논리적 시스템에 대한 보안 프로파일
논리적 시스템에 대한 보안 프로필을 사용하면 리소스를 할당할 수 있습니다. 보안 프로필은 보안 프로필이 바인딩된 논리적 시스템에 할당할 리소스 수를 지정합니다. 모든 시스템 리소스는 기본 논리적 시스템에 할당되고 기본 관리자는 보안 프로필을 사용하여 사용자 논리적 시스템에 할당합니다. 자세한 내용은 다음 항목을 참조하십시오.
논리적 시스템 보안 프로파일 이해(기본 관리자만 해당)
논리적 시스템을 사용하면 지원되는 SRX 시리즈 방화벽을 여러 디바이스로 가상으로 분할하여 서로 격리하고, 침입 및 공격으로부터 보호하고, 해당 컨텍스트 외부의 결함 상태로부터 보호할 수 있습니다. 논리적 시스템을 보호하기 위해 보안 리소스는 개별 디바이스에 대해 구성된 방식과 유사한 방식으로 구성됩니다. 그러나 기본 관리자는 논리적 시스템에 보안 리소스의 종류와 양을 할당해야 합니다. 논리적 시스템 관리자는 자신의 논리적 시스템에 리소스를 할당합니다.
논리적 시스템을 실행하는 SRX 시리즈 방화벽은 사용자 논리적 시스템, 원하는 경우 상호 연결 논리적 시스템 및 기본 기본 논리적 시스템으로 분할될 수 있습니다. 시스템이 초기화되면 기본 논리적 시스템이 루트 수준에서 생성됩니다. 모든 시스템 리소스가 할당되어 기본 기본 논리적 시스템 보안 프로필이 효과적으로 생성됩니다. 논리적 시스템에 보안 리소스를 분산하기 위해 주 관리자는 보안 프로필이 바인딩된 논리적 시스템에 할당할 리소스의 종류와 양을 지정하는 보안 프로필을 생성합니다. 주 관리자만 보안 프로필을 구성하고 논리적 시스템에 바인딩할 수 있습니다. 사용자 논리적 시스템 관리자는 자신의 논리적 시스템에 대해 이러한 리소스를 구성합니다.
논리적 시스템은 주로 보안 구성 요소, 인터페이스, 라우팅 인스턴스, 정적 경로 및 동적 라우팅 프로토콜을 포함하여 할당된 리소스에 의해 정의됩니다. 주 관리자는 사용자 논리적 시스템을 구성할 때 보안 프로필을 바인딩합니다. 보안 프로필이 바인딩되지 않은 채 사용자 논리적 시스템에 대한 구성을 커밋하려는 시도는 실패합니다.
이 주제는 다음 섹션을 포함합니다.
논리적 시스템 보안 프로파일
주 관리자는 단일 보안 프로필을 구성하여 특정 논리적 시스템에 리소스를 할당하거나, 둘 이상의 논리적 시스템에 동일한 보안 프로필을 사용하거나, 두 가지 방법을 혼합하여 사용할 수 있습니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽에서 최대 32개의 보안 프로필을 구성할 수 있습니다. 제한에 도달하면 보안 프로필을 삭제하고 구성 변경을 커밋해야 다른 보안 프로필을 생성하여 커밋할 수 있습니다. 단일 보안 프로필을 둘 이상의 논리적 시스템에 바인딩할 수 있으므로 대부분의 경우 더 적은 수의 보안 프로필이 필요합니다.
보안 프로필을 사용하면 다음을 수행할 수 있습니다.
정책, 영역, 주소 및 주소록, 플로우 세션, 다양한 형태의 NAT 등 디바이스의 리소스를 모든 논리적 시스템 간에 적절하게 공유합니다. 다양한 양의 리소스를 논리 시스템에 할당하고 사용 가능한 리소스 사용을 놓고 경쟁할 수 있도록 할 수 있습니다.
보안 프로필은 하나의 논리 시스템이 다른 논리 시스템에서 동시에 필요한 리소스를 소진하는 것을 방지합니다. 보안 프로필은 중요한 시스템 리소스를 보호하고 디바이스에 과도한 트래픽 플로우가 발생할 때 사용자 논리적 시스템 간에 공정한 수준의 성능을 유지합니다. 그들은 자원 사용을 지배하고 다른 사용자 논리 시스템을 박탈하는 한 사용자 논리 시스템에 대해 방어합니다.
향후 추가 사용자 논리적 시스템을 생성할 수 있도록 확장 가능한 방식으로 디바이스를 구성합니다.
해당 논리적 시스템을 삭제하기 전에 해당 논리적 시스템의 보안 프로필을 삭제해야 합니다.
시스템이 논리적 시스템 전반에서 리소스 할당 및 사용을 평가하는 방법
보안 리소스로 논리 시스템을 프로비저닝하려면 기본 관리자는 각 리소스에 대해 다음을 지정하는 보안 프로필을 구성합니다.
지정된 리소스 양을 논리적 시스템에서 항상 사용할 수 있도록 보장하는 예약된 할당량입니다.
허용되는 최대 할당량입니다. 논리적 시스템이 예약된 양이 허용하는 것보다 더 많은 리소스를 필요로 하는 경우, 사용 가능한 경우, 즉 다른 논리적 시스템에 할당되지 않은 경우, 글로벌 최대 양에 대해 구성된 리소스를 활용할 수 있습니다. 허용되는 최대 할당량은 논리적 시스템이 사용할 수 있는 사용 가능한 글로벌 리소스의 일부를 지정합니다. 허용되는 최대 할당량은 보안 프로필의 리소스에 대해 지정된 양을 사용할 수 있음을 보장하지 않습니다. 논리적 시스템은 글로벌 자원을 놓고 경쟁해야 합니다.
리소스에 대해 예약된 할당량이 구성되지 않은 경우 기본값은 0입니다. 리소스에 대해 최대 허용 할당량이 구성되지 않은 경우 기본값은 리소스에 대한 글로벌 시스템 할당량입니다(글로벌 시스템 할당량은 플랫폼에 따라 다름). 주 관리자는 특정 논리적 시스템의 최대 리소스 사용량이 디바이스에 구성된 다른 논리적 시스템에 부정적인 영향을 미치지 않도록 보안 프로필에 적절한 최대 허용 할당량 값을 구성해야 합니다.
시스템은 논리적 시스템이 삭제될 때 예약, 사용 및 다시 사용할 수 있게 된 모든 할당된 리소스의 수를 유지합니다. 이 개수는 리소스를 새로운 논리적 시스템에 사용할 수 있는지 또는 보안 프로필을 통해 기존 논리적 시스템에 할당된 리소스의 양을 늘릴 수 있는지 여부를 결정합니다.
사용자 논리적 시스템이 삭제되면 다른 논리적 시스템에서 사용할 수 있도록 예약된 리소스 할당이 해제됩니다.
보안 프로필에 구성된 리소스는 정적 모듈식 리소스 또는 동적 리소스로 특징지어집니다. 정적 리소스의 경우, 논리적 시스템의 확장 가능한 구성을 허용하기 위해 예약 할당량으로 지정된 양과 같거나 이에 근접한 리소스에 대한 최대 할당량을 설정하는 것이 좋습니다. 리소스에 대한 최대 할당량이 높으면 더 많은 양의 리소스에 대한 액세스를 통해 논리 시스템에 더 큰 유연성을 제공할 수 있지만 새 사용자 논리 시스템에 할당할 수 있는 양이 제한됩니다.
동적 리소스의 예약 금액과 최대 허용 금액 간의 차이는 중요하지 않습니다. 동적 리소스는 만료되고 다른 논리적 시스템에 할당할 수 있는 풀을 고갈시키지 않기 때문입니다.
보안 프로필에 지정할 수 있는 리소스는 다음과 같습니다.
스케줄러를 포함한 보안 정책
보안 존
보안 정책을 위한 주소 및 주소록
애플리케이션 방화벽 규칙 집합
애플리케이션 방화벽 규칙
방화벽 인증
플로우 세션 및 게이트
다음을 포함한 NAT:
콘 NAT 바인딩
NAT 대상 규칙
NAT 대상 풀
PAT(Port Address Translation)가 없는 소스 풀의 NAT IP 주소
참고:PAT가 없는 IPv6 소스 풀의 IPv6 주소는 보안 프로필에 포함되지 않습니다.
PAT를 사용하는 소스 풀의 NAT IP 주소
NAT 포트 오버로드
NAT 소스 풀
NAT 원본 규칙
네트워크 주소 변환(NAT) 정적 규칙
플로우 세션을 제외한 모든 리소스는 정적입니다.
보안 프로필이 다른 논리적 시스템에 할당되는 동안 논리적 시스템 보안 프로필을 동적으로 수정할 수 있습니다. 그러나 시스템 리소스 할당량을 초과하지 않도록 시스템은 다음 조치를 취합니다.
정적 할당량이 변경되면 보안 프로필에 지정된 리소스에 대한 논리적 시스템 수를 유지하는 시스템 데몬이 보안 프로필의 유효성을 재검증합니다. 이 검사는 모든 논리적 시스템에 할당된 리소스 수를 식별하여 할당된 리소스(증가된 양을 포함)를 사용할 수 있는지 여부를 판별합니다.
이러한 할당량 검사는 새 사용자 논리적 시스템을 추가하고 보안 프로필을 바인딩할 때 시스템이 수행하는 할당량 검사와 동일합니다. 또한 현재 할당된 보안 프로필과 다른 보안 프로필을 기존 사용자 논리적 시스템(또는 기본 논리적 시스템)에 바인딩할 때도 수행됩니다.
동적 할당량이 변경되면 검사는 수행되지 않지만 향후 리소스 사용량에 새 할당량이 적용됩니다.
사례: 보안 프로필을 통해 할당된 예약된 리소스 평가
시스템이 보안 프로필을 통해 예약된 리소스의 할당을 평가하는 방법을 이해하려면 하나의 리소스인 영역의 할당을 다루는 다음 세 가지 경우를 고려하십시오. 예를 단순하게 유지하기 위해 security-profile-1에는 10개의 영역이 할당됩니다: 4개의 예약 영역과 6개의 최대 영역. 이 예에서는 지정된 최대 용량(영역 6개)을 사용자 논리적 시스템에 사용할 수 있다고 가정합니다. 시스템의 최대 영역 수는 10개입니다.
이러한 사례는 논리적 시스템 전반의 구성을 다룹니다. 영역 할당을 기반으로 구성이 커밋될 때 구성이 성공할지 실패할지 테스트합니다.
표 1 은 보안 프로필과 해당 영역 할당을 보여줍니다.
구성 사례에 사용되는 두 개의 보안 프로필 |
|---|
보안 프로필-1
참고:
나중에 주 관리자는 이 프로필에 지정된 예약 영역 수를 동적으로 늘립니다. |
기본 논리 시스템 프로필
|
표 2 는 시스템이 보안 프로필 구성을 기반으로 논리적 시스템 전반에서 영역에 대해 예약된 리소스를 평가하는 방법을 보여주는 세 가지 사례를 보여줍니다.
첫 번째 케이스의 구성은 모든 논리적 시스템에 바인딩된 보안 프로필에 구성된 영역에 대한 누적 예약 리소스 할당량이 8이며 이는 시스템 최대 리소스 할당량보다 작기 때문에 성공합니다.
두 번째 경우의 구성은 모든 논리적 시스템에 바인딩된 보안 프로필에 구성된 영역에 대한 누적 예약 리소스 할당량이 12이며 이는 시스템 최대 리소스 할당량보다 크기 때문에 실패합니다.
세 번째 경우의 구성은 모든 논리적 시스템에 바인딩된 보안 프로필에 구성된 영역에 대한 누적 예약 리소스 할당량이 12이며 이는 시스템 최대 리소스 할당량보다 크기 때문에 실패합니다.
논리적 시스템 전반의 예약된 리소스 할당량 검사 |
|---|
예제 1: 성공 이 구성은 4+4+0=8, 최대 용량 =10 범위 내에 있습니다. 사용된 보안 프로필
|
예 2: 실패 이 구성은 범위를 벗어납니다: 4+4+4=12, 최대 용량 =10.
보안 프로필
|
예제 3: 실패 이 구성은 범위를 벗어납니다: 6+6=12, 최대 용량 =10. 주 관리자는 security-profile-1에서 예약된 영역 할당량을 수정하여 개수를 6으로 늘립니다.
|
또한보십시오
예: 논리적 시스템 보안 프로필 구성(기본 관리자만 해당)
이 예에서는 기본 관리자가 세 개의 논리적 시스템 보안 프로필을 구성하여 사용자 논리적 시스템과 기본 논리적 시스템에 할당하여 보안 리소스를 프로비저닝하는 방법을 보여줍니다.
요구 사항
이 예에서는 논리적 시스템과 함께 Junos OS를 실행하는 SRX5600 디바이스를 사용합니다.
시작하기 전에 SRX 시리즈 논리적 시스템 기본 관리자 구성 작업 개요 를 읽고 이 작업이 전체 구성 프로세스에 어떻게 들어맞는지 이해하십시오.
개요
이 예에서는 다음 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 보여줍니다.
루트 논리 시스템 논리 시스템. 보안 프로필 primary-profile은 기본 또는 루트 논리적 시스템에 할당됩니다.
ls-product-design 논리 시스템. 보안 프로필 ls-design-profile은 논리적 시스템에 할당됩니다.
ls-marketing-dept 논리적 시스템. 보안 프로필 ls-accnt-mrkt-profile은 논리적 시스템에 할당됩니다.
ls-accounting-dept 논리적 시스템. 보안 프로필 ls-accnt-mrkt-profile은 논리적 시스템에 할당됩니다.
interconnect-logical-system을 사용하는 경우. 더미 또는 null 보안 프로필을 할당해야 합니다.
토폴로지
이 구성은 예: 사용자 논리적 시스템, 해당 관리자, 해당 사용자 및 상호 연결 논리적 시스템 생성에 표시된 구축에 의존합니다.
구성
논리적 시스템 보안 프로필 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
세 개의 보안 프로필을 만듭니다.
첫 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약 정책 수를 지정합니다.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
최대 및 예약 영역의 수를 지정합니다.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
최대 및 예약된 세션 수를 지정합니다.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
최대 및 예약된 ICAP 리디렉션 프로필 수를 지정합니다
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약된 소스 NAT, no-PAT 주소 및 정적 NAT 규칙의 수를 지정합니다.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
침입 탐지 및 방지(IDP)를 활성화합니다. 기본(루트) 논리적 시스템에 대해서만 IDP를 활성화할 수 있습니다.
[edit system security-profile] user@host# set idp
보안 프로필을 논리적 시스템에 바인딩합니다.
[edit system security-profile] user@host# set master-profile root-logical-system
두 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약 정책 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
최대 및 예약 영역의 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
최대 및 예약된 세션 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
최대 및 예약된 ICAP 리디렉션 프로필 수를 지정합니다
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약된 소스 NAT no-PAT 주소의 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
최대 및 예약된 정적 NAT 규칙의 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
보안 프로필을 두 개의 논리적 시스템에 바인딩합니다.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
세 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약 정책 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
최대 및 예약 영역의 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
최대 및 예약된 세션 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
최대 및 예약된 ICAP 리디렉션 프로필 수를 지정합니다
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약된 소스 NAT no-PAT 주소의 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
보안 프로필을 논리적 시스템에 바인딩합니다.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
null 보안 프로필을 인터커넥트 논리적 시스템에 바인딩합니다.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
결과
구성 모드에서 명령을 입력 show system security-profile 하여 구성을 확인하여 구성된 모든 보안 프로필을 확인합니다.
개별 보안 프로필을 보려면 , 및 및 show system security-profile ls-accnt-mrkt-profile 명령을 show system security-profile ls-design-profile 입력합니다show system security-profile master-profile. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
디바이스 구성이 완료되면 구성 모드에서 commit을 입력합니다.
검증
논리적 시스템에 할당한 보안 리소스가 할당되었는지 확인하려면 각 논리적 시스템 및 모든 리소스에 대해 다음 절차를 따릅니다.
보안 프로파일 리소스가 논리적 시스템에 효과적으로 할당되었는지 확인
목적
각 논리적 시스템에 대한 보안 리소스를 확인합니다. 구성된 모든 논리적 시스템에 대해 이 프로세스를 따릅니다.
작업
-
SSH를 사용하여 각 사용자 논리적 시스템에 사용자 논리적 시스템 관리자로 로그인합니다.
SSH를 실행하고 SRX 시리즈 방화벽의 IP 주소를 지정합니다.
생성한 사용자 논리적 시스템 중 하나의 로그인 ID와 비밀번호를 입력합니다.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
프로필에 대해 구성된 리소스를 식별하려면 다음 문을 입력합니다.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
결과 프롬프트에서 다음 명령을 입력합니다. 프로필에 대해 구성된 각 기능에 대해 이 작업을 수행합니다.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
예: 사용자 논리적 시스템 보안 프로필 구성
이 예에서는 사용자 논리적 시스템 보안 프로필을 구성합니다. 보안 프로필의 논리적 시스템에 할당된 리소스에 대한 정보를 제공합니다.
SRX4100 및 SRX4200 디바이스는 투명 모드와 경로 모드 모두에서 논리적 시스템을 지원합니다.
SRX4600 디바이스는 경로 모드에서만 논리적 시스템을 지원합니다.
레이어 2 교차 논리적 시스템 트래픽은 지원되지 않습니다.
요구 사항
이 예에서는 논리적 시스템과 함께 Junos OS를 실행하는 SRX4100 및 SRX4200 디바이스를 사용합니다.
시작하기 전에:
논리적 시스템 구성 프로세스를 이해합니다. 이 작업이 전체 구성 프로세스에 어떻게 들어맞는지 이해하려면 사용자 논리적 시스템 구성 개요를 참조하십시오.
개요
논리적 시스템을 사용하면 주 관리자가 SRX 시리즈 방화벽을 사용자 논리적 시스템이라는 개별 컨텍스트로 분할할 수 있습니다. 사용자 논리적 시스템은 서로 및 기본 논리적 시스템과 분리된 독립된 개인 컨텍스트입니다. 사용자 논리적 시스템에는 자체 보안, 네트워킹, 논리적 인터페이스, 라우팅 구성 및 한 명 이상의 사용자 논리적 시스템 관리자가 있습니다.
이 예에서는 표 3에 설명된 사용자 논리적 시스템에 대한 보안 기능을 구성합니다. 사용자 논리적 시스템 관리자가 사용자 논리적 시스템에 대한 리소스 정보를 표시하는 데 사용하는 구성입니다.
필드 이름 |
필드 설명 |
|---|---|
MAC 플래그 |
각 인터페이스에 대한 MAC 주소 학습 속성의 상태:
|
이더넷 스위칭 테이블 |
학습된 항목의 경우, 이더넷 스위칭 테이블에 항목이 추가된 시간입니다. |
논리적 시스템 |
논리적 시스템의 이름 |
라우팅 인스턴스 |
라우팅 인스턴스의 이름입니다 |
VLAN 이름 |
VLAN 이름 |
MAC 주소 |
논리적 인터페이스에서 학습된 MAC 주소 또는 주소 |
나이 |
이 필드는 지원되지 않습니다 |
논리적 인터페이스 |
논리적 인터페이스의 이름입니다 |
RTR ID |
라우팅 디바이스의 ID |
NH 인덱스 |
특정 접두사에 대한 트래픽을 라우팅하는 데 사용되는 다음 홉의 소프트웨어 인덱스입니다. |
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
절차
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템 보안 프로필을 구성하려면 다음을 수행합니다.
사용자 논리적 시스템에 논리적 시스템 관리자로 로그인하고 구성 모드로 들어갑니다.
[edit] admin@host> configure admin@host#
보안 프로필을 구성하고 논리 시스템에 할당합니다.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
인터페이스를 적절한 인터페이스 모드로 설정하고 태그가 지정되지 않은 데이터 패킷을 수신할 논리적 인터페이스가 네이티브 VLAN의 멤버가 되도록 지정합니다.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
IRB 인터페이스를 생성하고 서브넷에서 주소를 할당합니다.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 생성하고 각 영역에 인터페이스를 할당합니다.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
IRB 인터페이스를 VLAN과 연결합니다.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show ethernet-switching table 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
검증
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
사용자 논리적 시스템 보안 프로필 구성 확인
목적
보안 정책 정보를 확인합니다.
작업
운영 모드에서 명령을 입력합니다.show ethernet-switching table
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
예: 논리적 시스템에 대한 보안 로그 스트림 구성
이 예에서는 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서는 논리적 시스템과 함께 Junos OS 실행하는 SRX 시리즈 방화벽을 사용합니다.
시작하기 전에:
SRX 시리즈 논리적 시스템 기본 관리자 구성 작업 개요를 읽고 이 작업이 전체 구성 프로세스에 어떻게 들어맞는지 이해하십시오.
예: 논리적 시스템 보안 프로필 구성(기본 관리자만 해당)을 참조하십시오.
개요
주 관리자는 단일 보안 프로필을 구성하여 특정 논리적 시스템에 리소스를 할당할 수 있습니다. 둘 이상의 논리적 시스템에 대해 동일한 보안 프로필을 사용하거나 두 가지 방법을 혼합하여 사용할 수 있습니다. 이 set logical-system LSYS1 security log 명령은 SRX 시리즈 방화벽에서 로깅 지원을 위해 도입되었습니다.
구성
논리적 시스템 보안 프로필 구성 logical-system
CLI 빠른 구성
이 예를 빠르게 구성하려면, 이 예는 다음 명령을 복사하여 텍스트 파일에 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 입력합니다 commit .
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 프로필을 구성하고 최대 및 예약 정책 수를 지정합니다.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
구성된 보안 프로필을 LSYS1에 할당합니다.
user@host# set security-profile p1 logical-system LSYS1
결과
구성 모드에서 명령을 입력 show system security-profile 하여 구성을 확인하여 구성된 모든 보안 프로필을 확인합니다.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
검증
구성이 제대로 작동하는지 확인하려면 아래 작업을 수행하십시오.
- 논리적 시스템에 대한 보안 프로필 리소스 확인
- 논리 시스템에 대한 security-log-stream-number 확인
- 논리 시스템에 대한 security-log-stream-number 요약 확인
- 논리 시스템에 대한 security-log-stream-number 세부 정보 확인
논리적 시스템에 대한 보안 프로필 리소스 확인
목적
각 논리적 시스템에 대한 보안 리소스를 확인합니다.
작업
운영 모드에서 , show system security-profile security-log-stream-number logical-system all, show system security-profile security-log-stream-number summary, 또는 show system security-profile security-log-stream-number detail logical-system all 명령을 show system security-profile all-resource입력하여 출력을 확인합니다.
시스템 보안 프로필 all-resource 표시
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
의미
샘플 출력은 보안 프로필의 논리적 시스템에 할당된 리소스에 대한 정보를 표시합니다. 지정된 각 리소스에 대해 논리적 시스템이 사용하는 수와 구성된 최대 및 예약값이 표시됩니다.
논리 시스템에 대한 security-log-stream-number 확인
목적
각 논리적 시스템에 대한 security-log-stream-number를 확인합니다.
작업
운영 모드에서 명령을 입력 show system security-profile security-log-stream-number logical-system all 하여 출력을 확인합니다:
show system security-profile security-log-stream-number logical-system all
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
의미
샘플 출력에는 보안 프로필 이름이 있는 보안 프로필의 논리적 시스템에 할당된 리소스에 대한 정보가 표시됩니다. 지정된 각 리소스에 대해 논리적 시스템이 사용하는 수와 구성된 최대 및 예약값이 표시됩니다.
논리 시스템에 대한 security-log-stream-number 요약 확인
목적
security-log-stream-number 요약을 확인합니다.
작업
운영 모드에서 명령을 입력 show system security-profile security-log-stream-number summary 하여 출력을 확인합니다:
시스템 보안 프로필 security-log-stream-number 요약 표시
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
의미
샘플 출력에는 모든 논리적 시스템의 리소스에 대한 요약 정보가 표시됩니다.
논리 시스템에 대한 security-log-stream-number 세부 정보 확인
목적
security-log-stream-number 세부 정보를 확인합니다.
작업
운영 모드에서 명령을 입력 show system security-profile security-log-stream-number detail logical-system all 하여 출력을 확인합니다:
show system security-profile security-log-stream-number detail logical-system all
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
의미
샘플 출력은 모든 논리적 시스템에 대한 자세한 출력 수준을 표시합니다.