Benutzer logische Systeme – Übersicht
Mit einem logischen Benutzersystem können Sie Zonen, Sicherheitsrichtlinien, logische Schnittstellen und Sicherheitsressourcen konfigurieren, die dem eigenen logischen Benutzersystem zugewiesen sind. Weitere Informationen finden Sie in den folgenden Themen:
Übersicht über die Konfiguration logischer Systeme des Benutzers
Wenn der primäre Administrator ein logisches Benutzersystem erstellt, weist er einen logischen Systemadministrator des Benutzers zu, um es zu verwalten. Ein logisches Benutzersystem kann mehrere logische Systemadministratoren des Benutzers haben.
Als Administrator des logischen Benutzersystems können Sie auf Ressourcen in Ihrem logischen Benutzersystem zugreifen und diese anzeigen, jedoch nicht auf die von anderen logischen Benutzersystemen oder dem primären logischen System. Sie können Ressourcen konfigurieren, die Ihrem logischen Benutzersystem zugewiesen sind, aber Sie können die Anzahl der zugewiesenen Ressourcen nicht ändern.
Die folgende Prozedur listet die Aufgaben auf, die der logische Systemadministrator des Benutzers ausführt, um Ressourcen im logischen Benutzersystem zu konfigurieren:
Melden Sie sich bei dem logischen System des Benutzers an, wobei die Anmeldung und das Kennwort vom primären Administrator konfiguriert wurden:
SSH an die auf dem Gerät konfigurierte Verwaltungs-IP-Adresse. Melden Sie sich bei dem logischen Benutzersystem mit der Administratoranmeldung und dem Kennwort an, die vom primären Administrator angegeben werden.
Sie geben eine UNIX-Shell im logischen Benutzersystem ein, das vom primären Administrator konfiguriert wurde.
Ab Junos OS Version 20.1R1, auf Geräten der SRX5400-, SRX5600- und SRX5800-Serie unterstützt Das Trusted Platform Module (TPM) nur mit SRX5K-RE3-128G Routing-Engine (RE3). Standardmäßig aktiviert der TPM-Chip. Um die TPM-Funktionalität in logischen Systemen zu verwenden, müssen Sie Master-Verschlüsselungsschlüssel (MEK) nur im logischen Root-System konfigurieren, und die logischen Benutzersysteme erben den gleichen MEK, um Konfigurations-Hash- und Public Key Infrastructure (PKI)-Schlüsselpaare zu verschlüsseln. Weitere Informationen zu TPM finden Sie unter Verwenden des Moduls der vertrauenswürdigen Plattform zum Binden von Geheimnissen auf Geräten der SRX-Serie.
Das Vorhandensein der > Eingabeaufforderung zeigt an, dass die CLI gestartet wurde. Der Eingabeaufforderung wird eine Zeichenfolge vorausgestellt, die Ihren Benutzernamen, den Hostnamen des Routers und den Namen des logischen Benutzersystems enthält. Wenn die CLI startet, befinden Sie sich auf der obersten Ebene im Betriebsmodus. Sie gehen in den Konfigurationsmodus, indem Sie den configure Betriebsmodus-Befehl eingeben. Die CLI-Eingabeaufforderung ändert sich von user@host: logical-system> auf user@host: logical-system#.
Geben quit Sie den Befehl ein, um die CLI zu beenden und zur UNIX-Shell zurückzukehren.
Konfigurieren Sie die logischen Schnittstellen, die dem logischen Benutzersystem vom primären Administrator zugewiesen wurden. Konfigurieren Sie eine oder mehrere Routing-Instanzen sowie die Routing-Protokolle und -optionen in jeder Instanz. Siehe Beispiel: Konfigurieren von Schnittstellen und Routing-Instanzen für logische Benutzersysteme.
Konfigurieren Sie Sicherheitsressourcen für das logische Benutzersystem:
Erstellen Sie Zonen für das logische Benutzersystem und binden Sie die logischen Schnittstellen an die Zonen. Es können Adressbücher erstellt werden, die zur Verwendung in Richtlinien an Zonen angehängt sind. Siehe Beispiel: Konfigurieren von Sicherheitszonen für logische Benutzersysteme.
Konfigurieren Sie Bildschirmoptionen auf Zonenebene. Siehe Beispiel: Konfigurieren von Bildschirmoptionen für logische Benutzersysteme.
Konfigurieren Sie Sicherheitsrichtlinien zwischen Zonen im logischen Benutzersystem. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinien in einem logischen Benutzersystem.
Für bestimmte Arten von Datenverkehr können benutzerdefinierte Anwendungen oder Anwendungssätze erstellt werden. Verwenden Sie zum Erstellen einer benutzerdefinierten Anwendung die
applicationKonfigurationsanweisung auf Hierarchieebene [edit applications]. Verwenden Sie zum Erstellen eines Anwendungssatzes dieapplication-setKonfigurationsaussage auf Hierarchieebene [edit applications].Konfigurieren Sie die Firewall-Authentifizierung. Der primäre Administrator erstellt Zugriffsprofile im primären logischen System. Siehe Beispiel: Konfigurieren von Zugriffsprofilen (nur primäre Administratoren).
Der logische Systemadministrator des Benutzers konfiguriert dann eine Sicherheitsrichtlinie, die die Firewall-Authentifizierung für den abgleichenden Datenverkehr angibt, und konfiguriert den Authentifizierungstyp (Pass-Through oder Webauthentifizierung), das Standardzugriffsprofil und das Erfolgsbanner. Siehe Beispiel: Konfigurieren der Firewall-Authentifizierung für ein logisches Benutzersystem.
Konfigurieren Sie einen routenbasierten VPN-Tunnel zum Schutz des Datenverkehrs zwischen einem logischen Benutzersystem und einem Remote-Standort. Der primäre Administrator weist dem logischen Benutzersystem eine sichere Tunnelschnittstelle zu und konfiguriert IKE- und IPsec-SAs für den VPN-Tunnel. Siehe Beispiel: Konfigurieren von IKE- und IPsec-SAs für einen VPN-Tunnel (nur primäre Administratoren).
Der benutzerlogische Systemadministrator konfiguriert dann einen routenbasierten VPN-Tunnel. Siehe Beispiel: Konfigurieren eines routenbasierten VPN-Tunnels in einem logischen Benutzersystem.
Konfigurieren Sie Network Address Translation (NAT). Siehe Beispiel: Konfigurieren der Network Address Translation für logische Benutzersysteme.
Konfigurieren und Weisen Sie dem logischen Benutzersystem eine vordefinierte IDP-Richtlinie zu. Der primäre Administrator konfiguriert IDP-Richtlinien auf der Root-Ebene und gibt eine IDP-Richtlinie im Sicherheitsprofil an, die an ein logisches System gebunden ist. Siehe Beispiel: Konfigurieren und Zuweisen einer vordefinierten IDP-Richtlinie für ein logisches Benutzersystem.
Der benutzerlogische Systemadministrator aktiviert dann IDP in einer Sicherheitsrichtlinie. Siehe Beispiel: Aktivieren von IDP in einer Sicherheitsrichtlinie für das logische System des Benutzers.
Konfigurieren und aktivieren Sie eine IDP-Richtlinie im logischen Benutzersystem. Siehe Beispiel: Konfigurieren einer IDP-Richtlinie für ein logisches Benutzersystem
Anzeige oder Löschen von AsC-Einträgen (Application System Cache). Siehe Grundlegendes zu Anwendungsidentifizierungsservices für logische Systeme.
Konfigurieren Sie Anwendungs-Firewall-Services auf einem logischen Benutzersystem. Siehe Grundlegendes zu Anwendungs-Firewall-Services für logische Systeme und Beispiel: Konfigurieren von Anwendungs-Firewall-Services für ein logisches Benutzersystem.
Konfigurieren Sie das AppTrack-Tool zur Anwendungsverfolgung. Siehe Beispiel: Konfigurieren von AppTrack für logische Benutzersysteme.
Siehe auch
Grundlegendes zu logischen Systemen des Benutzers und zur Administratorrolle des logischen Systems des Benutzers
Logische Systeme ermöglichen es einem primären Administrator, eine Firewall der SRX-Serie in separate Kontexte zu partitionieren, die als benutzerlogische Systeme bezeichnet werden. Logische Benutzersysteme sind in sich geschlossene, private Kontexte, die sowohl voneinander als auch vom primären logischen System getrennt sind. Ein logisches Benutzersystem verfügt über eigene Sicherheits-, Netzwerk-, logische Schnittstellen, Routing-Konfigurationen und einen oder mehrere logische Systemadministratoren des Benutzers.
Wenn der primäre Administrator ein logisches Benutzersystem erstellt, weist er einen oder mehrere benutzerlogische Systemadministratoren zu, um es zu verwalten. Ein benutzerlogischer Systemadministrator hat eine Ansicht des Geräts, das auf sein logisches System beschränkt ist. Obwohl ein logisches Benutzersystem von einem logischen Benutzersystemadministrator verwaltet wird, hat der primäre Administrator eine globale Ansicht des Geräts und Zugriff auf alle logischen Benutzersysteme. Bei Bedarf kann der primäre Administrator jedes logische Benutzersystem auf dem Gerät verwalten.
Die Rolle und Verantwortlichkeiten eines logischen Systemadministrators eines Benutzers unterscheiden sich von denen des primären Administrators. Als benutzerlogischer Systemadministrator können Sie auf die Konfiguration ihrer logischen Benutzersystemressourcen zugreifen, konfigurieren und anzeigen, nicht jedoch auf die ressourcen anderer logischer Benutzersysteme oder des primären logischen Systems.
Als administrator logischer Benutzersystem können Sie:
Konfigurieren Sie Zonen, Adressbücher, Sicherheitsrichtlinien, Benutzerlisten, benutzerdefinierte Services usw. für Ihre logische Benutzersystemumgebung, basierend auf den ihr zugewiesenen Ressourcen.
Wenn der primäre Administrator ihrem logischen Benutzersystem beispielsweise 40 Zonen zuweist, können Sie diese Zonen konfigurieren und verwalten, aber Sie können die zugewiesene Nummer nicht ändern.
Konfigurieren Sie Routing-Instanzen und weisen Sie ihnen zugewiesene Schnittstellen zu. Erstellen Sie statische Routen und fügen Sie sie Ihren Routing-Instanzen hinzu. Konfigurieren Sie Routing-Protokolle.
Konfigurieren, Aktivieren und Überwachen der Anwendungs-Firewall-Richtlinie in Ihrem logischen Benutzersystem.
Konfigurieren Sie AppTrack.
Zeigen Sie alle zugewiesenen logischen Schnittstellen an und konfigurieren Sie deren Attribute. Die Attribute, die Sie für logische Schnittstellen für Ihr logisches Benutzersystem konfigurieren, können von anderen Logischen Benutzersystemadministratoren nicht erkannt werden.
Führen Sie Betriebsbefehle für Ihr logisches Benutzersystem aus.