Zones de sécurité dans les systèmes logiques
Les zones de sécurité sont les éléments constitutifs des politiques. Sécurité zones sont des entités logiques auxquelles une ou plusieurs interfaces sont liées et permettent de distinguer des groupes d’hôtes (systèmes logiques utilisateurs et autres hôtes, tels que des serveurs) et des ressources afin d’appliquer différentes mesures de sécurité. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre les zones des systèmes logiques
Les zones de sécurité sont des entités logiques auxquelles une ou plusieurs interfaces sont liées. Les zones de sécurité peuvent être configurées sur le système logique principal par l’administrateur principal ou sur les systèmes logiques utilisateur par l’administrateur du système logique utilisateur. Sur un système logique, l’administrateur peut configurer plusieurs zones de sécurité, divisant le réseau en segments de réseau auxquels diverses options de sécurité peuvent être appliquées.
L’administrateur principal configure le nombre maximal et réservé de zones de sécurité pour chaque système logique utilisateur. L’administrateur du système logique utilisateur peut ensuite créer des zones de sécurité dans le système logique utilisateur et affecter des interfaces à chaque zone de sécurité. À partir d’un système logique utilisateur, l’administrateur du système logique utilisateur peut utiliser la show system security-profile zones commande pour afficher le nombre de zones de sécurité allouées au système logique utilisateur et la show interfaces commande pour afficher les interfaces allouées au système logique utilisateur.
L’administrateur principal peut configurer un profil de sécurité pour le système logique principal qui spécifie le nombre maximal et réservé de zones de sécurité appliquées au système logique principal. Le nombre de zones configurées dans le système logique principal est pris en compte dans le nombre maximal de zones disponibles sur l’équipement.
L’administrateur principal et l’administrateur utilisateur peuvent configurer les propriétés suivantes d’une zone de sécurité dans un système logique :
Interfaces faisant partie d’une zone de sécurité.
Options d’écran : pour chaque zone de sécurité, vous pouvez activer un ensemble d’options d’écran prédéfinies qui détectent et bloquent divers types de trafic que l’équipement juge potentiellement dangereux.
TCP-Reset : lorsque cette fonctionnalité est activée, le système envoie un segment TCP avec l’indicateur RESET défini lorsque le trafic arrive qui ne correspond pas à une session existante et dont l’indicateur de synchronisation n’est pas défini.
Host inbound traffic : cette fonctionnalité spécifie les types de trafic qui peuvent atteindre l’appareil à partir de systèmes directement connectés à ses interfaces. Vous pouvez configurer ces paramètres au niveau de la zone, auquel cas ils affectent toutes les interfaces de la zone, ou au niveau de l’interface. (La configuration de l’interface remplace celle de la zone.)
Il n’existe aucune zone de sécurité préconfigurée dans le système logique principal ou le système logique utilisateur.
La zone fonctionnelle de gestion (MGT) ne peut être configurée que pour le système logique principal. Il n’y a qu’une seule interface de gestion par périphérique et cette interface est allouée au système logique principal.
L’interface all ne peut être affectée qu’à une zone du système logique principal par l’administrateur principal.
L’administrateur du système logique utilisateur peut configurer et afficher tous les attributs d’une zone de sécurité dans un système logique utilisateur. Tous les attributs d’une zone de sécurité dans un système logique utilisateur sont également visibles par l’administrateur principal.
Voir aussi
Exemple : configuration de systèmes logiques utilisateur
Cet exemple montre la configuration des interfaces, des instances de routage, des zones et des stratégies de sécurité pour les systèmes logiques utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique. Voir Vue d’ensemble de la configuration des systèmes logiques utilisateur.
Assurez-vous de savoir quelles interfaces logiques et, éventuellement, quelle interface de tunnel logique (et son adresse IP) sont allouées à votre système logique utilisateur par l’administrateur principal. Voir Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
Vue d’ensemble
Cet exemple configure les systèmes logiques utilisateur ls-marketing-dept et ls-accounting-dept illustrés dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple configure les paramètres décrits dans les tableaux 1 et 2.
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
Interface utilisateur |
GE-0/0/6.1 |
|
Instance de routage |
MK-VR1 |
|
Zones |
ls-marketing-trust |
Liaison à l’interface ge-0/0/6.1. |
ls-marketing-untrust |
Liaison à l’interface lt-0/0/0.5 |
|
Carnets d’adresses |
Marketing interne |
|
marketing-externe |
|
|
Politiques |
permis-à-autrelsys |
Autorisez la circulation suivante :
|
permis-tout-des-autreslsys |
Autorisez la circulation suivante :
|
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
Interface utilisateur |
GE-0/0/7.1 |
|
Instance de routage |
acct-vr1 |
|
Zones |
ls-accounting-trust |
Liaison à l’interface ge-0/0/7.1. |
ls-accounting-untrust |
Liaison à l’interface lt-0/0/0.7 |
|
Carnets d’adresses |
comptabilité interne |
|
comptabilité-externe |
|
|
Politiques |
permis-à-autrelsys |
Autorisez la circulation suivante :
|
permis-tout-des-autreslsys |
Autorisez la circulation suivante :
|
La configuration
- Configuration du système logique utilisateur ls-marketing-dept
- Configuration du système logique utilisateur ls-accounting-dept
Configuration du système logique utilisateur ls-marketing-dept
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set interfaces ge-0/0/6 unit 1 family inet address 13.1.1.1/24 set interfaces ge-0/0/6 unit 1 vlan-id 800 set routing-instances mk-vr1 instance-type virtual-router set routing-instances mk-vr1 interface ge-0/0/6.1 set routing-instances mk-vr1 interface lt-0/0/0.5 set routing-instances mk-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set security zones security-zone ls-marketing-trust interfaces ge-0/0/6.1 set security zones security-zone ls-marketing-untrust interfaces lt-0/0/0.5 set security address-book marketing-external address design 12.1.1.0/24 set security address-book marketing-external address accounting 14.1.1.0/24 set security address-book marketing-external address others 12.12.1.0/24 set security address-book marketing-external address-set otherlsys address design set security address-book marketing-external address-set otherlsys address accounting set security address-book marketing-external attach zone ls-marketing-untrust set security address-book marketing-internal address marketers 13.1.1.0/24 set security address-book marketing-internal attach zone ls-marketing-trust set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match source-address marketers set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match destination-address marketers set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer un système logique d’utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et entrez en mode configuration.
lsmarketingadmin1@host:ls-marketing-dept> configure lsmarketingadmin1@host:ls-marketing-dept#
Configurez l’interface logique d’un système logique utilisateur.
[edit interfaces] lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 family inet address 13.1.1.1/24 lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 vlan-id 800
Configurez l’instance de routage et attribuez des interfaces.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 instance-type virtual-router lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface lt-0/0/0.5
Configurez des routes statiques.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.2 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configurez les zones de sécurité et attribuez des interfaces à chacune d’elles.
[edit security zones] lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-trust interfaces ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-untrust interfaces lt-0/0/0.5
Créez des entrées de carnet d’adresses.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal address marketers 13.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address design 12.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address accounting 14.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address others 12.12.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address design lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address accounting
Joignez des carnets d’adresses aux zones.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal attach zone ls-marketing-trust lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external attach zone ls-marketing-untrust
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-marketing-trust vers la zone ls-marketing-untrust.
[edit security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match source-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys then permit
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-marketing-untrust vers la zone ls-marketing-trust.
[edit security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match destination-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show routing-instances commandes and show security . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsmarketingadmin1@host:ls-marketing-dept# show routing instances
mk-vr1 {
instance-type virtual-router;
interface ge-0/0/6.1;
interface lt-0/0/0.5;
routing-options {
static {
route 12.1.1.0/24 next-hop 10.0.1.2;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
lsmarketingadmin1@host:ls-marketing-dept# show security
address-book {
marketing-external {
address product-designers 12.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address product-designers;
address accounting;
}
attach {
zone ls-marketing-untrust;
}
}
marketing-internal {
address marketers 13.1.1.0/24;
attach {
zone ls-marketing-trust;
}
}
}
policies {
from-zone ls-marketing-trust to-zone ls-marketing-untrust {
policy permit-all-to-otherlsys {
match {
source-address marketers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-marketing-untrust to-zone ls-marketing-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address marketers;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-marketing-trust {
interfaces {
ge-0/0/6.1;
}
}
security-zone ls-marketing-untrust {
interfaces {
lt-0/0/0.5;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Configuration du système logique utilisateur ls-accounting-dept
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set interfaces ge-0/0/7 unit 1 family inet address 14.1.1.1/24 set interfaces ge-0/0/7 unit 1 vlan-id 900 set routing-instances acct-vr1 instance-type virtual-router set routing-instances acct-vr1 interface ge-0/0/7.1 set routing-instances acct-vr1 interface lt-0/0/0.7 set routing-instances acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set routing-instances acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set security address-book accounting-internal address accounting 14.1.1.0/24 set security address-book accounting-internal attach zone ls-accounting-trust set security address-book accounting-external address design 12.1.1.0/24 set security address-book accounting-external address marketing 13.1.1.0/24 set security address-book accounting-external address others 12.12.1.0/24 set security address-book accounting-external address-set otherlsys address design set security address-book accounting-external address-set otherlsys address marketing set security address-book accounting-external attach zone ls-accounting-untrust set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match source-address accounting set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match destination-address accounting set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys then permit set security zones security-zone ls-accounting-trust interfaces ge-0/0/7.1 set security zones security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer un système logique d’utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et entrez en mode configuration.
lsaccountingadmin1@host:ls-accounting-dept> configure lsaccountingadmin1@host:ls-accounting-dept#
Configurez l’interface logique d’un système logique utilisateur.
[edit interfaces] lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 family inet address 14.1.1.1/24 lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 vlan-id 900
Configurez l’instance de routage et attribuez des interfaces.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 instance-type virtual-router lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface lt-0/0/0.7
Configurez des routes statiques.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 lsaccountingadmin1@host:ls-accounting-deptt# set acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configurez les zones de sécurité et attribuez des interfaces à chacune d’elles.
[edit security zones] lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-trust interfaces ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Créez des entrées de carnet d’adresses.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal address accounting 14.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address design 12.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address marketing 13.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address others 12.12.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address design lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address marketing
Joignez des carnets d’adresses aux zones.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal attach zone ls-accounting-trust lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external attach zone ls-accounting-untrust
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-accounting-trust vers la zone ls-accounting-untrust.
[edit security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match source-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys then permit
Configurez une stratégie de sécurité qui autorise le trafic de la zone ls-accounting-untrust vers la zone ls-accounting-trust.
[edit security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match destination-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show routing-instances commandes and show security . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsaccountingadmin1@host:ls-accounting-dept# show routing-instances
acct-vr1 {
instance-type virtual-router;
interface ge-0/0/7.1;
interface lt-0/0/0.7;
routing-options {
static {
route 12.12.1.0/24 next-hop 10.0.1.1;
route 12.1.1.0/24 next-hop 10.0.1.2;
route 13.1.1.0/24 next-hop 10.0.1.3;
}
}
}
lsaccountingadmin1@host:ls-accounting-dept# show security
address-book {
accounting-internal {
address accounting 14.1.1.0/24;
attach {
zone ls-accounting-trust;
}
}
accounting-external {
address design 12.1.1.0/24;
address marketing 13.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address design;
address marketing;
}
attach {
zone ls-accounting-untrust;
}
}
}
policies {
from-zone ls-accounting-trust to-zone ls-accounting-untrust {
policy permit-all-to-otherlsys {
match {
source-address accounting;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-accounting-untrust to-zone ls-accounting-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address accounting;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-accounting-trust {
interfaces {
ge-0/0/7.1;
}
}
security-zone ls-accounting-untrust {
interfaces {
lt-0/0/0.7;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration des stratégies
Objet
Vérifiez les informations sur les stratégies et les règles.
Mesures à prendre
En mode opérationnel, entrez la show security policies detail commande pour afficher un résumé de toutes les stratégies configurées sur le système logique.
Exemple : Configuration de zones de sécurité pour les systèmes logiques d’un utilisateur
Cet exemple montre comment configurer des zones pour un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique utilisateur en tant qu’administrateur du système logique utilisateur. Voir Vue d’ensemble de la configuration des systèmes logiques utilisateur.
Utilisez la
show system security-profile zonescommande pour voir les ressources de zone allouées au système logique.Les interfaces logiques du système logique utilisateur doivent être configurées. Voir Exemple : Configuration d’interfaces et d’instances de routage pour un système logique utilisateur.
Vue d’ensemble
Cet exemple configure le système logique utilisateur ls-product-design illustré dans Exemple : création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple crée les zones et les carnets d’adresses décrits dans le Tableau 3.
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
Zones |
ls-product-design-trust |
|
ls-product-design-untrust |
|
|
Carnets d’adresses |
produit-conception-interne |
|
product-design-externe |
|
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security address-book product-design-internal address product-designers 12.1.1.0/24 set security address-book product-design-internal attach zone ls-product-design-trust set security address-book product-design-external address marketing 13.1.1.0/24 set security address-book product-design-external address accounting 14.1.1.0/24 set security address-book product-design-external address others 12.12.1.0/24 set security address-book product-design-external address-set otherlsys address marketing set security address-book product-design-external address-set otherlsys address accounting set security address-book product-design-external attach zone ls-product-design-untrust set security zones security-zone ls-product-design-trust tcp-rst set security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer des zones dans un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et entrez en mode configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez une zone de sécurité et attribuez-la à une interface.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
Configurez le paramètre TCP-Reset pour la zone.
[edit security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
Configurez une zone de sécurité et attribuez-la à une interface.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Créez des entrées de carnet d’adresses globales.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 12.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 13.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 14.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 12.12.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
Joignez des carnets d’adresses aux zones.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design# set address-book product-design-external attach zone ls-product-design-untrust
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsdesignadmin1@host:ls-product-design# show security
address-book {
product-design-internal {
address product-designers 12.1.1.0/24;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 13.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.