Sicherheitszonen in logischen Systemen
Sicherheitszonen sind die Bausteine für Richtlinien. Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind, und bieten eine Möglichkeit, Gruppen von Hosts (logische Benutzersysteme und andere Hosts, wie z. B. Server) und Ressourcen voneinander zu unterscheiden, um unterschiedliche Sicherheitsmaßnahmen anzuwenden. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu Zonen logischer Systeme
Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sicherheitszonen können auf dem primären logischen System vom primären Administrator oder auf logischen Benutzersystemen vom Administrator des benutzerlogischen Systems konfiguriert werden. Auf einem logischen System kann der Administrator mehrere Sicherheitszonen konfigurieren und das Netzwerk in Netzwerksegmente unterteilen, auf die verschiedene Sicherheitsoptionen angewendet werden können.
Der primäre Administrator konfiguriert die maximale und reservierte Anzahl von Sicherheitszonen für jedes logische Benutzersystem. Der Administrator des benutzerlogischen Systems kann dann Sicherheitszonen im logischen Benutzersystem anlegen und jeder Sicherheitszone Schnittstellen zuweisen. Von einem benutzerlogischen System aus kann der Administrator des benutzerlogischen Systems den show system security-profile zones Befehl verwenden, um die Anzahl der Sicherheitszonen anzuzeigen, die dem logischen Benutzersystem zugeordnet sind, und den show interfaces Befehl, um die Schnittstellen anzuzeigen, die dem logischen Benutzersystem zugeordnet sind.
Der primäre Administrator kann ein Sicherheitsprofil für das primäre logische System konfigurieren, das die maximale und reservierte Anzahl von Sicherheitszonen angibt, die auf das primäre logische System angewendet werden. Die Anzahl der im primären logischen System konfigurierten Zonen wird auf die maximale Anzahl der auf dem Gerät verfügbaren Zonen angerechnet.
Der Primär- und Benutzeradministrator können die folgenden Eigenschaften einer Sicherheitszone in einem logischen System konfigurieren:
Schnittstellen, die Teil einer Sicherheitszone sind.
Bildschirmoptionen: Für jede Sicherheitszone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, den das Gerät als potenziell schädlich einstuft.
TCP-Reset: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit dem RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für das das Synchronisationsflag nicht festgelegt ist.
Eingehender Datenverkehr hosten: Diese Funktion gibt die Arten von Datenverkehr an, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind. Sie können diese Parameter auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. (Die Schnittstellenkonfiguration überschreibt die der Zone.)
Es gibt keine vorkonfigurierten Sicherheitszonen im primären logischen System oder im logischen Benutzersystem.
Die Verwaltungsfunktionszone (MGT) kann nur für das primäre logische System konfiguriert werden. Es gibt nur eine Verwaltungsschnittstelle pro Gerät, und diese Schnittstelle wird dem primären logischen System zugewiesen.
Die all Schnittstelle kann nur vom primären Administrator einer Zone im primären logischen System zugewiesen werden.
Der Administrator des logischen Benutzersystems kann alle Attribute für eine Sicherheitszone in einem logischen Benutzersystem konfigurieren und anzeigen. Alle Attribute einer Sicherheitszone in einem benutzerlogischen System sind auch für den primären Administrator sichtbar.
Siehe auch
Beispiel: Konfiguration von logischen Benutzersystemen
Dieses Beispiel zeigt die Konfiguration von Schnittstellen, Routing-Instanzen, Zonen und Sicherheitsrichtlinien für logische Benutzersysteme.
Anforderungen
Bevor Sie beginnen:
Melden Sie sich beim logischen Benutzersystem als Administrator des logischen Systems an. Siehe Übersicht über die Konfiguration logischer Benutzersysteme.
Stellen Sie sicher, dass Sie wissen, welche logischen Schnittstellen und optional welche logische Tunnelschnittstelle (und deren IP-Adresse) Ihrem logischen Benutzersystem vom primären Administrator zugewiesen werden. Weitere Informationen finden Sie unter Grundlegendes zu den primären logischen Systemen und der Rolle des primären Administrators.
Überblick
In diesem Beispiel werden die logischen Benutzersysteme ls-marketing-dept und ls-accounting-dept konfiguriert, die unter Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, ihre Benutzer und ein logisches Interconnect-System gezeigt werden.
In diesem Beispiel werden die in Tabelle 1 und Tabelle 2 beschriebenen Parameter konfiguriert.
Funktion |
Bezeichnung |
Konfigurationsparameter |
|---|---|---|
Schnittstelle |
GE-0/0/6.1 |
|
Routing-Instanz |
MK-VR1 |
|
Zonen |
ls-marketing-trust |
Binden Sie an die Schnittstelle ge-0/0/6.1. |
ls-marketing-untrust |
Bindung an Schnittstelle lt-0/0/0.5 |
|
Adressbücher |
Marketing-intern |
|
marketing-extern |
|
|
Richtlinien |
Erlauben Sie alles für anderelsys |
Folgenden Datenverkehr zulassen:
|
Alle von anderen zulassen |
Folgenden Datenverkehr zulassen:
|
Funktion |
Bezeichnung |
Konfigurationsparameter |
|---|---|---|
Schnittstelle |
GE-0/0/7.1 |
|
Routing-Instanz |
ACCT-VR1 |
|
Zonen |
ls-buchhaltung-vertrauen |
Binden Sie an die Schnittstelle ge-0/0/7.1. |
ls-buchhaltung-nicht vertrauenswürdig |
Bindung an Schnittstelle lt-0/0/0.7 |
|
Adressbücher |
Buchhaltung-intern |
|
Buchhaltung-extern |
|
|
Richtlinien |
Erlauben Sie alles für anderelsys |
Folgenden Datenverkehr zulassen:
|
Alle von anderen zulassen |
Folgenden Datenverkehr zulassen:
|
Konfiguration
- Konfiguration des benutzerlogischen Systems ls-marketing-dept
- Konfiguration des benutzerlogischen Systems ls-accounting-dept
Konfiguration des benutzerlogischen Systems ls-marketing-dept
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set interfaces ge-0/0/6 unit 1 family inet address 13.1.1.1/24 set interfaces ge-0/0/6 unit 1 vlan-id 800 set routing-instances mk-vr1 instance-type virtual-router set routing-instances mk-vr1 interface ge-0/0/6.1 set routing-instances mk-vr1 interface lt-0/0/0.5 set routing-instances mk-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set security zones security-zone ls-marketing-trust interfaces ge-0/0/6.1 set security zones security-zone ls-marketing-untrust interfaces lt-0/0/0.5 set security address-book marketing-external address design 12.1.1.0/24 set security address-book marketing-external address accounting 14.1.1.0/24 set security address-book marketing-external address others 12.12.1.0/24 set security address-book marketing-external address-set otherlsys address design set security address-book marketing-external address-set otherlsys address accounting set security address-book marketing-external attach zone ls-marketing-untrust set security address-book marketing-internal address marketers 13.1.1.0/24 set security address-book marketing-internal attach zone ls-marketing-trust set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match source-address marketers set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match destination-address marketers set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie ein logisches Benutzersystem:
Melden Sie sich als Administrator des logischen Systems beim Benutzer an und wechseln Sie in den Konfigurationsmodus.
lsmarketingadmin1@host:ls-marketing-dept> configure lsmarketingadmin1@host:ls-marketing-dept#
Konfigurieren Sie die logische Schnittstelle für ein logisches Benutzersystem.
[edit interfaces] lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 family inet address 13.1.1.1/24 lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 vlan-id 800
Konfigurieren Sie die Routing-Instanz und weisen Sie Schnittstellen zu.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 instance-type virtual-router lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface lt-0/0/0.5
Konfigurieren Sie statische Routen.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.2 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Konfigurieren Sie Sicherheitszonen und weisen Sie den einzelnen Zonen Schnittstellen zu.
[edit security zones] lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-trust interfaces ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-untrust interfaces lt-0/0/0.5
Erstellen Sie Adressbucheinträge.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal address marketers 13.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address design 12.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address accounting 14.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address others 12.12.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address design lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address accounting
Adressbücher an Zonen anhängen.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal attach zone ls-marketing-trust lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external attach zone ls-marketing-untrust
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der ls-marketing-trust-Zone in die ls-marketing-untrust-Zone zulässt.
[edit security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match source-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der ls-marketing-untrust-Zone in die ls-marketing-trust-Zone zulässt.
[edit security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match destination-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show routing-instances show security und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
lsmarketingadmin1@host:ls-marketing-dept# show routing instances
mk-vr1 {
instance-type virtual-router;
interface ge-0/0/6.1;
interface lt-0/0/0.5;
routing-options {
static {
route 12.1.1.0/24 next-hop 10.0.1.2;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
lsmarketingadmin1@host:ls-marketing-dept# show security
address-book {
marketing-external {
address product-designers 12.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address product-designers;
address accounting;
}
attach {
zone ls-marketing-untrust;
}
}
marketing-internal {
address marketers 13.1.1.0/24;
attach {
zone ls-marketing-trust;
}
}
}
policies {
from-zone ls-marketing-trust to-zone ls-marketing-untrust {
policy permit-all-to-otherlsys {
match {
source-address marketers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-marketing-untrust to-zone ls-marketing-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address marketers;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-marketing-trust {
interfaces {
ge-0/0/6.1;
}
}
security-zone ls-marketing-untrust {
interfaces {
lt-0/0/0.5;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfiguration des benutzerlogischen Systems ls-accounting-dept
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set interfaces ge-0/0/7 unit 1 family inet address 14.1.1.1/24 set interfaces ge-0/0/7 unit 1 vlan-id 900 set routing-instances acct-vr1 instance-type virtual-router set routing-instances acct-vr1 interface ge-0/0/7.1 set routing-instances acct-vr1 interface lt-0/0/0.7 set routing-instances acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set routing-instances acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set security address-book accounting-internal address accounting 14.1.1.0/24 set security address-book accounting-internal attach zone ls-accounting-trust set security address-book accounting-external address design 12.1.1.0/24 set security address-book accounting-external address marketing 13.1.1.0/24 set security address-book accounting-external address others 12.12.1.0/24 set security address-book accounting-external address-set otherlsys address design set security address-book accounting-external address-set otherlsys address marketing set security address-book accounting-external attach zone ls-accounting-untrust set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match source-address accounting set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match destination-address accounting set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys then permit set security zones security-zone ls-accounting-trust interfaces ge-0/0/7.1 set security zones security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie ein logisches Benutzersystem:
Melden Sie sich als Administrator des logischen Systems beim Benutzer an und wechseln Sie in den Konfigurationsmodus.
lsaccountingadmin1@host:ls-accounting-dept> configure lsaccountingadmin1@host:ls-accounting-dept#
Konfigurieren Sie die logische Schnittstelle für ein logisches Benutzersystem.
[edit interfaces] lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 family inet address 14.1.1.1/24 lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 vlan-id 900
Konfigurieren Sie die Routing-Instanz und weisen Sie Schnittstellen zu.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 instance-type virtual-router lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface lt-0/0/0.7
Konfigurieren Sie statische Routen.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 lsaccountingadmin1@host:ls-accounting-deptt# set acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Konfigurieren Sie Sicherheitszonen und weisen Sie den einzelnen Zonen Schnittstellen zu.
[edit security zones] lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-trust interfaces ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Erstellen Sie Adressbucheinträge.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal address accounting 14.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address design 12.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address marketing 13.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address others 12.12.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address design lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address marketing
Adressbücher an Zonen anhängen.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal attach zone ls-accounting-trust lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external attach zone ls-accounting-untrust
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der ls-accounting-trust-Zone in die ls-accounting-untrust-Zone zulässt.
[edit security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match source-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der ls-accounting-untrust-Zone in die ls-accounting-trust-Zone zulässt.
[edit security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match destination-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show routing-instances show security und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
lsaccountingadmin1@host:ls-accounting-dept# show routing-instances
acct-vr1 {
instance-type virtual-router;
interface ge-0/0/7.1;
interface lt-0/0/0.7;
routing-options {
static {
route 12.12.1.0/24 next-hop 10.0.1.1;
route 12.1.1.0/24 next-hop 10.0.1.2;
route 13.1.1.0/24 next-hop 10.0.1.3;
}
}
}
lsaccountingadmin1@host:ls-accounting-dept# show security
address-book {
accounting-internal {
address accounting 14.1.1.0/24;
attach {
zone ls-accounting-trust;
}
}
accounting-external {
address design 12.1.1.0/24;
address marketing 13.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address design;
address marketing;
}
attach {
zone ls-accounting-untrust;
}
}
}
policies {
from-zone ls-accounting-trust to-zone ls-accounting-untrust {
policy permit-all-to-otherlsys {
match {
source-address accounting;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-accounting-untrust to-zone ls-accounting-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address accounting;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-accounting-trust {
interfaces {
ge-0/0/7.1;
}
}
security-zone ls-accounting-untrust {
interfaces {
lt-0/0/0.7;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Beispiel: Konfigurieren von Sicherheitszonen für einen Benutzer Logische Systeme
In diesem Beispiel wird gezeigt, wie Zonen für ein logisches Benutzersystem konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Melden Sie sich beim logischen Benutzersystem als Administrator des logischen Benutzersystems an. Siehe Übersicht über die Konfiguration logischer Benutzersysteme.
Verwenden Sie den
show system security-profile zonesBefehl, um die Zonenressourcen anzuzeigen, die dem logischen System zugeordnet sind.Logische Schnittstellen für das logische Benutzersystem müssen konfiguriert sein. Siehe Beispiel: Schnittstellen und Routing-Instanzen für ein logisches System des Benutzers konfigurieren.
Überblick
In diesem Beispiel wird das benutzerlogische System ls-product-design konfiguriert, das in Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, ihre Benutzer und ein logisches Interconnect-System gezeigt wird.
In diesem Beispiel werden die in Tabelle 3 beschriebenen Zonen und Adressbücher erstellt.
Funktion |
Bezeichnung |
Konfigurationsparameter |
|---|---|---|
Zonen |
ls-produktdesign-vertrauen |
|
ls-produktdesign-nicht vertrauenswürdig |
|
|
Adressbücher |
Produktdesign-intern |
|
Produktdesign-extern |
|
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security address-book product-design-internal address product-designers 12.1.1.0/24 set security address-book product-design-internal attach zone ls-product-design-trust set security address-book product-design-external address marketing 13.1.1.0/24 set security address-book product-design-external address accounting 14.1.1.0/24 set security address-book product-design-external address others 12.12.1.0/24 set security address-book product-design-external address-set otherlsys address marketing set security address-book product-design-external address-set otherlsys address accounting set security address-book product-design-external attach zone ls-product-design-untrust set security zones security-zone ls-product-design-trust tcp-rst set security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie Zonen in einem logischen Benutzersystem:
Melden Sie sich als Administrator des logischen Systems beim Benutzer an und wechseln Sie in den Konfigurationsmodus.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Konfigurieren Sie eine Sicherheitszone und weisen Sie sie einer Schnittstelle zu.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
Konfigurieren Sie den TCP-Reset-Parameter für die Zone.
[edit security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
Konfigurieren Sie eine Sicherheitszone und weisen Sie sie einer Schnittstelle zu.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Erstellen Sie globale Adressbucheinträge.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 12.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 13.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 14.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 12.12.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
Adressbücher an Zonen anhängen.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design# set address-book product-design-external attach zone ls-product-design-untrust
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
lsdesignadmin1@host:ls-product-design# show security
address-book {
product-design-internal {
address product-designers 12.1.1.0/24;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 13.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .