Opções de tela para sistemas lógicos de usuário
Opções de tela em firewalls da Série SRX evitam ataques, como varreduras de endereço IP, verificações de portas, ataques de negação de serviço (DOS), ICMP, UDP e inundações de SYN. Para obter mais informações, veja os seguintes tópicos:
Entendendo as opções de tela dos sistemas lógicos
As opções de tela do Junos OS protegem uma zona inspecionando e, em seguida, permitindo ou negando, todas as tentativas de conexão que exigem atravessar uma interface vinculada a essa zona. O Junos OS então aplica políticas de firewall, que podem conter filtragem de conteúdo e componentes de IDP, ao tráfego que passa pelos filtros de tela.
Todas as opções de tela disponíveis no dispositivo estão disponíveis em cada sistema lógico. Cada administrador de sistema lógico do usuário pode configurar opções de tela para o sistema lógico do usuário. O administrador primário pode configurar opções de tela para o sistema lógico primário, bem como todos os sistemas lógicos do usuário.
O administrador do sistema lógico do usuário pode configurar e visualizar todas as opções de tela em um sistema lógico do usuário. Todas as opções de tela em um sistema lógico do usuário são visíveis para o administrador principal.
Veja também
Exemplo: configuração de opções de tela para sistemas lógicos de usuário
Este exemplo mostra como configurar opções de tela para um sistema lógico do usuário.
Requisitos
Antes de começar:
Faça login no sistema lógico do usuário como administrador de sistema lógico do usuário. Veja a visão geral da configuração dos sistemas lógicos do usuário.
Configure zonas para o sistema lógico do usuário. Veja exemplo: configuração de zonas de segurança para sistemas lógicos de usuário.
Visão geral
Este exemplo configura o sistema lógico do usuário ls-product-design mostrado em Exemplo: Criação de sistemas lógicos de usuário, seus administradores, seus usuários e um sistema lógico de interconexão.
Você pode limitar o número de sessões simultâneas ao mesmo endereço IP de destino em um sistema lógico do usuário. Definir um limite de sessão baseado em destino pode garantir que o Junos OS permita que apenas um número aceitável de solicitações de conexão simultâneas — não importa qual seja a fonte — chegue a qualquer host. Quando o número de solicitações de conexão simultâricas a um endereço IP ultrapassa o limite, o Junos OS bloqueia novas tentativas de conexão a esse endereço IP. Este exemplo cria as opções de tela descritas na Tabela 1.
Nome |
Parâmetros de configuração |
|---|---|
sessões de destino limite |
|
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security screen ids-option limit-destination-sessions limit-session destination-ip-based 80 set security zones security-zone ls-product-design-untrust screen limit-destination-sessions
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar limites de sessão baseados em destino em um sistema lógico do usuário:
Faça login no sistema lógico do usuário como administrador lógico do sistema e entre no modo de configuração.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure uma opção de tela para um limite de sessão baseado em destino.
[edit security] lsdesignadmin1@host:ls-product-design# set screen ids-option limit-destination-sessions limit-session destination-ip-based 80
Defina a zona de segurança para a opção de tela.
[edit security] lsdesignadmin1@host:ls-product-design# set zones security-zone ls-product-design-untrust screen limit-destination-sessions
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security screen comandos e show security zone os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para a brevidade, essa show saída de comando inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
lsdesignadmin1@host:ls-product-design# show security screen
ids-option limit-destination-sessions {
limit-session {
destination-ip-based 80;
}
}
lsdesignadmin1@host:ls-product-design# show security zones
security-zone ls-product-design-trust {
...
}
security-zone ls-product-design-untrust {
screen limit-destination-sessions;
...
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.