Présentation des systèmes logiques utilisateur
Un système logique utilisateur vous permet de configurer des zones, des stratégies de sécurité, des interfaces logiques et des ressources de sécurité affectées à son propre système logique utilisateur. Pour plus d’informations, consultez les rubriques suivantes :
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Consultez la section Comportement du système logique de l’utilisateur spécifique à la plate-forme pour les notes relatives à votre plate-forme.
Présentation de la configuration des systèmes logiques utilisateur
Lorsque l’administrateur principal crée un système logique utilisateur, il affecte un administrateur de système logique utilisateur pour le gérer. Un système logique utilisateur peut avoir plusieurs administrateurs de système logique utilisateur.
En tant qu’administrateur de système logique utilisateur, vous pouvez accéder aux ressources de votre système logique utilisateur et les afficher, mais pas celles des autres systèmes logiques utilisateur ou du système logique principal. Vous pouvez configurer les ressources allouées à votre système logique utilisateur, mais vous ne pouvez pas modifier le nombre de ressources allouées.
La procédure suivante répertorie les tâches que l’administrateur du système logique utilisateur effectue pour configurer les ressources dans le système logique utilisateur :
Connectez-vous au système logique de l’utilisateur avec l’identifiant et le mot de passe configurés par l’administrateur principal :
SSH à l’adresse IP de gestion configurée sur l’appareil. Connectez-vous au système logique de l’utilisateur avec l’identifiant et le mot de passe d’administrateur fournis par l’administrateur principal.
Vous entrez un shell UNIX dans le système logique utilisateur configuré par l’administrateur principal.
La puce TPM (Trusted Platform Module) est activée par défaut. Pour utiliser la fonctionnalité TPM dans les systèmes logiques, vous devez configurer la clé de chiffrement principale (MEK) au niveau du système logique racine uniquement, et les systèmes logiques utilisateur hériteront de la même MEK pour chiffrer le hachage de configuration et les paires de clés d’infrastructure à clé publique (PKI). Pour plus d’informations sur TPM, voir Utilisation du module Trusted Platform pour lier des secrets sur les périphériques SRX Series.
La présence de l’invite > indique que la CLI a commencé. L’invite est précédée d’une chaîne contenant votre nom d’utilisateur, le nom d’hôte du routeur et le nom du système logique utilisateur. Lorsque la CLI commence, vous êtes au niveau supérieur en mode opérationnel. Vous entrez en mode configuration en entrant la commande du configure mode opérationnel. L’invite CLI passe de user@host : logical-system> à user@host : logical-system#.
Pour quitter la CLI et revenir à l’interpréteur de commandes UNIX, entrez la quit commande.
Configurez les interfaces logiques affectées au système logique de l’utilisateur par l’administrateur principal. Configurez une ou plusieurs instances de routage ainsi que les protocoles et options de routage au sein de chaque instance. Voir Exemple : Configuration d’interfaces et d’instances de routage pour un système logique utilisateur.
Configurez les ressources de sécurité pour le système logique de l’utilisateur :
Créez des zones pour le système logique utilisateur et liez les interfaces logiques aux zones. Des carnets d’adresses peuvent être créés qui sont attachés à des zones pour être utilisés dans les stratégies. Voir Exemple : Configuration de zones de sécurité pour les systèmes logiques d’un utilisateur.
Configurez les options d’écran au niveau de la zone. Voir Exemple : Configuration des options d’écran pour un système logique utilisateur.
Configurez les stratégies de sécurité entre les zones du système logique utilisateur. Voir Exemple : Configuration de stratégies de sécurité dans les systèmes logiques d’un utilisateur.
Des applications ou des ensembles d’applications personnalisés peuvent être créés pour des types de trafic spécifiques. Pour créer une application personnalisée, utilisez l’instruction de
applicationconfiguration au niveau de la hiérarchie [edit applications]. Pour créer un ensemble d’applications, utilisez l’instruction deapplication-setconfiguration au niveau de la hiérarchie [edit applications].Configurez l’authentification par pare-feu. L’administrateur principal crée des profils d’accès dans le système logique principal. Voir Exemple : Configuration des profils d’accès (administrateurs principaux uniquement).
L’administrateur système logique de l’utilisateur configure ensuite une stratégie de sécurité qui spécifie l’authentification par pare-feu pour le trafic correspondant et configure le type d’authentification (authentification directe ou Web), le profil d’accès par défaut et la bannière de réussite. Voir Exemple : Configuration de l’authentification par pare-feu pour un système logique utilisateur.
Configurez un tunnel VPN basé sur une route pour sécuriser le trafic entre un système logique utilisateur et un site distant. L’administrateur principal affecte une interface de tunnel sécurisée au système logique de l’utilisateur et configure les SA IKE et IPsec pour le tunnel VPN. Voir Exemple : Configuration des SA IKE et IPsec pour un tunnel VPN (administrateurs principaux uniquement).
L’administrateur système logique de l’utilisateur configure ensuite un tunnel VPN basé sur le routage. Voir Exemple : Configuration d’un tunnel VPN basé sur le routage dans les systèmes logiques d’un utilisateur.
Configurez la traduction d’adresses réseau (NAT). Voir Exemple : Configuration de la traduction d’adresses réseau pour un système logique utilisateur.
Configurer et affecter une stratégie IDP prédéfinie au système logique utilisateur. L’administrateur principal configure les stratégies IDP au niveau racine et spécifie une stratégie IDP dans le profil de sécurité liée à un système logique. Voir Exemple : Configuration et attribution d’une stratégie IDP prédéfinie pour un système logique utilisateur.
L’administrateur système logique de l’utilisateur active ensuite IDP dans une stratégie de sécurité. Voir Exemple : Activation d’IDP dans une stratégie de Sécurité du système logique utilisateur.
Configurez et activez une stratégie IDP au niveau du système logique utilisateur. Voir Exemple : Configuration d’une stratégie IDP pour un système logique utilisateur
Affichez ou effacez les entrées du cache du système d’application (ASC). Voir Présentation des systèmes logiques Services d’identification des applications.
Configurer les services de pare-feu d’application sur un système logique utilisateur. Voir Présentation des systèmes logiques Services de pare-feu d’application et Exemple : Configuration des services de pare-feu d’application pour un système logique utilisateur.
Configurez l’outil de suivi des applications AppTrack. Voir Exemple : Configuration d’AppTrack pour un système logique utilisateur.
Voir aussi
Présentation des systèmes logiques utilisateur et du rôle d’administrateur de système logique utilisateur
Les systèmes logiques permettent à un administrateur principal de partitionner un pare-feu SRX Series en contextes distincts appelés systèmes logiques utilisateur. Les systèmes logiques utilisateur sont des contextes autonomes et privés, séparés les uns des autres et du système logique principal. Un système logique utilisateur possède ses propres configurations de sécurité, de mise en réseau, d’interfaces logiques et de routage, ainsi qu’un ou plusieurs administrateurs de système logique utilisateur.
Lorsque l’administrateur principal crée un système logique utilisateur, il affecte un ou plusieurs administrateurs de système logique utilisateur pour le gérer. Un administrateur de système logique utilisateur a une vue de l’appareil qui est limitée à son système logique. Bien qu’un système logique utilisateur soit géré par un administrateur de système logique utilisateur, l’administrateur principal dispose d’une vue globale de l’appareil et de l’accès à tous les systèmes logiques utilisateur. Si nécessaire, l’administrateur principal peut gérer n’importe quel système logique utilisateur sur l’appareil.
Le rôle et les responsabilités d’un administrateur de système logique utilisateur diffèrent de ceux de l’administrateur principal. En tant qu’administrateur de système logique utilisateur, vous pouvez accéder, configurer et afficher la configuration de vos ressources de système logique utilisateur, mais pas celles des autres systèmes logiques utilisateur ou du système logique principal.
En tant qu’administrateur système logique utilisateur, vous pouvez :
Configurez les zones, les carnets d’adresses, les stratégies de sécurité, les listes d’utilisateurs, les services personnalisés, etc., pour votre environnement de système logique utilisateur, en fonction des ressources qui lui sont allouées.
Par exemple, si l’administrateur principal alloue 40 zones à votre système logique utilisateur, vous pouvez configurer et administrer ces zones, mais vous ne pouvez pas modifier le nombre alloué.
Configurez les instances de routage et attribuez-leur des interfaces allouées. Créez des routes statiques et ajoutez-les à vos instances de routage. Configurer les protocoles de routage.
Configurer, activer et surveiller la stratégie de pare-feu d’application sur votre système logique utilisateur.
Configurez AppTrack.
Affichez toutes les interfaces logiques attribuées et configurez leurs attributs. Les attributs que vous configurez pour les interfaces logiques de votre système logique utilisateur ne peuvent pas être vus par les autres administrateurs du système logique utilisateur.
Exécutez des commandes opérationnelles pour votre système logique utilisateur.
Voir aussi
Comportement du système logique utilisateur spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme :
| Plate-forme |
Différence |
|---|---|
| SRX Series |
|