Sicherheitszonen in logischen Systemen
Sicherheitszonen sind die Bausteine für Richtlinien. Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind, und bieten ein Mittel zur Unterscheidung von Gruppen von Hosts (logische Benutzersysteme und andere Hosts, wie z. B. Server), Ressourcen voneinander, um unterschiedliche Sicherheitsmaßnahmen anzuwenden. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu Zonen logischer Systeme
Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sicherheitszonen können auf dem primären logischen System vom primären Administrator oder auf logischen Benutzersystemen durch den Logischen Systemadministrator des Benutzers konfiguriert werden. Auf einem logischen System kann der Administrator mehrere Sicherheitszonen konfigurieren und das Netzwerk in Netzwerksegmente aufteilen, auf die verschiedene Sicherheitsoptionen angewendet werden können.
Der Primäradministrator konfiguriert die maximale und reservierte Anzahl von Sicherheitszonen für jedes logische Benutzersystem. Der benutzerlogische Systemadministrator kann dann Sicherheitszonen im logischen Benutzersystem erstellen und jeder Sicherheitszone Schnittstellen zuweisen. In einem logischen Benutzersystem kann der Administrator des logischen Benutzers den show system security-profile zones Befehl verwenden, um die Anzahl der Sicherheitszonen anzuzeigen, die dem logischen Benutzersystem zugewiesen sind, und den show interfaces Befehl, um die Schnittstellen anzuzeigen, die dem logischen Benutzersystem zugewiesen sind.
Der primäre Administrator kann ein Sicherheitsprofil für das primäre logische System konfigurieren, das die maximale und reservierte Anzahl von Sicherheitszonen angibt, die auf das primäre logische System angewendet werden. Die Anzahl der im primären logischen System konfigurierten Zonen wird auf die maximale Anzahl der auf dem Gerät verfügbaren Zonen angerechnet.
Der Primär- und Benutzeradministrator kann die folgenden Eigenschaften einer Sicherheitszone in einem logischen System konfigurieren:
Schnittstellen, die Teil einer Sicherheitszone sind.
Bildschirmoptionen: Für jede Sicherheitszone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, den das Gerät als potenziell schädlich feststellt.
TCP-Reset: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem RESET-Flag, wenn der Datenverkehr ankommt, das nicht mit einer vorhandenen Sitzung übereinstimmt und nicht über das Synchronisations-Flag gesetzt ist.
Host-eingehender Datenverkehr: Diese Funktion gibt die Arten von Datenverkehr an, der das Gerät von Systemen erreichen kann, die direkt mit seinen Schnittstellen verbunden sind. Sie können diese Parameter auf Zonenebene konfigurieren, wobei sie sich auf alle Schnittstellen der Zone oder auf Schnittstellenebene auswirken. (Die Schnittstellenkonfiguration überschreibt die der Zone.)
Es gibt keine vorkonfigurierten Sicherheitszonen im primären logischen System oder im logischen Benutzersystem.
Die Verwaltungsfunktionszone (MGT) kann nur für das primäre logische System konfiguriert werden. Pro Gerät gibt es nur eine Verwaltungsschnittstelle, die dem primären logischen System zugewiesen ist.
Die all Schnittstelle kann nur einer Zone im primären logischen System vom primären Administrator zugewiesen werden.
Der benutzerlogische Systemadministrator kann alle Attribute für eine Sicherheitszone in einem logischen Benutzersystem konfigurieren und anzeigen. Alle Attribute einer Sicherheitszone in einem logischen Benutzersystem sind auch für den primären Administrator sichtbar.
Siehe auch
Beispiel: Konfiguration logischer Benutzersysteme
Dieses Beispiel zeigt die Konfiguration von Schnittstellen, Routing-Instanzen, Zonen und Sicherheitsrichtlinien für logische Benutzersysteme.
Anforderungen
Bevor Sie beginnen:
Melden Sie sich als logischer Systemadministrator beim logischen Benutzersystem an. Siehe Übersicht über die Konfiguration logischer Systeme des Benutzers.
Achten Sie darauf, dass Sie wissen, welche logischen Schnittstellen und optional welche logische Tunnelschnittstelle (und deren IP-Adresse) vom primären Administrator Ihrem logischen Benutzersystem zugewiesen werden. Siehe Grundlegendes zu den primären logischen Systemen und zur Rolle des primären Administrators.
Übersicht
In diesem Beispiel werden die logischen Benutzersysteme ls-marketing-dept und ls-accounting-dept konfiguriert, die in Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, deren Benutzer und ein logisches Interconnect-System dargestellt werden.
In diesem Beispiel werden die in Tabelle 1 und Tabelle 2 beschriebenen Parameter konfiguriert.
Feature |
Namen |
Konfigurationsparameter |
|---|---|---|
Schnittstelle |
ge-0/0/6.1 |
|
Routing-Instanz |
mk-vr1 |
|
Zonen |
ls-Marketing-Trust |
Binden Sie die Schnittstelle ge-0/0/6.1. |
|
ls-Marketing-nicht vertrauenswürdig |
Bindung an Schnittstelle lt-0/0/0.5 |
Adressbücher |
marketingintern |
|
|
Marketing-externe |
|
Politik |
permit-all-to-otherlsys |
Erlauben Sie folgenden Datenverkehr:
|
|
permit-all-from-otherlsys |
Erlauben Sie folgenden Datenverkehr:
|
Feature |
Namen |
Konfigurationsparameter |
|---|---|---|
Schnittstelle |
ge-0/0/7.1 |
|
Routing-Instanz |
acct-vr1 |
|
Zonen |
ls-Accounting-Trust |
Binden Sie die Schnittstelle ge-0/0/7.1. |
|
ls-Accounting-nicht vertrauenswürdig |
Bindung an Schnittstelle lt-0/0/0.7 |
Adressbücher |
buchhaltungsintern |
|
|
buchhaltungsunabhängig |
|
Politik |
permit-all-to-otherlsys |
Erlauben Sie folgenden Datenverkehr:
|
|
permit-all-from-otherlsys |
Erlauben Sie folgenden Datenverkehr:
|
Konfiguration
- Konfiguration des ls-marketing-dept User Logical System
- Konfiguration des ls-accounting-dept User Logical System
Konfiguration des ls-marketing-dept User Logical System
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/6 unit 1 family inet address 13.1.1.1/24 set interfaces ge-0/0/6 unit 1 vlan-id 800 set routing-instances mk-vr1 instance-type virtual-router set routing-instances mk-vr1 interface ge-0/0/6.1 set routing-instances mk-vr1 interface lt-0/0/0.5 set routing-instances mk-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set security zones security-zone ls-marketing-trust interfaces ge-0/0/6.1 set security zones security-zone ls-marketing-untrust interfaces lt-0/0/0.5 set security address-book marketing-external address design 12.1.1.0/24 set security address-book marketing-external address accounting 14.1.1.0/24 set security address-book marketing-external address others 12.12.1.0/24 set security address-book marketing-external address-set otherlsys address design set security address-book marketing-external address-set otherlsys address accounting set security address-book marketing-external attach zone ls-marketing-untrust set security address-book marketing-internal address marketers 13.1.1.0/24 set security address-book marketing-internal attach zone ls-marketing-trust set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match source-address marketers set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match destination-address marketers set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie ein logisches Benutzersystem:
Melden Sie sich als logischer Systemadministrator beim logischen Benutzersystem an und wechseln Sie in den Konfigurationsmodus.
lsmarketingadmin1@host:ls-marketing-dept> configure lsmarketingadmin1@host:ls-marketing-dept#
Konfigurieren Sie die logische Schnittstelle für ein logisches Benutzersystem.
[edit interfaces] lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 family inet address 13.1.1.1/24 lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 vlan-id 800
Konfigurieren Sie die Routing-Instanz und weisen Sie Schnittstellen zu.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 instance-type virtual-router lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface lt-0/0/0.5
Konfigurieren Sie statische Routen.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.2 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Konfigurieren Sie Sicherheitszonen und weisen Sie jeder Zone Schnittstellen zu.
[edit security zones] lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-trust interfaces ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-untrust interfaces lt-0/0/0.5
Erstellen Sie Adressbucheinträge.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal address marketers 13.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address design 12.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address accounting 14.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address others 12.12.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address design lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address accounting
Anhängen von Adressbüchern an Zonen.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal attach zone ls-marketing-trust lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external attach zone ls-marketing-untrust
Konfigurieren Sie eine Sicherheitsrichtlinie, die datenverkehr von der ls-marketing-trust Zone zur ls-marketing-nicht vertrauenswürdigen Zone zulässt.
[edit security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match source-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der ls-marketing-untrust Zone zur ls-marketing-trust Zone zulässt.
[edit security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match destination-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys then permit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle und show security die show routing-instances Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
lsmarketingadmin1@host:ls-marketing-dept# show routing instances
mk-vr1 {
instance-type virtual-router;
interface ge-0/0/6.1;
interface lt-0/0/0.5;
routing-options {
static {
route 12.1.1.0/24 next-hop 10.0.1.2;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
lsmarketingadmin1@host:ls-marketing-dept# show security
address-book {
marketing-external {
address product-designers 12.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address product-designers;
address accounting;
}
attach {
zone ls-marketing-untrust;
}
}
marketing-internal {
address marketers 13.1.1.0/24;
attach {
zone ls-marketing-trust;
}
}
}
policies {
from-zone ls-marketing-trust to-zone ls-marketing-untrust {
policy permit-all-to-otherlsys {
match {
source-address marketers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-marketing-untrust to-zone ls-marketing-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address marketers;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-marketing-trust {
interfaces {
ge-0/0/6.1;
}
}
security-zone ls-marketing-untrust {
interfaces {
lt-0/0/0.5;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration des ls-accounting-dept User Logical System
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/7 unit 1 family inet address 14.1.1.1/24 set interfaces ge-0/0/7 unit 1 vlan-id 900 set routing-instances acct-vr1 instance-type virtual-router set routing-instances acct-vr1 interface ge-0/0/7.1 set routing-instances acct-vr1 interface lt-0/0/0.7 set routing-instances acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set routing-instances acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set security address-book accounting-internal address accounting 14.1.1.0/24 set security address-book accounting-internal attach zone ls-accounting-trust set security address-book accounting-external address design 12.1.1.0/24 set security address-book accounting-external address marketing 13.1.1.0/24 set security address-book accounting-external address others 12.12.1.0/24 set security address-book accounting-external address-set otherlsys address design set security address-book accounting-external address-set otherlsys address marketing set security address-book accounting-external attach zone ls-accounting-untrust set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match source-address accounting set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match destination-address accounting set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys then permit set security zones security-zone ls-accounting-trust interfaces ge-0/0/7.1 set security zones security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie ein logisches Benutzersystem:
Melden Sie sich als logischer Systemadministrator beim logischen Benutzersystem an und wechseln Sie in den Konfigurationsmodus.
lsaccountingadmin1@host:ls-accounting-dept> configure lsaccountingadmin1@host:ls-accounting-dept#
Konfigurieren Sie die logische Schnittstelle für ein logisches Benutzersystem.
[edit interfaces] lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 family inet address 14.1.1.1/24 lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 vlan-id 900
Konfigurieren Sie die Routing-Instanz und weisen Sie Schnittstellen zu.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 instance-type virtual-router lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface lt-0/0/0.7
Konfigurieren Sie statische Routen.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 lsaccountingadmin1@host:ls-accounting-deptt# set acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Konfigurieren Sie Sicherheitszonen und weisen Sie jeder Zone Schnittstellen zu.
[edit security zones] lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-trust interfaces ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Erstellen Sie Adressbucheinträge.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal address accounting 14.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address design 12.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address marketing 13.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address others 12.12.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address design lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address marketing
Anhängen von Adressbüchern an Zonen.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal attach zone ls-accounting-trust lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external attach zone ls-accounting-untrust
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der ls-accounting-trust Zone zur ls-accounting-untrust Zone zulässt.
[edit security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match source-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der ls-accounting-untrust Zone zur ls-Accounting-Trust Zone zulässt.
[edit security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match destination-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys then permit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle und show security die show routing-instances Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
lsaccountingadmin1@host:ls-accounting-dept# show routing-instances
acct-vr1 {
instance-type virtual-router;
interface ge-0/0/7.1;
interface lt-0/0/0.7;
routing-options {
static {
route 12.12.1.0/24 next-hop 10.0.1.1;
route 12.1.1.0/24 next-hop 10.0.1.2;
route 13.1.1.0/24 next-hop 10.0.1.3;
}
}
}
lsaccountingadmin1@host:ls-accounting-dept# show security
address-book {
accounting-internal {
address accounting 14.1.1.0/24;
attach {
zone ls-accounting-trust;
}
}
accounting-external {
address design 12.1.1.0/24;
address marketing 13.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address design;
address marketing;
}
attach {
zone ls-accounting-untrust;
}
}
}
policies {
from-zone ls-accounting-trust to-zone ls-accounting-untrust {
policy permit-all-to-otherlsys {
match {
source-address accounting;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-accounting-untrust to-zone ls-accounting-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address accounting;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-accounting-trust {
interfaces {
ge-0/0/7.1;
}
}
security-zone ls-accounting-untrust {
interfaces {
lt-0/0/0.7;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie die folgenden Aufgaben durch, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Beispiel: Konfigurieren von Sicherheitszonen für logische Benutzersysteme
Dieses Beispiel zeigt, wie Zonen für ein logisches Benutzersystem konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Melden Sie sich als logischer Systemadministrator des Benutzers beim logischen Benutzersystem an. Siehe Übersicht über die Konfiguration logischer Systeme des Benutzers.
Verwenden Sie den
show system security-profile zonesBefehl, um die Zonenressourcen zu sehen, die dem logischen System zugewiesen sind.Logische Schnittstellen für das logische Benutzersystem müssen konfiguriert werden. Siehe Beispiel: Konfigurieren von Schnittstellen und Routing-Instanzen für logische Benutzersysteme.
Übersicht
In diesem Beispiel wird das ls-product-design-Benutzer-System konfiguriert, das in Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, deren Benutzer und ein logisches Interconnect-System dargestellt wird.
In diesem Beispiel werden die in Tabelle 3 beschriebenen Zonen und Adressbücher erstellt.
Feature |
Namen |
Konfigurationsparameter |
|---|---|---|
Zonen |
ls-product-design-trust |
|
|
ls-product-design-nicht vertrauenswürdig |
|
Adressbücher |
produktdesign-intern |
|
|
produktdesign-extern |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security address-book product-design-internal address product-designers 12.1.1.0/24 set security address-book product-design-internal attach zone ls-product-design-trust set security address-book product-design-external address marketing 13.1.1.0/24 set security address-book product-design-external address accounting 14.1.1.0/24 set security address-book product-design-external address others 12.12.1.0/24 set security address-book product-design-external address-set otherlsys address marketing set security address-book product-design-external address-set otherlsys address accounting set security address-book product-design-external attach zone ls-product-design-untrust set security zones security-zone ls-product-design-trust tcp-rst set security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Zonen in einem logischen Benutzersystem:
Melden Sie sich als logischer Systemadministrator beim logischen Benutzersystem an und wechseln Sie in den Konfigurationsmodus.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Konfigurieren Sie eine Sicherheitszone und weisen Sie sie einer Schnittstelle zu.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
Konfigurieren Sie den TCP-Reset-Parameter für die Zone.
[edit security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
Konfigurieren Sie eine Sicherheitszone und weisen Sie sie einer Schnittstelle zu.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Erstellen Sie globale Adressbucheinträge.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 12.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 13.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 14.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 12.12.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
Anhängen von Adressbüchern an Zonen.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design# set address-book product-design-external attach zone ls-product-design-untrust
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
lsdesignadmin1@host:ls-product-design# show security
address-book {
product-design-internal {
address product-designers 12.1.1.0/24;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 13.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .