Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

逻辑系统中的安全性区域

安全性区域是策略的构建基块。安全性区域是一个或多个接口绑定到的逻辑实体,它提供了一种方法来区分主机组(用户逻辑系统和其他主机,例如服务器)、资源,以便应用不同的安全措施。有关更多信息,请参阅以下主题:

了解逻辑系统区域

安全性区域是一个或多个接口绑定到的逻辑实体。安全性区域可由主管理员在主逻辑系统上配置,也可以由用户逻辑系统管理员在用户逻辑系统上配置。在逻辑系统上,管理员可以配置多个安全区域,将网络划分为可应用各种安全选项的网段。

主管理员可以为每个用户逻辑系统配置安全区域的最大数量和保留数量。然后,用户逻辑系统管理员可以在用户逻辑系统中创建安全区域,并为每个安全区域分配接口。在用户逻辑系统中,用户逻辑系统管理员可以使用命令 show system security-profile zones 查看分配给用户逻辑系统的安全区域数,以及 show interfaces 使用命令查看分配给用户逻辑系统的接口。

注意:

主管理员可以为主逻辑系统配置安全配置文件,用于指定应用于主逻辑系统的安全区域的最大数量和保留数量。在主逻辑系统中配置的区域数将计入设备上可用的最大区域数。

主管理员和用户管理员可以在逻辑系统中配置安全区域的以下属性:

  • 属于安全区域的接口。

  • 屏幕选项 - 对于每个安全区域,您可以启用一组预定义的屏幕选项,用于检测和阻止设备确定为潜在有害的各种流量。

  • TCP 重置 - 启用此功能后,系统将在到达与现有会话不匹配且未设置同步标志的流量时发送设置了 RESET 标志的 TCP 分段。

  • 主机入站流量 — 此功能用于指定从直接连接到设备接口的系统到达设备的流量类型。您可以在区域级别配置这些参数(在这种情况下,它们会影响区域的所有接口),也可以在接口级别配置这些参数。(接口配置将覆盖区域的配置。)

主逻辑系统或用户逻辑系统中没有预配置的安全区域。

只能为主逻辑系统配置管理功能区 (MGT)。每台设备只有一个管理接口,该接口将分配给主逻辑系统。

all只有主管理员才能将接口分配给主逻辑系统中的区域。

用户逻辑系统管理员可以在用户逻辑系统中配置和查看安全区域的所有属性。用户逻辑系统中安全区域的所有属性也对主管理员可见。

也可以看看

示例:配置用户逻辑系统

此示例显示了用户逻辑系统的接口、路由实例、区域和安全策略的配置。

要求

开始之前:

概述

此示例配置 ls-marketing-dept 和 ls-accounting-dept 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、用户和互连逻辑系统

此示例配置了 表 1表 2 中所述的参数。

表 1: ls-marketing-dept 逻辑系统配置

功能

姓名

配置参数

接口

ge-0/0/6.1

  • IP 地址 13.1.1.1/24

  • VLAN ID 800

路由实例

MK-VR1

  • 实例类型:虚拟路由器

  • 包括接口 ge-0/0/6.1 和 lt-0/0/0.5

  • 静态路由:

    • 12.1.1.0/24 下一跃点 10.0.1.2

    • 14.1.1.0/24 下一跃点 10.0.1.4

    • 12.12.1.0/24 下一跃点 10.0.1.1

区域

ls-营销-信任

绑定到接口 ge-0/0/6.1。

ls-营销-不信任

绑定到接口 lt-0/0/0.5

地址簿

营销内部

  • 地址营销人员:13.1.1.0/24

  • 附加到区域 ls-marketing-trust

营销-外部

  • 地址设计:12.1.1.0/24

  • 地址记账:14.1.1.0/24

  • 地址其他人:12.12.1.0/24

  • 地址集 otherlsys:设计、计费

  • 附加到区域 ls-marketing-untrust

政策

允许所有到其他系统

允许以量:

  • 发件人区域:ls-marketing-trust

  • 到分区:ls-marketing-untrust

  • 来源地址:营销人员

  • 目标地址:otherlsys

  • 应用:任何

允许所有来自其他系统

允许以量:

  • 发件人区域:ls-marketing-untrust

  • 到区域:ls-marketing-trust

  • 源地址:otherlsys

  • 目标地址:营销人员

  • 应用:任何
表 2: ls-accounting-dept 逻辑系统配置

功能

姓名

配置参数

接口

ge-0/0/7.1

  • IP 地址 14.1.1.1/24

  • VLAN ID 900

路由实例

ACCT-VR1

  • 实例类型:虚拟路由器

  • 包括接口 ge-0/0/7.1 和 lt-0/0/0.7

  • 静态路由:

    • 12.1.1.0/24 下一跃点 10.0.1.2

    • 13.1.1.0/24 下一跃点 10.0.1.3

    • 12.12.1.0/24 下一跃点 10.0.1.1

区域

ls-accounting-trust

绑定到接口 ge-0/0/7.1。

ls-accounting-untrust

绑定到接口 lt-0/0/0.7

地址簿

会计内部

  • 地址记账:14.1.1.0/24

  • 连接到区域 ls-accounting-trust

计费外部

  • 地址设计:12.1.1.0/24

  • 地址营销:13.1.1.0/24

  • 地址其他人:12.12.1.0/24

  • 地址集其他系统:设计、营销

  • 附加到区域 ls-accounting-untrust

政策

允许所有到其他系统

允许以量:

  • 从区域:ls-accounting-trust

  • 到分区:ls-accounting-untrust

  • 源地址:记账

  • 目标地址:otherlsys

  • 应用:任何

允许所有来自其他系统

允许以量:

  • 发件人区域:ls-accounting-untrust

  • 到分区:ls-accounting-trust

  • 源地址:otherlsys

  • 目标地址:记账

  • 应用:任何

配置

配置 ls-marketing-dept 用户逻辑系统

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要配置用户逻辑系统,请执行以下作:

  1. 以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。

  2. 为用户逻辑系统配置逻辑接口。

  3. 配置路由实例并分配接口。

  4. 配置静态路由。

  5. 配置安全区域并为每个区域分配接口。

  6. 创建通讯簿条目。

  7. 将地址簿附加到区域。

  8. 配置允许从 ls-marketing-trust 区域到 ls-marketing-untrust 区域的流量的安全策略。

  9. 配置一个安全策略,以允许从 ls-marketing-untrust 区域到 ls-marketing-trust 区域的流量。

结果

在配置模式下,输入和show routing-instancesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置 ls-accounting-dept 用户逻辑系统

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

要配置用户逻辑系统,请执行以下作:

  1. 以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。

  2. 为用户逻辑系统配置逻辑接口。

  3. 配置路由实例并分配接口。

  4. 配置静态路由。

  5. 配置安全区域并为每个区域分配接口。

  6. 创建通讯簿条目。

  7. 将地址簿附加到区域。

  8. 配置允许从 ls-accounting-trust 区域到 ls-accounting-untrust 区域的流量的安全策略。

  9. 配置一个安全策略,以允许从 ls-accounting-untrust 区域到 ls-accounting-trust 区域的流量。

结果

在配置模式下,输入和show routing-instancesshow security命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

验证

要确认配置工作正常,请执行以下任务:

验证策略配置

目的

验证有关策略和规则的信息。

行动

在作模式下,输入命令 show security policies detail 以显示逻辑系统上配置的所有策略的摘要。

也可以看看

示例:为用户逻辑系统配置安全性区域

此示例说明了如何为用户逻辑系统配置区域。

要求

开始之前:

概述

此示例配置 ls-product-design 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统

此示例创建 表 3 中所述的区域和地址簿。

表 3:用户逻辑系统区域和地址簿配置

功能

姓名

配置参数

区域

ls-product-design-trust

  • 绑定到接口 ge-0/0/5.1。

  • 已启用 TCP 重置。

ls-product-design-untrust

  • 绑定到接口 lt-0/0/0.3。

地址簿

产品设计内部

  • 地址 product-designers:12.1.1.0/24

  • 附加到区域 ls-product-design-trust

产品-设计-外部

  • 地址营销:13.1.1.0/24

  • 地址记账:14.1.1.0/24

  • 地址其他人:12.12.1.0/24

  • 地址集其他系统:营销、会计

  • 附加到区域 ls-product-design-untrust

配置

过程

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

要在用户逻辑系统中配置区域:

  1. 以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。

  2. 配置安全区域并将其分配给接口。

  3. 为区域配置 TCP-Reset 参数。

  4. 配置安全区域并将其分配给接口。

  5. 创建全局通讯簿条目。

  6. 将地址簿附加到区域。

结果

在配置模式下,输入 show security 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

也可以看看

相关文档