Profils de sécurité pour les systèmes logiques
Les profils de sécurité des systèmes logiques vous permettent d’allouer des ressources. Sécurité profils spécifie le nombre de ressources à allouer à un système logique auquel le profil de sécurité est lié. Toutes les ressources système sont allouées au système logique principal et l’administrateur principal les alloue au système logique utilisateur à l’aide du profil de sécurité. Pour plus d’informations, consultez les rubriques suivantes :
Présentation des profils de sécurité des systèmes logiques (administrateurs principaux uniquement)
Les systèmes logiques vous permettent de diviser virtuellement un pare-feu SRX Series pris en charge en plusieurs appareils, en les isolant les uns des autres, en les protégeant contre les intrusions et les attaques, et en les protégeant des conditions défectueuses hors de leur propre contexte. Pour protéger les systèmes logiques, les ressources de sécurité sont configurées de la même manière que pour un périphérique distinct. Toutefois, en tant qu’administrateur principal, vous devez allouer les types et les quantités de ressources de sécurité aux systèmes logiques. L’administrateur du système logique alloue des ressources à son propre système logique.
Un pare-feu SRX Series exécutant des systèmes logiques peut être partitionné en systèmes logiques utilisateur, un système logique d’interconnexion, si vous le souhaitez, et le système logique principal par défaut. Lorsque le système est initialisé, le système logique principal est créé au niveau racine. Toutes les ressources système lui sont affectées, créant ainsi un profil de sécurité du système logique principal par défaut. Pour distribuer les ressources de sécurité entre les systèmes logiques, l’administrateur principal crée des profils de sécurité qui spécifient les types et les quantités de ressources à allouer à un système logique auquel le profil de sécurité est lié. Seul l’administrateur principal peut configurer les profils de sécurité et les lier aux systèmes logiques. L’administrateur du système logique de l’utilisateur configure ces ressources pour son système logique.
Les systèmes logiques sont définis en grande partie par les ressources qui leur sont allouées, notamment les composants de sécurité, les interfaces, les instances de routage, les routes statiques et les protocoles de routage dynamique. Lorsque l’administrateur principal configure un système logique utilisateur, il y lie un profil de sécurité. Toute tentative de validation d’une configuration pour un système logique utilisateur sans profil de sécurité lié à celui-ci échouera.
Cette rubrique comprend les sections suivantes :
- Profils de sécurité des systèmes logiques
- Comment le système évalue l’affectation et l’utilisation des ressources dans les systèmes logiques
- Cas : Évaluations des ressources réservées attribuées par le biais de profils de sécurité
Profils de sécurité des systèmes logiques
En tant qu’administrateur principal, vous pouvez configurer un seul profil de sécurité pour affecter des ressources à un système logique spécifique, utiliser le même profil de sécurité pour plusieurs systèmes logiques ou utiliser une combinaison des deux méthodes. Vous pouvez configurer jusqu’à 32 profils de sécurité sur un pare-feu SRX Series exécutant des systèmes logiques. Lorsque vous atteignez la limite, vous devez supprimer un profil de sécurité et valider la modification de configuration avant de pouvoir créer et valider un autre profil de sécurité. Dans de nombreux cas, moins de profils de sécurité sont nécessaires, car vous pouvez lier un seul profil de sécurité à plusieurs systèmes logiques.
Les profils de sécurité vous permettent de :
Partagez les ressources de l’appareil, y compris les stratégies, les zones, les adresses et les carnets d’adresses, les sessions de flux et diverses formes de NAT, entre tous les systèmes logiques de manière appropriée. Vous pouvez dédier différentes quantités d’une ressource aux systèmes logiques et leur permettre de rivaliser pour l’utilisation des ressources libres.
Les profils de sécurité empêchent un système logique d’épuiser une ressource qui est requise en même temps par d’autres systèmes logiques. Les profils de sécurité protègent les ressources système critiques et maintiennent un niveau de performances équitable parmi les systèmes logiques des utilisateurs lorsque l’équipement est soumis à un flux de trafic important. Ils se défendent contre le système logique d’un utilisateur qui domine l’utilisation des ressources et en prive les autres systèmes logiques utilisateur.
Configurez l’appareil de manière évolutive pour permettre la création future de systèmes logiques utilisateur supplémentaires.
Vous devez supprimer le profil de sécurité d’un système logique avant de supprimer ce système logique.
Comment le système évalue l’affectation et l’utilisation des ressources dans les systèmes logiques
Pour provisionner un système logique avec des ressources de sécurité, vous configurez, en tant qu’administrateur principal, un profil de sécurité qui spécifie pour chaque ressource :
Quota réservé qui garantit que la quantité de ressources spécifiée est toujours disponible pour le système logique.
Quota maximal autorisé. Si un système logique nécessite plus d’une ressource que sa quantité réservée ne le permet, il peut utiliser les ressources configurées pour la quantité maximale globale si elles sont disponibles, c’est-à-dire si elles ne sont pas allouées à d’autres systèmes logiques. Le quota maximal autorisé spécifie la partie des ressources globales libres que le système logique peut utiliser. Le quota maximal autorisé ne garantit pas que la quantité spécifiée pour la ressource dans le profil de sécurité est disponible. Les systèmes logiques doivent se disputer les ressources mondiales.
Si aucun quota réservé n’est configuré pour une ressource, la valeur par défaut est 0. Si aucun quota maximal autorisé n’est configuré pour une ressource, la valeur par défaut est le quota système global pour la ressource (les quotas système globaux dépendent de la plate-forme). L’administrateur principal doit configurer des valeurs de quota maximum autorisées appropriées dans les profils de sécurité afin que l’utilisation maximale des ressources d’un système logique spécifique n’ait pas d’impact négatif sur les autres systèmes logiques configurés sur l’appareil.
Le système gère un décompte de toutes les ressources allouées qui sont réservées, utilisées et rendues à nouveau disponibles lorsqu’un système logique est supprimé. Ce nombre détermine si des ressources sont disponibles pour être utilisées pour de nouveaux systèmes logiques ou pour augmenter la quantité de ressources allouées aux systèmes logiques existants via leurs profils de sécurité.
Lorsqu’un système logique utilisateur est supprimé, ses allocations de ressources réservées sont libérées pour être utilisées par d’autres systèmes logiques.
Les ressources configurées dans les profils de sécurité sont caractérisées en ressources statiques, modulaires ou dynamiques. Pour les ressources statiques, nous vous recommandons de définir un quota maximal pour une ressource égal ou proche de la quantité spécifiée comme quota réservé, afin de permettre une configuration évolutive des systèmes logiques. Un quota maximal élevé pour une ressource peut donner à un système logique une plus grande flexibilité en accédant à une plus grande quantité de cette ressource, mais il limite la quantité disponible à allouer à un nouveau système logique utilisateur.
La différence entre les montants réservés et les montants maximum autorisés pour une ressource dynamique n’est pas importante, car les ressources dynamiques sont obsolètes et n’épuisent pas le pool disponible pour l’affectation à d’autres systèmes logiques.
Les ressources suivantes peuvent être spécifiées dans un profil de sécurité :
Politiques de sécurité, y compris les planificateurs
Zones de sécurité
Adresses et carnets d’adresses pour les stratégies de sécurité
Ensembles de règles de pare-feu applicatifs
Règles de pare-feu applicatifs
Authentification par pare-feu
Sessions de flux et portes
NAT, y compris :
Fixations NAT coniques
Règle de destination NAT
Pool de destination NAT
Adresse IP NAT dans le pool source sans traduction d’adresse de port (PAT)
Remarque :Les adresses IPv6 dans les pools sources IPv6 sans PAT ne sont pas incluses dans les profils de sécurité.
Adresse IP NAT dans le pool source avec PAT
Surcharge de ports NAT
Pool source NAT
Règle source NAT
Règle statique NAT
Toutes les ressources, à l’exception des sessions de flux, sont statiques.
Vous pouvez modifier dynamiquement un profil de sécurité de système logique lorsque le profil de sécurité est affecté à d’autres systèmes logiques. Toutefois, pour s’assurer que le quota de ressources système n’est pas dépassé, le système prend les mesures suivantes :
Si un quota statique est modifié, les démons système qui gèrent le nombre de systèmes logiques pour les ressources spécifiées dans les profils de sécurité revalident le profil de sécurité. Cette vérification identifie le nombre de ressources affectées dans tous les systèmes logiques pour déterminer si les ressources allouées, y compris leurs quantités accrues, sont disponibles.
Ces vérifications de quota sont les mêmes que celles effectuées par le système lorsque vous ajoutez un nouveau système logique utilisateur et que vous y liez un profil de sécurité. Ils sont également effectués lorsque vous liez un profil de sécurité différent du profil de sécurité qui lui est actuellement affecté à un système logique utilisateur existant (ou au système logique principal).
Si un quota dynamique est modifié, aucune vérification n’est effectuée, mais le nouveau quota est imposé à l’utilisation future des ressources.
Cas : Évaluations des ressources réservées attribuées par le biais de profils de sécurité
Pour comprendre comment le système évalue l’allocation des ressources réservées par le biais de profils de sécurité, considérez les trois cas suivants qui traitent de l’allocation d’une ressource, les zones. Pour garder l’exemple simple, 10 zones sont allouées dans security-profile-1 : 4 zones réservées et 6 zones maximales. Cet exemple suppose que la quantité maximale spécifiée (six zones) est disponible pour les systèmes logiques utilisateur. Le nombre maximal de zones du système est de 10.
Ces cas concernent la configuration entre les systèmes logiques. Ils testent la réussite ou l’échec d’une configuration lorsqu’elle est validée en fonction de l’allocation de zones.
Le Tableau 1 présente les profils de sécurité et leur répartition des zones.
Deux profils de Sécurité utilisés dans les cas de configuration |
|---|
profil_de_sécurité-1
Remarque :
Par la suite, l’administrateur principal augmente dynamiquement le nombre de zones réservées spécifié dans ce profil. |
profil de système logique primaire
|
Le Tableau 2 présente trois cas qui illustrent la façon dont le système évalue les ressources réservées pour les zones de tous les systèmes logiques en fonction des configurations de profil de sécurité.
La configuration du premier cas réussit, car le quota de ressources réservées cumulées pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 8, ce qui est inférieur au quota de ressources maximal du système.
La configuration du second cas échoue car le quota de ressources réservées cumulées pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 12, ce qui est supérieur au quota de ressources maximal du système.
La configuration du troisième cas échoue car le quota de ressources réservées cumulées pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 12, ce qui est supérieur au quota de ressources maximal du système.
Vérification des quotas de ressources réservées sur l’ensemble des systèmes logiques |
|---|
Exemple 1 : Réussite Cette configuration est limitée : 4+4+0=8, capacité maximale =10. Profils de sécurité utilisés
|
Exemple 2 : Échecs Cette configuration est hors limites : 4+4+4=12, capacité maximale =10.
Profils de sécurité
|
Exemple 3 : Échecs Cette configuration est hors limites : 6+6=12, capacité maximale =10. L’administrateur principal modifie le quota de zones réservées dans security-profile-1, ce qui porte le nombre à 6.
|
Voir aussi
Exemple : Configuration des profils de sécurité des systèmes logiques (administrateurs principaux uniquement)
Cet exemple montre comment un administrateur principal configure trois profils de sécurité de système logique à affecter aux systèmes logiques des utilisateurs et le système logique principal à leur provisionner avec des ressources de sécurité.
Exigences
L’exemple utilise un équipement SRX5600 exécutant Junos OS avec des systèmes logiques.
Avant de commencer, lisez Vue d’ensemble des tâches de configuration de l’administrateur principal des systèmes logiques SRX Series pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Vue d’ensemble
Cet exemple montre comment configurer des profils de sécurité pour les systèmes logiques suivants :
Système logique racine-système logique. Le profil de sécurité primary-profile est affecté au système logique principal ou racine.
Le système logique ls-product-design. Le profil de sécurité ls-design-profile est affecté au système logique.
Le système logique ls-marketing-dept. Le profil de sécurité ls-accnt-mrkt-profile est affecté au système logique.
Le système logique ls-accounting-dept. Le profil de sécurité ls-accnt-mrkt-profile est affecté au système logique.
Le système logique d’interconnexion, si vous en utilisez un. Vous devez lui affecter un profil de sécurité fictif ou nul.
Topologie
Cette configuration repose sur le déploiement illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
La configuration
Configuration des profils de sécurité du système logique
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Créez trois profils de sécurité.
Créez le premier profil de sécurité.
Procédure étape par étape
Spécifiez le nombre de stratégies maximales et réservées.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
Spécifiez le nombre de zones maximales et réservées.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
Spécifiez le nombre de sessions maximum et réservées.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
Spécifier le nombre maximal et réservé de profils de redirection ICAP
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
Spécifiez le nombre d’adresses NAT source maximale et réservée, d’adresses sans PAT et de règles NAT statiques.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
Activez la détection et la prévention des intrusions (IDP). Vous ne pouvez activer IDP que pour le système logique principal (racine).
[edit system security-profile] user@host# set idp
Liez le profil de sécurité au système logique.
[edit system security-profile] user@host# set master-profile root-logical-system
Créez le deuxième profil de sécurité.
Procédure étape par étape
Spécifiez le nombre de stratégies maximales et réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
Spécifiez le nombre de zones maximales et réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
Spécifiez le nombre de sessions maximum et réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
Spécifier le nombre maximal et réservé de profils de redirection ICAP
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
Spécifiez le nombre maximal et réservé d’adresses NAT sources sans PAT.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
Spécifiez le nombre maximal de règles NAT statiques réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
Liez le profil de sécurité à deux systèmes logiques.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
Créez le troisième profil de sécurité.
Procédure étape par étape
Spécifiez le nombre de stratégies maximales et réservées.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
Spécifiez le nombre de zones maximales et réservées.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
Spécifiez le nombre de sessions maximum et réservées.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
Spécifier le nombre maximal et réservé de profils de redirection ICAP
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
Spécifiez le nombre maximal et réservé d’adresses NAT sources sans PAT.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
Liez le profil de sécurité à un système logique.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
Liez un profil de sécurité nul au système logique d’interconnexion.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
Résultats
En mode configuration, confirmez votre configuration en entrant la show system security-profile commande pour voir tous les profils de sécurité configurés.
Pour afficher les profils de sécurité individuels, entrez les show system security-profile master-profilecommandes , et show system security-profile ls-accnt-mrkt-profile . show system security-profile ls-design-profile Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
Si vous avez terminé de configurer l’appareil, entrez Valider à partir du mode configuration.
Vérification
Pour confirmer que les ressources de sécurité que vous avez allouées aux systèmes logiques leur ont été affectées, suivez cette procédure pour chaque système logique et pour toutes ses ressources.
Vérifier que les ressources du profil de sécurité sont bien allouées aux systèmes logiques
Objet
Vérifiez les ressources de sécurité pour chaque système logique. Suivez ce processus pour tous les systèmes logiques configurés.
Mesures à prendre
-
Utilisez SSH pour vous connecter à chaque système logique utilisateur en tant qu’administrateur du système logique utilisateur.
Exécutez SSH en spécifiant l’adresse IP de votre pare-feu SRX Series.
Entrez l’ID de connexion et le mot de passe de l’un des systèmes logiques utilisateur que vous avez créés.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
Entrez l’instruction suivante pour identifier les ressources configurées pour le profil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
Entrez la commande suivante à l’invite résultante. Faites cette opération pour chaque fonctionnalité configurée pour le profil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
Exemple : Configuration des profils de sécurité des systèmes logiques utilisateur
Dans cet exemple, vous configurez les profils de sécurité des systèmes logiques utilisateur. Il fournit des informations sur une ressource allouée au système logique dans un profil de sécurité.
Les équipements SRX4100 et SRX4200 prennent en charge le système logique en mode transparent et en mode de routage.
L’équipement SRX4600 prend en charge le système logique en mode routage uniquement.
Le trafic inter-systèmes logiques de couche 2 n’est pas pris en charge.
Exigences
Cet exemple utilise un équipement SRX4100 et SRX4200 exécutant Junos OS avec des systèmes logiques.
Avant de commencer :
Comprendre le processus de configuration du système logique. Voir Vue d’ensemble de la configuration des systèmes logiques utilisateur pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Vue d’ensemble
Les systèmes logiques permettent à un administrateur principal de partitionner un pare-feu SRX Series en contextes distincts appelés systèmes logiques utilisateur. Les systèmes logiques utilisateur sont des contextes autonomes et privés, séparés les uns des autres et du système logique principal. Un système logique utilisateur possède ses propres configurations de sécurité, de mise en réseau, d’interfaces logiques et de routage, ainsi qu’un ou plusieurs administrateurs de système logique utilisateur.
Dans cet exemple, vous configurez les fonctionnalités de sécurité du système logique utilisateur décrit dans le Tableau 3. Configuration utilisée par l’administrateur du système logique utilisateur pour afficher les informations sur les ressources d’un système logique utilisateur.
Nom du champ |
Description du champ |
|---|---|
Indicateurs MAC |
État des propriétés d’apprentissage de l’adresse MAC pour chaque interface :
|
Table de commutation Ethernet |
Pour les entrées apprises, l’heure à laquelle l’entrée a été ajoutée à la table de commutation Ethernet. |
Système logique |
Nom du système logique |
Instance de routage |
Nom de l’instance de routage |
Nom du VLAN |
Nom du VLAN |
adresse MAC |
Adresse MAC ou adresses apprises sur une interface logique |
Âge |
Ce champ n’est pas pris en charge |
Interface logique |
Nom de l’interface logique |
RTR ID |
ID de l’équipement de routage |
Indice NH |
Index Logiciels du saut suivant utilisé pour acheminer le trafic d’un préfixe donné. |
La configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer les profils de sécurité des systèmes logiques des utilisateurs :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et entrez en mode configuration.
[edit] admin@host> configure admin@host#
Configurez un profil de sécurité et affectez-le à un système logique.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
Définissez les interfaces sur les modes d’interface appropriés et spécifiez que l’interface logique qui recevra les paquets de données non balisés est membre du VLAN natif.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
Créez l’interface IRB et attribuez-lui une adresse dans le sous-réseau.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
Créez la stratégie de sécurité pour autoriser le trafic de la zone approuvée vers la zone non approuvée et affecter des interfaces à chaque zone.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
Associez une interface IRB au VLAN.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show ethernet-switching table commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration des profils de sécurité des systèmes logiques de l’utilisateur
Objet
Vérifiez les informations des stratégies de sécurité.
Mesures à prendre
À partir du mode opérationnel, entrez la show ethernet-switching table commande.
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
Exemple : Configuration du flux de journaux de sécurité pour les systèmes logiques
Cet exemple montre comment configurer un profil de sécurité pour un système logique.
Exigences
Cet exemple utilise les pare-feu SRX Series exécutant Junos OS avec des systèmes logiques.
Avant de commencer :
Lisez Vue d’ensemble des tâches de configuration de l’administrateur principal des systèmes logiques SRX Series pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Vue d’ensemble
En tant qu’administrateur principal, vous pouvez configurer un profil de sécurité unique pour affecter des ressources à un système logique spécifique. Vous pouvez utiliser le même profil de sécurité pour plusieurs systèmes logiques, ou utiliser une combinaison des deux méthodes. La set logical-system LSYS1 security log commande est introduite pour la prise en charge de la journalisation sur les pare-feu SRX Series.
La configuration
Configuration des profils de sécurité du système logique
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Configurez un profil de sécurité et spécifiez le nombre de stratégies maximales et réservées.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
Attribuez le profil de sécurité configuré à LSYS1.
user@host# set security-profile p1 logical-system LSYS1
Résultats
En mode configuration, confirmez votre configuration en entrant la show system security-profile commande pour voir tous les profils de sécurité configurés.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches ci-dessous :
- Vérification des ressources du profil de sécurité pour les systèmes logiques
- Vérification du numéro de flux de journal de sécurité pour les systèmes logiques
- Vérification du résumé security-log-stream-number pour les systèmes logiques
- Vérification du détail security-log-stream-number pour les systèmes logiques
Vérification des ressources du profil de sécurité pour les systèmes logiques
Objet
Vérifiez les ressources de sécurité pour chaque système logique.
Mesures à prendre
En mode opérationnel, entrez la show system security-profile all-resourcecommande , show system security-profile security-log-stream-number summaryshow system security-profile security-log-stream-number logical-system all, ou show system security-profile security-log-stream-number detail logical-system all pour voir la sortie :
afficher le profil de sécurité du système toutes les ressources
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
Signification
Les exemples de sorties affichent des informations sur les ressources allouées au système logique dans un profil de sécurité. Pour chaque ressource spécifiée, le nombre utilisé par le système logique et les valeurs maximale et réservée configurées sont affichés.
Vérification du numéro de flux de journal de sécurité pour les systèmes logiques
Objet
Vérifiez le numéro de flux de journal de sécurité pour chaque système logique.
Mesures à prendre
En mode opérationnel, entrez la show system security-profile security-log-stream-number logical-system all commande pour voir le résultat :
show system security-profile-security-log-stream-number logical-system all
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
Signification
L’exemple de sortie affiche les informations sur une ressource allouée au système logique dans un profil de sécurité avec un nom de profil de sécurité. Pour chaque ressource spécifiée, le nombre utilisé par le système logique et les valeurs maximale et réservée configurées sont affichés.
Vérification du résumé security-log-stream-number pour les systèmes logiques
Objet
Vérifiez le résumé security-log-stream-number.
Mesures à prendre
En mode opérationnel, entrez la show system security-profile security-log-stream-number summary commande pour voir le résultat :
show system security-profile security-log-stream-number summary
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
Signification
L’exemple de sortie affiche les informations récapitulatives sur la ressource pour tous les systèmes logiques.
Vérification du détail security-log-stream-number pour les systèmes logiques
Objet
Vérifiez le détail security-log-stream-number.
Mesures à prendre
En mode opérationnel, entrez la show system security-profile security-log-stream-number detail logical-system all commande pour voir le résultat :
show system security-profile security-log-stream-number detail logic-system all
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
Signification
L’exemple de sortie affiche le niveau de sortie détaillé pour tous les systèmes logiques.