Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Sicherheitszonen

Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, die die Regulierung des ein- und ausgehenden Datenverkehrs durch Richtlinien erfordern. Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sie können mehrere Sicherheitszonen definieren, deren genaue Anzahl Sie basierend auf Ihren Netzwerkanforderungen festlegen.

Sicherheitszonen – Übersicht

Schnittstellen fungieren als Tür, durch die Datenverkehr in ein Gerät von Juniper Networks ein- und ausgeht. Viele Schnittstellen können genau die gleichen Sicherheitsanforderungen haben. Unterschiedliche Schnittstellen können aber auch unterschiedliche Sicherheitsanforderungen an ein- und ausgehende Datenpakete stellen. Schnittstellen mit identischen Sicherheitsanforderungen können in einer einzigen Sicherheitszone zusammengefasst werden.

Eine Sicherheitszone ist eine Sammlung von einem oder mehreren Netzwerksegmenten, die die Regulierung des ein- und ausgehenden Datenverkehrs durch Richtlinien erfordern.

Sicherheitszonen sind logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Bei vielen Gerätetypen von Juniper Networks können Sie mehrere Sicherheitszonen definieren, deren genaue Anzahl Sie basierend auf Ihren Netzwerkanforderungen festlegen.

Auf einem einzigen Gerät können Sie mehrere Sicherheitszonen konfigurieren und das Netzwerk in Segmente unterteilen, auf die Sie verschiedene Sicherheitsoptionen anwenden können, um die Anforderungen jedes Segments zu erfüllen. Sie müssen mindestens zwei Sicherheitszonen definieren, um einen Bereich des Netzwerks vor dem anderen zu schützen. Auf einigen Sicherheitsplattformen können Sie viele Sicherheitszonen definieren, um Ihr Netzwerksicherheitsdesign detaillierter zu gestalten – und das ohne den Einsatz mehrerer Sicherheits-Appliances.

Aus der Perspektive der Sicherheitsrichtlinien gelangt der Datenverkehr in eine Sicherheitszone und wird in einer anderen Sicherheitszone wieder verlassen. Diese Kombination aus a from-zone und a to-zone wird als Kontext definiert. Jeder Kontext enthält eine geordnete Liste von Richtlinien. Weitere Informationen zu Richtlinien finden Sie unter Übersicht über Sicherheitsrichtlinien.

Dieses Thema enthält die folgenden Abschnitte:

Grundlegendes zu Sicherheitszonenschnittstellen

Eine Schnittstelle für eine Sicherheitszone kann als Tor betrachtet werden, durch das TCP/IP-Datenverkehr zwischen dieser Zone und jeder anderen Zone übertragen werden kann.

Mithilfe der von Ihnen definierten Richtlinien können Sie zulassen, dass der Datenverkehr zwischen Zonen in eine Richtung oder in beide Richtungen fließt. Mit den Routen, die Sie definieren, geben Sie die Schnittstellen an, die der Datenverkehr von einer Zone in eine andere verwenden muss. Da Sie mehrere Schnittstellen an eine Zone binden können, sind die von Ihnen erfassten Routen wichtig, um den Datenverkehr an die Schnittstellen Ihrer Wahl weiterzuleiten.

Eine Schnittstelle kann mit einer IPv4-Adresse, einer IPv6-Adresse oder beidem konfiguriert werden.

Grundlegendes zu Funktionszonen

Eine Funktionszone wird für spezielle Zwecke verwendet, z. B. für Verwaltungsschnittstellen. Derzeit wird nur die Verwaltungszone (MGT) unterstützt. Verwaltungszonen haben die folgenden Eigenschaften:

  • Verwaltungszonen und Hostverwaltungsschnittstellen.

  • Der Datenverkehr, der in Verwaltungszonen gelangt, entspricht nicht den Richtlinien. Daher kann Datenverkehr nicht aus einer anderen Schnittstelle übertragen werden, wenn er in der Verwaltungsschnittstelle empfangen wurde.

  • Verwaltungszonen können nur für dedizierte Verwaltungsschnittstellen verwendet werden.

Grundlegendes zu Sicherheitszonen

Sicherheitszonen sind die Bausteine für Richtlinien; Dabei handelt es sich um logische Entitäten, an die eine oder mehrere Schnittstellen gebunden sind. Sicherheitszonen bieten ein Mittel, um Gruppen von Hosts (Benutzersysteme und andere Hosts, z. B. Server) und ihre Ressourcen voneinander zu unterscheiden, um unterschiedliche Sicherheitsmaßnahmen auf sie anzuwenden.

Sicherheitszonen haben die folgenden Eigenschaften:

  • Richtlinien: Aktive Sicherheitsrichtlinien, die Regeln für den Transitdatenverkehr durchsetzen, in Bezug darauf, welcher Datenverkehr die Firewall passieren kann und welche Aktionen für den Datenverkehr beim Passieren der Firewall ausgeführt werden müssen. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.

  • Bildschirme: Eine Stateful-Firewall von Juniper Networks schützt ein Netzwerk, indem sie alle Verbindungsversuche, die den Übergang von einer Sicherheitszone in eine andere erfordern, inspiziert und dann zulässt oder ablehnt. Für jede Sicherheitszone können Sie eine Reihe vordefinierter Bildschirmoptionen aktivieren, die verschiedene Arten von Datenverkehr erkennen und blockieren, die das Gerät als potenziell schädlich einstuft. Weitere Informationen finden Sie unter Übersicht über die Abschreckung durch Aufklärung.

  • Adressbücher: IP-Adressen und Adresssätze, die ein Adressbuch bilden, um dessen Mitglieder zu identifizieren, damit Sie Richtlinien auf sie anwenden können. Adressbucheinträge können eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen und DNS-Namen (Domain Name System) enthalten. Weitere Informationen finden Sie unter Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.

  • TCP-RST: Wenn diese Funktion aktiviert ist, sendet das System ein TCP-Segment mit gesetztem RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das SYNchronize-Flag nicht gesetzt ist.

  • Schnittstellen: Liste der Schnittstellen in der Zone.

Sicherheitszonen verfügen über die folgende vorkonfigurierte Zone:

  • Vertrauenszone: Nur in der Werkskonfiguration verfügbar und wird für die erste Verbindung mit dem Gerät verwendet. Nachdem Sie einen Commit für eine Konfiguration ausgeführt haben, kann die Vertrauenszone überschrieben werden.

Beispiel: Erstellen von Sicherheitszonen

In diesem Beispiel wird gezeigt, wie Zonen konfiguriert und ihnen Schnittstellen zugewiesen werden. Wenn Sie eine Sicherheitszone konfigurieren, können Sie viele ihrer Parameter gleichzeitig angeben.

Anforderungen

Bevor Sie beginnen, konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheitsgeräte der Schnittstelle.

Überblick

Eine Schnittstelle für eine Sicherheitszone kann als Tor betrachtet werden, durch das TCP/IP-Datenverkehr zwischen dieser Zone und jeder anderen Zone übertragen werden kann.

Anmerkung:

Standardmäßig befinden sich Schnittstellen in der NULL-Zone. Die Schnittstellen leiten den Datenverkehr erst weiter, wenn sie einer Zone zugewiesen wurden.

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So erstellen Sie Zonen und weisen ihnen Schnittstellen zu:

  1. Konfigurieren Sie eine Ethernet-Schnittstelle und weisen Sie ihr eine IPv4-Adresse zu.

  2. Konfigurieren Sie eine Ethernet-Schnittstelle und weisen Sie ihr eine IPv6-Adresse zu.

  3. Konfigurieren Sie eine Sicherheitszone und weisen Sie sie einer Ethernet-Schnittstelle zu.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones security-zone ABC Befehle und show interfaces ge-0/0/1 eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält diese show Ausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte (...) ersetzt.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Fehlerbehebung mit Protokollen

Zweck

Verwenden Sie diese Protokolle, um Probleme zu identifizieren.

Aktion

Geben Sie im Betriebsmodus den show log messages Befehl und den show log dcd Befehl ein.

Unterstützte Systemservices für den eingehenden Hostdatenverkehr

In diesem Thema werden die unterstützten Systemdienste für den eingehenden Hostdatenverkehr in der angegebenen Zone oder Schnittstelle beschrieben.

Angenommen, ein Benutzer, dessen System mit einer Schnittstelle 203.0.113.4 in der Zone ABC verbunden war, möchte eine Telnet-Verbindung mit einer Schnittstelle 198.51.100.4 in der Zone ABCherstellen. Damit diese Aktion zugelassen wird, muss die Telnet-Anwendung auf beiden Schnittstellen als zulässiger eingehender Dienst konfiguriert sein, und eine Richtlinie muss die Übertragung des Datenverkehrs zulassen.

Im Abschnitt Optionen unter system-services (Security Zones, Host Inbound Traffic) finden Sie die Systemdienste, die für den eingehenden Hostdatenverkehr verwendet werden können.

Anmerkung:

Das xnm-clear-text Feld ist in der werkseitigen Standardkonfiguration aktiviert. Diese Einstellung aktiviert eingehenden Junos XML-Protokolldatenverkehr in der Vertrauenszone für das Gerät, wenn das Gerät mit den werkseitigen Standardeinstellungen arbeitet. Es wird empfohlen, die werkseitigen Standardeinstellungen durch eine benutzerdefinierte Konfiguration zu ersetzen, die zusätzliche Sicherheit bietet, sobald das Gerät konfiguriert ist. Sie müssen das xnm-clear-text Feld manuell mit dem CLI-Befehl delete system services xnm-clear-textlöschen.

Im Abschnitt "Optionen " unter Protokolle (Sicherheitszonen, Schnittstellen) finden Sie Informationen zu den unterstützten Protokollen, die für den eingehenden Datenverkehr des Hosts verwendet werden können.

Anmerkung:

Alle Dienste (außer DHCP und BOOTP) können entweder pro Zone oder pro Schnittstelle konfiguriert werden. Ein DHCP-Server wird nur pro Schnittstelle konfiguriert, da die eingehende Schnittstelle dem Server bekannt sein muss, um DHCP-Antworten senden zu können.

Anmerkung:

Sie müssen Neighbor Discovery Protocol (NDP) nicht für eingehenden Hostdatenverkehr konfigurieren, da NDP standardmäßig aktiviert ist.

Eine Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption ist set protocol neighbor-discovery onlink-subnet-only command. Diese Option verhindert, dass das Gerät auf eine Neighbor Solicitation (NS) von einem Präfix reagiert, das nicht als eines der Geräteschnittstellenpräfixe enthalten war.

Anmerkung:

Die Routing-Engine muss nach dem Setzen dieser Option neu gestartet werden, um die Möglichkeit zu entfernen, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.

Informationen zur Steuerung des eingehenden Datenverkehrs auf der Grundlage von Datenverkehrstypen

In diesem Thema wird beschrieben, wie Zonen konfiguriert werden, um die Arten von Datenverkehr anzugeben, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind.

Beachten Sie Folgendes:

  • Sie können diese Parameter auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. (Die Schnittstellenkonfiguration hat Vorrang vor der Konfiguration der Zone.)

  • Sie müssen den gesamten erwarteten eingehenden Hostdatenverkehr aktivieren. Eingehender Datenverkehr, der für dieses Gerät bestimmt ist, wird standardmäßig verworfen.

  • Sie können auch die Schnittstellen einer Zone so konfigurieren, dass sie von dynamischen Routing-Protokollen verwendet werden können.

Mit dieser Funktion können Sie das Gerät vor Angriffen schützen, die von Systemen gestartet werden, die direkt oder indirekt mit einer seiner Schnittstellen verbunden sind. Außerdem können Sie das Gerät selektiv konfigurieren, sodass Administratoren es mit bestimmten Anwendungen auf bestimmten Schnittstellen verwalten können. Sie können die Verwendung anderer Anwendungen auf derselben oder auf anderen Schnittstellen einer Zone verbieten. Beispielsweise möchten Sie höchstwahrscheinlich sicherstellen, dass Außenstehende die Telnet-Anwendung nicht aus dem Internet verwenden, um sich bei dem Gerät anzumelden, da Sie nicht möchten, dass sie eine Verbindung zu Ihrem System herstellen.

Beispiel: Eingehenden Datenverkehr basierend auf Datenverkehrstypen steuern

In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr basierend auf Datenverkehrstypen konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

Überblick

Indem Sie die Ausführung von Systemdiensten zulassen, können Sie Zonen konfigurieren, um verschiedene Datenverkehrstypen anzugeben, die das Gerät von Systemen erreichen können, die direkt mit seinen Schnittstellen verbunden sind. Sie können die verschiedenen Systemdienste auf Zonenebene konfigurieren, in diesem Fall wirken sie sich auf alle Schnittstellen der Zone aus, oder auf Schnittstellenebene. (Die Schnittstellenkonfiguration hat Vorrang vor der Konfiguration der Zone.)

Sie müssen den gesamten erwarteten eingehenden Hostdatenverkehr aktivieren. Eingehender Datenverkehr von Geräten, die direkt mit den Schnittstellen des Geräts verbunden sind, wird standardmäßig verworfen.

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eingehenden Datenverkehr basierend auf Datenverkehrstypen:

  1. Konfigurieren Sie eine Sicherheitszone.

  2. Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr für alle Systemdienste unterstützt wird.

  3. Konfigurieren Sie die Telnet-, FTP- und SNMP-Systemdienste auf Schnittstellenebene (nicht auf Zonenebene) für die erste Schnittstelle.

  4. Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr für alle Systemdienste für eine zweite Schnittstelle unterstützt wird.

  5. Schließen Sie die FTP- und HTTP-Systemdienste von der zweiten Schnittstelle aus.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die . show security zones security-zone ABC Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Fehlerbehebung mit Protokollen

Zweck

Verwenden Sie diese Protokolle, um Probleme zu identifizieren.

Aktion

Geben Sie im Betriebsmodus den show log messages Befehl und den show log dcd Befehl ein.

Informationen zur protokollbasierten Steuerung des eingehenden Datenverkehrs

In diesem Thema werden die eingehenden Systemprotokolle in der angegebenen Zone oder Schnittstelle beschrieben.

Jeder eingehende Hostdatenverkehr, der einem Protokoll entspricht, das unter der Option hosteingehender Datenverkehr aufgeführt ist, ist zulässig. Wenn Sie z. B. irgendwo in der Konfiguration ein Protokoll einer anderen Portnummer als der Standardportnummer zuordnen, können Sie das Protokoll in der Option Host-eingehender Datenverkehr angeben, und die neue Portnummer wird verwendet. Tabelle 1 listet die unterstützten Protokolle auf. Der Wert von all gibt an, dass Datenverkehr aus allen folgenden Protokollen auf den angegebenen Schnittstellen (der Zone oder einer einzelnen angegebenen Schnittstelle) eingehend zulässig ist.

Tabelle 1: Unterstützte eingehende Systemprotokolle

Unterstützte Systemservices

alle

igmp

Pim

Saft

Bfd

Ldp

zerreißen

VRRP

Bgp

MSDP

ripng

NHRP

Router-Erkennung

DVMRP

ospf

u.A.w.g

PGM

OSPF3-KARTON

   
Anmerkung:

Wenn DVMRP oder PIM für eine Schnittstelle aktiviert ist, wird der eingehende IGMP- und MLD-Hostdatenverkehr automatisch aktiviert. Da IS-IS OSI-Adressierung verwendet und keinen IP-Datenverkehr generieren sollte, gibt es für das IS-IS-Protokoll keine Option für eingehenden Hostdatenverkehr.

Anmerkung:

Sie müssen Neighbor Discovery Protocol (NDP) nicht für eingehenden Hostdatenverkehr konfigurieren, da NDP standardmäßig aktiviert ist.

Eine Konfigurationsoption für IPv6 Neighbor Discovery Protocol (NDP) ist verfügbar. Die Konfigurationsoption ist set protocol neighbor-discovery onlink-subnet-only command. Diese Option verhindert, dass das Gerät auf eine Neighbor Solicitation (NS) von einem Präfix reagiert, das nicht als eines der Geräteschnittstellenpräfixe enthalten war.

Anmerkung:

Die Routing-Engine muss nach dem Setzen dieser Option neu gestartet werden, um die Möglichkeit zu entfernen, dass ein vorheriger IPv6-Eintrag in der Weiterleitungstabelle verbleibt.

Beispiel: Steuerung des eingehenden Datenverkehrs auf der Grundlage von Protokollen

In diesem Beispiel wird gezeigt, wie eingehender Datenverkehr für eine Schnittstelle aktiviert wird.

Anforderungen

Bevor Sie beginnen:

Überblick

Jeder eingehende Hostdatenverkehr, der einem Protokoll entspricht, das unter der Option hosteingehender Datenverkehr aufgeführt ist, ist zulässig. Wenn Sie z. B. an einer beliebigen Stelle in der Konfiguration ein Protokoll einer anderen Portnummer als der Standardportnummer zuordnen, können Sie das Protokoll in der Option Host-eingehender Datenverkehr angeben, und die neue Portnummer wird verwendet.

Der Wert von all gibt an, dass Datenverkehr von allen Protokollen auf den angegebenen Schnittstellen (der Zone oder einer einzelnen angegebenen Schnittstelle) eingehend zugelassen wird.

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eingehenden Datenverkehr basierend auf Protokollen:

  1. Konfigurieren Sie eine Sicherheitszone.

  2. Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr basierend auf dem ospf-Protokoll für eine Schnittstelle unterstützt wird.

  3. Konfigurieren Sie die Sicherheitszone so, dass eingehender Datenverkehr basierend auf dem ospf3-Protokoll für eine Schnittstelle unterstützt wird.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die . show security zones security-zone ABC Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Fehlerbehebung mit Protokollen

Zweck

Verwenden Sie diese Protokolle, um Probleme zu identifizieren.

Aktion

Geben Sie im Betriebsmodus den show log messages Befehl und den show log dcd Befehl ein.

Beispiel: Konfigurieren des TCP-Reset-Parameters

In diesem Beispiel wird gezeigt, wie der TCP-Reset-Parameter für eine Zone konfiguriert wird.

Anforderungen

Bevor Sie beginnen, konfigurieren Sie Sicherheitszonen. Siehe Beispiel: Erstellen von Sicherheitszonen.

Überblick

Wenn die Funktion TCP-Reset-Parameter aktiviert ist, sendet das System ein TCP-Segment mit gesetztem RESET-Flag, wenn Datenverkehr eintrifft, der nicht mit einer vorhandenen Sitzung übereinstimmt und für den das SYN-Flag nicht festgelegt ist.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den TCP-Reset-Parameter für eine Zone:

  1. Konfigurieren Sie eine Sicherheitszone.

  2. Konfigurieren Sie den TCP-Reset-Parameter für die Zone.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.

Verifizierung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl show security zones ein.

Plattformspezifisches Erstellungsverhalten für Sicherheitszonen

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:

Bahnsteig

Unterschied

SRX-Serie

  • Auf SRX3400-, SRX3600-, SRX4600-, SRX4700-, SRX5400-, SRX5600- oder SRX5800-Geräten können Sie je nach Junos OS Version in Ihrer Installation 2000 Schnittstellen innerhalb einer Sicherheitszone konfigurieren.