Visão geral dos sistemas lógicos do usuário
Um sistema lógico do usuário permite configurar zonas, políticas de segurança, interfaces lógicas e recursos de segurança atribuídos ao seu próprio sistema lógico de usuário. Para obter mais informações, veja os seguintes tópicos:
Visão geral da configuração dos sistemas lógicos do usuário
Quando o administrador primário cria um sistema lógico do usuário, ele atribui um administrador de sistema lógico do usuário para gerenciá-lo. Um sistema lógico do usuário pode ter vários administradores de sistema lógico do usuário.
Como administrador de sistema lógico do usuário, você pode acessar e visualizar recursos em seu sistema lógico de usuário, mas não os de outros sistemas lógicos de usuário ou do sistema lógico primário. Você pode configurar recursos alocados em seu sistema lógico de usuário, mas não pode modificar os números de recursos alocados.
O procedimento a seguir lista as tarefas que o administrador do sistema lógico do usuário executa para configurar recursos no sistema lógico do usuário:
Faça login no sistema lógico do usuário com o login e a senha configurados pelo administrador principal:
SSH para o endereço IP de gerenciamento configurado no dispositivo. Faça login no sistema lógico do usuário com o login e a senha do administrador fornecidos pelo administrador principal.
Você insira um shell UNIX no sistema lógico do usuário configurado pelo administrador principal.
A partir do Junos OS Release 20.1R1, On SRX5400, SRX5600 e dispositivos da Série SRX5800, o Trusted Platform Module (TPM) oferece suporte apenas ao mecanismo de roteamento SRX5K-RE3-128G (RE3). O chip TPM permite por padrão. Para usar a funcionalidade TPM em sistemas lógicos, você deve configurar a chave master-encryption -key (MEK) apenas no sistema lógico raiz, e os sistemas lógicos do usuário herdarão o mesmo MEK para criptografar hash de configuração e chaves de infraestrutura de chaves públicas (PKI). Para obter mais informações sobre o TPM, consulte o uso do módulo de plataforma confiável para vincular segredos em dispositivos da Série SRX.
A presença do prompt > indica que a CLI começou. O prompt é precedido por uma seqüência que contém seu nome de usuário, o nome de host do roteador e o nome do sistema lógico do usuário. Quando a CLI começa, você está no nível superior no modo operacional. Você entra no modo de configuração entrando no comando do configure modo operacional. A CLI solicita mudanças de user@host: logical-system> para user@host: logical-system#.
Para sair da CLI e retornar ao shell UNIX, entre no quit comando.
Configure as interfaces lógicas atribuídas ao sistema lógico do usuário pelo administrador principal. Configure uma ou mais instâncias de roteamento e os protocolos e opções de roteamento em cada instância. Veja exemplo: configurar interfaces e instâncias de roteamento para sistemas lógicos de usuário.
Configure recursos de segurança para o sistema lógico do usuário:
Crie zonas para o sistema lógico do usuário e vincule as interfaces lógicas às zonas. Podem ser criados livros de endereços conectados a zonas para uso em políticas. Veja exemplo: configurar zonas de segurança para sistemas lógicos de usuário.
Configure opções de tela no nível da zona. Veja exemplo: configurar opções de tela para sistemas lógicos de usuário.
Configure políticas de segurança entre zonas no sistema lógico do usuário. Veja exemplo: configurar políticas de segurança em sistemas lógicos de usuário.
Aplicativos ou conjuntos de aplicativos personalizados podem ser criados para tipos específicos de tráfego. Para criar um aplicativo personalizado, use a
applicationdeclaração de configuração no nível [edit applications] de hierarquia. Para criar um conjunto de aplicativos, use aapplication-setdeclaração de configuração no nível [edit applications] de hierarquia.Configure a autenticação do firewall. O administrador primário cria perfis de acesso no sistema lógico primário. Veja exemplo: configuração de perfis de acesso (somente administradores primários).
Em seguida, o administrador do sistema lógico do usuário configura uma política de segurança que especifica a autenticação do firewall para combinar tráfego e configura o tipo de autenticação (autenticação de passagem ou Web), perfil de acesso padrão e banner de sucesso. Veja exemplo: configurar a autenticação de firewall para um sistema lógico do usuário.
Configure um túnel VPN baseado em rotas para proteger o tráfego entre um sistema lógico do usuário e um site remoto. O administrador principal atribui uma interface de túnel segura ao sistema lógico do usuário e configura SAs IKE e IPsec para o túnel VPN. Veja exemplo: configurar SAs IKE e IPsec para um túnel VPN (somente administradores primários).
O administrador do sistema lógico do usuário configura um túnel VPN baseado em rotas. Veja exemplo: configurar um túnel VPN baseado em rotas em sistemas lógicos de usuário.
Configure a tradução de endereços de rede (NAT). Veja exemplo: configurar a tradução de endereços de rede para sistemas lógicos de usuário.
Configure e atribua uma política de IDP predefinida ao sistema lógico do usuário. O administrador primário configura políticas de IDP no nível raiz e especifica uma política de IDP no perfil de segurança vinculada a um sistema lógico. Veja exemplo: configurar e designar uma política de IDP predefinida para um sistema lógico do usuário.
O administrador do sistema lógico do usuário permite o IDP em uma política de segurança. Veja exemplo: habilitar o IDP em uma política de segurança do sistema lógico do usuário.
Configure e habilite uma política de IDP no sistema lógico do usuário. Veja exemplo: configurar uma política de IDP para um sistema lógico do usuário
Exibir ou limpar as entradas do cache do sistema de aplicativos (ASC). Veja como entender os serviços de identificação de aplicativos da Logical Systems.
Configure serviços de firewall de aplicativos em um sistema lógico do usuário. Veja como entender os serviços de firewall de aplicativos logical systems e exemplo: configuração de serviços de firewall de aplicativos para um sistema lógico do usuário.
Configure a ferramenta de rastreamento de aplicativos AppTrack. Veja exemplo: configuração do AppTrack para sistemas lógicos de usuário.
Veja também
Entender os sistemas lógicos do usuário e a função de administrador do sistema lógico do usuário
Sistemas lógicos permitem que um administrador primário partifique um firewall da Série SRX em contextos discretos chamados sistemas lógicos de usuário. Os sistemas lógicos do usuário são contextos privados autônomos, separados um do outro e do sistema lógico primário. Um sistema lógico do usuário tem sua própria segurança, redes, interfaces lógicas, configurações de roteamento e um ou mais administradores de sistema lógico do usuário.
Quando o administrador primário cria um sistema lógico do usuário, ele atribui um ou mais administradores de sistema lógico de usuário para gerenciá-lo. Um administrador de sistema lógico do usuário tem uma visão do dispositivo que está limitada ao seu sistema lógico. Embora um sistema lógico do usuário seja gerenciado por um administrador de sistema lógico do usuário, o administrador principal tem uma visão global do dispositivo e acesso a todos os sistemas lógicos do usuário. Se necessário, o administrador principal pode gerenciar qualquer sistema lógico do usuário no dispositivo.
A função e as responsabilidades de um administrador de sistema lógico do usuário diferem das do administrador principal. Como um administrador de sistema lógico do usuário, você pode acessar, configurar e visualizar a configuração para os recursos do sistema lógico do seu usuário, mas não os de outros sistemas lógicos de usuário ou do sistema lógico primário.
Como administrador de sistema lógico do usuário, você pode:
Configure zonas, livros de endereços, políticas de segurança, listas de usuários, serviços personalizados e assim por diante, para o ambiente lógico do seu sistema de usuário, com base nos recursos alocados a ele.
Por exemplo, se o administrador primário alocar 40 zonas ao seu sistema lógico de usuário, você pode configurar e administrar essas zonas, mas não pode alterar o número alocado.
Configure instâncias de roteamento e atribua interfaces alocadas a elas. Crie rotas estáticas e adicione-as às suas instâncias de roteamento. Configure protocolos de roteamento.
Configure, habilite e monitore a política de firewall de aplicativos em seu sistema lógico do usuário.
Configure AppTrack.
Veja todas as interfaces lógicas atribuídas e configure seus atributos. Os atributos que você configura para interfaces lógicas para o sistema lógico do usuário não podem ser vistos por outros administradores de sistema lógico do usuário.
Execute comandos operacionais para o seu sistema lógico de usuário.