit] root#set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 [edit] root#set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface 12. 提交配置，使当前配置生效。写完配置一定要提交，否则配置不生效。 [edit] root#commit commit complete 5. 常用故障诊断命令 查看端口状态 lab@SRX> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/1 up down 查看路由表 lab@SRX> show route terse inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both A Destination P Prf Metric 1 Metric 2 Next hop AS path * 0.0.0.0/0 S 5 >172.27.10.1 * 100.1.1.0/24 D 0 >ge-0/0/9.0 查看OSPF邻居关系 lab@r1> show ospf neighbor Address Interface State ID Pri Dead 10.100.2.2 fe-0/0/0.12 Full 10.100.10.2 128 36 10.100.2.6 fe-0/0/0.13 Full 10.100.10.3 128 35 Ping lab@srx> ping 10.100.10.1 PING 10.100.10.1 (10.100.10.1): 56 data bytes 64 bytes from 10.100.10.1: icmp_seq=0 ttl=61 time=4.967 ms lab@srx> ping 10.100.10.1 rapid PING 10.100.10.1 (10.100.10.1): 56 data bytes !!!!! lab@SRX# run ping 10.100.10.1 rapid count 1000 size 1000 PING 10.100.10.1 (10.100.10.1): 1000 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 1000 packets transmitted, 1000 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.746/7.515/322.176/15.056 ms Traceroute lab@srx> traceroute 10.100.10.1 traceroute to 10.100.10.1 (10.100.10.1), 30 hops max, 40 byte packets 1 10.100.3.13 (10.100.3.13) 158.691 ms 186.093 ms 106.141 ms 2 10.100.10.1 (10.100.10.1) 4.935 ms 7.819 ms 5.172 ms 监控接口流量 lab@srx> monitor interface fe-0/0/1 监控RE CPU利用率 lab@srx>show chassis routing-engine 监控并发会话数 lab@srx>show security flow session summary 冷却系统故障检查 冷却系统包含安装在机箱侧面的风扇盘来保证SRX工作在一个可以接受的温度环境下。 要检查风扇盘，执行下面的步骤： n 通过CLI命令行检查电源模块状态。通过下面的命令，观察输出的Status域的状态： user@host> show chassis environment ... n 如果有风扇盘发生故障，可以通过观察判断出哪一个风扇除了问题。然后再处理。 机箱硬件组件故障检查 对机箱组件进行故障检查，使用下面的指导： n 通过查看各板卡上相应的LED，可以检查出相应板卡的状态。 n 使用CLI可以查看各板卡的状态，使用下面的命令： user@host> show chassis hardware 6. 设备日常维护 本章节描述了如何维护SRX中的各种硬件组件。 日常维护步骤 为优化设备的性能，有规律的执行下面的预防步骤： n 检查设备所在的机房的条件：湿度、电源线、数据线缆以及空气过滤网是否有过多的灰尘。同时应保证路由器的通风条件，设备本身的进出风口没有距离过近的阻挡。 n 检查设备Craft Interface上的状态报告，看看是否有系统告警，LED显示是否正常。 配置文件查看 配置文件可从维护模式(>提示符)下查看 lab@SRX> show configuration 配置文件也可从配置模式(#提示符)下查看,注意配置模式下看得配置文件是当前正在编辑的配置文件,跟系统当前运行的配置文件不一定一致. lab@SRX# show JUNOS默认情况下用层次化的结构来显示配置，不同层次间用{}区分，如果管理员习惯看直接输入的命令格式，可以通过管道符把输出送到display options里去改变格式，比如： lab@SRX> show configuration | display set 配置文件提交 每次配置更改后都需要”commit”提交 7.SRX常用功能及典型配置 安全策略是在SRX上定义的一系列规则告诉SRX如何处理在各个安全域(zone)之间或同一安全域内各个接口之间转发的报文应该如何处理，比如对其进行转发(permit)，丢弃(deny), NAT，IPsec VPN加解密, IPS入侵防御检查或防病毒检查等等。 7.1 SRX常用功能配置 7.1.1安全域zone配置 Zone是共享相同安全级别的一组网络接口的集合。SRX3K/5K的所有接口默认都放在null zone内。Null zone是一种系统预定义的特殊的安全域，null zone内的接口不能接受外界的任何报文，也不能对外发送任何报文，即null zone内的接口是不参与业务转发的。因此要配置安全策略，必须先创建zone，并把接口分配到相应的zone里去 配置举例： 1. 创建安全域zone set security zones security-zone trust set security zones security-zone untrust 2. 分配接口到相应安全域zone set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 每个安全域都有自己的一套自定义属性，包括是否允许接受管理流量？接受那些类型的管理流量？是否接受路由信令？接受那些路由信令等？这些都是在[security zone]下面相应zone的[host-inbound-traffic]里配置。SRX自己发出去的流量是不受限制的。 配置举例： 3. 允许trust zone接受telnet/ssh管理流量 set security zones security-zone trust host-inbound-traffic system-services ssh set security zones security-zone trust host-inbound-traffic system-services telnet 4. 允许trust zone接受ospf/bgp路由信令 set security zones security-zone trust host-inbound-traffic protocols ospf set security zones security-zone trust host-inbound-traffic protocols bgp 每个zone还可以定义自己的DDoS防护选项，这是通过[Screen]配置来实现的 7.1.2 安全域zone的地址本配置 SRX安全策略里不能直接使用IPv4/IPv6的prefix作为策略匹配的源地址和目标地址，必须先在相关zone的地址本里创建地址本对象，再在安全策略里引用这些对象。 配置举例： set security zones security-zone trust address-book address internal-192.168.1.0/24 192.168.1.0/24 set security zones secu