Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

租户系统的安全策略

安全策略可通过租户系统配置。有关详细信息,请参阅以下主题:

了解租户系统的安全策略

安全策略对可以通过防火墙的流量和在通过防火墙时对流量采取的操作实施规则。通过创建安全策略,租户系统的管理员可定义允许从来源传递到目标的流量类型,来控制从区域到区域的流量。从安全策略的角度来看,流量进入一个安全区域,并通过另一个安全区域退出。默认情况下,租户系统拒绝所有方向上的所有流量,包括区域间和区域间方向。

从Junos OS版本18.3R1,逻辑系统支持的安全策略功能现已扩展到租户系统。

可在租户系统中配置安全策略。租户安全策略的配置方式与逻辑系统安全策略和防火墙范围安全策略的配置方式相同。在租户系统中创建的任何安全策略、策略规则、地址簿、应用程序和应用程序集以及时间表仅适用于该租户系统。租户系统之间仅共享预定义的应用程序和应用程序集, junos-ftp 例如。

租户系统的管理员可配置和查看租户系统中安全策略的所有属性。

从Junos OS版本18.4R1,租户系统管理员可以在租户系统内创建动态地址。动态地址条目包含从外部源中提取的 IP 地址和前缀。安全策略使用源地址字段或目标地址字段中的动态地址。您可使用 命令查看动态地址信息,包括租户系统的名称、源和属性 show security dynamic-address

动态地址条目 (DAE) 是一组 IP 地址,可手动输入,也可从租户系统外部源导入。守护功能允许安全策略中使用的基于源的 IP 对象拒绝或允许基于源或目标 IP 标准的流量。

注意:

给定租户系统的最大守护程序数量相当于系统级扩展编号。此外,所有租户系统的守护程序总和必须小于或等于守护程序的系统级扩展编号。如果一个租户系统使用最大 IP 条目数,其他租户系统无法将 IP 条目添加到其守护程序。

从 Junos 18.4R1开始, set security dynamic-address feed-server 可以在租户系统下配置 命令。

应用程序超时

为应用程序设置的应用程序超时值用于确定会话超时。对于租户系统,应用程序超时行为与在根级别相同。虽然租户系统的管理员可以使用安全策略中的预定义应用程序,但是管理员不能修改这些预定义应用程序的超时值。应用程序超时值存储在应用程序输入数据库中以及相应的租户系统 TCP 和基于 UDP 端口的超时表中。

安全策略分配

主管理员创建安全配置文件以分配可为每个租户系统配置的最大策略数。然后,租户系统的管理员受到安全配置文件的限制,创建的策略数量不会超过安全配置文件中所述的策略数量。租户系统的管理员使用 show system security-profile policy 命令查看分配给租户系统的安全策略数量。

示例:在租户系统中配置安全策略

此示例说明了如何配置租户系统的安全策略。

要求

开始配置之前:

  • 配置区域。请参阅 示例:在租户系统中配置安全区域

  • 使用 show system security-profiles policy 命令查看分配给租户系统的安全策略资源。

概述

此示例为租户系统配置安全策略。租户系统用户的管理员可使用 [edit tenants tenant-name security policies] 层级配置安全策略。此示例配置表 1 中所述的安全策略

表 1:安全策略参数

特征

配置参数

策略 1

允许以下流量:

  • 策略名称:p1

  • 租户名称:TSYS1

  • 从区域:信任

  • 分区:不信任

  • 源地址:任意

  • 目标地址:任意

  • 应用程序:任意

策略 2

允许以下流量:

  • 策略名称:p1

  • 租户名称:TSYS1

  • 从区域:不信任

  • 要分区:信任

  • 源地址:任意

  • 目标地址:任意

  • 应用程序:任意

配置

程序

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI 用户 指南 中的 在配置模式下Junos OS CLI编辑器 。

在租户系统中配置安全策略:

  1. 登录租户系统,将租户系统名称定义为 TSYS1。

  2. 将安全策略创建为 p1,允许区域信任信息流到区域不可信,并配置匹配条件。

  3. 将安全策略创建为 p2,允许来自区域不可信信息流到区域信任,并配置匹配条件。

结果

在配置模式下,输入 命令以确认 show tenants tenant-name security policies 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

验证

验证策略配置

目的

验证有关安全策略的信息。

行动

要验证配置是否工作正常,请在 show security policies detail tenant TSYS1 操作模式下输入 命令。

意义

输出显示有关在租户系统中配置的安全策略的信息。

为租户系统配置动态地址

租户系统的动态地址条目为安全策略提供动态 IP 地址信息。要使用动态地址,您必须为租户系统指定动态地址的基本信息,包括其名称、源和属性。

  • 阅读 示例: 在 租户系统中配置安全策略,了解此过程如何及在何处适合安全策略的整体租户支持。

要配置租户系统内 IPv4 网络的动态地址:

  1. 将租户系统名称定义为 TSYS1。
  2. 在租户系统内创建动态地址。
  3. 输入 命令以确认 show tenants TSYS1 security dynamic-address 您的配置。
  • 在租户系统中配置安全策略:

    1. 将租户系统名称定义为 TSYS1。

    2. 将安全策略创建为 p1,允许区域信任信息流到区域不可信,并配置匹配条件。

    3. 输入 命令以确认 show tenants tenant-name security policies 您的配置

版本历史记录表
释放
描述
18.3R1
从Junos OS版本18.3R1,逻辑系统支持的安全策略功能现已扩展到租户系统。