AUF DIESER SEITE
Grundlegendes zu den Sicherheitsprofilen logischer Systeme (nur primäre Administratoren)
Beispiel: Sicherheitsprofile für logische Systeme konfigurieren (nur primäre Administratoren)
Beispiel: Konfigurieren von Sicherheitsprofilen für logische Systeme
Beispiel: Konfigurieren des Sicherheits-Protokolldatenstroms für logische Systeme
Sicherheitsprofile für logische Systeme
Mit Sicherheitsprofilen für logische Systeme können Sie Ressourcen zuweisen. Sicherheitsprofile geben die Anzahl der Ressourcen an, die einem logischen System zugewiesen werden sollen, an das das Sicherheitsprofil gebunden ist. Alle Systemressourcen werden dem primären logischen System zugewiesen und der primäre Administrator weist sie dem logischen Benutzersystem mithilfe des Sicherheitsprofils zu. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu den Sicherheitsprofilen logischer Systeme (nur primäre Administratoren)
Logische Systeme ermöglichen es Ihnen, eine unterstützte Firewall der SRX-Serie virtuell in mehrere Geräte aufzuteilen, sie voneinander zu isolieren, sie vor Eindringlingen und Angriffen zu schützen und sie vor fehlerhaften Bedingungen außerhalb ihres eigenen Kontexts zu schützen. Zum Schutz logischer Systeme werden Sicherheitsressourcen ähnlich wie für ein einzelnes Gerät konfiguriert. Als primärer Administrator müssen Sie jedoch die Arten und Mengen der Sicherheitsressourcen logischen Systemen zuordnen. Der Administrator des logischen Systems ordnet Ressourcen für sein eigenes logisches System zu.
Eine Firewall der SRX-Serie, auf der logische Systeme ausgeführt werden, kann in logische Benutzersysteme, ein logisches Interconnect-System, falls gewünscht, und das primäre logische Standardsystem unterteilt werden. Wenn das System initialisiert wird, wird das primäre logische System auf der Stammebene erstellt. Ihm werden alle Systemressourcen zugewiesen, wodurch effektiv ein primäres logisches Systemsicherheitsprofil erstellt wird. Um Sicherheitsressourcen auf logische Systeme zu verteilen, erstellt der primäre Administrator Sicherheitsprofile, die die Arten und Mengen von Ressourcen angeben, die einem logischen System zugewiesen werden sollen, an das das Sicherheitsprofil gebunden ist. Nur der primäre Administrator kann Sicherheitsprofile konfigurieren und an logische Systeme binden. Der Administrator des logischen Systems des Benutzers konfiguriert diese Ressourcen für sein logisches System.
Logische Systeme werden weitgehend durch die ihnen zugewiesenen Ressourcen definiert, einschließlich Sicherheitskomponenten, Schnittstellen, Routing-Instanzen, statische Routen und dynamische Routing-Protokolle. Wenn der primäre Administrator ein logisches Benutzersystem konfiguriert, bindet er ein Sicherheitsprofil daran. Jeder Versuch, eine Konfiguration für ein logisches Benutzersystem ohne ein daran gebundenes Sicherheitsprofil zu bestätigen, schlägt fehl.
Dieses Thema enthält die folgenden Abschnitte:
- Logische Systeme Sicherheitsprofile
- Wie das System die Zuweisung und Verwendung von Ressourcen in logischen Systemen bewertet
- Fälle: Bewertungen von reservierten Ressourcen, die über Sicherheitsprofile zugewiesen wurden
Logische Systeme Sicherheitsprofile
Als primärer Administrator können Sie ein einzelnes Sicherheitsprofil konfigurieren, um einem bestimmten logischen System Ressourcen zuzuweisen, dasselbe Sicherheitsprofil für mehr als ein logisches System verwenden oder eine Mischung aus beiden Methoden verwenden. Sie können bis zu 32 Sicherheitsprofile auf einer Firewall der SRX-Serie konfigurieren, die auf logischen Systemen ausgeführt wird. Wenn Sie das Limit erreichen, müssen Sie ein Sicherheitsprofil löschen und die Konfigurationsänderung bestätigen, bevor Sie ein weiteres Sicherheitsprofil erstellen und committen. In vielen Fällen sind weniger Sicherheitsprofile erforderlich, da Sie ein einzelnes Sicherheitsprofil an mehr als ein logisches System binden können.
Mit Sicherheitsprofilen können Sie:
Teilen Sie die Ressourcen des Geräts, einschließlich Richtlinien, Zonen, Adressen und Adressbücher, Flow-Sitzungen und verschiedene Formen von NAT, auf alle logischen Systeme entsprechend. Sie können den logischen Systemen verschiedene Mengen einer Ressource zuweisen und ihnen erlauben, um die Nutzung der freien Ressourcen zu konkurrieren.
Sicherheitsprofile schützen davor, dass ein logisches System eine Ressource erschöpft, die gleichzeitig von anderen logischen Systemen benötigt wird. Sicherheitsprofile schützen kritische Systemressourcen und sorgen für ein angemessenes Leistungsniveau unter den logischen Benutzersystemen, wenn das Gerät einem starken Datenverkehrsfluss ausgesetzt ist. Sie verteidigen sich dagegen, dass ein logisches Benutzersystem die Nutzung von Ressourcen dominiert und anderen logischen Benutzersystemen diese vorenthält.
Konfigurieren Sie das Gerät skalierbar, um die zukünftige Erstellung zusätzlicher logischer Benutzersysteme zu ermöglichen.
Sie müssen das Sicherheitsprofil eines logischen Systems löschen, bevor Sie dieses logische System löschen.
Wie das System die Zuweisung und Verwendung von Ressourcen in logischen Systemen bewertet
Zur Bereitstellung eines logischen Systems mit Sicherheitsressourcen konfigurieren Sie als primärer Administrator ein Sicherheitsprofil, das für jede Ressource Folgendes angibt:
Ein reserviertes Kontingent, das garantiert, dass die angegebene Ressourcenmenge dem logischen System immer zur Verfügung steht.
Ein maximal zulässiges Kontingent. Wenn ein logisches System mehr von einer Ressource benötigt, als seine reservierte Menge zulässt, kann es Ressourcen verwenden, die für die globale Maximalmenge konfiguriert sind, wenn sie verfügbar sind, d. h., wenn sie nicht anderen logischen Systemen zugeordnet sind. Das maximal zulässige Kontingent gibt den Anteil der freien globalen Ressourcen an, den das logische System verwenden kann. Das maximal zulässige Kontingent garantiert nicht, dass die für die Ressource im Sicherheitsprofil angegebene Menge verfügbar ist. Logische Systeme müssen um globale Ressourcen konkurrieren.
Wenn für eine Ressource kein reserviertes Kontingent konfiguriert ist, ist der Standardwert 0. Wenn für eine Ressource kein maximal zulässiges Kontingent konfiguriert ist, ist der Standardwert das globale Systemkontingent für die Ressource (globale Systemkontingente sind plattformabhängig). Der primäre Administrator muss die entsprechenden maximal zulässigen Kontingentwerte in den Sicherheitsprofilen konfigurieren, damit sich die maximale Ressourcennutzung eines bestimmten logischen Systems nicht negativ auf andere auf dem Gerät konfigurierte logische Systeme auswirkt.
Das System verwaltet eine Zählung aller zugeordneten Ressourcen, die reserviert, verwendet und wieder verfügbar gemacht werden, wenn ein logisches System gelöscht wird. Diese Anzahl bestimmt, ob Ressourcen für neue logische Systeme verfügbar sind oder ob die Anzahl der Ressourcen erhöht werden soll, die vorhandenen logischen Systemen über ihre Sicherheitsprofile zugewiesen sind.
Wenn ein logisches Benutzersystem gelöscht wird, werden seine reservierten Ressourcenzuordnungen für die Verwendung durch andere logische Systeme freigegeben.
In Sicherheitsprofilen konfigurierte Ressourcen werden als statische, modulare Ressourcen oder dynamische Ressourcen bezeichnet. Für statische Ressourcen wird empfohlen, ein maximales Kontingent für eine Ressource festzulegen, das dem als reserviertes Kontingent angegebenen Betrag entspricht oder nahe kommt, um eine skalierbare Konfiguration logischer Systeme zu ermöglichen. Ein hohes maximales Kontingent für eine Ressource kann einem logischen System durch den Zugriff auf eine größere Menge dieser Ressource mehr Flexibilität verleihen, aber es würde die Menge einschränken, die einem neuen logischen Benutzersystem zugewiesen werden kann.
Die Differenz zwischen reservierten und maximal zulässigen Beträgen für eine dynamische Ressource ist nicht wichtig, da dynamische Ressourcen ausgealtert sind und den Pool, der für die Zuordnung zu anderen logischen Systemen zur Verfügung steht, nicht erschöpfen.
Die folgenden Ressourcen können in einem Sicherheitsprofil angegeben werden:
Sicherheitsrichtlinien, einschließlich Scheduler
Sicherheits-Zonen
Adressen und Adressbücher für Sicherheitsrichtlinien
Regelsätze für Anwendungs-Firewalls
Regeln für Anwendungs-Firewalls
Firewall-Authentifizierung
Flow-Sitzungen und -Gates
NAT, einschließlich:
Cone NAT Bindungen
NAT-Zielregel
NAT-Zielpool
NAT-IP-Adresse im Quellpool ohne Port Address Translation (PAT)
Hinweis:IPv6-Adressen in IPv6-Quellpools ohne PAT sind nicht in Sicherheitsprofilen enthalten.
NAT-IP-Adresse im Quellpool mit PAT
Überlastung von NAT-Ports
NAT-Quell-Pool
NAT-Quellregel
Statische NAT-Regel
Alle Ressourcen mit Ausnahme von Flusssitzungen sind statisch.
Sie können ein Sicherheitsprofil für ein logisches System dynamisch ändern, während das Sicherheitsprofil anderen logischen Systemen zugewiesen ist. Um jedoch sicherzustellen, dass das Systemressourcenkontingent nicht überschritten wird, führt das System die folgenden Aktionen aus:
Wenn ein statisches Kontingent geändert wird, validieren Systemdaemonen, die die logische Systemanzahl für in Sicherheitsprofilen angegebene Ressourcen verwalten, das Sicherheitsprofil erneut. Diese Prüfung identifiziert die Anzahl der Ressourcen, die in allen logischen Systemen zugeordnet sind, um festzustellen, ob die zugeordneten Ressourcen einschließlich ihrer erhöhten Mengen verfügbar sind.
Diese Kontingentprüfungen sind die gleichen Kontingentprüfungen, die das System durchführt, wenn Sie ein neues logisches Benutzersystem hinzufügen und ein Sicherheitsprofil daran binden. Sie werden auch ausgeführt, wenn Sie ein anderes Sicherheitsprofil als das Sicherheitsprofil, das ihm derzeit zugewiesen ist, an ein vorhandenes logisches Benutzersystem (oder das primäre logische System) binden.
Wenn ein dynamisches Kontingent geändert wird, wird keine Prüfung durchgeführt, sondern das neue Kontingent wird auf die zukünftige Ressourcennutzung festgelegt.
Fälle: Bewertungen von reservierten Ressourcen, die über Sicherheitsprofile zugewiesen wurden
Um zu verstehen, wie das System die Zuweisung reservierter Ressourcen anhand von Sicherheitsprofilen bewertet, betrachten Sie die folgenden drei Fälle, die sich mit der Zuweisung einer Ressource befassen: Zonen. Um das Beispiel einfach zu halten, werden im security-profile-1 10 Zonen zugewiesen: 4 reservierte Zonen und 6 maximale Zonen. In diesem Beispiel wird davon ausgegangen, dass die vollständige Maximalmenge – sechs Zonen – für die logischen Benutzersysteme verfügbar ist. Die maximale Anzahl der Zonen beträgt 10.
In diesen Fällen geht es um die Konfiguration über logische Systeme hinweg. Sie testen, ob eine Konfiguration erfolgreich ist oder nicht, wenn sie basierend auf der Zuweisung von Zonen festgelegt wird.
Tabelle 1 zeigt die Sicherheitsprofile und ihre Zonenzuweisungen.
Zwei in den Konfigurationsfällen verwendete Sicherheitsprofile |
|---|
SICHERHEITSPROFIL-1
Hinweis:
Später erhöht der primäre Administrator die in diesem Profil angegebene Anzahl reservierter Zonen dynamisch. |
Primäres-logisches-Systemprofil
|
Tabelle 2 zeigt drei Fälle, die veranschaulichen, wie das System reservierte Ressourcen für Zonen in logischen Systemen basierend auf Sicherheitsprofilkonfigurationen bewertet.
Die Konfiguration für den ersten Fall ist erfolgreich, da das kumulative reservierte Ressourcenkontingent für Zonen, die in den Sicherheitsprofilen konfiguriert sind, die an alle logischen Systeme gebunden sind, 8 beträgt, was kleiner als das maximale Ressourcenkontingent des Systems ist.
Die Konfiguration für den zweiten Fall schlägt fehl, da das kumulative reservierte Ressourcenkontingent für Zonen, die in den an alle logische Systeme gebundenen Sicherheitsprofilen konfiguriert sind, 12 beträgt, was größer als das maximale Ressourcenkontingent des Systems ist.
Die Konfiguration für den dritten Fall schlägt fehl, da das kumulative reservierte Ressourcenkontingent für Zonen, die in den Sicherheitsprofilen konfiguriert sind, die an alle logischen Systeme gebunden sind, 12 beträgt, was größer ist als das maximale Ressourcenkontingent des Systems.
Kontingentprüfungen für reservierte Ressourcen über logische Systeme hinweg |
|---|
Beispiel 1: Erfolgreich Diese Konfiguration liegt innerhalb der Grenzen: 4+4+0=8, maximale Kapazität =10. Verwendete Sicherheitsprofile
|
Beispiel 2: Fehler Diese Konfiguration ist außerhalb der Grenzen: 4+4+4=12, maximale Kapazität = 10.
Sicherheits-Profile
|
Beispiel 3: Fehler Diese Konfiguration ist außerhalb der Grenzen: 6+6=12, maximale Kapazität =10. Der primäre Administrator ändert das Kontingent für reservierte Zonen in security-profile-1 und erhöht die Anzahl auf 6.
|
Siehe auch
Beispiel: Sicherheitsprofile für logische Systeme konfigurieren (nur primäre Administratoren)
Dieses Beispiel zeigt, wie ein primärer Administrator drei logische Systemsicherheitsprofile konfiguriert, die den logischen Benutzersystemen zugewiesen werden, und das primäre logische System, um sie mit Sicherheitsressourcen zu Bereitstellung.
Anforderungen
In diesem Beispiel wird ein SRX5600-Gerät mit Junos OS und logischen Systemen verwendet.
Bevor Sie beginnen, lesen Sie die Übersicht über die Konfigurationsaufgaben des primären Administrators der SRX-Serie , um zu verstehen, wie sich diese Aufgabe in den gesamten Konfigurationsprozess einfügt.
Überblick
Dieses Beispiel zeigt, wie Sicherheitsprofile für die folgenden logischen Systeme konfiguriert werden:
Das logische Root-Systems-System. Das primäre Profil des Sicherheitsprofils wird dem logischen Primär- oder Root-System zugewiesen.
Das logische System ls-product-design. Das Sicherheitsprofil ls-design-profile ist dem logischen System zugeordnet.
Das logische System ls-marketing-dept. Das Sicherheitsprofil ls-accnt-mrkt-profile ist dem logischen System zugeordnet.
Das logische System ls-accounting-dept. Das Sicherheitsprofil ls-accnt-mrkt-profile ist dem logischen System zugeordnet.
Das Interconnect-Logical-System, wenn Sie eines verwenden. Sie müssen ihm ein Dummy- oder Null-Sicherheitsprofil zuweisen.
Topologie
Diese Konfiguration basiert auf der in Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, Benutzer und eines logischen Interconnect-Systems gezeigten Bereitstellung.
Konfiguration
Konfigurieren von Sicherheitsprofilen für logische Systeme
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
Erstellen Sie drei Sicherheitsprofile.
Erstellen Sie das erste Sicherheitsprofil.
Schritt-für-Schritt-Anleitung
Geben Sie die Anzahl der maximalen und reservierten Richtlinien an.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
Geben Sie die Anzahl der maximalen und reservierten Zonen an.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
Geben Sie die Anzahl der maximalen und reservierten Sitzungen an.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
Angeben der Anzahl der maximalen und reservierten ICAP-Umleitungsprofile
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
Geben Sie die Anzahl der maximalen und reservierten Quell-NAT-No-PAT-Adressen und statischen NAT-Regeln an.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
Aktivieren Sie Intrusion Detection and Prevention (IDP). Sie können IDP nur für das primäre logische System (Root) aktivieren.
[edit system security-profile] user@host# set idp
Binden Sie das Sicherheitsprofil an das logische System.
[edit system security-profile] user@host# set master-profile root-logical-system
Erstellen Sie das zweite Sicherheitsprofil.
Schritt-für-Schritt-Anleitung
Geben Sie die Anzahl der maximalen und reservierten Richtlinien an.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
Geben Sie die Anzahl der maximalen und reservierten Zonen an.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
Geben Sie die Anzahl der maximalen und reservierten Sitzungen an.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
Angeben der Anzahl der maximalen und reservierten ICAP-Umleitungsprofile
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
Geben Sie die Anzahl der maximalen und reservierten Quell-NAT-No-PAT-Adressen an.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
Geben Sie die Anzahl der maximalen und reservierten statischen NAT-Regeln an.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
Binden Sie das Sicherheitsprofil an zwei logische Systeme.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
Erstellen Sie das dritte Sicherheitsprofil.
Schritt-für-Schritt-Anleitung
Geben Sie die Anzahl der maximalen und reservierten Richtlinien an.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
Geben Sie die Anzahl der maximalen und reservierten Zonen an.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
Geben Sie die Anzahl der maximalen und reservierten Sitzungen an.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
Angeben der Anzahl der maximalen und reservierten ICAP-Umleitungsprofile
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
Geben Sie die Anzahl der maximalen und reservierten Quell-NAT-No-PAT-Adressen an.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
Binden Sie das Sicherheitsprofil an ein logisches System.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
Binden Sie ein NULL-Sicherheitsprofil an das logische Verbindungssystem.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system security-profile Befehl eingeben, um alle konfigurierten Sicherheitsprofile anzuzeigen.
Um einzelne Sicherheitsprofile anzuzeigen, geben Sie die show system security-profile master-profileBefehle , das show system security-profile ls-accnt-mrkt-profile und ein show system security-profile ls-design-profile . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.
Verifizierung
Um zu bestätigen, dass die Sicherheitsressourcen, die Sie für logische Systeme zugeordnet haben, ihnen zugeordnet wurden, gehen Sie für jedes logische System und für alle seine Ressourcen wie folgt vor.
Überprüfen, ob Sicherheits-Profilressourcen für logische Systeme effektiv zugewiesen werden
Zweck
Überprüfen Sie die Sicherheitsressourcen für jedes logische System. Befolgen Sie diesen Prozess für alle konfigurierten logischen Systeme.
Aktion
-
Verwenden Sie SSH, um sich bei jedem logischen Benutzersystem als Administrator des logischen Benutzersystems anzumelden.
Führen Sie SSH aus und geben Sie die IP-Adresse Ihrer Firewall der SRX-Serie an.
Geben Sie die Anmelde-ID und das Kennwort für eines der logischen Benutzersysteme ein, die Sie erstellt haben.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
Geben Sie die folgende Anweisung ein, um die für das Profil konfigurierten Ressourcen zu identifizieren.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
Geben Sie den folgenden Befehl an der daraufhin angezeigten Eingabeaufforderung ein. Führen Sie dies für jedes Feature aus, das für das Profil konfiguriert ist.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
Beispiel: Konfigurieren von Sicherheitsprofilen für logische Systeme
In diesem Beispiel konfigurieren Sie die Sicherheitsprofile für logische Systeme des Benutzers. Es stellt die Informationen zu einer Ressource bereit, die dem logischen System in einem Sicherheitsprofil zugeordnet ist.
SRX4100- und SRX4200-Geräte unterstützen das logische System sowohl im transparenten als auch im Routing-Modus.
Das SRX4600-Gerät unterstützt das logische System nur im Routing-Modus.
Layer-2-übergreifender logischer Systemdatenverkehr wird nicht unterstützt.
Anforderungen
In diesem Beispiel werden ein SRX4100 und SRX4200-Geräte mit Junos OS mit logischen Systemen verwendet.
Bevor Sie beginnen:
Machen Sie sich mit dem logischen Systemkonfigurationsprozess vertraut. Unter Übersicht über die Konfiguration logischer Benutzersysteme erfahren Sie, wie sich diese Aufgabe in den gesamten Konfigurationsprozess einfügt.
Überblick
Logische Systeme ermöglichen es einem primären Administrator, eine Firewall der SRX-Serie in diskrete Kontexte zu partitionieren, die als logische Benutzersysteme bezeichnet werden. Logische Benutzersysteme sind in sich geschlossene, private Kontexte, die sowohl voneinander als auch vom primären logischen System getrennt sind. Ein benutzerlogisches System verfügt über eigene Sicherheits-, Netzwerk-, logische Schnittstellen, Routing-Konfigurationen und einen oder mehrere logische Benutzersystemadministratoren.
In diesem Beispiel konfigurieren Sie Sicherheitsfunktionen für das in Tabelle 3 beschriebene logische Benutzersystem. Diese Konfiguration wird vom Administrator des logischen Benutzersystems verwendet, um Ressourceninformationen für ein logisches Benutzersystem anzuzeigen.
Feldname |
Beschreibung des Feldes |
|---|---|
MAC-Flags |
Status der Lerneigenschaften für MAC-Adressen für jede Schnittstelle:
|
Ethernet-Switching-Tabelle |
Bei gelernten Einträgen der Zeitpunkt, zu dem der Eintrag zur Ethernet-Switching-Tabelle hinzugefügt wurde. |
Logisches System |
Name des logischen Systems |
Routing-Instanz |
Name der Routing-Instanz |
VLAN-Name |
Name des VLAN |
MAC-Adresse |
MAC-Adresse(n) oder Adressen, die auf einer logischen Schnittstelle gelernt wurden |
Alter |
Dieses Feld wird nicht unterstützt |
Logische Schnittstelle |
Name der logischen Schnittstelle |
RTR-Kennung |
ID des Routing-Geräts |
NH-Index |
Software-Index des nächsten Hops, der zum Routing des Datenverkehrs für ein bestimmtes Präfix verwendet wird. |
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Vorgehensweise
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsprofile für logische Benutzersysteme:
Melden Sie sich als Administrator des logischen Systems beim Benutzer an und wechseln Sie in den Konfigurationsmodus.
[edit] admin@host> configure admin@host#
Konfigurieren Sie ein Sicherheitsprofil, und weisen Sie es einem logischen System zu.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
Legen Sie die Schnittstellen auf die entsprechenden Schnittstellenmodi fest und geben Sie an, dass die logische Schnittstelle, die die nicht getaggten Datenpakete empfängt, Mitglied des nativen VLANs ist.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
Erstellen Sie die IRB-Schnittstelle und weisen Sie ihr eine Adresse im Subnetz zu.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der vertrauenswürdigen Zone in die nicht vertrauenswürdige Zone zuzulassen, und weisen Sie jeder Zone Schnittstellen zu.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
Ordnen Sie dem VLAN eine IRB-Schnittstelle zu.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show ethernet-switching table Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen der Konfiguration der Sicherheitsprofile für logische Benutzersysteme
Zweck
Überprüfen Sie die Informationen zu Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show ethernet-switching table Befehl ein.
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
Beispiel: Konfigurieren des Sicherheits-Protokolldatenstroms für logische Systeme
Dieses Beispiel zeigt, wie Sie ein Sicherheitsprofil für ein logisches System konfigurieren.
Anforderungen
In diesem Beispiel werden die Firewalls der SRX-Serie unter Junos OS mit logischen Systemen verwendet.
Bevor Sie beginnen:
Lesen Sie die Übersicht über die Konfigurationsaufgaben des primären Administrators der SRX-Serie , um zu verstehen, wie sich diese Aufgabe in den gesamten Konfigurationsprozess einfügt.
Siehe Beispiel: Konfiguration logischer Systeme Sicherheit Profile (nur primäre Administratoren).
Überblick
Als primärer Administrator können Sie ein einzelnes Sicherheitsprofil konfigurieren, um Ressourcen einem bestimmten logischen System zuzuweisen. Sie können dasselbe Sicherheitsprofil für mehrere logische Systeme verwenden oder eine Mischung aus beiden Methoden verwenden. Der set logical-system LSYS1 security log Befehl wurde für die Protokollierungsunterstützung auf Firewalls der SRX-Serie eingeführt.
Konfiguration
Konfigurieren von Sicherheitsprofilen für logische Systeme logical-system
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
Konfigurieren Sie ein Sicherheitsprofil und geben Sie die Anzahl der maximalen und reservierten Richtlinien an.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
Weisen Sie das konfigurierte Sicherheitsprofil LSYS1 zu.
user@host# set security-profile p1 logical-system LSYS1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system security-profile Befehl eingeben, um alle konfigurierten Sicherheitsprofile anzuzeigen.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen von Sicherheitsprofilressourcen für logische Systeme
- Überprüfen der Sicherheitsprotokoll-Streamnummer für logische Systeme
- Überprüfen der Zusammenfassung der Sicherheitsprotokoll-Stream-Nummer für logische Systeme
- Überprüfen von Details zu Sicherheitsprotokoll-Stream-Nummern für logische Systeme
Überprüfen von Sicherheitsprofilressourcen für logische Systeme
Zweck
Überprüfen Sie die Sicherheitsressourcen für jedes logische System.
Aktion
Geben Sie im Betriebsmodus den show system security-profile all-resourceBefehl , show system security-profile security-log-stream-number logical-system all, show system security-profile security-log-stream-number summaryoder show system security-profile security-log-stream-number detail logical-system all ein, um die Ausgabe anzuzeigen:
show system security-profile all-resource
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
Bedeutung
Die Beispielausgaben zeigen Informationen zu den Ressourcen an, die dem logischen System in einem Sicherheitsprofil zugeordnet sind. Für jede angegebene Ressource werden die vom logischen System verwendete Anzahl sowie die konfigurierten maximalen und reservierten Werte angezeigt.
Überprüfen der Sicherheitsprotokoll-Streamnummer für logische Systeme
Zweck
Überprüfen Sie die Security-Log-Stream-Nummer für jedes logische System.
Aktion
Geben Sie im Betriebsmodus den show system security-profile security-log-stream-number logical-system all Befehl ein, um die Ausgabe anzuzeigen:
show system security-profile security-log-stream-number logical-system all
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
Bedeutung
Die Beispielausgabe zeigt die Informationen zu einer Ressource, die dem logischen System zugeordnet ist, in einem Sicherheitsprofil mit dem Namen des Sicherheitsprofils an. Für jede angegebene Ressource werden die vom logischen System verwendete Anzahl sowie die konfigurierten maximalen und reservierten Werte angezeigt.
Überprüfen der Zusammenfassung der Sicherheitsprotokoll-Stream-Nummer für logische Systeme
Zweck
Überprüfen Sie die Zusammenfassung der Sicherheitsprotokoll-Stream-Nummer.
Aktion
Geben Sie im Betriebsmodus den show system security-profile security-log-stream-number summary Befehl ein, um die Ausgabe anzuzeigen:
show system security-profile security-log-stream-number summary
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
Bedeutung
Die Beispielausgabe zeigt die Zusammenfassungsinformationen zur Ressource für alle logischen Systeme an.
Überprüfen von Details zu Sicherheitsprotokoll-Stream-Nummern für logische Systeme
Zweck
Überprüfen Sie die Details security-log-stream-number.
Aktion
Geben Sie im Betriebsmodus den show system security-profile security-log-stream-number detail logical-system all Befehl ein, um die Ausgabe anzuzeigen:
show system security-profile security-log-stream-number detail logical-system all
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
Bedeutung
Die Beispielausgabe zeigt die detaillierte Ausgabeebene für alle logischen Systeme an.