Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

用户逻辑系统概述

通过用户逻辑系统,您可以配置分配给其自己的用户逻辑系统的区域、安全策略、逻辑接口和安全资源。有关更多信息,请参阅以下主题:

使用 功能资源管理器 确认平台和版本对特定功能的支持。

查看 特定于平台的用户逻辑系统行为 部分,了解与您的平台相关的注释。

用户逻辑系统配置概述

当主管理员创建用户逻辑系统时,他会分配一个用户逻辑系统管理员来管理它。一个用户逻辑系统可以有多个用户逻辑系统管理员。

作为用户逻辑系统管理员,您可以访问和查看自己的用户逻辑系统中的资源,但不能访问和查看其他用户逻辑系统或主逻辑系统中的资源。您可以配置分配给用户逻辑系统的资源,但不能修改分配的资源数量。

以下过程列出了用户逻辑系统管理员为在用户逻辑系统中配置资源而执行的任务:

  1. 使用主管理员配置的登录名和密码登录到用户逻辑系统:

    1. SSH 到设备上配置的管理 IP 地址。使用主管理员提供的管理员登录名和密码登录到用户逻辑系统。

      在主管理员配置的用户逻辑系统中输入 UNIX shell。

      默认情况下,受信任的平台模块 (TPM) 芯片处于启用状态。要在逻辑系统中使用 TPM 功能,必须仅在根逻辑系统上配置主加密密钥 (MEK),并且用户逻辑系统将继承相同的 MEK,以加密配置哈希和公钥基础架构 (PKI) 密钥对。有关 TPM 的详细信息,请参阅使用 受信任的平台模块绑定 SRX 系列设备上的机密

    2. >提示符的出现表示CLI已启动。提示符前面有一个字符串,其中包含您的用户名、路由器的主机名以及用户逻辑系统的名称。当 CLI 启动时,您处于作模式下的顶层。输入作模式命令可进入 configure 配置模式。CLI提示从 user@host: logical-system> 更改为 user@host: logical-system#。

      要退出 CLI 并返回到 UNIX shell,请输入命令 quit

  2. 配置主管理员分配给用户逻辑系统的逻辑接口。配置一个或多个路由实例,以及每个实例中的路由协议和选项。请参阅 示例:为用户逻辑系统配置接口和路由实例

  3. 为用户逻辑系统配置安全资源:

    1. 为用户逻辑系统创建区域,并将逻辑接口绑定到这些区域。可以创建附加到区域以用于策略的地址簿。请参阅 示例:为用户逻辑系统配置安全性区域

    2. 在区域级别配置屏幕选项。请参阅 示例:为用户逻辑系统配置屏幕选项

    3. 在用户逻辑系统中的区域之间配置安全策略。请参阅 示例:在用户逻辑系统中配置安全性策略

      可以为特定类型的流量创建自定义应用或应用集。要创建自定义应用,请在 [edit applications] 层级使用application配置语句。要创建应用集,请在 [edit applications] 层级使用application-set配置语句。

    4. 配置防火墙身份验证。主管理员在主逻辑系统中创建访问配置文件。请参阅示例:配置访问配置文件(仅限主管理员)。

      然后,用户逻辑系统管理员配置一个安全策略,该策略指定用于匹配流量的防火墙身份验证,并配置身份验证类型(直通或 Web 身份验证)、默认访问配置文件和成功横幅。请参阅 示例:为用户逻辑系统配置防火墙身份验证

    5. 配置基于路由的 VPN 隧道,以保护用户逻辑系统与远程站点之间的流量。主管理员为用户逻辑系统分配安全隧道接口,并为 VPN 隧道配置 IKE 和 IPsec SA。请参阅示例:为 VPN 隧道配置 IKE 和 IPsec SA(仅限主管理员)。

      然后,用户逻辑系统管理员配置基于路由的 VPN 隧道。请参阅 示例:在用户逻辑系统中配置基于路由的 VPN 隧道

    6. 配置网络地址转换 (NAT)。请参阅 示例:为用户逻辑系统配置网络地址转换

    7. 配置预定义的 IDP 策略并将其分配给用户逻辑系统。主管理员在根级别配置 IDP 策略,并在绑定到逻辑系统的安全配置文件中指定 IDP 策略。请参阅 示例:为用户逻辑系统配置和分配预定义的 IDP 策略

      然后,用户逻辑系统管理员可以在安全策略中启用 IDP。请参阅 示例:在用户逻辑系统安全性策略中启用 IDP

    8. 在用户逻辑系统上配置并启用 IDP 策略。请参阅 示例:为用户逻辑系统配置 IDP 策略

    9. 显示或清除应用系统缓存 (ASC) 条目。请参阅 了解逻辑系统应用程序识别服务

    10. 在用户逻辑系统上配置应用防火墙服务。请参阅 了解逻辑系统应用防火墙服务示例:为用户逻辑系统配置应用防火墙服务

    11. 配置 AppTrack 应用跟踪工具。请参阅 示例:为用户逻辑系统配置 AppTrack

也可以看看

了解用户逻辑系统和用户逻辑系统管理员角色

逻辑系统允许主管理员将 SRX 系列防火墙划分为称为用户逻辑系统的离散上下文。用户逻辑系统是独立的专用上下文,彼此分离,也独立于主逻辑系统。用户逻辑系统具有自己的安全、网络、逻辑接口、路由配置以及一个或多个用户逻辑系统管理员。

当主管理员创建用户逻辑系统时,他会分配一个或多个用户逻辑系统管理员来管理它。用户逻辑系统管理员可查看仅限于其逻辑系统的设备。尽管用户逻辑系统由用户逻辑系统管理员管理,但主管理员拥有设备的全局视图和所有用户逻辑系统的访问权限。如有必要,主管理员可以管理设备上的任何用户逻辑系统。

用户逻辑系统管理员的角色和职责与主管理员的角色和职责不同。作为用户逻辑系统管理员,您可以访问、配置和查看用户逻辑系统资源的配置,但不能访问、配置和查看其他用户逻辑系统或主逻辑系统资源的配置。

作为用户逻辑系统管理员,您可以:

  • 根据分配给用户逻辑系统环境的资源,为您的用户逻辑系统环境配置区域、地址簿、安全策略、用户列表、自定义服务等。

    例如,如果主管理员为您的用户逻辑系统分配了 40 个区域,您可以配置和管理这些区域,但不能更改分配的数量。

  • 配置路由实例并为其分配分配的接口。创建静态路由并将其添加到路由实例中。配置路由协议。

  • 在用户逻辑系统上配置、启用和监控应用防火墙策略。

  • 配置 AppTrack。

  • 查看所有分配的逻辑接口并配置其属性。其他用户逻辑系统管理员看不到您为用户逻辑系统的逻辑接口配置的属性。

  • 为您的用户逻辑系统运行作命令。

也可以看看

特定于平台的用户逻辑系统行为

使用 功能资源管理器 确认平台和版本对特定功能的支持。

使用下表查看平台的特定于平台的行为:

表 1:特定于平台的行为

平台

差异

SRX 系列

  • 支持用户逻辑系统的 SRX5400、SRX5600 和 SRX5800 防火墙支持带有 SRX5K-RE3-128G 路由引擎 (RE3) 的 TPM。