Opções de tela para sistemas lógicos do usuário
As opções de tela nos firewalls da Série SRX evitam ataques, como varreduras de endereço IP, varreduras de portas, ataques de negação de serviço (DOS), inundações de ICMP, UDP e SYN. Para obter mais informações, consulte os seguintes tópicos:
Entendendo as Opções de Tela de Sistemas Lógicos
As opções de tela do Junos OS protegem uma zona inspecionando e permitindo ou negando todas as tentativas de conexão que exigem o cruzamento de uma interface vinculada a essa zona. O Junos OS então aplica políticas de firewall, que podem conter filtragem de conteúdo e componentes IDP, ao tráfego que passa pelos filtros de tela.
Todas as opções de tela disponíveis no dispositivo estão disponíveis em cada sistema lógico. Cada administrador de sistema lógico de usuário pode configurar opções de tela para seu sistema lógico de usuário. O administrador principal pode configurar opções de tela para o sistema lógico primário, bem como para todos os sistemas lógicos do usuário.
O administrador do sistema lógico do usuário pode configurar e visualizar todas as opções de tela em um sistema lógico do usuário. Todas as opções de tela em um sistema lógico do usuário são visíveis para o administrador principal.
Veja também
Exemplo: configuração de opções de tela para sistemas lógicos de usuário
Este exemplo mostra como configurar opções de tela para um sistema lógico do usuário.
Requerimentos
Antes de começar:
Efetue login no sistema lógico do usuário como administrador do sistema lógico do usuário. Consulte Visão geral da configuração de sistemas lógicos do usuário.
Configure zonas para o sistema lógico do usuário. Consulte Exemplo: Configuração de zonas de Segurança para sistemas lógicos de usuário.
Visão geral
Este exemplo configura o sistema lógico do usuário ls-product-design mostrado em Exemplo: Criando Sistemas Lógicos de Usuário, Seus Administradores, Seus Usuários e um Sistema Lógico de Interconexão.
Você pode limitar o número de sessões simultâneas ao mesmo endereço IP de destino em um sistema lógico do usuário. A definição de um limite de sessão baseado em destino pode garantir que o Junos OS permita que apenas um número aceitável de solicitações de conexão simultâneas — não importa qual seja a fonte — cheguem a qualquer host. Quando o número de solicitações de conexão simultâneas para um endereço IP ultrapassa o limite, o Junos OS bloqueia novas tentativas de conexão para esse endereço IP. Este exemplo cria as opções de tela descritas na Tabela 1.
Nome |
Parâmetros de configuração |
|---|---|
limite de sessões de destino |
|
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security screen ids-option limit-destination-sessions limit-session destination-ip-based 80 set security zones security-zone ls-product-design-untrust screen limit-destination-sessions
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI do Junos OS.
Para configurar limites de sessão baseados em destino em um sistema lógico de usuário:
Efetue login no sistema lógico do usuário como administrador do sistema lógico e entre no modo de configuração.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure uma opção de tela para um limite de sessão baseado em destino.
[edit security] lsdesignadmin1@host:ls-product-design# set screen ids-option limit-destination-sessions limit-session destination-ip-based 80
Defina a zona de segurança para a opção de tela.
[edit security] lsdesignadmin1@host:ls-product-design# set zones security-zone ls-product-design-untrust screen limit-destination-sessions
Resultados
No modo de configuração, confirme sua configuração digitando os show security screen comandos e show security zone . Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Para resumir, essa show saída de comando inclui apenas a configuração relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por reticências (...).
lsdesignadmin1@host:ls-product-design# show security screen
ids-option limit-destination-sessions {
limit-session {
destination-ip-based 80;
}
}
lsdesignadmin1@host:ls-product-design# show security zones
security-zone ls-product-design-trust {
...
}
security-zone ls-product-design-untrust {
screen limit-destination-sessions;
...
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.