NESTA PÁGINA
Noções básicas sobre perfis lógicos de Segurança de sistemas (somente administradores principais)
Exemplo: Configuração de perfis lógicos de Segurança de sistemas (somente administradores primários)
Exemplo: Configuração de Perfis de Segurança de Sistemas Lógicos de Usuário
Exemplo: Configurando o Fluxo de Log de Segurança para Sistemas Lógicos
Perfis de Segurança para Sistemas Lógicos
Os perfis de Segurança para sistemas lógicos permitem alocar recursos. Perfis de Segurança especifica o número de recursos a serem alocados para um sistema lógico ao qual o perfil de segurança está vinculado. Todos os recursos do sistema são alocados ao sistema lógico primário e o administrador primário os aloca ao sistema lógico do usuário usando o perfil de segurança. Para obter mais informações, consulte os seguintes tópicos:
Noções básicas sobre perfis lógicos de Segurança de sistemas (somente administradores principais)
Os sistemas lógicos permitem que você divida virtualmente um firewall da Série SRX suportado em vários dispositivos, isolando um do outro, protegendo-os contra invasões e ataques e protegendo-os contra condições defeituosas fora de seus próprios contextos. Para proteger sistemas lógicos, os recursos de segurança são configurados de maneira semelhante à forma como são configurados para um dispositivo discreto. No entanto, como administrador principal, você deve alocar os tipos e quantidades de recursos de segurança para sistemas lógicos. O administrador do sistema lógico aloca recursos para seu próprio sistema lógico.
Um firewall da Série SRX executando sistemas lógicos pode ser particionado em sistemas lógicos de usuário, um sistema lógico de interconexão, se desejado, e o sistema lógico primário padrão. Quando o sistema é inicializado, o sistema lógico primário é criado no nível raiz. Todos os recursos do sistema são atribuídos a ele, criando efetivamente um perfil de segurança do sistema lógico primário padrão. Para distribuir recursos de segurança entre sistemas lógicos, o administrador primário cria perfis de segurança que especificam os tipos e quantidades de recursos a serem alocados para um sistema lógico ao qual o perfil de segurança está vinculado. Somente o administrador principal pode configurar perfis de segurança e vinculá-los a sistemas lógicos. O administrador do sistema lógico do usuário configura esses recursos para seu sistema lógico.
Os sistemas lógicos são definidos em grande parte pelos recursos alocados a eles, incluindo componentes de segurança, interfaces, instâncias de roteamento, rotas estáticas e protocolos de roteamento dinâmico. Quando o administrador primário configura um sistema lógico de usuário, ele vincula um perfil de segurança a ele. Qualquer tentativa de confirmar uma configuração para um sistema lógico de usuário sem um perfil de segurança vinculado a ele falhará.
Este tópico inclui as seguintes seções:
- Perfis de Segurança de Sistemas Lógicos
- Como o sistema avalia a atribuição e o uso de recursos em sistemas lógicos
- Casos: Avaliações de Recursos Reservados Atribuídos por meio de Perfis de Segurança
Perfis de Segurança de Sistemas Lógicos
Como administrador principal, você pode configurar um único perfil de segurança para designar recursos a um sistema lógico específico, usar o mesmo perfil de segurança para mais de um sistema lógico ou usar uma combinação de ambos os métodos. Você pode configurar até 32 perfis de segurança em um firewall da Série SRX executando sistemas lógicos. Ao atingir o limite, você deve excluir um perfil de segurança e confirmar a mudança de configuração antes de criar e confirmar outro perfil de segurança. Em muitos casos, menos perfis de segurança são necessários porque você pode vincular um único perfil de segurança a mais de um sistema lógico.
Os perfis de Segurança permitem:
Compartilhe os recursos do dispositivo, incluindo políticas, zonas, endereços e catálogos de endereços, sessões de fluxo e várias formas de NAT, entre todos os sistemas lógicos de forma adequada. Você pode dedicar várias quantidades de um recurso aos sistemas lógicos e permitir que eles compitam pelo uso dos recursos gratuitos.
Os perfis de Segurança protegem contra um sistema lógico que esgota um recurso que é exigido ao mesmo tempo por outros sistemas lógicos. Os perfis de Segurança protegem recursos críticos do sistema e mantêm um nível razoável de desempenho entre os sistemas lógicos do usuário quando o dispositivo está passando por um fluxo de tráfego intenso. Eles se defendem contra um sistema lógico de usuário que domina o uso de recursos e priva outros sistemas lógicos de usuário deles.
Configure o dispositivo de forma escalável para permitir a criação futura de sistemas lógicos de usuário adicionais.
Você deve excluir o perfil de segurança de um sistema lógico antes de excluir esse sistema lógico.
Como o sistema avalia a atribuição e o uso de recursos em sistemas lógicos
Para provisionar um sistema lógico com recursos de segurança, você, como administrador principal, configura um perfil de segurança que especifica para cada recurso:
Uma cota reservada que garante que o valor do recurso especificado esteja sempre disponível para o sistema lógico.
Uma cota máxima permitida. Se um sistema lógico exigir mais de um recurso do que sua quantidade reservada permite, ele poderá utilizar recursos configurados para a quantidade máxima global se estiverem disponíveis, ou seja, se não estiverem alocados para outros sistemas lógicos. A cota máxima permitida especifica a parte dos recursos globais livres que o sistema lógico pode usar. A cota máxima permitida não garante que a quantidade especificada para o recurso no perfil de segurança esteja disponível. Os sistemas lógicos devem competir por recursos globais.
Se uma cota reservada não estiver configurada para um recurso, o valor padrão será 0. Se uma cota máxima permitida não estiver configurada para um recurso, o valor padrão será a cota global do sistema para o recurso (as cotas globais do sistema dependem da plataforma). O administrador principal deve configurar os valores de cota máxima permitidos apropriados nos perfis de segurança para que o uso máximo de recursos de um sistema lógico específico não afete negativamente outros sistemas lógicos configurados no dispositivo.
O sistema mantém uma contagem de todos os recursos alocados que são reservados, usados e disponibilizados novamente quando um sistema lógico é excluído. Essa contagem determina se os recursos estão disponíveis para uso em novos sistemas lógicos ou para aumentar a quantidade de recursos alocados para sistemas lógicos existentes por meio de seus perfis de segurança.
Quando um sistema lógico de usuário é excluído, suas alocações de recursos reservados são liberadas para uso por outros sistemas lógicos.
Os recursos configurados em perfis de segurança são caracterizados como recursos modulares estáticos ou recursos dinâmicos. Para recursos estáticos, recomendamos definir uma cota máxima para um recurso igual ou próxima à quantidade especificada como sua cota reservada, para permitir a configuração escalonável de sistemas lógicos. Uma cota máxima alta para um recurso pode dar a um sistema lógico maior flexibilidade por meio do acesso a uma quantidade maior desse recurso, mas restringiria a quantidade disponível para alocar a um novo sistema lógico de usuário.
A diferença entre os valores reservados e máximos permitidos para um recurso dinâmico não é importante porque os recursos dinâmicos são antigos e não esgotam o conjunto disponível para designação a outros sistemas lógicos.
Os seguintes recursos podem ser especificados em um perfil de segurança:
Políticas de Segurança, incluindo agendadores
Zonas de Segurança
Endereços e catálogos de endereços para políticas de segurança
Conjuntos de regras de firewall de aplicativo
Regras de firewall de aplicativo
Autenticação de firewall
Sessões de fluxo e portões
NAT, incluindo:
Ligações NAT de cone
Regra de destino de NAT
Pool de destinos do NAT
Endereço IP do NAT no pool de origem sem PAT (Tradução de Endereço de Porta)
Observação:Os endereços IPv6 em pools de origem IPv6 sem PAT não são incluídos nos perfis de segurança.
Endereço IP do NAT no pool de origem com PAT
Sobrecarga da porta NAT
Pool de origem de NAT
Regra de origem NAT
Regra estática do NAT
Todos os recursos, exceto as sessões de fluxo, são estáticos.
É possível modificar um perfil de segurança do sistema lógico dinamicamente enquanto o perfil de segurança é designado a outros sistemas lógicos. No entanto, para garantir que a cota de recursos do sistema não seja excedida, o sistema executa as seguintes ações:
Se uma cota estática for alterada, os daemons do sistema que mantêm contagens lógicas do sistema para recursos especificados em perfis de segurança revalidam o perfil de segurança. Essa verificação identifica o número de recursos designados em todos os sistemas lógicos para determinar se os recursos alocados, incluindo seus valores aumentados, estão disponíveis.
Essas verificações de cota são as mesmas verificações de cota que o sistema executa quando você adiciona um novo sistema lógico de usuário e vincula um perfil de segurança a ele. Eles também são executados quando você liga um perfil de segurança diferente do perfil de segurança que está atualmente atribuído a ele a um sistema lógico de usuário existente (ou ao sistema lógico primário).
Se uma cota dinâmica for alterada, nenhuma verificação será executada, mas a nova cota será imposta ao uso futuro de recursos.
Casos: Avaliações de Recursos Reservados Atribuídos por meio de Perfis de Segurança
Para entender como o sistema avalia a alocação de recursos reservados por meio de perfis de segurança, considere os três casos a seguir que abordam a alocação de um recurso, zonas. Para manter o exemplo simples, 10 zonas são alocadas em security-profile-1: 4 zonas reservadas e 6 zonas máximas. Este exemplo pressupõe que a quantidade máxima total especificada – seis zonas – está disponível para os sistemas lógicos do usuário. O número máximo de zonas do sistema é 10.
Esses casos abordam a configuração em sistemas lógicos. Eles testam para ver se uma configuração será bem-sucedida ou falhará quando for confirmada com base na alocação de zonas.
A Tabela 1 mostra os perfis de segurança e suas alocações de zona.
Dois perfis de Segurança usados nos casos de configuração |
|---|
perfil de segurança 1
Observação:
Posteriormente, o administrador primário aumenta dinamicamente a contagem de zonas reservadas especificadas nesse perfil. |
perfil do sistema lógico primário
|
A Tabela 2 mostra três casos que ilustram como o sistema avalia os recursos reservados para zonas em sistemas lógicos com base nas configurações do perfil de segurança.
A configuração para o primeiro caso é bem-sucedida porque a cota cumulativa de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 8, que é menor que a cota máxima de recursos do sistema.
A configuração para o segundo caso falha porque a cota cumulativa de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 12, que é maior que a cota máxima de recursos do sistema.
A configuração para o terceiro caso falha porque a cota cumulativa de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 12, que é maior que a cota máxima de recursos do sistema.
Verificações de cota de recursos reservados em sistemas lógicos |
|---|
Exemplo 1: Bem-sucedido Esta configuração está dentro dos limites: 4+4+0=8, capacidade máxima =10. Perfis de Segurança Usados
|
Exemplo 2: Falha Esta configuração está fora dos limites: 4+4+4=12, capacidade máxima =10.
Perfis de Segurança
|
Exemplo 3: Falha Esta configuração está fora dos limites: 6+6=12, capacidade máxima =10. O administrador principal modifica a cota de zonas reservadas em security-profile-1, aumentando a contagem para 6.
|
Veja também
Exemplo: Configuração de perfis lógicos de Segurança de sistemas (somente administradores primários)
Este exemplo mostra como um administrador primário configura três perfis lógicos de segurança do sistema a serem atribuídos aos sistemas lógicos do usuário e o sistema lógico primário para provisioná-los com recursos de segurança.
Requerimentos
O exemplo usa um dispositivo SRX5600 executando o Junos OS com sistemas lógicos.
Antes de começar, leia a visão geral das tarefas de configuração do administrador primário dos sistemas lógicos da Série SRX para entender como essa tarefa se encaixa no processo de configuração geral.
Visão geral
Este exemplo mostra como configurar perfis de segurança para os seguintes sistemas lógicos:
O sistema lógico do sistema lógico raiz. O perfil de segurança primary-profile é atribuído ao sistema lógico primário ou raiz.
O sistema lógico ls-product-design. O perfil de segurança ls-design-profile é atribuído ao sistema lógico.
O sistema lógico ls-marketing-dept. O perfil de segurança ls-accnt-mrkt-profile é atribuído ao sistema lógico.
O sistema lógico ls-accounting-dept. O perfil de segurança ls-accnt-mrkt-profile é atribuído ao sistema lógico.
O sistema lógico de interconexão, se você usar um. Você deve atribuir um perfil de segurança fictício ou nulo a ele.
Topologia
Essa configuração depende da implantação mostrada em Exemplo: Criando Sistemas Lógicos de Usuário, Seus Administradores, Seus Usuários e um Sistema Lógico de Interconexão.
Configuração
Configurando Perfis Lógicos de Segurança do Sistema
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI do Junos OS.
Crie três perfis de segurança.
Crie o primeiro perfil de segurança.
Procedimento passo a passo
Especifique o número de políticas máximas e reservadas.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
Especifique o número de zonas máximas e reservadas.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
Especifique o número de sessões máximas e reservadas.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
Especificar o número de perfis de redirecionamento ICAP máximos e reservados
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
Especifique o número de endereços NAT de origem não PAT máximos e reservados e regras de NAT estáticas.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
Habilite a detecção e prevenção de intrusão (IDP). Você pode habilitar o IDP apenas para o sistema lógico primário (raiz).
[edit system security-profile] user@host# set idp
Vincule o perfil de segurança ao sistema lógico.
[edit system security-profile] user@host# set master-profile root-logical-system
Crie o segundo perfil de segurança.
Procedimento passo a passo
Especifique o número de políticas máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
Especifique o número de zonas máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
Especifique o número de sessões máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
Especificar o número de perfis de redirecionamento ICAP máximos e reservados
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
Especifique o número de endereços NAT de origem sem PAT máximos e reservados.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
Especifique o número de regras NAT estáticas máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
Associe o perfil de segurança a dois sistemas lógicos.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
Crie o terceiro perfil de segurança.
Procedimento passo a passo
Especifique o número de políticas máximas e reservadas.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
Especifique o número de zonas máximas e reservadas.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
Especifique o número de sessões máximas e reservadas.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
Especificar o número de perfis de redirecionamento ICAP máximos e reservados
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
Especifique o número de endereços NAT de origem sem PAT máximos e reservados.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
Vincule o perfil de segurança a um sistema lógico.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
Vincule um perfil de segurança nulo ao sistema lógico de interconexão.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
Resultados
No modo de configuração, confirme sua configuração digitando o show system security-profile comando para ver todos os perfis de segurança configurados.
Para ver perfis de segurança individuais, digite os show system security-profile master-profilecomandos , o show system security-profile ls-accnt-mrkt-profile e, os show system security-profile ls-design-profile comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
Se você terminar de configurar o dispositivo, entre no commit do modo de configuração.
Verificação
Para confirmar se os recursos de segurança alocados para sistemas lógicos foram atribuídos a eles, siga este procedimento para cada sistema lógico e para todos os seus recursos.
Verificando se os Recursos do Perfil de Segurança estão efetivamente alocados para sistemas lógicos
Finalidade
Verifique os recursos de segurança para cada sistema lógico. Siga este processo para todos os sistemas lógicos configurados.
Ação
-
Use o SSH para efetuar login em cada sistema lógico de usuário como seu administrador de sistema lógico de usuário.
Execute o SSH, especificando o endereço IP do seu firewall da Série SRX.
Insira o ID de login e a senha para um dos sistemas lógicos de usuário que você criou.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
Insira a declaração a seguir para identificar os recursos configurados para o perfil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
Insira o comando a seguir no prompt resultante. Faça isso para cada recurso configurado para o perfil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
Exemplo: Configuração de Perfis de Segurança de Sistemas Lógicos de Usuário
Neste exemplo, você configura os perfis de segurança de sistemas lógicos do usuário. Ele fornece as informações sobre um recurso alocado ao sistema lógico em um perfil de segurança.
Os dispositivos SRX4100 e SRX4200 oferecem suporte ao sistema lógico nos modos transparente e de roteamento.
O dispositivo SRX4600 oferece suporte ao sistema lógico apenas no modo de rota.
O tráfego do sistema lógico cruzado de Camada 2 não é suportado.
Requerimentos
Este exemplo usa dispositivos SRX4100 e SRX4200 que executam o Junos OS com sistemas lógicos.
Antes de começar:
Entenda o processo de configuração lógica do sistema. Consulte Visão geral da configuração de sistemas lógicos do usuário para entender como essa tarefa se encaixa no processo geral de configuração.
Visão geral
Os sistemas lógicos permitem que um administrador primário particione um firewall da Série SRX em contextos discretos chamados sistemas lógicos de usuário. Os sistemas lógicos de usuário são contextos privados e independentes, separados uns dos outros e do sistema lógico primário. Um sistema lógico de usuário tem suas próprias configurações de segurança, rede, interfaces lógicas, roteamento e um ou mais administradores de sistema lógico de usuário.
Neste exemplo, você configura recursos de segurança para o sistema lógico do usuário descrito na Tabela 3. Esta configuração usada pelo administrador do sistema lógico do usuário para exibir informações de recursos para um sistema lógico do usuário.
Nome do campo |
Descrição do campo |
|---|---|
Sinalizadores MAC |
Status das propriedades de aprendizado do endereço MAC para cada interface:
|
Tabela de comutação Ethernet |
Para entradas aprendidas, a hora em que a entrada foi adicionada à tabela de comutação Ethernet. |
Sistema lógico |
Nome do sistema lógico |
Instância de roteamento |
Nome da instância de roteamento |
Nome da VLAN |
Nome da VLAN |
endereço MAC |
endereço MAC ou endereços aprendidos em uma interface lógica |
Idade |
Este campo não é suportado |
Interface lógica |
Nome da interface lógica |
RTR ID |
ID do dispositivo de roteamento |
Índice NH |
Índice de Software do próximo salto que é usado para rotear o tráfego para um determinado prefixo. |
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Tramitação processual
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI do Junos OS.
Para configurar perfis de segurança de sistemas lógicos de usuário:
Efetue login no sistema lógico do usuário como administrador do sistema lógico e entre no modo de configuração.
[edit] admin@host> configure admin@host#
Configure um perfil de segurança e atribua-o a um sistema lógico.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
Defina as interfaces para os modos de interface apropriados e especifique que a interface lógica que receberá os pacotes de dados não marcados é um membro da VLAN nativa.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
Crie a interface IRB e atribua a ela um endereço na sub-rede.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
Crie a política de segurança para permitir o tráfego da zona confiável para a zona não confiável e atribua interfaces a cada zona.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
Associe uma interface IRB à VLAN.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Resultados
No modo de configuração, confirme sua configuração digitando o show ethernet-switching table comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
Verificando a Configuração de Perfis de Segurança de Sistemas Lógicos do Usuário
Finalidade
Verifique as informações das políticas de segurança.
Ação
Do modo operacional, insira o show ethernet-switching table comando.
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
Exemplo: Configurando o Fluxo de Log de Segurança para Sistemas Lógicos
Este exemplo mostra como configurar perfis de segurança para um sistema lógico.
Requerimentos
Este exemplo usa os firewalls da Série SRX executando o Junos OS com sistemas lógicos.
Antes de começar:
Leia a visão geral das tarefas de configuração do administrador primário dos sistemas lógicos da Série SRX para entender como essa tarefa se encaixa no processo de configuração geral.
Visão geral
Como administrador principal, você pode configurar um único perfil de segurança para designar recursos a um sistema lógico específico. Você pode usar o mesmo perfil de segurança para mais de um sistema lógico ou usar uma combinação de ambos os métodos. O set logical-system LSYS1 security log comando é introduzido para registrar o suporte em firewalls da Série SRX.
Configuração
Configurando Perfis Lógicos de Segurança do Sistema Logical-system
Configuração rápida da CLI
Para configurar rapidamente este exemplo neste exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI do Junos OS.
Configure um perfil de segurança e especifique o número de políticas máximas e reservadas.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
Atribua o perfil de segurança configurado ao LSYS1.
user@host# set security-profile p1 logical-system LSYS1
Resultados
No modo de configuração, confirme sua configuração digitando o show system security-profile comando para ver todos os perfis de segurança configurados.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
Verificação
Para confirmar se a configuração está funcionando corretamente, execute as tarefas abaixo:
- Verificando Recursos de Perfil de Segurança para Sistemas Lógicos
- Verificando o número do fluxo de log de segurança para sistemas lógicos
- Verificando o resumo do número do fluxo de log de segurança para sistemas lógicos
- Verificando os detalhes do security-log-stream-number para sistemas lógicos
Verificando Recursos de Perfil de Segurança para Sistemas Lógicos
Finalidade
Verifique os recursos de segurança para cada sistema lógico.
Ação
Do modo operacional, insira o show system security-profile all-resourcecomando , show system security-profile security-log-stream-number logical-system all, show system security-profile security-log-stream-number summary, ou show system security-profile security-log-stream-number detail logical-system all para ver a saída:
mostrar perfil de segurança do sistema todos os recursos
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
Significado
As saídas de exemplo exibem informações sobre os recursos alocados ao sistema lógico em um perfil de segurança. Para cada recurso especificado, o número utilizado pelo sistema lógico e os valores máximos e reservados configurados são exibidos.
Verificando o número do fluxo de log de segurança para sistemas lógicos
Finalidade
Verifique o security-log-stream-number para cada sistema lógico.
Ação
Do modo operacional, insira o show system security-profile security-log-stream-number logical-system all comando para ver a saída:
mostrar perfil de segurança do sistema security-log-stream-number logical-system all
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
Significado
A saída de exemplo exibe as informações sobre um recurso alocado ao sistema lógico em um perfil de segurança com o nome do perfil de segurança. Para cada recurso especificado, o número utilizado pelo sistema lógico e os valores máximos e reservados configurados são exibidos.
Verificando o resumo do número do fluxo de log de segurança para sistemas lógicos
Finalidade
Verifique o resumo security-log-stream-number.
Ação
Do modo operacional, insira o show system security-profile security-log-stream-number summary comando para ver a saída:
mostrar resumo do número do fluxo de log de segurança do sistema
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
Significado
A saída de exemplo exibe as informações resumidas sobre o recurso para todos os sistemas lógicos.
Verificando os detalhes do security-log-stream-number para sistemas lógicos
Finalidade
Verifique os detalhes security-log-stream-number.
Ação
Do modo operacional, insira o show system security-profile security-log-stream-number detail logical-system all comando para ver a saída:
mostrar perfil de segurança do sistema security-log-stream-number detail logical-system all
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
Significado
A saída de exemplo exibe o nível detalhado de saída para todos os sistemas lógicos.