Übersicht über logische Systeme für Benutzer
Ein benutzerlogisches System ermöglicht es Ihnen, Zonen, Sicherheitsrichtlinien, logische Schnittstellen und Sicherheitsressourcen zu konfigurieren, die einem eigenen logischen Benutzersystem zugewiesen sind. Weitere Informationen finden Sie in den folgenden Themen:
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
Im Abschnitt Plattformspezifisches logisches Benutzersystemverhalten finden Sie Hinweise zu Ihrer Plattform.
Übersicht über die Konfiguration logischer Systeme für den Benutzer
Wenn der primäre Administrator ein logisches Benutzersystem erstellt, weist er einen logischen Benutzersystemadministrator zu, um es zu verwalten. Ein benutzerlogisches System kann mehrere logische Systemadministratoren haben.
Als Administrator des logischen Benutzersystems können Sie auf Ressourcen in Ihrem logischen Benutzersystem zugreifen und diese anzeigen, jedoch nicht die anderer logischer Benutzersysteme oder des primären logischen Systems. Sie können Ressourcen konfigurieren, die Ihrem logischen Benutzersystem zugeordnet sind, aber Sie können die Anzahl der zugeordneten Ressourcen nicht ändern.
Das folgende Verfahren listet die Aufgaben auf, die der Administrator des logischen Benutzersystems ausführt, um Ressourcen im logischen Benutzersystem zu konfigurieren:
Melden Sie sich beim logischen Benutzersystem mit dem Benutzernamen und dem Kennwort an, die vom primären Administrator konfiguriert wurden:
SSH an die auf dem Gerät konfigurierte Verwaltungs-IP-Adresse. Melden Sie sich beim logischen Benutzersystem mit dem Administrator-Login und -Passwort an, das Sie vom primären Administrator erhalten haben.
Sie geben eine UNIX-Shell in das vom primären Administrator konfigurierte logische Benutzersystem ein.
Der TPM-Chip (Trusted Platform Module) ist standardmäßig aktiviert. Um die TPM-Funktionalität in logischen Systemen verwenden zu können, müssen Sie den Master-Encryption-Key (MEK) nur auf dem logischen Stammsystem konfigurieren, und die logischen Benutzersysteme erben denselben MEK zum Verschlüsseln des Konfigurationshashs und der PKI-Schlüsselpaare (Public Key Infrastructure). Weitere Informationen zu TPM finden Sie unter Verwenden des Moduls der vertrauenswürdigen Plattform zum Binden von Geheimnissen auf Geräten der SRX-Serie.
Das Vorhandensein der >-Eingabeaufforderung zeigt an, dass die CLI gestartet wurde. Der Eingabeaufforderung wird eine Zeichenfolge vorangestellt, die Ihren Benutzernamen, den Hostnamen des Routers und den Namen des logischen Benutzersystems enthält. Wenn die CLI gestartet wird, befinden Sie sich auf der obersten Ebene im Betriebsmodus. Sie rufen den Konfigurationsmodus auf, indem Sie den configure Befehl Betriebsmodus eingeben. Die CLI Eingabeaufforderung ändert sich von user@host: logical-system> zu user@host: logical-system#.
Geben Sie den quit Befehl ein, um die CLI zu beenden und zur UNIX-Shell zurückzukehren.
Konfigurieren Sie die logischen Schnittstellen, die dem logischen Benutzersystem vom primären Administrator zugewiesen wurden. Konfigurieren Sie eine oder mehrere Routing-Instanzen sowie die Routing-Protokolle und -Optionen in jeder Instanz. Siehe Beispiel: Schnittstellen und Routing-Instanzen für ein logisches System des Benutzers konfigurieren.
Konfigurieren Sie Sicherheitsressourcen für das logische Benutzersystem:
Erstellen Sie Zonen für das logische Benutzersystem und binden Sie die logischen Schnittstellen an die Zonen. Es können Adressbücher erstellt werden, die Zonen zur Verwendung in Richtlinien zugeordnet sind. Siehe Beispiel: Konfigurieren von Sicherheitszonen für einen Benutzer Logische Systeme.
Konfigurieren Sie Bildschirmoptionen auf Zonenebene. Siehe Beispiel: Bildoptionen für einen Benutzer konfigurieren Logische Systeme.
Konfigurieren Sie Sicherheitsrichtlinien zwischen Zonen im logischen Benutzersystem. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinien in einem benutzerlogischen System.
Benutzerdefinierte Anwendungen oder Anwendungsgruppen können für bestimmte Datenverkehrstypen erstellt werden. Um eine benutzerdefinierte Anwendung zu erstellen, verwenden Sie die
applicationKonfigurationsanweisung auf der Hierarchieebene [edit applications]. Um einen Anwendungssatz zu erstellen, verwenden Sie dieapplication-setKonfigurationsanweisung auf der Hierarchieebene [edit applications].Konfigurieren Sie die Firewall-Authentifizierung. Der primäre Administrator erstellt Zugriffsprofile im primären logischen System. Siehe Beispiel: Zugriffsprofile konfigurieren (nur primäre Administratoren).
Der logische Systemadministrator des Benutzers konfiguriert dann eine Sicherheitsrichtlinie, die die Firewall-Authentifizierung für übereinstimmenden Datenverkehr angibt und den Typ der Authentifizierung (Pass-Through- oder Web-Authentifizierung), das Standardzugriffsprofil und das Erfolgsbanner konfiguriert. Siehe Beispiel: Firewall-Authentifizierung für ein logisches Benutzersystem konfigurieren.
Konfigurieren Sie einen routenbasierten VPN-Tunnel, um den Datenverkehr zwischen einem benutzerlogischen System und einem Remote-Standort zu sichern. Der primäre Administrator weist dem logischen Benutzersystem eine sichere Tunnelschnittstelle zu und konfiguriert IKE- und IPsec-SAs für den VPN-Tunnel. Siehe Beispiel: Konfigurieren von IKE- und IPsec-SAs für einen VPN-Tunnel (nur primäre Administratoren).
Der logische Systemadministrator des Benutzers konfiguriert dann einen routenbasierten VPN-Tunnel. Siehe Beispiel: Konfiguration eines routenbasierten VPN-Tunnels in einem benutzerlogischen System.
Konfigurieren Sie Network Address Translation (NAT). Siehe Beispiel: Konfigurieren von Network Address Translation für einen Benutzer Logische Systeme.
Konfigurieren und Zuweisen einer vordefinierten IDP-Richtlinie zum logischen Benutzersystem. Der primäre Administrator konfiguriert IDP-Richtlinien auf der Stammebene und gibt im Sicherheitsprofil eine IDP-Richtlinie an, die an ein logisches System gebunden ist. Siehe Beispiel: Konfigurieren und Zuweisen einer vordefinierten IDP-Richtlinie für ein logisches Benutzersystem.
Der logische Systemadministrator des Benutzers aktiviert dann IDP in einer Sicherheitsrichtlinie. Siehe Beispiel: Aktivieren von IDP in einem benutzerlogischen System Sicherheit einer Richtlinie.
Konfigurieren und aktivieren Sie eine IDP-Richtlinie auf dem logischen Benutzersystem. Siehe Beispiel: Konfigurieren einer IDP-Richtlinie für ein logisches Benutzersystem
ASC-Einträge (Application System Cache) anzeigen oder löschen. Siehe Logische Systeme verstehen von Anwendungsidentifikationsservices.
Konfigurieren Sie Anwendungs-Firewall-Services auf einem benutzerlogischen System. Weitere Informationen finden Sie unter Grundlegendes zu logischen Systemen Anwendungs-Firewall-Services und Beispiel: Konfigurieren von Anwendungs-Firewall-Services für ein logisches Benutzersystem.
Konfigurieren Sie das AppTrack-Tool zur Anwendungsverfolgung. Siehe Beispiel: AppTrack für einen Benutzer konfigurieren Logische Systeme.
Siehe auch
Grundlegendes zu logischen Benutzersystemen und der Rolle des benutzerlogischen Systemadministrators
Logische Systeme ermöglichen es einem primären Administrator, eine Firewall der SRX-Serie in diskrete Kontexte zu partitionieren, die als logische Benutzersysteme bezeichnet werden. Logische Benutzersysteme sind in sich geschlossene, private Kontexte, die sowohl voneinander als auch vom primären logischen System getrennt sind. Ein benutzerlogisches System verfügt über eigene Sicherheits-, Netzwerk-, logische Schnittstellen, Routing-Konfigurationen und einen oder mehrere logische Benutzersystemadministratoren.
Wenn der primäre Administrator ein benutzerlogisches System erstellt, weist er einen oder mehrere logische Benutzersystemadministratoren zu, um es zu verwalten. Ein logischer Systemadministrator hat eine Ansicht des Geräts, die auf sein logisches System beschränkt ist. Obwohl ein benutzerlogisches System von einem benutzerlogischen Systemadministrator verwaltet wird, hat der primäre Administrator eine globale Ansicht des Geräts und Zugriff auf alle logischen Benutzersysteme. Bei Bedarf kann der primäre Administrator jedes logische Benutzersystem auf dem Gerät verwalten.
Die Rolle und die Verantwortlichkeiten eines logischen Benutzersystemadministrators unterscheiden sich von denen des primären Administrators. Als Administrator des logischen Benutzersystems können Sie auf die Konfiguration Ihrer logischen Benutzersystemressourcen zugreifen, diese konfigurieren und anzeigen, jedoch nicht die anderer logischer Benutzersysteme oder des primären logischen Systems.
Als Administrator logischer Benutzersysteme haben Sie folgende Möglichkeiten:
Konfigurieren Sie Zonen, Adressbücher, Sicherheitsrichtlinien, Benutzerlisten, benutzerdefinierte Dienste usw. für Ihre logische Benutzersystemumgebung auf der Grundlage der ihr zugewiesenen Ressourcen.
Wenn der primäre Administrator Ihrem logischen Benutzersystem beispielsweise 40 Zonen zuweist, können Sie diese Zonen konfigurieren und verwalten, aber Sie können die zugewiesene Anzahl nicht ändern.
Konfigurieren Sie Routing-Instanzen und weisen Sie ihnen zugewiesene Schnittstellen zu. Erstellen Sie statische Routen und fügen Sie sie Ihren Routing-Instances hinzu. Konfigurieren Sie Routing-Protokolle.
Konfigurieren, aktivieren und überwachen Sie Anwendungs-Firewall-Richtlinien auf Ihrem logischen Benutzersystem.
Konfigurieren Sie AppTrack.
Zeigen Sie alle zugewiesenen logischen Schnittstellen an und konfigurieren Sie ihre Attribute. Die Attribute, die Sie für logische Schnittstellen für Ihr logisches Benutzersystem konfigurieren, können von anderen Administratoren des logischen Benutzersystems nicht angezeigt werden.
Führen Sie Betriebsbefehle für Ihr logisches Benutzersystem aus.
Siehe auch
Plattformspezifisches logisches Systemverhalten des Benutzers
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:
| Plattform |
Unterschied |
|---|---|
| SRX-Serie |
|