Zones de sécurité dans les systèmes logiques
Les zones de sécurité sont les piliers des stratégies. Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées et permettent de distinguer les groupes d’hôtes (systèmes logiques utilisateurs et autres hôtes, tels que les serveurs) et les ressources les uns des autres afin d’appliquer différentes mesures de sécurité. Pour plus d’informations, consultez les sujets suivants :
Comprendre les zones des systèmes logiques
Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Les zones de sécurité peuvent être configurées sur le système logique principal par l’administrateur principal ou sur les systèmes logiques utilisateur par l’administrateur système logique utilisateur. Sur un système logique, l’administrateur peut configurer plusieurs zones de sécurité, en divisant le réseau en segments réseau auxquels diverses options de sécurité peuvent être appliquées.
L’administrateur principal configure le nombre maximal et réservé de zones de sécurité pour chaque système logique utilisateur. L’administrateur système logique de l’utilisateur peut ensuite créer des zones de sécurité dans le système logique de l’utilisateur et affecter des interfaces à chaque zone de sécurité. À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser la show system security-profile zones commande pour afficher le nombre de zones de sécurité allouées au système logique utilisateur et la show interfaces commande pour afficher les interfaces allouées au système logique utilisateur.
L’administrateur principal peut configurer un profil de sécurité pour le système logique principal qui spécifie le nombre maximal et réservé de zones de sécurité appliquées au système logique principal. Le nombre de zones configurées dans le système logique principal compte dans le nombre maximal de zones disponibles sur l’équipement.
L’administrateur principal et l’administrateur utilisateur peuvent configurer les propriétés suivantes d’une zone de sécurité dans un système logique :
Interfaces faisant partie d’une zone de sécurité.
Options d’écran : pour chaque zone de sécurité, vous pouvez activer un ensemble d’options d’écran prédéfinies qui détectent et bloquent divers types de trafic que l’équipement juge potentiellement nocifs.
TCP-Reset : lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur RESET défini lorsque le trafic arrive qui ne correspond pas à une session existante et qui n’a pas d’indicateur de synchronisation.
Trafic entrant hôte : cette fonctionnalité spécifie les types de trafic pouvant atteindre l’équipement à partir de systèmes directement connectés à ses interfaces. Vous pouvez configurer ces paramètres au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone, ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)
Il n’y a pas de zones de sécurité préconfigurées dans le système logique principal ou le système logique utilisateur.
La zone fonctionnelle de gestion (MGT) ne peut être configurée que pour le système logique principal. Il n’y a qu’une seule interface de gestion par équipement et cette interface est allouée au système logique principal.
L’interface all ne peut être attribuée à une zone du système logique principal que par l’administrateur principal.
L’administrateur système logique utilisateur peut configurer et afficher tous les attributs d’une zone de sécurité dans un système logique utilisateur. Tous les attributs d’une zone de sécurité dans un système logique utilisateur sont également visibles par l’administrateur principal.
Voir aussi
Exemple : configuration de systèmes logiques utilisateur
Cet exemple illustre la configuration des interfaces, des instances de routage, des zones et des stratégies de sécurité pour les systèmes logiques utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique. Voir la présentation de la configuration des systèmes logiques des utilisateurs.
Assurez-vous de savoir quelles interfaces logiques et, éventuellement, quelle interface de tunnel logique (et son adresse IP) sont allouées à votre système logique utilisateur par l’administrateur principal. Voir Comprendre les systèmes logiques primaires et le rôle d’administrateur principal.
Aperçu
Cet exemple configure les systèmes logiques utilisateur ls-marketing-dept et ls-comptabilité-dept illustrés dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple configure les paramètres décrits dans les tableau 1 et 2.
Fonction |
Nom |
Paramètres de configuration |
|---|---|---|
Interface |
ge-0/0/6.1 |
|
Instance de routage |
mk-vr1 |
|
Zones |
ls-marketing-trust |
Liaison à l’interface ge-0/0/6.1. |
|
ls-marketing-untrust |
Liaison à l’interface lt-0/0/0.5 |
Carnets d’adresses |
marketing interne |
|
|
marketing-externe |
|
Politiques |
permis tout-à-d’autreslsys |
Autorisez le trafic suivant :
|
|
permit-all-from-otherlsysys |
Autorisez le trafic suivant :
|
Fonction |
Nom |
Paramètres de configuration |
|---|---|---|
Interface |
ge-0/0/7.1 |
|
Instance de routage |
acct-vr1 |
|
Zones |
ls-comptabilité-trust |
Liaison à l’interface ge-0/0/7.1. |
|
ls-comptabilité-un trust |
Liaison à l’interface lt-0/0/0.7 |
Carnets d’adresses |
comptabilité interne |
|
|
comptabilité externe |
|
Politiques |
permis tout-à-d’autreslsys |
Autorisez le trafic suivant :
|
|
permit-all-from-otherlsysys |
Autorisez le trafic suivant :
|
Configuration
- Configuration du système logique utilisateur ls-marketing-dept
- Configuration du système logique utilisateur ls-comptabilité-dept
Configuration du système logique utilisateur ls-marketing-dept
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/6 unit 1 family inet address 13.1.1.1/24 set interfaces ge-0/0/6 unit 1 vlan-id 800 set routing-instances mk-vr1 instance-type virtual-router set routing-instances mk-vr1 interface ge-0/0/6.1 set routing-instances mk-vr1 interface lt-0/0/0.5 set routing-instances mk-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set security zones security-zone ls-marketing-trust interfaces ge-0/0/6.1 set security zones security-zone ls-marketing-untrust interfaces lt-0/0/0.5 set security address-book marketing-external address design 12.1.1.0/24 set security address-book marketing-external address accounting 14.1.1.0/24 set security address-book marketing-external address others 12.12.1.0/24 set security address-book marketing-external address-set otherlsys address design set security address-book marketing-external address-set otherlsys address accounting set security address-book marketing-external attach zone ls-marketing-untrust set security address-book marketing-internal address marketers 13.1.1.0/24 set security address-book marketing-internal attach zone ls-marketing-trust set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match source-address marketers set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match destination-address marketers set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys then permit
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
lsmarketingadmin1@host:ls-marketing-dept> configure lsmarketingadmin1@host:ls-marketing-dept#
Configurez l’interface logique d’un système logique utilisateur.
[edit interfaces] lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 family inet address 13.1.1.1/24 lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 vlan-id 800
Configurez l’instance de routage et attribuez des interfaces.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 instance-type virtual-router lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface lt-0/0/0.5
Configurez des routes statiques.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.2 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configurez des zones de sécurité et attribuez des interfaces à chaque zone.
[edit security zones] lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-trust interfaces ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-untrust interfaces lt-0/0/0.5
Créez des entrées de carnet d’adresses.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal address marketers 13.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address design 12.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address accounting 14.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address others 12.12.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address design lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address accounting
Attachez des carnets d’adresses à des zones.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal attach zone ls-marketing-trust lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external attach zone ls-marketing-untrust
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-marketing-trust à la zone ls-marketing-untrust.
[edit security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match source-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys then permit
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-marketing-untrust à la zone de confiance ls-marketing-trust.
[edit security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match destination-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show routing-instances commandes et show security . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsmarketingadmin1@host:ls-marketing-dept# show routing instances
mk-vr1 {
instance-type virtual-router;
interface ge-0/0/6.1;
interface lt-0/0/0.5;
routing-options {
static {
route 12.1.1.0/24 next-hop 10.0.1.2;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
lsmarketingadmin1@host:ls-marketing-dept# show security
address-book {
marketing-external {
address product-designers 12.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address product-designers;
address accounting;
}
attach {
zone ls-marketing-untrust;
}
}
marketing-internal {
address marketers 13.1.1.0/24;
attach {
zone ls-marketing-trust;
}
}
}
policies {
from-zone ls-marketing-trust to-zone ls-marketing-untrust {
policy permit-all-to-otherlsys {
match {
source-address marketers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-marketing-untrust to-zone ls-marketing-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address marketers;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-marketing-trust {
interfaces {
ge-0/0/6.1;
}
}
security-zone ls-marketing-untrust {
interfaces {
lt-0/0/0.5;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration du système logique utilisateur ls-comptabilité-dept
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/7 unit 1 family inet address 14.1.1.1/24 set interfaces ge-0/0/7 unit 1 vlan-id 900 set routing-instances acct-vr1 instance-type virtual-router set routing-instances acct-vr1 interface ge-0/0/7.1 set routing-instances acct-vr1 interface lt-0/0/0.7 set routing-instances acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set routing-instances acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set security address-book accounting-internal address accounting 14.1.1.0/24 set security address-book accounting-internal attach zone ls-accounting-trust set security address-book accounting-external address design 12.1.1.0/24 set security address-book accounting-external address marketing 13.1.1.0/24 set security address-book accounting-external address others 12.12.1.0/24 set security address-book accounting-external address-set otherlsys address design set security address-book accounting-external address-set otherlsys address marketing set security address-book accounting-external attach zone ls-accounting-untrust set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match source-address accounting set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match destination-address accounting set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys then permit set security zones security-zone ls-accounting-trust interfaces ge-0/0/7.1 set security zones security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière d’y parvenir, consultez utilisation de l’éditeur cli en mode de configuration.
Pour configurer un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
lsaccountingadmin1@host:ls-accounting-dept> configure lsaccountingadmin1@host:ls-accounting-dept#
Configurez l’interface logique d’un système logique utilisateur.
[edit interfaces] lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 family inet address 14.1.1.1/24 lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 vlan-id 900
Configurez l’instance de routage et attribuez des interfaces.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 instance-type virtual-router lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface lt-0/0/0.7
Configurez des routes statiques.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 lsaccountingadmin1@host:ls-accounting-deptt# set acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configurez des zones de sécurité et attribuez des interfaces à chaque zone.
[edit security zones] lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-trust interfaces ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Créez des entrées de carnet d’adresses.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal address accounting 14.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address design 12.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address marketing 13.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address others 12.12.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address design lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address marketing
Attachez des carnets d’adresses à des zones.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal attach zone ls-accounting-trust lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external attach zone ls-accounting-untrust
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-accounting-trust à la zone ls-accounting-untrust.
[edit security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match source-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys then permit
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-accounting-untrust à la zone ls-accounting-trust.
[edit security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match destination-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show routing-instances commandes et show security . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsaccountingadmin1@host:ls-accounting-dept# show routing-instances
acct-vr1 {
instance-type virtual-router;
interface ge-0/0/7.1;
interface lt-0/0/0.7;
routing-options {
static {
route 12.12.1.0/24 next-hop 10.0.1.1;
route 12.1.1.0/24 next-hop 10.0.1.2;
route 13.1.1.0/24 next-hop 10.0.1.3;
}
}
}
lsaccountingadmin1@host:ls-accounting-dept# show security
address-book {
accounting-internal {
address accounting 14.1.1.0/24;
attach {
zone ls-accounting-trust;
}
}
accounting-external {
address design 12.1.1.0/24;
address marketing 13.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address design;
address marketing;
}
attach {
zone ls-accounting-untrust;
}
}
}
policies {
from-zone ls-accounting-trust to-zone ls-accounting-untrust {
policy permit-all-to-otherlsys {
match {
source-address accounting;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-accounting-untrust to-zone ls-accounting-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address accounting;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-accounting-trust {
interfaces {
ge-0/0/7.1;
}
}
security-zone ls-accounting-untrust {
interfaces {
lt-0/0/0.7;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration des stratégies
But
Vérifiez les informations sur les stratégies et les règles.
Action
Depuis le mode opérationnel, saisissez la show security policies detail commande pour afficher un récapitulatif de toutes les stratégies configurées sur le système logique.
Exemple : configuration de zones de sécurité pour un système logique utilisateur
Cet exemple montre comment configurer des zones pour un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique utilisateur en tant qu’administrateur système logique utilisateur. Voir la présentation de la configuration des systèmes logiques des utilisateurs.
Utilisez la
show system security-profile zonescommande pour voir les ressources de zone allouées au système logique.Les interfaces logiques du système logique utilisateur doivent être configurées. Voir l’exemple : Configuration d’interfaces et d’instances de routage pour un système logique utilisateur.
Aperçu
Cet exemple configure le système logique utilisateur ls-product-design illustré dans l’exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple crée les zones et les carnets d’adresses décrits dans le tableau 3.
Fonction |
Nom |
Paramètres de configuration |
|---|---|---|
Zones |
ls-produit-conception-trust |
|
|
ls-conception-produit-un trust |
|
Carnets d’adresses |
conception produit-interne |
|
|
conception produit-externe |
|
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set security address-book product-design-internal address product-designers 12.1.1.0/24 set security address-book product-design-internal attach zone ls-product-design-trust set security address-book product-design-external address marketing 13.1.1.0/24 set security address-book product-design-external address accounting 14.1.1.0/24 set security address-book product-design-external address others 12.12.1.0/24 set security address-book product-design-external address-set otherlsys address marketing set security address-book product-design-external address-set otherlsys address accounting set security address-book product-design-external attach zone ls-product-design-untrust set security zones security-zone ls-product-design-trust tcp-rst set security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer des zones dans un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez une zone de sécurité et attribuez-la à une interface.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
Configurez le paramètre TCP-Reset pour la zone.
[edit security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
Configurez une zone de sécurité et attribuez-la à une interface.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Créez des entrées globales de carnet d’adresses.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 12.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 13.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 14.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 12.12.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
Attachez des carnets d’adresses à des zones.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design# set address-book product-design-external attach zone ls-product-design-untrust
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsdesignadmin1@host:ls-product-design# show security
address-book {
product-design-internal {
address product-designers 12.1.1.0/24;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 13.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.