Profils de sécurité pour les systèmes logiques
Les profils de sécurité des systèmes logiques vous permettent d’allouer des ressources. Les profils de sécurité spécifient le nombre de ressources à allouer à un système logique auquel le profil de sécurité est lié. Toutes les ressources système sont allouées au système logique principal et l’administrateur principal les alloue au système logique de l’utilisateur à l’aide d’un profil de sécurité. Pour plus d’informations, consultez les sujets suivants :
Comprendre les profils de sécurité des systèmes logiques (administrateurs principaux uniquement)
Les systèmes logiques vous permettent de diviser virtuellement un pare-feu SRX Series pris en charge en plusieurs équipements, en les isolant les uns des autres, en les protégeant des intrusions et des attaques et en les protégeant des conditions défaillantes en dehors de leur propre contexte. Pour protéger les systèmes logiques, les ressources de sécurité sont configurées de la même manière que pour un équipement distinct. Toutefois, en tant qu’administrateur principal, vous devez allouer les types et les quantités de ressources de sécurité aux systèmes logiques. L’administrateur système logique alloue des ressources à son propre système logique.
Un pare-feu SRX Series exécutant des systèmes logiques peut être partitionné en systèmes logiques d’utilisateur, en système logique d’interconnexion, si vous le souhaitez, et en système logique principal par défaut. Lorsque le système est initialisé, le système logique principal est créé au niveau racine. Toutes les ressources système lui sont attribuées, créant ainsi un profil de sécurité du système logique principal par défaut. Pour distribuer les ressources de sécurité entre les systèmes logiques, l’administrateur principal crée des profils de sécurité qui spécifient les types et les quantités de ressources à allouer à un système logique à lequel le profil de sécurité est lié. Seul l’administrateur principal peut configurer les profils de sécurité et les lier aux systèmes logiques. L’administrateur système logique utilisateur configure ces ressources pour son système logique.
Les systèmes logiques sont définis en grande partie par les ressources qui leur sont allouées, notamment les composants de sécurité, les interfaces, les instances de routage, les routes statiques et les protocoles de routage dynamiques. Lorsque l’administrateur principal configure un système logique utilisateur, il y lie un profil de sécurité. Toute tentative de valider une configuration pour un système logique utilisateur sans profil de sécurité qui lui est lié échouera.
Cette rubrique comprend les sections suivantes :
- Profils de sécurité des systèmes logiques
- Comment le système évalue l’attribution et l’utilisation des ressources dans les systèmes logiques
- Cas : évaluation des ressources réservées attribuées via des profils de sécurité
Profils de sécurité des systèmes logiques
En tant qu’administrateur principal, vous pouvez configurer un seul profil de sécurité pour affecter des ressources à un système logique spécifique, utiliser le même profil de sécurité pour plusieurs systèmes logiques ou utiliser une combinaison des deux méthodes. Vous pouvez configurer jusqu’à 32 profils de sécurité sur un pare-feu SRX Series exécutant des systèmes logiques. Lorsque vous atteignez la limite, vous devez supprimer un profil de sécurité et valider la modification de la configuration avant de pouvoir créer et valider un autre profil de sécurité. Dans de nombreux cas, vous avez besoin de moins de profils de sécurité, car vous pouvez lier un seul profil de sécurité à plusieurs systèmes logiques.
Les profils de sécurité vous permettent de :
Partagez les ressources de l’équipement, y compris les stratégies, les zones, les adresses et les carnets d’adresses, les sessions de flux et diverses formes de NAT, entre tous les systèmes logiques de manière appropriée. Vous pouvez dédier diverses quantités d’une ressource aux systèmes logiques et leur permettre de rivaliser pour l’utilisation des ressources gratuites.
Les profils de sécurité protègent contre l’épuisement d’un système logique qui épuise en même temps une ressource requise par d’autres systèmes logiques. Les profils de sécurité protègent les ressources système critiques et maintiennent un niveau de performance équitable entre les systèmes logiques des utilisateurs lorsque l’équipement rencontre un flux de trafic important. Ils se défendent contre un système logique d’utilisateur dominant l’utilisation des ressources et en privant les autres systèmes logiques utilisateur.
Configurez l’équipement de manière évolutive pour permettre la création future de systèmes logiques utilisateurs supplémentaires.
Vous devez supprimer le profil de sécurité d’un système logique avant de supprimer ce système logique.
Comment le système évalue l’attribution et l’utilisation des ressources dans les systèmes logiques
Pour provisionner un système logique avec des ressources de sécurité, vous, en tant qu’administrateur principal, configurez un profil de sécurité qui spécifie pour chaque ressource :
Un quota réservé qui garantit que la quantité de ressources spécifiée est toujours disponible pour le système logique.
Un quota maximal autorisé. Si un système logique a besoin d’une ressource plus importante que ce que son montant réservé permet, il peut utiliser des ressources configurées pour la quantité globale maximale si elles sont disponibles, c’est-à-dire si elles ne sont pas allouées à d’autres systèmes logiques. Le quota maximal autorisé spécifie la partie des ressources globales gratuites que le système logique peut utiliser. Le quota maximal autorisé ne garantit pas que la quantité spécifiée pour la ressource dans le profil de sécurité est disponible. Les systèmes logiques doivent être compétitifs pour les ressources mondiales.
Si un quota réservé n’est pas configuré pour une ressource, la valeur par défaut est 0. Si un quota maximal autorisé n’est pas configuré pour une ressource, la valeur par défaut est le quota système global pour la ressource (les quotas système globaux dépendent de la plate-forme). L’administrateur principal doit configurer des valeurs de quota maximales autorisées appropriées dans les profils de sécurité afin que l’utilisation maximale des ressources d’un système logique spécifique n’ait pas d’impact négatif sur les autres systèmes logiques configurés sur l’équipement. L’administrateur principal doit configurer les valeurs de quota maximum autorisées appropriées dans les profils de sécurité afin que l’utilisation maximale des ressources d’un système logique spécifique n’ait pas d’impact négatif sur les autres systèmes logiques configurés sur l’équipement.
Le système gère un comptage de toutes les ressources allouées qui sont réservées, utilisées et rendues disponibles à nouveau lorsqu’un système logique est supprimé. Ce nombre détermine si les ressources sont disponibles pour de nouveaux systèmes logiques ou pour augmenter la quantité de ressources allouées aux systèmes logiques existants via leurs profils de sécurité.
Lorsqu’un système logique utilisateur est supprimé, ses allocations de ressources réservées sont libérées pour être utilisées par d’autres systèmes logiques.
Les ressources configurées dans les profils de sécurité sont caractérisées comme des ressources modulaires statiques ou des ressources dynamiques. Pour les ressources statiques, nous recommandons de fixer un quota maximal pour une ressource égale ou proche de la quantité spécifiée dans son quota réservé, afin de permettre une configuration évolutive des systèmes logiques. Un quota maximal élevé pour une ressource peut donner à un système logique une plus grande flexibilité en accédant à une plus grande quantité de cette ressource, mais cela limiterait la quantité disponible à allouer à un nouveau système logique utilisateur.
La différence entre les quantités réservées et maximales autorisées pour une ressource dynamique n’est pas importante, car les ressources dynamiques sont vieillissantes et n’épuisent pas le pool disponible pour l’attribution à d’autres systèmes logiques.
Les ressources suivantes peuvent être spécifiées dans un profil de sécurité :
Stratégies de sécurité, y compris les planificateurs
Zones de sécurité
Adresses et carnets d’adresses pour les stratégies de sécurité
Ensembles de règles de pare-feu applicatif
Règles de pare-feu applicatif
Authentification du pare-feu
Sessions de flux et portails
NAT, y compris :
Liaisons NAT cônes
Règle de destination NAT
Pool de destination NAT
Adresse IP NAT dans le pool de sources sans traduction d’adresse de port (PAT)
Note:Les adresses IPv6 des pools de sources IPv6 sans PAT ne sont pas incluses dans les profils de sécurité.
Adresse IP NAT dans le pool source avec PAT
Surcharge des ports NAT
Pool de sources NAT
Règle source NAT
Règle statique NAT
Toutes les ressources, à l’exception des sessions de flux, sont statiques.
Vous pouvez modifier dynamiquement un profil de sécurité du système logique, tandis que le profil de sécurité est assigné à d’autres systèmes logiques. Toutefois, pour s’assurer que le quota de ressources système n’est pas dépassé, le système prend les mesures suivantes :
Si un quota statique est modifié, les daemons système qui maintiennent le nombre de ressources spécifiées dans les profils de sécurité pour le système logique revalident le profil de sécurité. Cette vérification identifie le nombre de ressources attribuées sur tous les systèmes logiques afin de déterminer si les ressources allouées, y compris leur montant accru, sont disponibles.
Ces vérifications de quota sont les mêmes que celles que le système effectue lorsque vous ajoutez un nouveau système logique utilisateur et que vous y liez un profil de sécurité. Elles sont également effectuées lorsque vous liez un profil de sécurité différent du profil de sécurité qui lui est actuellement assigné à un système logique utilisateur existant (ou au système logique principal).
Si un quota dynamique est modifié, aucune vérification n’est effectuée, mais le nouveau quota est imposé sur l’utilisation future des ressources.
Cas : évaluation des ressources réservées attribuées via des profils de sécurité
Pour comprendre comment le système évalue l’allocation des ressources réservées via des profils de sécurité, examinez les trois cas suivants qui concernent l’allocation d’une ressource, des zones. Pour que l’exemple soit simple, 10 zones sont allouées dans security-profile-1 : 4 zones réservées et 6 zones maximum. Cet exemple suppose que la quantité maximale spécifiée (six zones) est disponible pour les systèmes logiques utilisateur. Le nombre maximal de zones du système est de 10.
Ces cas concernent la configuration sur l’ensemble des systèmes logiques. Ils testent pour voir si une configuration réussira ou échouera lorsqu’elle est validée en fonction de l’attribution de zones.
Le tableau 1 affiche les profils de sécurité et leurs allocations de zones.
Deux profils de sécurité utilisés dans les cas de configuration |
|---|
profil de sécurité-1
Note:
Plus tard, l’administrateur principal augmente dynamiquement le nombre de zones réservées spécifiées dans ce profil. |
profil système logique primaire
|
Le tableau 2 illustre trois cas qui illustrent comment le système évalue les ressources réservées pour des zones à travers des systèmes logiques en fonction des configurations de profil de sécurité.
La configuration du premier cas réussit, car le quota de ressources réservées cumulé pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 8, ce qui est inférieur au quota de ressources maximal du système.
La configuration du deuxième cas échoue, car le quota de ressources réservées cumulé pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 12, ce qui est supérieur au quota de ressources maximal du système.
La configuration du troisième cas échoue, car le quota de ressources réservées cumulé pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 12, ce qui est supérieur au quota de ressources maximal du système.
Vérification des quotas de ressources réservées sur l’ensemble des systèmes logiques |
|---|
Exemple 1 : Réussite Cette configuration est dans les limites : 4+4+0=8, capacité maximale =10. Profils de sécurité utilisés
|
Exemple 2 : Échec Cette configuration est hors limites : 4+4+4=12, capacité maximale =10.
Profils de sécurité
|
Exemple 3 : Échec Cette configuration est hors limites : 6+6=12, capacité maximale =10. L’administrateur principal modifie le quota de zones réservées dans security-profile-1, ce qui augmente le nombre à 6.
|
Voir aussi
Exemple : configuration des profils de sécurité des systèmes logiques (administrateurs principaux uniquement)
Cet exemple montre comment un administrateur principal configure trois profils de sécurité logiques pour les affecter aux systèmes logiques des utilisateurs, et le système logique principal pour les provisionner avec des ressources de sécurité.
Exigences
L’exemple utilise un équipement SRX5600 exécutant Junos OS avec des systèmes logiques.
Avant de commencer, lisez la présentation des tâches de configuration principale de l’administrateur srX Series pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Aperçu
Cet exemple montre comment configurer des profils de sécurité pour les systèmes logiques suivants :
Le système logique racine- logique. Le profil principal du profil de sécurité est assigné au système logique principal ou racine.
Le système logique ls-product-design. Le profil de sécurité ls-design-profile est assigné au système logique.
Le système logique ls-marketing-dept. Le profil de sécurité ls-accnt-mrkt-profile est assigné au système logique.
Le système logique ls-comptabilité-dept. Le profil de sécurité ls-accnt-mrkt-profile est assigné au système logique.
Le système d’interconnexion-logique, si vous en utilisez un. Vous devez lui attribuer un profil de sécurité factice ou nul.
Topologie
Cette configuration s’appuie sur le déploiement illustré dans l’exemple : Création de systèmes logiques utilisateurs, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Configuration
Configuration des profils de sécurité du système logique
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Créez trois profils de sécurité.
Créez le premier profil de sécurité.
Procédure étape par étape
Spécifiez le nombre de stratégies maximales et réservées.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
Spécifiez le nombre de zones maximales et réservées.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
Spécifiez le nombre maximum de sessions et de sessions réservées.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
Spécifiez le nombre de profils de redirection ICAP maximum et réservés
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
Spécifiez le nombre maximal et réservé d’adresses NAT sans PAT et de règles NAT statiques.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
Activez la détection et la prévention des intrusions (IDP). Vous pouvez activer IDP uniquement pour le système logique principal (racine).
[edit system security-profile] user@host# set idp
Lier le profil de sécurité au système logique.
[edit system security-profile] user@host# set master-profile root-logical-system
Créez le deuxième profil de sécurité.
Procédure étape par étape
Spécifiez le nombre de stratégies maximales et réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
Spécifiez le nombre de zones maximales et réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
Spécifiez le nombre maximum de sessions et de sessions réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
Spécifiez le nombre de profils de redirection ICAP maximum et réservés
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
Spécifiez le nombre d’adresses NAT source sans PAT maximales et réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
Spécifiez le nombre de règles NAT statiques maximales et réservées.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
Lier le profil de sécurité à deux systèmes logiques.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
Créez le troisième profil de sécurité.
Procédure étape par étape
Spécifiez le nombre de stratégies maximales et réservées.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
Spécifiez le nombre de zones maximales et réservées.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
Spécifiez le nombre maximum de sessions et de sessions réservées.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
Spécifiez le nombre de profils de redirection ICAP maximum et réservés
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
Spécifiez le nombre d’adresses NAT source sans PAT maximales et réservées.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
Lier le profil de sécurité à un système logique.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
Lier un profil de sécurité nul au système logique d’interconnexion.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show system security-profile commande pour voir tous les profils de sécurité configurés.
Pour voir les profils de sécurité individuels, saisissez les show system security-profile master-profilecommandes , le show system security-profile ls-accnt-mrkt-profile et. show system security-profile ls-design-profile Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour confirmer que les ressources de sécurité que vous avez allouées aux systèmes logiques leur ont été affectées, suivez cette procédure pour chaque système logique et pour toutes ses ressources.
Vérifier que les ressources du profil de sécurité sont efficacement allouées aux systèmes logiques
But
Vérifiez les ressources de sécurité pour chaque système logique. Suivez ce processus pour tous les systèmes logiques configurés.
Action
-
Utilisez SSH pour vous connecter à chaque système logique utilisateur en tant qu’administrateur système logique utilisateur.
Exécutez SSH en spécifiant l’adresse IP de votre pare-feu SRX Series.
Saisissez l’ID d’identification et le mot de passe de l’un des systèmes logiques utilisateur que vous avez créés.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
Saisissez l’instruction suivante pour identifier les ressources configurées pour le profil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
Saisissez la commande suivante à l’invite qui en résulte. Faites-le pour chaque fonctionnalité configurée pour le profil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
Exemple : configuration des profils de sécurité des systèmes logiques des utilisateurs
Dans cet exemple, vous configurez les profils de sécurité des systèmes logiques utilisateur. Il fournit les informations sur une ressource allouée au système logique dans un profil de sécurité.
les équipements SRX4100 et SRX4200 prennent en charge le système logique en mode transparent et en mode routage.
SRX4600 équipement prend en charge le système logique en mode route uniquement.
Le trafic système inter-logique de couche 2 n’est pas pris en charge.
Exigences
Cet exemple utilise un SRX4100 et des équipements SRX4200 exécutant Junos OS avec des systèmes logiques.
Avant de commencer :
Comprendre le processus de configuration logique du système. Consultez la présentation de la configuration des systèmes logiques utilisateur pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Aperçu
Les systèmes logiques permettent à un administrateur principal de partitionner un pare-feu SRX Series dans des contextes distincts appelés systèmes logiques utilisateur. Les systèmes logiques utilisateur sont des contextes privés et autonomes, séparés à la fois les uns des autres et du système logique principal. Un système logique utilisateur dispose de ses propres fonctions de sécurité, de mise en réseau, d’interfaces logiques, de configurations de routage et d’un ou plusieurs administrateurs système logiques utilisateur.
Dans cet exemple, vous configurez des fonctionnalités de sécurité pour le système logique utilisateur décrit dans le tableau 3. Configuration utilisée par l’administrateur système logique utilisateur pour afficher les informations sur les ressources d’un système logique utilisateur.
Nom du champ |
Description du champ |
|---|---|
Indicateurs MAC |
État des propriétés d’apprentissage des adresses MAC pour chaque interface :
|
Table de commutation Ethernet |
Pour les entrées apprises, l’heure à laquelle l’entrée a été ajoutée à la table de commutation Ethernet. |
Système logique |
Nom du système logique |
Instance de routage |
Nom de l’instance de routage |
Nom du VLAN |
Nom du VLAN |
Adresse MAC |
Adresse MAC ou adresses apprises sur une interface logique |
Âge |
Ce champ n’est pas pris en charge |
Interface logique |
Nom de l’interface logique |
RTR ID |
ID de l’équipement de routage |
Indice NH |
Index logiciel du saut suivant utilisé pour acheminer le trafic pour un préfixe donné. |
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Procédure
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer les profils de sécurité des systèmes logiques des utilisateurs :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
[edit] admin@host> configure admin@host#
Configurez un profil de sécurité et attribuez-le à un système logique.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
Définissez les interfaces sur les modes d’interface appropriés et spécifiez que l’interface logique qui recevra les paquets de données non marqués est membre du VLAN natif.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
Créez l’interface IRB et attribuez-lui une adresse dans le sous-réseau.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
Créez la stratégie de sécurité pour autoriser le trafic de la zone d’approbation vers la zone de non confiance et attribuez des interfaces à chaque zone.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
Associez une interface IRB au VLAN.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show ethernet-switching table commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration des profils de sécurité des systèmes logiques des utilisateurs
But
Vérifiez les informations sur les stratégies de sécurité.
Action
Depuis le mode opérationnel, saisissez la show ethernet-switching table commande.
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
Exemple : configuration du flux de journaux de sécurité pour les systèmes logiques
Cet exemple montre comment configurer un profil de sécurité pour un système logique.
Exigences
Cet exemple utilise les pare-feu SRX Series exécutant Junos OS avec des systèmes logiques.
Avant de commencer :
Lisez la présentation des tâches de configuration de l’administrateur principal srX Series pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Aperçu
En tant qu’administrateur principal, vous pouvez configurer un seul profil de sécurité pour affecter des ressources à un système logique spécifique. Yo peut utiliser le même profil de sécurité pour plusieurs systèmes logiques, ou utiliser une combinaison des deux méthodes. Cette set logical-system LSYS1 security log commande est introduite pour la prise en charge de la journalisation sur les pare-feu SRX Series.
Configuration
Configuration des profils de sécurité de système logique
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Configurez un profil de sécurité et spécifiez le nombre de stratégies maximales et réservées.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
Attribuez le profil de sécurité configuré à LSYS1.
user@host# set security-profile p1 logical-system LSYS1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show system security-profile commande pour voir tous les profils de sécurité configurés.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches ci-dessous :
- Vérification des ressources du profil de sécurité pour les systèmes logiques
- Vérification du numéro de journal-flux de sécurité pour les systèmes logiques
- Vérification de la synthèse des nombres de journaux de flux de sécurité pour les systèmes logiques
- Vérifier le détail des nombres de flux de flux de données de sécurité pour les systèmes logiques
Vérification des ressources du profil de sécurité pour les systèmes logiques
But
Vérifiez les ressources de sécurité pour chaque système logique.
Action
Depuis le mode opérationnel, saisissez le show system security-profile all-resource, show system security-profile security-log-stream-number logical-system allou show system security-profile security-log-stream-number detail logical-system all show system security-profile security-log-stream-number summaryla commande pour voir le résultat :
afficher toutes les ressources du profil de sécurité du système
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
Sens
Les exemples de sorties affichent des informations sur les ressources allouées au système logique dans un profil de sécurité. Pour chaque ressource spécifiée, le nombre utilisé par le système logique ainsi que les valeurs maximales et réservées configurées sont affichés.
Vérification du numéro de journal-flux de sécurité pour les systèmes logiques
But
Vérifiez le numéro du journal de sécurité pour chaque système logique.
Action
Depuis le mode opérationnel, saisissez la show system security-profile security-log-stream-number logical-system all commande pour voir le résultat :
afficher le profil de sécurité du système security-log-stream-number logic-system tout
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
Sens
L’exemple de sortie affiche les informations sur une ressource allouée au système logique dans un profil de sécurité avec le nom du profil de sécurité. Pour chaque ressource spécifiée, le nombre utilisé par le système logique ainsi que les valeurs maximales et réservées configurées sont affichés.
Vérification de la synthèse des nombres de journaux de flux de sécurité pour les systèmes logiques
But
Vérifiez le récapitulatif des nombres de journaux de sécurité.
Action
Depuis le mode opérationnel, saisissez la show system security-profile security-log-stream-number summary commande pour voir le résultat :
afficher le profil de sécurité du système security-log-stream-number
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
Sens
L’exemple de sortie affiche les informations récapitulatives sur la ressource pour tous les systèmes logiques.
Vérifier le détail des nombres de flux de flux de données de sécurité pour les systèmes logiques
But
Vérifiez le détail du numéro de journal de flux de sécurité.
Action
Depuis le mode opérationnel, saisissez la show system security-profile security-log-stream-number detail logical-system all commande pour voir le résultat :
afficher le profil de sécurité du système security-log-stream-number detail logical-system tout
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
Sens
L’exemple affiche le niveau de sortie détaillé pour tous les systèmes logiques.