Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

逻辑系统的安全配置文件

逻辑系统的安全配置文件允许您分配资源。安全配置文件指定要分配给安全配置文件绑定到的逻辑系统的资源数。所有系统资源都分配给主逻辑系统,主管理员使用安全配置文件将它们分配给用户逻辑系统。有关更多信息,请参阅以下主题:

了解逻辑系统安全配置文件(仅限主管理员)

通过逻辑系统,您可以将受支持的 SRX 系列防火墙以虚拟方式分成多个设备,相互隔离,保护它们免受入侵和攻击,并保护它们免受自身环境之外的错误情况的影响。为了保护逻辑系统,安全资源的配置方式与为离散设备配置安全资源的方式类似。但是,作为主管理员,您必须将安全资源的种类和数量分配给逻辑系统。逻辑系统管理员为自己的逻辑系统分配资源。

运行逻辑系统的 SRX 系列防火墙可分为用户逻辑系统、互连逻辑系统(如果需要)和默认主逻辑系统。初始化系统时,将在根级别创建主逻辑系统。所有系统资源都分配给它,从而有效地创建了默认的主逻辑系统安全配置文件。要在逻辑系统之间分配安全资源,主管理员将创建安全配置文件,用于指定要分配给安全配置文件绑定到的逻辑系统的资源类型和数量。只有主管理员才能配置安全配置文件并将其绑定到逻辑系统。用户逻辑系统管理员为其逻辑系统配置这些资源。

逻辑系统主要由分配给它们的资源定义,包括安全组件、接口、路由实例、静态路由和动态路由协议。当主管理员配置用户逻辑系统时,他会将安全配置文件绑定到该系统。任何尝试在未绑定安全配置文件的情况下为用户逻辑系统提交配置都将失败。

本主题包含以下部分:

逻辑系统安全配置文件

作为主管理员,您可以配置单个安全配置文件以将资源分配给特定逻辑系统,对多个逻辑系统使用相同的安全配置文件,或者混合使用这两种方法。在运行逻辑系统的 SRX 系列防火墙上,最多可以配置 32 个安全配置文件。当达到限制时,必须先删除安全配置文件并提交配置更改,然后才能创建并提交另一个安全配置文件。在许多情况下,所需的安全配置文件较少,因为您可能会将一个安全配置文件绑定到多个逻辑系统。

安全配置文件允许您:

  • 在所有逻辑系统之间适当共享设备的资源,包括策略、区域、地址和地址簿、流会话以及各种形式的 NAT。您可以将不同数量的资源专用于逻辑系统,并允许它们竞争使用免费资源。

    安全配置文件可防止一个逻辑系统耗尽其他逻辑系统同时需要的资源。安全配置文件可保护关键系统资源,并在设备遇到繁重的流量时在用户逻辑系统中保持公平的性能水平。它们可以防御一个用户逻辑系统主导资源的使用并剥夺其他用户逻辑系统的资源。

  • 以可扩展的方式配置设备,以便将来创建其他用户逻辑系统。

必须先删除逻辑系统的安全配置文件,然后再删除该逻辑系统。

系统如何跨逻辑系统评估资源分配和使用

要为逻辑系统置备安全资源,您作为主管理员,请配置一个安全配置文件,该配置文件为每个资源指定:

  • 一个保留配额,用于保证指定的资源量始终可供逻辑系统使用。

  • 允许的最大配额。如果逻辑系统需要的资源多于其预留量所允许的资源,则可以利用为全局最大量配置的资源(如果可用,即如果这些资源未分配给其他逻辑系统)。允许的最大配额指定逻辑系统可以使用的免费全局资源部分。允许的最大配额并不能保证在安全配置文件中为资源指定的量可用。逻辑系统必须争夺全局资源。

如果未为资源配置预留配额,则默认值为 0。如果未为资源配置允许的最大配额,则默认值为该资源的全局系统配额(全局系统配额取决于平台)。主管理员必须在安全配置文件中配置适当的允许的最大配额值,以便特定逻辑系统的最大资源使用量不会对设备上配置的其他逻辑系统产生负面影响。

系统会保留、使用和在删除逻辑系统时再次提供的所有已分配资源的计数。此计数确定资源是否可用于新的逻辑系统,或者通过其安全配置文件增加分配给现有逻辑系统的资源量。

删除用户逻辑系统时,将释放其保留的资源分配,以供其他逻辑系统使用。

在安全配置文件中配置的资源的特征是静态模块化资源或动态资源。对于静态资源,建议将资源的最大配额设置为等于或接近指定为其保留配额的数量,以便对逻辑系统进行可扩展的配置。如果资源的最大配额较高,则可以通过访问大量资源来为逻辑系统提供更大的灵活性,但会限制分配给新用户逻辑系统的可用量。

动态资源的预留量和允许的最大量之间的差异并不重要,因为动态资源会过时,并且不会耗尽可用于分配给其他逻辑系统的池。

可以在安全配置文件中指定以下资源:

  • 安全策略,包括调度程序

  • 安全区域

  • 安全策略的地址和地址簿

  • 应用防火墙规则集

  • 应用防火墙规则

  • 防火墙身份验证

  • 流会话和门

  • NAT,包括:

    • 锥体 NAT 绑定

    • NAT 目标规则

    • NAT 目标池

    • NAT 源池中不带端口地址转换 (PAT) 的 IP 地址

      注意:

      没有 PAT 的 IPv6 源池中的 IPv6 地址不包括在安全配置文件中。

    • 使用 PAT 的源池中的 NAT IP 地址

    • NAT 端口重载

    • NAT 源池

    • NAT 源规则

    • NAT 静态规则

注意:

除流会话外,所有资源都是静态的。

在将逻辑系统安全配置文件分配给其他逻辑系统时,可以动态修改该安全配置文件。但是,为了确保不超出系统资源配额,系统会采取以下措施:

  • 如果静态配额发生更改,则维护安全配置文件中指定资源的逻辑系统计数的系统守护程序将重新验证安全配置文件。此检查确定在所有逻辑系统中分配的资源数,以确定分配的资源(包括其增加的资源量)是否可用。

    这些配额检查与添加新用户逻辑系统并将安全配置文件绑定到该系统时系统执行的配额检查相同。当您将当前分配给它的安全配置文件的不同安全配置文件绑定到现有用户逻辑系统(或主逻辑系统)时,也会执行这些作。

  • 如果更改动态配额,则不会执行检查,而是对未来资源使用量施加新的配额。

案例:评估通过安全配置文件分配的预留资源

若要了解系统如何通过安全配置文件评估预留资源的分配,请考虑以下三种情况,这些情况涉及一种资源(区域)的分配。为了使示例简单易懂,在 security-profile-1 中分配了 10 个区域:4 个保留区域和 6 个最大区域。此示例假定指定的全部最大容量(六个区域)可用于用户逻辑系统。系统的最大区域数为 10。

这些案例涉及跨逻辑系统的配置。它们会进行测试,看看根据区域分配提交配置时是成功还是失败。

表 1 显示了安全配置文件及其区域分配。

表 1:用于预留资源评估的安全配置文件

配置用例中使用的两个安全配置文件

安全配置文件-1

  • 区域保留配额 = 4

  • 区域最大配额 = 6

注意:

稍后,主管理员会动态增加此配置文件中指定的保留区域计数。

primary-logical-system-profile

  • 区域最大配额 = 10

  • 无预留配额

表 2 显示了三个案例,说明系统如何根据安全配置文件配置评估跨逻辑系统各区域的预留资源。

  • 第一种情况的配置成功,因为在绑定到所有逻辑系统的安全配置文件中配置的区域的累计预留资源配额为 8,小于系统最大资源配额。

  • 第二种情况的配置失败,因为在绑定到所有逻辑系统的安全配置文件中配置的区域的累计预留资源配额为 12,大于系统最大资源配额。

  • 第三种情况的配置失败,因为在绑定到所有逻辑系统的安全配置文件中配置的区域的累计预留资源配额为 12,大于系统最大资源配额。

表 2:跨逻辑系统的预留资源分配评估

跨逻辑系统的预留资源配额检查

示例 1:成功

此配置在边界内:4+4+0=8,最大容量 =10。

使用的安全配置文件

  • 安全配置文件 security-profile-1 绑定到两个用户逻辑系统:user-logical-system-1 和 user-logical-system-2。

  • primary-logical-system-profile 配置文件专门用于主逻辑系统。

  • user-logical-system-1 = 4 个保留区域。

  • user-logical-system-2 = 4 个保留区域。

  • primary-logical-system = 0 个保留区域。

示例 2:失败

此配置越界:4+4+4=12,最大容量 =10。

  • user-logical-system-1 = 4 个保留区域。

  • user-logical-system-2 = 4 个保留区域。

  • primary-logical-system = 0 个保留区域。

  • new-user-logical-system = 4 个保留区域。

安全配置文件

  • 安全配置文件 security-profile-1 绑定到两个用户逻辑系统:user-logical-system-1 和 user-logical-system-2。

  • primary-logical-system-profile 绑定到主逻辑系统,并且专门用于主逻辑系统。

  • 主管理员配置一个名为 new-user-logical-system 的新用户逻辑系统,并将 security-profile-1 绑定到该系统。

示例 3:失败

此配置越界:6+6=12,最大容量 =10。

主管理员修改了 security-profile-1 中的保留区域配额,将计数增加到 6。

  • user-logical-system-1 = 6 个保留区域。

  • user-logical-system-2 = 6 个保留区域。

  • primary-logical-system = 0 个保留区域。

另见

示例:配置逻辑系统安全配置文件(仅限主管理员)

此示例显示主管理员如何配置三个逻辑系统安全配置文件以分配给用户逻辑系统和主逻辑系统,以便为其配置安全资源。

要求

该示例使用通过逻辑系统运行Junos OS SRX5600设备。

开始之前,请阅读 SRX 系列逻辑系统主管理员配置任务概述 ,了解此任务如何适应整个配置过程。

概述

此示例说明如何为以下逻辑系统配置安全配置文件:

  • 根逻辑系统逻辑系统。安全配置文件 primary-profile 被分配给主逻辑系统或根逻辑系统。

  • ls-product-design 逻辑系统。安全配置文件 ls-design-profile 已分配给逻辑系统。

  • ls-marketing-dept 逻辑系统。安全配置文件 ls-accnt-mrkt-profile 已分配给逻辑系统。

  • ls-accounting-dept 逻辑系统。安全配置文件 ls-accnt-mrkt-profile 已分配给逻辑系统。

  • 互连逻辑系统(如果使用的话)。您必须为其分配一个虚拟或空安全配置文件。

拓扑学

此配置依赖于 示例:创建用户逻辑系统、其管理员、其用户和互连逻辑系统中所示的部署。

配置

配置逻辑系统安全配置文件

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》 中的在配置模式下使用 CLI 编辑器

创建三个安全配置文件。

  1. 创建第一个安全配置文件。

    分步过程

    1. 指定最大策略数和预留策略数。

    2. 指定最大区域和保留区域的数量。

    3. 指定最大会话数和预留会话数。

    4. 指定最大和保留的 ICAP 重定向配置文件的数量

    5. 指定最大和保留源 NAT、无 PAT 地址和静态 NAT 规则的数量。

    6. 启用入侵检测和防御 (IDP)。您只能为主(根)逻辑系统启用 IDP。

    7. 将安全配置文件绑定到逻辑系统。

  2. 创建第二个安全配置文件。

    分步过程

    1. 指定最大策略数和预留策略数。

    2. 指定最大区域和保留区域的数量。

    3. 指定最大会话数和预留会话数。

    4. 指定最大和保留的 ICAP 重定向配置文件的数量

    5. 指定最大和保留源 NAT 无 PAT 地址数。

    6. 指定最大和保留静态 NAT 规则的数量。

    7. 将安全配置文件绑定到两个逻辑系统。

  3. 创建第三个安全配置文件。

    分步过程

    1. 指定最大策略数和预留策略数。

    2. 指定最大区域和保留区域的数量。

    3. 指定最大会话数和预留会话数。

    4. 指定最大和保留的 ICAP 重定向配置文件的数量

    5. 指定最大和保留源 NAT 无 PAT 地址数。

  4. 将安全配置文件绑定到逻辑系统。

  5. 将 null 安全配置文件绑定到互连逻辑系统。

结果

在配置模式下,输入 show system security-profile 命令以查看配置的所有安全配置文件,以确认您的配置。

要查看各个安全配置文件,请输入、show system security-profile master-profileshow system security-profile ls-accnt-mrkt-profile和 命令show system security-profile ls-design-profile。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式进入提交。

验证

要确认已为逻辑系统分配的安全资源已分配给它们,请对每个逻辑系统及其所有资源执行此过程。

验证是否已为逻辑系统有效地分配了安全配置文件资源

目的

验证每个逻辑系统的安全资源。对所有已配置的逻辑系统执行此过程。

行动

  1. 使用 SSH 以每个用户逻辑系统管理员的身份登录到每个用户逻辑系统。

    运行 SSH,指定 SRX 系列防火墙的 IP 地址。

  2. 输入您创建的用户逻辑系统之一的登录 ID 和密码。

  3. 输入以下语句以标识为配置文件配置的资源。

  4. 出现提示时,输入以下命令。对为配置文件配置的每个功能执行此作。

另见

示例:配置用户逻辑系统安全配置文件

在此示例中,您将配置用户逻辑系统安全配置文件。它提供有关在安全配置文件中分配给逻辑系统的资源的信息。

注意:

  • SRX4100和SRX4200设备在透明和路由模式下均支持逻辑系统。

  • SRX4600设备仅支持路由模式下的逻辑系统。

  • 不支持第 2 层跨逻辑系统流量。

要求

此示例使用SRX4100和SRX4200设备运行Junos OS逻辑系统。

开始之前:

概述

逻辑系统允许主管理员将 SRX 系列防火墙划分为称为用户逻辑系统的离散上下文。用户逻辑系统是独立的专用上下文,彼此彼此分离,也与主逻辑系统分离。用户逻辑系统具有自己的安全、网络、逻辑接口、路由配置以及一个或多个用户逻辑系统管理员。

在此示例中,您将为 表 3 中描述的用户逻辑系统配置安全功能。用户逻辑系统管理员用于显示用户逻辑系统的资源信息的此配置。

表 3:用户逻辑系统的资源信息

字段名称

字段说明

MAC 标志

每个接口的 MAC 地址学习属性的状态:

  • S — 配置静态 MAC 地址

  • D - 配置了动态 MAC 地址

  • L - 已配置本地学习的 MAC 地址

  • P - 持久静态

  • C - 控制 MAC

  • SE — MAC 记帐已启用

  • NM - 未配置的 MAC

  • R - 已配置本地学习的 MAC 地址

  • O - 打开 vSwitch 数据库 (OVSDB) MAC

以太网交换表

对于学习的条目,是指将条目添加到以太网交换表的时间。

逻辑系统

逻辑系统的名称

路由实例

路由实例的名称

VLAN 名称

VLAN 的名称

MAC 地址

在逻辑接口上获知的一个或多个 MAC 地址

年龄

不支持此字段

逻辑接口

逻辑接口的名称

RTR ID

路由设备的 ID

NH指数

下一跃点的软件索引,用于路由给定前缀的流量。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit

程序

分步过程

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》 中的在配置模式下使用 CLI 编辑器

要配置用户逻辑系统安全配置文件,请执行以下作:

  1. 以逻辑系统管理员身份登录到用户逻辑系统并进入配置模式。

  2. 配置安全配置文件并将其分配给逻辑系统。

  3. 将接口设置为适当的接口模式,并指定接收未标记数据包的逻辑接口是本机 VLAN 的成员。

  4. 创建 IRB 接口并在子网中为其分配一个地址。

  5. 创建安全策略以允许从信任区域到不信任区域的流量,并为每个区域分配接口。

  6. 将 IRB 接口与 VLAN 进行关联。

结果

在配置模式下,输入 show ethernet-switching table 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

验证

要确认配置工作正常,请执行以下任务:

验证用户逻辑系统安全配置文件配置

目的

验证安全策略信息。

行动

在作模式下,输入 show ethernet-switching table 命令。

示例:为逻辑系统配置安全日志流

此示例说明如何为逻辑系统配置安全配置文件。

要求

此示例使用运行 Junos OS 和逻辑系统的 SRX 系列防火墙。

开始之前:

概述

作为主管理员,您可以配置单个安全配置文件,以便将资源分配给特定的逻辑系统。Yo 可以对多个逻辑系统使用相同的安全配置文件,也可以混合使用这两种方法。引入命令 set logical-system LSYS1 security log 是为了在 SRX 系列防火墙上支持日志记录。

配置

配置逻辑系统安全配置文件 逻辑系统

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit

分步过程

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》 中的在配置模式下使用 CLI 编辑器

  1. 配置安全配置文件并指定最大策略数和保留策略数。

  2. 将配置的安全配置文件分配给 LSYS1。

结果

在配置模式下,输入 show system security-profile 命令以查看配置的所有安全配置文件,以确认您的配置。

验证

要确认配置工作正常,请执行以下任务:

验证逻辑系统的安全配置文件资源

目的

验证每个逻辑系统的安全资源。

行动

在作模式下,输入 show system security-profile all-resourceshow system security-profile security-log-stream-number logical-system allshow system security-profile security-log-stream-number summaryshow system security-profile security-log-stream-number detail logical-system all 命令以查看输出:

显示系统安全配置文件 All-Resource

意义

示例输出显示有关在安全配置文件中分配给逻辑系统的资源的信息。对于指定的每个资源,将显示逻辑系统使用的数字以及配置的最大值和保留值。

验证逻辑系统的 security-log-stream-number

目的

验证每个逻辑系统的 security-log-stream-number。

行动

在作模式下,输入 show system security-profile security-log-stream-number logical-system all 命令以查看输出:

显示系统安全配置文件 security-log-stream-number logical-system all

意义

示例输出显示有关在具有安全配置文件名称的安全配置文件中分配给逻辑系统的资源的信息。对于指定的每个资源,将显示逻辑系统使用的数字以及配置的最大值和保留值。

验证逻辑系统的 security-log-stream-number 摘要

目的

验证 security-log-stream-number 摘要。

行动

在作模式下,输入 show system security-profile security-log-stream-number summary 命令以查看输出:

显示系统安全配置文件 security-log-stream-number 摘要

意义

示例输出显示有关所有逻辑系统资源的摘要信息。

验证逻辑系统的 security-log-stream-number 详细信息

目的

验证 security-log-stream-number 详细信息。

行动

在作模式下,输入 show system security-profile security-log-stream-number detail logical-system all 命令以查看输出:

显示系统安全配置文件 security-log-stream-number detail logical-system all

意义

示例输出显示所有逻辑系统的详细输出级别。

另见