Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

用户逻辑系统概述

用户逻辑系统允许您配置分配给自己的用户逻辑系统的区域、安全策略、逻辑接口和安全资源。有关详细信息,请参阅以下主题:

用户逻辑系统配置概述

当主管理员创建用户逻辑系统时,他分配一个用户逻辑系统管理员进行管理。一个用户逻辑系统可以有多个用户逻辑系统管理员。

作为用户逻辑系统管理员,您可以访问和查看用户逻辑系统的资源,但不能访问和查看其他用户逻辑系统或主逻辑系统的资源。您可以配置分配给用户逻辑系统的资源,但是无法修改已分配资源的数量。

以下步骤列出了用户逻辑系统管理员为在用户逻辑系统中配置资源而执行的任务:

  1. 登录用户逻辑系统,登录时主管理员配置登录和密码:

    1. SSH 到设备上配置的管理 IP 地址。使用主管理员提供的管理员登录和密码登录用户逻辑系统。

      在主管理员配置的用户逻辑系统中输入 UNIX shell。

      从 Junos OS 20.1R1 版开始,SRX5400、SRX5600 和 SRX5800 系列设备中,可信平台模块 (TPM) 仅支持 SRX5K-RE3-128G 路由引擎 (RE3)。TPM 芯片默认启用。要使用逻辑系统的 TPM 功能,您必须仅在根逻辑系统配置主加密密钥 (MEK),并且用户逻辑系统将继承相同的 MEK 来加密配置哈希和公钥基础架构 (PKI) 密钥对。有关 TPM 的信息,请参阅 在 SRX系列设备上使用可信平台模块绑定机密 。

    2. 出现此 > 提示时,CLI已启动。提示符前面有一个字符串,其中包含用户名、路由器主机名以及用户逻辑系统的名称。启动CLI时,您处于操作模式下的顶层。您通过输入操作模式命令进入 configure 配置模式。系统CLI提示符从 logical-system user@host:>为user@host logical-system :#。

      要退出 CLI并返回 UNIX shell,请输入 quit 命令。

  2. 配置主管理员分配给用户逻辑系统的逻辑接口。在每个实例内配置一个或多个路由实例以及路由协议和选项。请参阅 示例:为用户逻辑系统配置接口和路由实例

  3. 配置用户逻辑系统的安全资源:

    1. 为用户逻辑系统创建区域,将逻辑接口绑定到区域。可创建连接到区域以用于策略的地址簿。请参阅 示例:为用户逻辑系统配置安全区域

    2. 在区域级别配置屏幕选项。请参阅 示例:为用户逻辑系统配置筛选选项

    3. 在用户逻辑系统中区域之间配置安全策略。请参阅 示例:在用户逻辑系统中配置安全策略

      可以为特定类型的流量创建自定义应用程序或应用程序集。要创建自定义应用程序,请使用 application [ ] 层次结构级别的 edit applications 配置语句。要创建应用程序集,请使用 application-set [ ] 层次结构级别的 edit applications 配置语句。

    4. 配置防火墙身份验证。主管理员在主逻辑系统中创建访问配置文件。请参阅示例:配置访问配置文件(仅主管理员)。

      然后,用户逻辑系统管理员配置安全策略,用于指定匹配流量的防火墙身份验证,并配置身份验证类型(通过或 Web 身份验证)、默认访问配置文件和成功横幅。请参阅 示例:为用户逻辑系统配置防火墙身份验证

    5. 配置基于路由的 VPN 隧道,保护用户逻辑系统和远程站点之间的流量。主管理员向用户逻辑系统分配安全隧道接口,并IKE VPN 隧道的安全和 IPsec SLA。请参阅示例:为 VPN IKE配置策略和 IPsec SLA(仅主要管理员)。

      然后,用户逻辑系统管理员配置基于路由的 VPN 隧道。请参阅 示例:在用户逻辑系统中配置基于路由的 VPN 隧道

    6. 配置 网络地址转换 (NAT)。请参阅示例:网络地址转换逻辑系统配置配置。

    7. 配置预定义的IDP策略并将其分配给用户逻辑系统。主管理员在IDP配置策略,IDP逻辑系统绑定的安全配置文件中指定一个策略。请参阅 示例:配置和分配用户IDP系统的预定义策略

      然后,用户逻辑系统管理员在IDP策略中启用配置。请参阅示例:在IDP系统安全策略中启用策略。

    8. 在用户IDP配置和启用策略。请参阅 示例:为IDP系统配置策略

    9. 显示或清除应用程序系统缓存 (ASC) 条目。请参阅 了解逻辑系统应用程序识别服务

    10. 在用户逻辑系统中配置应用程序防火墙服务。请参阅了解逻辑系统应用程序防火墙服务和示例:为用户逻辑系统配置应用程序防火墙服务

    11. 配置 AppTrack 应用程序跟踪工具。请参阅 示例:为用户逻辑系统配置 AppTrack

了解用户逻辑系统和用户逻辑系统管理员角色

逻辑系统允许主管理员将 SRX 系列设备分区为称为用户逻辑系统的离散环境。用户逻辑系统是自足的私有环境,彼此分离,并且与主逻辑系统分离。用户逻辑系统有其自己的安全、网络、逻辑接口、路由配置以及一个或多个用户逻辑系统管理员。

当主管理员创建用户逻辑系统时,他分配一个或多个用户逻辑系统管理员来管理它。用户逻辑系统管理员可查看仅限于其逻辑系统的设备。虽然用户逻辑系统由用户逻辑系统管理员管理,但主管理员可全局查看设备和对每个用户逻辑系统的访问。如有必要,主管理员可管理设备上的任何用户逻辑系统。

用户逻辑系统管理员的角色和职责与主管理员的角色和职责不同。作为用户逻辑系统管理员,您可以访问、配置和查看用户逻辑系统资源的配置,但不能访问、配置和查看其他用户逻辑系统或主逻辑系统的配置。

作为用户逻辑系统管理员,您可以:

  • 基于分配给用户逻辑系统环境的资源,为用户逻辑系统环境配置区域、地址簿、安全策略、用户列表、自定义服务等。

    例如,如果主要管理员将 40 个区域分配给用户逻辑系统,您可以配置和管理这些区域,但是不能更改分配的编号。

  • 配置路由实例并将其分配分配接口。创建静态路由并添加到您的路由实例中。配置路由协议。

  • 在用户逻辑系统中配置、启用和监控应用程序防火墙策略。

  • 配置 AppTrack。

  • 查看所有分配的逻辑接口并配置其属性。为用户逻辑系统逻辑接口配置属性的其他用户逻辑系统管理员无法看到。

  • 为用户逻辑系统运行操作命令。