Présentation des systèmes logiques utilisateur
Un système logique utilisateur vous permet de configurer des zones, des stratégies de sécurité, des interfaces logiques et des ressources de sécurité assignés à son propre système logique utilisateur. Pour plus d’informations, consultez les sujets suivants :
Présentation de la configuration des systèmes logiques utilisateur
Lorsque l’administrateur principal crée un système logique utilisateur, il assigne un administrateur système logique utilisateur pour le gérer. Un système logique utilisateur peut avoir plusieurs administrateurs logiques d’utilisateur.
En tant qu’administrateur système logique utilisateur, vous pouvez accéder et afficher les ressources de votre système logique utilisateur, mais pas celles des autres systèmes logiques utilisateur ou du système logique principal. Vous pouvez configurer les ressources allouées à votre système logique utilisateur, mais vous ne pouvez pas modifier le nombre de ressources allouées.
La procédure suivante répertorie les tâches que l’administrateur système logique de l’utilisateur effectue pour configurer les ressources dans le système logique de l’utilisateur :
Connectez-vous au système logique de l’utilisateur avec l’identifiant et le mot de passe configurés par l’administrateur principal :
SSH à l’adresse IP de gestion configurée sur l’équipement. Connectez-vous au système logique de l’utilisateur avec l’identifiant et le mot de passe fournis par l’administrateur principal.
Vous entrez un shell UNIX dans le système logique utilisateur configuré par l’administrateur principal.
À partir de la version 20.1R1 de Junos OS, sur les équipements SRX5400, SRX5600 et SRX5800 Series, Le module de plate-forme fiable (TPM) ne prend en charge qu’avec le moteur de routage SRX5K-RE3-128G (RE3). La puce TPM s’active par défaut. Pour utiliser la fonctionnalité TPM dans les systèmes logiques, vous devez configurer meK (Master-Encryption-key) au niveau du système logique racine uniquement, et les systèmes logiques utilisateur hériteront du même MEK pour chiffrer les paires de clés de hachage de configuration et PKI (Public Key Infrastructure). Pour plus d’informations sur le TPM, consultez utilisation d’un module de plate-forme fiable pour lier des secrets sur des équipements SRX Series.
La présence de l’invite > indique que la CLI a commencé. L’invite est précédée d’une chaîne contenant votre nom d’utilisateur, le nom d’hôte du routeur et le nom du système logique utilisateur. Lorsque la CLI commence, vous êtes au niveau supérieur en mode opérationnel. Vous entrez en mode de configuration en entrant la commande du configure mode opérationnel. L’invite CLI passe de user@host : logical-system> à user@host : logical-system#.
Pour quitter la CLI et revenir au shell UNIX, saisissez la quit commande.
Configurez les interfaces logiques attribuées au système logique de l’utilisateur par l’administrateur principal. Configurez une ou plusieurs instances de routage, ainsi que les protocoles et options de routage au sein de chaque instance. Voir l’exemple : Configuration d’interfaces et d’instances de routage pour un système logique utilisateur.
Configurez les ressources de sécurité pour le système logique utilisateur :
Créez des zones pour le système logique utilisateur et liez les interfaces logiques aux zones. Il est possible de créer des carnets d’adresses rattachés à des zones pour les stratégies. Voir l’exemple : configuration de zones de sécurité pour un système logique utilisateur.
Configurez les options d’écran au niveau de la zone. Voir l’exemple : Configuration des options d’écran pour un système logique utilisateur.
Configurez les stratégies de sécurité entre les zones du système logique de l’utilisateur. Voir l’exemple de configuration des stratégies de sécurité dans un système logique utilisateur.
Des applications ou des ensembles d’applications personnalisés peuvent être créés pour des types de trafic spécifiques. Pour créer une application personnalisée, utilisez l’instruction
applicationde configuration au niveau de la hiérarchie [edit applications]. Pour créer un ensemble d’applications, utilisez l’instructionapplication-setde configuration au niveau de la hiérarchie [edit applications].Configurez l’authentification du pare-feu. L’administrateur principal crée des profils d’accès dans le système logique principal. Voir l’exemple : configuration des profils d’accès (administrateurs principaux uniquement).
L’administrateur système logique de l’utilisateur configure ensuite une stratégie de sécurité qui spécifie l’authentification du pare-feu pour le trafic correspondant et configure le type d’authentification (pass-through ou authentification Web), le profil d’accès par défaut et la bannière de réussite. Voir l’exemple : Configuration de l’authentification de pare-feu pour un système logique utilisateur.
Configurez un tunnel VPN basé sur le routage pour sécuriser le trafic entre un système logique utilisateur et un site distant. L’administrateur principal attribue une interface tunnel sécurisée au système logique de l’utilisateur et configure les SAs IKE et IPsec pour le tunnel VPN. Voir l’exemple : Configuration des SAS IKE et IPsec pour un tunnel VPN (administrateurs principaux uniquement).
L’administrateur système logique de l’utilisateur configure ensuite un tunnel VPN basé sur le routage. Voir l’exemple : Configuration d’un tunnel VPN basé sur le routage dans un système logique utilisateur.
Configurez la traduction des adresses réseau (NAT). Voir l’exemple : Configuration de la traduction d’adresses réseau pour un système logique utilisateur.
Configurez et affectez une stratégie IDP prédéfinie au système logique de l’utilisateur. L’administrateur principal configure les stratégies IDP au niveau racine et spécifie une stratégie IDP dans le profil de sécurité lié à un système logique. Voir l’exemple : Configuration et attribution d’une stratégie IDP prédéfinie pour un système logique utilisateur.
L’administrateur système logique de l’utilisateur active ensuite l’IDP dans une stratégie de sécurité. Voir l’exemple : activation d’IDP dans une stratégie de sécurité du système logique utilisateur.
Configurez et activez une stratégie IDP au niveau du système logique de l’utilisateur. Voir l’exemple : configuration d’une stratégie IDP pour un système logique utilisateur
Affichez ou effacez les entrées ASC (Application System Cache). Voir Comprendre les services d’identification des applications des systèmes logiques.
Configurez les services de pare-feu applicatif sur un système logique utilisateur. Voir Comprendre les services de pare-feu applicatif des systèmes logiques et Exemple : configuration des services de pare-feu d’application pour un système logique utilisateur.
Configurez l’outil de suivi des applications AppTrack. Voir l’exemple : configuration d’AppTrack pour un système logique utilisateur.
Voir aussi
Comprendre les systèmes logiques utilisateur et le rôle d’administrateur système logique utilisateur
Les systèmes logiques permettent à un administrateur principal de partitionner un pare-feu SRX Series dans des contextes distincts appelés systèmes logiques utilisateur. Les systèmes logiques utilisateur sont des contextes privés et autonomes, séparés à la fois les uns des autres et du système logique principal. Un système logique utilisateur dispose de ses propres fonctions de sécurité, de mise en réseau, d’interfaces logiques, de configurations de routage et d’un ou plusieurs administrateurs système logiques utilisateur.
Lorsque l’administrateur principal crée un système logique utilisateur, il assigne un ou plusieurs administrateurs système logiques utilisateur pour le gérer. Un administrateur système logique utilisateur a une vue de l’équipement qui se limite à son système logique. Bien qu’un système logique utilisateur soit géré par un administrateur système logique utilisateur, l’administrateur principal dispose d’une vue globale de l’équipement et d’un accès à tous les systèmes logiques utilisateur. Si nécessaire, l’administrateur principal peut gérer n’importe quel système logique utilisateur sur l’équipement.
Le rôle et les responsabilités d’un administrateur système logique utilisateur diffèrent de ceux de l’administrateur principal. En tant qu’administrateur système logique utilisateur, vous pouvez accéder, configurer et afficher la configuration de vos ressources de système logique utilisateur, mais pas celles des autres systèmes logiques utilisateur ou du système logique principal.
En tant qu’administrateur système logique utilisateur, vous pouvez :
Configurez des zones, des carnets d’adresses, des stratégies de sécurité, des listes d’utilisateurs, des services personnalisés, etc., pour votre environnement système logique utilisateur, en fonction des ressources qui lui sont allouées.
Par exemple, si l’administrateur principal alloue 40 zones à votre système logique utilisateur, vous pouvez configurer et administrer ces zones, mais vous ne pouvez pas modifier le nombre alloué.
Configurez les instances de routage et leur assignez des interfaces allouées. Créez des routes statiques et ajoutez-les à vos instances de routage. Configurez les protocoles de routage.
Configurez, activez et surveillez la stratégie de pare-feu applicatif sur votre système logique utilisateur.
Configurez AppTrack.
Consultez toutes les interfaces logiques attribuées et configurez leurs attributs. Les attributs que vous configurez pour les interfaces logiques de votre système logique utilisateur ne peuvent pas être vus par les autres administrateurs de systèmes logiques utilisateur.
Exécutez des commandes opérationnelles pour votre système logique utilisateur.