用户逻辑系统概述
用户逻辑系统允许您配置分配给自己的用户逻辑系统的区域、安全策略、逻辑接口和安全资源。有关更多信息,请参阅以下主题:
用户逻辑系统配置概述
当主管理员创建用户逻辑系统时,他会分配一个用户逻辑系统管理员来管理它。一个用户逻辑系统可以有多个用户逻辑系统管理员。
作为用户逻辑系统管理员,您可以访问和查看用户逻辑系统中的资源,但不能访问和查看其他用户逻辑系统或主逻辑系统的资源。您可以配置分配给用户逻辑系统的资源,但不能修改已分配资源的数量。
以下过程列出了用户逻辑系统管理员为配置用户逻辑系统中的资源所执行的任务:
使用主管理员配置的登录名和密码登录用户逻辑系统:
SSH 到设备上配置的管理 IP 地址。使用主管理员提供的管理员登录名和密码登录用户逻辑系统。
您在主管理员配置的用户逻辑系统中输入一个 UNIX shell。
从 Junos OS 20.1R1 版开始,在 SRX5400、SRX5600 和 SRX5800 系列设备上,可信平台模块 (TPM) 仅支持 SRX5K-RE3-128G 路由引擎 (RE3)。TPM 芯片默认启用。要在逻辑系统中使用 TPM 功能,您必须仅在根逻辑系统上配置主加密密钥 (MEK),并且用户逻辑系统将继承相同的 MEK 来对配置散列和公钥基础架构 (PKI) 密钥对进行加密。有关 TPM 的更多信息,请参阅 使用可信平台模块绑定 SRX 系列设备上的密钥。
出现>提示符表示 CLI 已启动。提示符前面是一个字符串,其中包含您的用户名、路由器的主机名和用户逻辑系统的名称。CLI 启动时,您处于操作模式的顶层。输入操作模式命令即可 configure 进入配置模式。CLI 提示符从 user@host: logical-system> 更改为user@host: logical-system#。
要退出 CLI 并返回到 UNIX shell,请输入 quit 命令。
配置由主管理员分配给用户逻辑系统的逻辑接口。在每个实例中配置一个或多个路由实例以及路由协议和选项。请参阅 示例:为用户逻辑系统配置接口和路由实例。
为用户逻辑系统配置安全资源:
为用户逻辑系统创建区域并将逻辑接口绑定到区域。可以创建连接到区域以用于策略的地址簿。请参阅 示例:为用户逻辑系统配置安全区域。
在区域级别配置屏幕选项。请参阅 示例:为用户逻辑系统配置屏幕选项。
在用户逻辑系统中的区域之间配置安全策略。请参阅 示例:在用户逻辑系统中配置安全策略。
可以为特定类型的流量创建自定义应用程序或应用程序集。要创建自定义应用程序,可以在
application
[edit applications
] 层次结构级别使用配置语句。要创建应用程序集,可以在application-set
[edit applications
] 层次结构级别使用配置语句。配置防火墙身份验证。主管理员在主逻辑系统中创建访问配置文件。请参阅示例:配置访问配置文件(仅限主管理员)。
然后,用户逻辑系统管理员配置安全策略,以指定防火墙身份验证以匹配流量,并配置身份验证类型(直通或 Web 身份验证)、默认访问配置文件和成功横幅。请参阅 示例:为用户逻辑系统配置防火墙身份验证。
配置基于路由的 VPN 隧道,以保护用户逻辑系统和远程站点之间的流量。主管理员为用户逻辑系统分配一个安全隧道接口,并为 VPN 隧道配置 IKE 和 IPsec SA。请参阅示例:为 VPN 隧道配置 IKE 和 IPsec SA(仅限主管理员)。
然后,用户逻辑系统管理员配置基于路由的 VPN 隧道。请参阅 示例:在用户逻辑系统中配置基于路由的 VPN 隧道。
配置网络地址转换 (NAT)。请参阅 示例:为用户逻辑系统配置网络地址转换。
配置预定义 IDP 策略并将其分配给用户逻辑系统。主管理员在根级别配置 IDP 策略,并在绑定到逻辑系统的安全配置文件中指定 IDP 策略。请参阅 示例:为用户逻辑系统配置和分配预定义 IDP 策略。
然后,用户逻辑系统管理员在安全策略中启用 IDP。请参阅 示例:在用户逻辑系统安全策略中启用 IDP。
在用户逻辑系统上配置并启用 IDP 策略。请参阅 示例:为用户逻辑系统配置 IDP 策略
显示或清除应用程序系统缓存 (ASC) 条目。请参阅 了解逻辑系统应用程序识别服务。
在用户逻辑系统上配置应用程序防火墙服务。请参阅了解逻辑系统应用程序防火墙服务和示例:为用户逻辑系统配置应用程序防火墙服务。
配置 AppTrack 应用程序跟踪工具。请参阅 示例:为用户逻辑系统配置 AppTrack。
另请参阅
了解用户逻辑系统和用户逻辑系统管理员角色
逻辑系统允许主管理员将 SRX 系列防火墙划分为称为用户逻辑系统的离散上下文。用户逻辑系统是自包含的专用上下文,既相互分离,又独立于主逻辑系统。用户逻辑系统拥有自己的安全、网络、逻辑接口、路由配置,以及一个或多个用户逻辑系统管理员。
当主管理员创建用户逻辑系统时,他会分配一个或多个用户逻辑系统管理员来管理它。用户逻辑系统管理员可以查看仅限于其逻辑系统的设备。尽管用户逻辑系统由用户逻辑系统管理员管理,但主管理员拥有设备的全局视图以及对所有用户逻辑系统的访问。如有必要,主管理员可以管理设备上的任意用户逻辑系统。
用户逻辑系统管理员的角色和职责与主管理员的角色和职责不同。作为用户逻辑系统管理员,您可以访问、配置和查看用户逻辑系统资源的配置,但不能访问、配置和查看其他用户逻辑系统资源或主逻辑系统的资源配置。
作为用户逻辑系统管理员,您可以:
根据分配给您的用户逻辑系统环境的资源,配置区域、通讯簿、安全策略、用户列表、自定义服务等。
例如,如果主管理员为用户逻辑系统分配了 40 个区域,则可以配置和管理这些区域,但不能更改分配的编号。
配置路由实例并为其分配分配接口。创建静态路由并将其添加到路由实例中。配置路由协议。
配置、启用和监控用户逻辑系统上的应用程序防火墙策略。
配置 AppTrack。
查看所有分配的逻辑接口并配置其属性。为用户逻辑系统的逻辑接口配置的属性由其他用户逻辑系统管理员看不到。
为用户逻辑系统运行操作命令。