NESTA PÁGINA
Entendendo apenas os perfis de segurança dos sistemas lógicos (apenas administradores primários)
Exemplo: configuração de perfis de segurança de sistemas lógicos (somente administradores primários)
Exemplo: Configuração de perfis de segurança de sistemas lógicos de usuários
Exemplo: configuração do fluxo de log de segurança para a Logical Systems
Perfis de segurança para sistemas lógicos
Os perfis de segurança para sistemas lógicos permitem alocar recursos. Os perfis de segurança especificam o número de recursos a alocar para um sistema lógico ao qual o perfil de segurança está vinculado. Todos os recursos do sistema são alocados ao sistema lógico primário e o administrador primário os aloca ao sistema lógico do usuário usando o perfil de segurança. Para obter mais informações, veja os seguintes tópicos:
Entendendo apenas os perfis de segurança dos sistemas lógicos (apenas administradores primários)
Os sistemas lógicos permitem que você divida virtualmente um firewall da Série SRX em vários dispositivos, isolando um do outro, protegendo-os contra invasões e ataques e protegendo-os de condições defeituosas fora de seus próprios contextos. Para proteger sistemas lógicos, os recursos de segurança são configurados de maneira semelhante à forma como são configurados para um dispositivo discreto. No entanto, como administrador principal, você deve alocar os tipos e quantidades de recursos de segurança para sistemas lógicos. O administrador lógico do sistema aloca recursos para seu próprio sistema lógico.
Um firewall da Série SRX que executa sistemas lógicos pode ser dividido em sistemas lógicos do usuário, um sistema lógico de interconexão, se desejado, e o sistema lógico primário padrão. Quando o sistema é inicializado, o sistema lógico primário é criado no nível raiz. Todos os recursos do sistema são atribuídos a ele, criando efetivamente um perfil de segurança de sistema lógico primário padrão. Para distribuir recursos de segurança em sistemas lógicos, o administrador primário cria perfis de segurança que especificam os tipos e quantidades de recursos a serem alocados em um sistema lógico ao qual o perfil de segurança está vinculado. Somente o administrador primário pode configurar perfis de segurança e vinculá-los a sistemas lógicos. O administrador do sistema lógico do usuário configura esses recursos para seu sistema lógico.
Os sistemas lógicos são definidos em grande parte pelos recursos alocados a eles, incluindo componentes de segurança, interfaces, instâncias de roteamento, rotas estáticas e protocolos de roteamento dinâmico. Quando o administrador primário configura um sistema lógico do usuário, ele vincula um perfil de segurança a ele. Qualquer tentativa de confirmar uma configuração para um sistema lógico de usuário sem um perfil de segurança vinculado a ele falhará.
Este tópico inclui as seguintes seções:
- Perfis de segurança da Logical Systems
- Como o sistema avalia a atribuição e o uso de recursos em sistemas lógicos
- Casos: avaliações de recursos reservados atribuídos por perfis de segurança
Perfis de segurança da Logical Systems
Como administrador primário, você pode configurar um único perfil de segurança para atribuir recursos a um sistema lógico específico, usar o mesmo perfil de segurança para mais de um sistema lógico ou usar uma mistura de ambos os métodos. Você pode configurar até 32 perfis de segurança em um firewall da Série SRX que executa sistemas lógicos. Ao chegar ao limite, você deve excluir um perfil de segurança e confirmar a mudança de configuração antes de poder criar e comprometer outro perfil de segurança. Em muitos casos, menos perfis de segurança são necessários porque você pode vincular um único perfil de segurança a mais de um sistema lógico.
Os perfis de segurança permitem que você:
Compartilhe os recursos do dispositivo, incluindo políticas, zonas, endereços e livros de endereços, sessões de fluxo e várias formas de NAT, entre todos os sistemas lógicos adequadamente. Você pode dedicar várias quantidades de um recurso aos sistemas lógicos e permitir que eles concorram pelo uso dos recursos gratuitos.
Os perfis de segurança protegem contra um sistema lógico esgotando um recurso que é exigido ao mesmo tempo por outros sistemas lógicos. Os perfis de segurança protegem recursos críticos do sistema e mantêm um nível justo de desempenho entre os sistemas lógicos do usuário quando o dispositivo está enfrentando um fluxo de tráfego pesado. Eles se defendem contra um sistema lógico de usuário dominar o uso de recursos e privar outros sistemas lógicos de usuários deles.
Configure o dispositivo de uma maneira escalável para permitir a criação futura de sistemas lógicos de usuários adicionais.
Você deve excluir o perfil de segurança de um sistema lógico antes de excluir esse sistema lógico.
Como o sistema avalia a atribuição e o uso de recursos em sistemas lógicos
Para provisionar um sistema lógico com recursos de segurança, você, como administrador primário, configura um perfil de segurança que especifica para cada recurso:
Uma cota reservada que garante que o valor especificado do recurso esteja sempre disponível ao sistema lógico.
Cota máxima permitida. Se um sistema lógico exigir mais de um recurso do que seu valor reservado permite, ele pode utilizar recursos configurados para o valor máximo global se estiverem disponíveis — ou seja, se não forem alocados a outros sistemas lógicos. A cota máxima permitida especifica a parte dos recursos globais gratuitos que o sistema lógico pode usar. A cota máxima permitida não garante que o valor especificado para o recurso no perfil de segurança esteja disponível. Os sistemas lógicos precisam competir pelos recursos globais.
Se uma cota reservada não estiver configurada para um recurso, o valor padrão será 0. Se uma cota máxima permitida não for configurada para um recurso, o valor padrão é a cota do sistema global para o recurso (as cotas globais do sistema são dependentes da plataforma). O administrador primário deve configurar valores máximos de cotas apropriados nos perfis de segurança para que o uso máximo de recursos de um sistema lógico específico não afete negativamente outros sistemas lógicos configurados no dispositivo. O administrador primário deve configurar os valores de cota máximo permitidos apropriados nos perfis de segurança para que o uso máximo de recursos de um sistema lógico específico não afete negativamente outros sistemas lógicos configurados no dispositivo.
O sistema mantém uma contagem de todos os recursos alocados reservados, usados e disponibilizados novamente quando um sistema lógico é excluído. Essa contagem determina se os recursos estão disponíveis para uso para novos sistemas lógicos ou para aumentar a quantidade de recursos alocados em sistemas lógicos existentes por meio de seus perfis de segurança.
Quando um sistema lógico de usuário é excluído, suas alocações de recursos reservados são liberadas para uso por outros sistemas lógicos.
Os recursos configurados em perfis de segurança são caracterizados como recursos modulares estáticos ou recursos dinâmicos. Para recursos estáticos, recomendamos definir uma cota máxima para um recurso igual ou próximo ao valor especificado como sua cota reservada, para permitir a configuração escalável de sistemas lógicos. Uma alta cota máxima para um recurso pode dar a um sistema lógico maior flexibilidade através do acesso a uma quantidade maior desse recurso, mas restringiria o valor disponível para alocar a um novo sistema lógico de usuário.
A diferença entre os valores reservados e máximos permitidos para um recurso dinâmico não é importante porque os recursos dinâmicos são envelhecidos e não esgotam o pool disponível para atribuição a outros sistemas lógicos.
Os recursos a seguir podem ser especificados em um perfil de segurança:
Políticas de segurança, incluindo agendadores
Zonas de segurança
Endereços e livros de endereços para políticas de segurança
Conjuntos de regras de firewall de aplicativos
Regras do firewall de aplicativos
Autenticação de firewall
Sessões de fluxo e portões
NAT, incluindo:
Vinculações de NAT de cone
Regra de destino de NAT
Grupo de destino NAT
Endereço IP NAT no pool de fontes sem tradução de endereços de porta (PAT)
Nota:Os endereços IPv6 em pools de origem IPv6 sem PAT não estão incluídos em perfis de segurança.
Endereço IP NAT no pool de fontes com PAT
Sobrecarga de porta NAT
Grupo de origem do NAT
Regra de origem do NAT
Regra estática do NAT
Todos os recursos, exceto sessões de fluxo, são estáticos.
Você pode modificar um perfil lógico de segurança do sistema dinamicamente, enquanto o perfil de segurança é atribuído a outros sistemas lógicos. No entanto, para garantir que a cota de recursos do sistema não seja excedida, o sistema toma as seguintes ações:
Se uma cota estática for alterada, os daemons do sistema que mantêm a contagem lógica do sistema para recursos especificados em perfis de segurança revalidam o perfil de segurança. Essa verificação identifica o número de recursos atribuídos em todos os sistemas lógicos para determinar se os recursos alocados, incluindo seus valores aumentados, estão disponíveis.
Essas verificações de cotas são as mesmas verificações de cota que o sistema executa quando você adiciona um novo sistema lógico de usuário e vincula um perfil de segurança a ele. Eles também são executados quando você vincula um perfil de segurança diferente do perfil de segurança que atualmente é atribuído a ele a um sistema lógico de usuário (ou sistema lógico primário).
Se uma cota dinâmica for alterada, nenhuma verificação é realizada, mas a nova cota é imposta ao uso futuro dos recursos.
Casos: avaliações de recursos reservados atribuídos por perfis de segurança
Para entender como o sistema avalia a alocação de recursos reservados por meio de perfis de segurança, considere os três casos a seguir que atendem à alocação de um único recurso, zonas. Para manter o exemplo simples, 10 zonas são alocadas no perfil de segurança-1: 4 zonas reservadas e 6 zonas máximas. Este exemplo pressupõe que o valor máximo especificado — seis zonas — está disponível para os sistemas lógicos do usuário. O número máximo de zonas do sistema é de 10.
Esses casos abordam a configuração em sistemas lógicos. Eles testam para ver se uma configuração terá sucesso ou falhará quando ela é comprometida com base na alocação de zonas.
A Tabela 1 mostra os perfis de segurança e suas alocações de zona.
Dois perfis de segurança usados nos casos de configuração |
|---|
perfil de segurança-1
Nota:
Posteriormente, o administrador primário aumenta dinamicamente a contagem de zonas reservadas especificada neste perfil. |
perfil primário do sistema lógico
|
A Tabela 2 mostra três casos que ilustram como o sistema avalia recursos reservados para zonas em sistemas lógicos com base em configurações de perfil de segurança.
A configuração para o primeiro caso é bem-sucedida porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 8, o que é menor do que a cota máxima de recursos do sistema.
A configuração para o segundo caso falha porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 12, o que é maior do que a cota máxima de recursos do sistema.
A configuração para o terceiro caso falha porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 12, o que é maior do que a cota máxima de recursos do sistema.
Verificações de cota de recursos reservados em sistemas lógicos |
|---|
Exemplo 1: Sucesso Essa configuração está dentro dos limites: 4+4+0=8, capacidade máxima =10. Perfis de segurança usados
|
Exemplo 2: Falha Essa configuração está fora dos limites: 4+4+4=12, capacidade máxima =10.
Perfis de segurança
|
Exemplo 3: Falha Essa configuração está fora dos limites: 6+6=12, capacidade máxima =10. O administrador primário modifica a cota de zonas reservadas em perfil de segurança-1, aumentando a contagem para 6.
|
Veja também
Exemplo: configuração de perfis de segurança de sistemas lógicos (somente administradores primários)
Este exemplo mostra como um administrador primário configura três perfis lógicos de segurança do sistema para atribuir aos sistemas lógicos do usuário e ao sistema lógico primário para provisioná-los com recursos de segurança.
Requisitos
O exemplo usa um dispositivo SRX5600 que executa o Junos OS com sistemas lógicos.
Antes de começar, leia a visão geral das tarefas de configuração de administrador primário da Série SRX para entender como essa tarefa se encaixa no processo de configuração geral.
Visão geral
Este exemplo mostra como configurar perfis de segurança para os seguintes sistemas lógicos:
O sistema lógico do sistema lógico raiz. O perfil primário do perfil de segurança é atribuído ao sistema lógico primário ou raiz.
O sistema lógico de design de produto LS. O perfil de segurança ls-design-profile é atribuído ao sistema lógico.
O sistema lógico ls-marketing-dept. O perfil de segurança ls-accnt-mrkt-profile é atribuído ao sistema lógico.
O sistema lógico ls-accounting-dept. O perfil de segurança ls-accnt-mrkt-profile é atribuído ao sistema lógico.
O sistema lógico de interconexão, se você usar um. Você deve atribuir a ele um perfil de segurança fictício ou nulo.
Topologia
Essa configuração depende da implantação mostrada em Exemplo: Criação de sistemas lógicos de usuário, seus administradores, seus usuários e um sistema lógico de interconexão.
Configuração
Configuração de perfis de segurança do sistema lógico
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Crie três perfis de segurança.
Crie o primeiro perfil de segurança.
Procedimento passo a passo
Especifique o número de políticas máximas e reservadas.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
Especifique o número de zonas máximas e reservadas.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
Especifique o número de sessões máximas e reservadas.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
Especifique o número de perfis de redirecionamento ICAP máximos e reservados
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
Especifique o número de endereços NAT sem PAT de origem máxima e reservado e regras de NAT estáticas.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
Habilite a detecção e a prevenção de invasões (IDP). Você pode habilitar o IDP apenas para o sistema lógico primário (raiz).
[edit system security-profile] user@host# set idp
Vincule o perfil de segurança ao sistema lógico.
[edit system security-profile] user@host# set master-profile root-logical-system
Crie o segundo perfil de segurança.
Procedimento passo a passo
Especifique o número de políticas máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
Especifique o número de zonas máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
Especifique o número de sessões máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
Especifique o número de perfis de redirecionamento ICAP máximos e reservados
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
Especifique o número de endereços NAT sem PAT de origem máxima e reservado.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
Especifique o número de regras de NAT estáticas máximas e reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
Vincule o perfil de segurança a dois sistemas lógicos.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
Crie o terceiro perfil de segurança.
Procedimento passo a passo
Especifique o número de políticas máximas e reservadas.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
Especifique o número de zonas máximas e reservadas.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
Especifique o número de sessões máximas e reservadas.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
Especifique o número de perfis de redirecionamento ICAP máximos e reservados
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
Especifique o número de endereços NAT sem PAT de origem máxima e reservado.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
Vincule o perfil de segurança a um sistema lógico.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
Vincule um perfil de segurança nulo ao sistema lógico de interconexão.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
Resultados
A partir do modo de configuração, confirme sua configuração inserindo o show system security-profile comando para ver todos os perfis de segurança configurados.
Para ver os perfis de segurança individuais, insira os show system security-profile master-profileshow system security-profile ls-accnt-mrkt-profile comandos, o e o e.show system security-profile ls-design-profile Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.
Verificação
Para confirmar que os recursos de segurança que você alocaram para sistemas lógicos foram atribuídos a eles, siga este procedimento para cada sistema lógico e para todos os seus recursos.
Verificando se os recursos de perfil de segurança são efetivamente alocados para sistemas lógicos
Propósito
Verifique os recursos de segurança para cada sistema lógico. Siga este processo para todos os sistemas lógicos configurados.
Ação
-
Use o SSH para fazer login em cada sistema lógico do usuário como administrador do sistema lógico do usuário.
Execute SSH, especificando o endereço IP do seu firewall da Série SRX.
Digite a ID de login e a senha para um dos sistemas lógicos de usuário que você criou.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
Digite a declaração a seguir para identificar os recursos configurados para o perfil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
Insira o comando a seguir no prompt resultante. Faça isso para cada recurso configurado para o perfil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
Exemplo: Configuração de perfis de segurança de sistemas lógicos de usuários
Neste exemplo, você configura os perfis de segurança dos sistemas lógicos do usuário. Ele fornece as informações sobre um recurso alocado ao sistema lógico em um perfil de segurança.
SRX4100 e dispositivos SRX4200 oferecem suporte ao sistema lógico no modo transparente e de roteamento.
SRX4600 dispositivo oferece suporte apenas ao sistema lógico no modo de rota.
O tráfego entre sistemas lógicos da camada 2 não é suportado.
Requisitos
Este exemplo usa um SRX4100 e dispositivos SRX4200 executando o Junos OS com sistemas lógicos.
Antes de começar:
Entenda o processo de configuração lógica do sistema. Veja a visão geral da configuração dos sistemas lógicos do usuário para entender como essa tarefa se encaixa no processo de configuração geral.
Visão geral
Os sistemas lógicos permitem que um administrador primário partifique um firewall da Série SRX em contextos discretos chamados sistemas lógicos de usuário. Os sistemas lógicos do usuário são auto-contidos, contextos privados, separados um do outro e do sistema lógico primário. Um sistema lógico do usuário tem sua própria segurança, rede, interfaces lógicas, configurações de roteamento e um ou mais administradores de sistema lógico do usuário.
Neste exemplo, você configura recursos de segurança para o sistema lógico do usuário descrito na Tabela 3. Essa configuração usada pelo administrador do sistema lógico do usuário para exibir informações de recursos para um sistema lógico do usuário.
Nome de campo |
Descrição do campo |
|---|---|
Bandeiras MAC |
Status das propriedades de aprendizado de endereço MAC para cada interface:
|
Tabela de comutação Ethernet |
Para entradas aprendidas, o momento em que a entrada foi adicionada à tabela de comutação da Ethernet. |
Sistema lógico |
Nome do sistema lógico |
Instância de roteamento |
Nome da instância de roteamento |
Nome da VLAN |
Nome da VLAN |
Endereço MAC |
Endereços ou endereços MAC aprendidos em uma interface lógica |
Idade |
Este campo não é suportado |
Interface lógica |
Nome da interface lógica |
RTR ID |
ID do dispositivo de roteamento |
Índice NH |
Índice de software do próximo salto que é usado para rotear o tráfego para um determinado prefixo. |
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar perfis de segurança de sistemas lógicos do usuário:
Faça login no sistema lógico do usuário como administrador lógico do sistema e entre no modo de configuração.
[edit] admin@host> configure admin@host#
Configure um perfil de segurança e atribua-o a um sistema lógico.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
Defina as interfaces para os modos de interface apropriados e especifique que a interface lógica que receberá os pacotes de dados não registrados é um membro da VLAN nativa.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
Crie a interface IRB e atribua um endereço na sub-rede.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
Crie a política de segurança para permitir o tráfego da zona de confiança para a zona não confiável e atribuir interfaces a cada zona.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
Associe uma interface IRB com a VLAN.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show ethernet-switching table comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando a configuração dos perfis de segurança dos sistemas lógicos do usuário
Propósito
Verifique as informações das políticas de segurança.
Ação
A partir do modo operacional, entre no show ethernet-switching table comando.
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
Exemplo: configuração do fluxo de log de segurança para a Logical Systems
Este exemplo mostra como configurar um perfil de segurança para um sistema lógico.
Requisitos
Este exemplo usa os firewalls da Série SRX que executam o Junos OS com sistemas lógicos.
Antes de começar:
Leia a visão geral das tarefas de configuração de administrador primário da Série SRX para entender como essa tarefa se encaixa no processo de configuração geral.
Veja exemplo: Configuração de perfis de segurança de sistemas lógicos (somente administradores primários).
Visão geral
Como administrador primário, você pode configurar um único perfil de segurança para atribuir recursos a um sistema lógico específico. Yo pode usar o mesmo perfil de segurança para mais de um sistema lógico, ou usar uma mistura de ambos os métodos. O set logical-system LSYS1 security log comando é introduzido para registrar suporte em firewalls da Série SRX.
Configuração
Configuração de perfis lógicos de segurança de sistema
Configuração rápida da CLI
Para configurar rapidamente este exemplo este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no [edit] commit modo de configuração.
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Configure um perfil de segurança e especifique o número de políticas máximas e reservadas.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
Atribua o perfil de segurança configurado ao LSYS1.
user@host# set security-profile p1 logical-system LSYS1
Resultados
A partir do modo de configuração, confirme sua configuração inserindo o show system security-profile comando para ver todos os perfis de segurança configurados.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute as tarefas abaixo:
- Verificação de recursos de perfil de segurança para sistemas lógicos
- Verificação do número de fluxo de log de segurança para sistemas lógicos
- Verificando o resumo do número de log-stream de segurança para sistemas lógicos
- Verificando os detalhes do número de log-stream de segurança para sistemas lógicos
Verificação de recursos de perfil de segurança para sistemas lógicos
Propósito
Verifique os recursos de segurança para cada sistema lógico.
Ação
Do modo operacional, entre no show system security-profile all-resource, show system security-profile security-log-stream-number logical-system all, show system security-profile security-log-stream-number summaryou show system security-profile security-log-stream-number detail logical-system all comando para ver a saída:
mostrar o perfil de segurança do sistema de todos os recursos
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
Significado
As saídas de amostra exibem informações sobre os recursos alocados para o sistema lógico em um perfil de segurança. Para cada recurso especificado, o número usado pelo sistema lógico e os valores máximos e reservados configurados são exibidos.
Verificação do número de fluxo de log de segurança para sistemas lógicos
Propósito
Verifique o número de fluxo de log de segurança para cada sistema lógico.
Ação
Do modo operacional, entre no show system security-profile security-log-stream-number logical-system all comando para ver a saída:
mostrar sistema de segurança perfil de segurança-log-fluxo sistema lógico todos
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
Significado
A saída de amostra exibe as informações sobre um recurso alocado ao sistema lógico em um perfil de segurança com nome de perfil de segurança. Para cada recurso especificado, o número usado pelo sistema lógico e os valores máximos e reservados configurados são exibidos.
Verificando o resumo do número de log-stream de segurança para sistemas lógicos
Propósito
Verifique o resumo do número de log-stream de segurança.
Ação
Do modo operacional, entre no show system security-profile security-log-stream-number summary comando para ver a saída:
mostrar resumo do número de fluxo de segurança do perfil de segurança do sistema
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
Significado
A saída de amostra exibe as informações sumárias sobre o recurso para todos os sistemas lógicos.
Verificando os detalhes do número de log-stream de segurança para sistemas lógicos
Propósito
Verifique o detalhe do número de log-stream de segurança.
Ação
Do modo operacional, entre no show system security-profile security-log-stream-number detail logical-system all comando para ver a saída:
mostrar sistema de segurança perfil segurança-log-stream-número detalhe sistema lógico tudo
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
Significado
A saída de amostra exibe o nível detalhado de saída para todos os sistemas lógicos.