논리적 시스템에 대한 보안 프로파일
논리적 시스템의 보안 프로필을 통해 리소스를 할당할 수 있습니다. 보안 프로필은 보안 프로필이 바인딩된 논리적 시스템에 할당할 리소스 수를 지정합니다. 모든 시스템 리소스는 기본 논리적 시스템에 할당되며 기본 관리자는 보안 프로필을 사용하여 이를 사용자 논리적 시스템에 할당합니다. 자세한 내용은 다음 항목을 참조하세요.
논리적 시스템 보안 프로필 이해(기본 관리자만 해당)
논리적 시스템을 사용하면 지원되는 SRX 시리즈 방화벽을 여러 디바이스로 가상으로 분할하여 서로 격리하고, 침입 및 공격으로부터 보호하고, 자체 컨텍스트 외부의 결함 상태로부터 보호할 수 있습니다. 논리적 시스템을 보호하기 위해 보안 리소스는 개별 디바이스에 대해 구성되는 방식과 유사한 방식으로 구성됩니다. 그러나 기본 관리자는 논리적 시스템에 보안 리소스의 종류와 양을 할당해야 합니다. 논리적 시스템 관리자는 자신의 논리적 시스템에 리소스를 할당합니다.
논리적 시스템을 실행하는 SRX 시리즈 방화벽은 사용자 논리적 시스템, 상호 연결 논리적 시스템(원하는 경우) 및 기본 기본 논리적 시스템으로 분할할 수 있습니다. 시스템이 초기화되면 루트 수준에서 기본 논리적 시스템이 생성됩니다. 모든 시스템 리소스가 할당되어 기본 기본 논리적 시스템 보안 프로파일을 효과적으로 생성합니다. 논리적 시스템에 보안 리소스를 분산하기 위해 기본 관리자는 보안 프로필이 바인딩된 논리적 시스템에 할당할 리소스의 종류와 양을 지정하는 보안 프로필을 생성합니다. 기본 관리자만 보안 프로필을 구성하고 논리적 시스템에 바인딩할 수 있습니다. 사용자 논리적 시스템 관리자는 자신의 논리적 시스템에 대해 이러한 리소스를 구성합니다.
논리적 시스템은 주로 보안 구성 요소, 인터페이스, 라우팅 인스턴스, 정적 경로 및 동적 라우팅 프로토콜을 포함하여 논리적 시스템에 할당된 리소스에 의해 정의됩니다. 기본 관리자는 사용자 논리적 시스템을 구성할 때 보안 프로필을 여기에 바인딩합니다. 보안 프로파일이 바인딩되지 않은 사용자 논리적 시스템에 대한 구성을 커밋하려는 모든 시도는 실패합니다.
이 주제는 다음 섹션을 포함합니다.
논리적 시스템 보안 프로파일
기본 관리자는 단일 보안 프로필을 구성하여 특정 논리적 시스템에 리소스를 할당하거나, 둘 이상의 논리적 시스템에 동일한 보안 프로필을 사용하거나, 두 가지 방법을 혼합하여 사용할 수 있습니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽에서 최대 32개의 보안 프로필을 구성할 수 있습니다. 한도에 도달하면 보안 프로필을 삭제하고 구성 변경을 커밋해야 다른 보안 프로필을 생성하고 커밋할 수 있습니다. 대부분의 경우 단일 보안 프로필을 둘 이상의 논리적 시스템에 바인딩할 수 있기 때문에 더 적은 수의 보안 프로필이 필요합니다.
보안 프로필을 통해 다음을 수행할 수 있습니다.
정책, 영역, 주소 및 주소록, 플로우 세션, 다양한 형태의 네트워크 주소 변환(NAT)을 포함한 디바이스의 리소스를 모든 논리적 시스템 간에 적절하게 공유합니다. 다양한 양의 리소스를 논리적 시스템에 할당하고 사용 가능한 리소스 사용을 위해 경쟁하도록 허용할 수 있습니다.
보안 프로필은 다른 논리적 시스템에서 동시에 필요한 리소스를 소진하는 하나의 논리적 시스템으로부터 보호합니다. 보안 프로필은 중요한 시스템 리소스를 보호하고 디바이스에 과도한 트래픽 플로우가 발생할 때 사용자 논리적 시스템 간에 적절한 수준의 성능을 유지합니다. 하나의 사용자 논리 시스템이 자원 사용을 독점하고 다른 사용자 논리 시스템에서 자원을 빼앗는 것을 방어합니다.
향후 추가 사용자 논리적 시스템을 생성할 수 있도록 확장 가능한 방식으로 디바이스를 구성합니다.
논리적 시스템을 삭제하기 전에 논리적 시스템의 보안 프로파일을 삭제해야 합니다.
시스템이 논리적 시스템 전반에서 리소스 할당 및 사용을 평가하는 방법
보안 리소스를 사용하여 논리적 시스템을 프로비저닝하려면 기본 관리자로서 각 리소스에 대해 을(를) 지정하는 보안 프로필을 구성합니다.
지정된 리소스 양을 논리적 시스템에서 항상 사용할 수 있도록 보장하는 예약된 할당량입니다.
허용되는 최대 할당량입니다. 논리적 시스템에 예약된 양이 허용하는 것보다 더 많은 리소스가 필요한 경우, 사용 가능한 경우, 즉 다른 논리적 시스템에 할당되지 않은 경우 전역 최대 양에 대해 구성된 리소스를 활용할 수 있습니다. 허용되는 최대 할당량은 논리적 시스템이 사용할 수 있는 사용 가능한 전역 리소스 부분을 지정합니다. 허용되는 최대 할당량은 보안 프로필의 리소스에 대해 지정된 양을 사용할 수 있음을 보장하지 않습니다. 논리적 시스템은 글로벌 리소스를 놓고 경쟁해야 합니다.
리소스에 대해 예약 할당량이 구성되지 않은 경우 기본값은 0입니다. 리소스에 대해 허용되는 최대 할당량이 구성되지 않은 경우 기본값은 리소스에 대한 전역 시스템 할당량입니다(전역 시스템 할당량은 플랫폼에 따라 다름). 기본 관리자는 특정 논리적 시스템의 최대 리소스 사용량이 디바이스에 구성된 다른 논리적 시스템에 부정적인 영향을 미치지 않도록 보안 프로필에서 적절한 최대 허용 할당량 값을 구성해야 합니다.
시스템은 예약되고, 사용되고, 논리적 시스템이 삭제될 때 다시 사용할 수 있게 되는 모든 할당된 리소스의 수를 유지합니다. 이 개수는 리소스가 새 논리적 시스템에 사용할 수 있는지 또는 보안 프로필을 통해 기존 논리적 시스템에 할당된 리소스의 양을 늘릴 수 있는지 여부를 결정합니다.
사용자 논리적 시스템이 삭제되면 다른 논리적 시스템에서 사용할 수 있도록 예약된 리소스 할당이 해제됩니다.
보안 프로필에 구성된 리소스는 정적, 모듈형 리소스 또는 동적 리소스로 특성화됩니다. 정적 리소스의 경우, 리소스에 대한 최대 할당량을 예약된 할당량으로 지정된 양과 같거나 가깝게 설정하여 논리적 시스템의 확장 가능한 구성을 허용하는 것이 좋습니다. 리소스에 대한 높은 최대 할당량은 더 많은 양의 리소스에 대한 액세스를 통해 논리적 시스템에 더 큰 유연성을 제공할 수 있지만 새 사용자 논리적 시스템에 할당할 수 있는 양을 제한합니다.
동적 리소스에 대해 예약된 양과 허용되는 최대 양의 차이는 중요하지 않습니다. 동적 리소스는 오래되어 다른 논리적 시스템에 할당할 수 있는 풀을 고갈시키지 않기 때문입니다.
보안 프로필에서 지정할 수 있는 리소스는 다음과 같습니다.
스케줄러를 포함한 보안 정책
보안 존(Security zones)
보안 정책에 대한 주소 및 주소록
응용 프로그램 방화벽 규칙 집합
응용 프로그램 방화벽 규칙
방화벽 인증
플로우 세션 및 게이트
다음을 포함하는 NAT:
Cone NAT 바인딩
NAT 대상 규칙
NAT 대상 풀
PAT(Port Address Translation)가 없는 소스 풀의 NAT IP 주소
메모:PAT가 없는 IPv6 소스 풀의 IPv6 주소는 보안 프로필에 포함되지 않습니다.
PAT가 있는 소스 풀의 NAT IP 주소
NAT 포트 오버로드
NAT 소스 풀
NAT 소스 규칙
NAT 정적 규칙
플로우 세션을 제외한 모든 리소스는 정적입니다.
보안 프로필이 다른 논리적 시스템에 할당되어 있는 동안 논리적 시스템 보안 프로필을 동적으로 수정할 수 있습니다. 그러나 시스템 리소스 할당량이 초과되지 않도록 하기 위해 시스템은 다음 작업을 수행합니다.
정적 할당량이 변경되면, 보안 프로파일에 지정된 자원에 대한 논리적 시스템 계수를 유지하는 시스템 디먼이 보안 프로파일의 유효성을 재검증합니다. 이 검사는 모든 논리적 시스템에 할당된 리소스 수를 식별하여 증가된 양을 포함하여 할당된 리소스를 사용할 수 있는지 여부를 확인합니다.
이러한 할당량 검사는 새 사용자 논리적 시스템을 추가하고 보안 프로필을 바인딩할 때 시스템이 수행하는 것과 동일한 할당량 검사입니다. 또한 현재 할당된 보안 프로필과 다른 보안 프로필을 기존 사용자 논리적 시스템(또는 기본 논리적 시스템)에 바인딩할 때도 수행됩니다.
동적 할당량이 변경되면 검사는 수행되지 않지만 향후 리소스 사용량에 새 할당량이 적용됩니다.
사례: 보안 프로필을 통해 할당된 예약된 리소스 평가
시스템이 보안 프로필을 통해 예약된 리소스 할당을 평가하는 방법을 이해하려면 하나의 리소스인 영역의 할당을 처리하는 다음 세 가지 사례를 고려합니다. 예를 단순하게 유지하기 위해 security-profile-1에 10개의 영역이 할당되며, 4개의 예약 영역과 6개의 최대 영역이 할당됩니다. 이 예에서는 지정된 최대 양(6개 영역)이 사용자 논리적 시스템에 사용 가능하다고 가정합니다. 시스템의 최대 구역 수는 10개입니다.
이러한 케이스는 논리적 시스템 전반의 구성을 해결합니다. 영역 할당에 따라 구성이 커밋될 때 성공 또는 실패 여부를 확인하기 위해 테스트합니다.
표 1 에는 보안 프로파일과 해당 영역 할당이 표시되어 있습니다.
구성 사례에 사용된 보안 프로필 2개 |
|---|
보안 프로필-1
메모:
나중에 기본 관리자는 이 프로필에 지정된 예약 영역 수를 동적으로 늘립니다. |
기본 논리 시스템 프로필
|
표 2 가 보안 프로필 구성을 기반으로 논리적 시스템 전반에서 영역에 대해 예약된 리소스를 평가하는 방법을 보여주는 세 가지 사례를 보여줍니다.
모든 논리적 시스템에 바인딩된 보안 프로필에 구성된 영역에 대한 누적 예약 리소스 할당량이 8로 시스템 최대 리소스 할당량보다 작기 때문에 첫 번째 경우의 구성이 성공합니다.
모든 논리적 시스템에 바인딩된 보안 프로필에 구성된 영역에 대한 누적 예약 리소스 할당량이 12로 시스템 최대 리소스 할당량보다 크기 때문에 두 번째 경우의 구성이 실패합니다.
세 번째 경우의 구성은 실패하는데, 모든 논리적 시스템에 바인딩된 보안 프로필에 구성된 영역에 대한 누적 예약 리소스 할당량이 12로 시스템 최대 리소스 할당량보다 크기 때문입니다.
논리적 시스템 전반에서 예약된 리소스 할당량 확인 |
|---|
예제 1: 성공 이 구성은 범위 내에 있습니다: 4+4+0=8, 최대 용량 =10. 사용된 보안 프로필
|
예제 2: 실패 이 구성은 범위를 벗어났습니다: 4+4+4=12, 최대 용량 =10.
보안 프로필
|
예제 3: 실패 이 구성은 범위를 벗어났습니다: 6+6=12, 최대 용량 =10. 기본 관리자는 security-profile-1에서 예약 영역 할당량을 수정하여 수를 6으로 늘립니다.
|
참조
예: 논리적 시스템 보안 프로필 구성(기본 관리자만 해당)
이 예는 기본 관리자가 사용자 논리적 시스템과 기본 논리적 시스템에 할당하기 위해 세 개의 논리적 시스템 보안 프로필을 구성하여 보안 리소스로 프로비저닝하는 방법을 보여줍니다.
요구 사항
이 예에서는 논리적 시스템과 함께 Junos OS 실행하는 SRX5600 디바이스를 사용합니다.
시작하기 전에 SRX 시리즈 논리적 시스템 기본 관리자 구성 작업 개요를 읽고 이 작업이 전체 구성 프로세스에 어떻게 들어맞는지 이해하십시오.
개요
이 예는 다음 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 보여줍니다.
루트 논리 시스템 논리 시스템. 보안 프로필 primary-profile은 기본 또는 루트 논리적 시스템에 할당됩니다.
ls-product-design 논리 시스템. 보안 프로필 ls-design-profile이 논리적 시스템에 할당됩니다.
ls-marketing-dept 논리 시스템. 보안 프로필 ls-accnt-mrkt-profile은 논리적 시스템에 할당됩니다.
ls-accounting-dept 논리 시스템. 보안 프로필 ls-accnt-mrkt-profile은 논리적 시스템에 할당됩니다.
interconnect-logical-system(사용하는 경우). 더미 또는 null 보안 프로필을 할당해야 합니다.
위상수학
이 구성은 예: 사용자 논리적 시스템, 해당 관리자, 해당 사용자 및 상호 연결 논리적 시스템 생성에 표시된 구축에 의존합니다.
구성
논리적 시스템 보안 프로파일 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
세 개의 보안 프로필을 만듭니다.
첫 번째 보안 프로필을 만듭니다.
단계별 절차
최대 및 예약된 정책 수를 지정합니다.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
최대 및 예약된 영역의 수를 지정합니다.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
최대 및 예약 세션 수를 지정합니다.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
최대 및 예약된 ICAP 리디렉션 프로파일 수를 지정합니다
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약된 소스 NAT no-PAT 주소 및 정적 NAT 규칙의 수를 지정합니다.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
침입 탐지 및 방지(IDP)를 활성화합니다. IDP는 기본(루트) 논리적 시스템에서만 활성화할 수 있습니다.
[edit system security-profile] user@host# set idp
보안 프로필을 논리적 시스템에 바인딩합니다.
[edit system security-profile] user@host# set master-profile root-logical-system
두 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약된 정책 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
최대 및 예약된 영역의 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
최대 및 예약 세션 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
최대 및 예약된 ICAP 리디렉션 프로파일 수를 지정합니다
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약된 소스 NAT no-PAT 주소의 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
최대 및 예약된 정적 NAT 규칙의 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
보안 프로필을 두 개의 논리적 시스템에 바인딩합니다.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
세 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약된 정책 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
최대 및 예약된 영역의 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
최대 및 예약 세션 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
최대 및 예약된 ICAP 리디렉션 프로파일 수를 지정합니다
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약된 소스 NAT no-PAT 주소의 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
보안 프로필을 논리적 시스템에 바인딩합니다.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
null 보안 프로필을 상호 연결 논리적 시스템에 바인딩합니다.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
결과
구성 모드에서 명령을 입력하여 show system security-profile 구성을 확인하면 구성된 모든 보안 프로필을 볼 수 있습니다.
개별 보안 프로필을 보려면 , show system security-profile ls-accnt-mrkt-profile 및, show system security-profile ls-design-profile 명령을 입력합니다show system security-profile master-profile. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.
확인
논리적 시스템에 할당한 보안 리소스가 할당되었는지 확인하려면 각 논리적 시스템과 모든 리소스에 대해 이 절차를 따릅니다.
보안 프로필 리소스가 논리적 시스템에 효과적으로 할당되는지 확인
목적
각 논리적 시스템에 대한 보안 리소스를 확인합니다. 구성된 모든 논리적 시스템에 대해 이 프로세스를 따릅니다.
행동
-
SSH를 사용하여 각 사용자 논리적 시스템에 사용자 논리적 시스템 관리자로 로그인합니다.
SRX 시리즈 방화벽의 IP 주소를 지정하여 SSH를 실행합니다.
생성한 사용자 논리적 시스템 중 하나에 대한 로그인 ID와 비밀번호를 입력합니다.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
다음 문을 입력하여 프로필에 대해 구성된 리소스를 식별합니다.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
결과 프롬프트에서 다음 명령을 입력합니다. 프로필에 대해 구성된 각 기능에 대해 이 작업을 수행합니다.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
예: 사용자 논리적 시스템 보안 프로파일 구성
이 예에서 사용자 논리적 시스템 보안 프로필을 구성합니다. 보안 프로필에서 논리 시스템에 할당된 리소스에 대한 정보를 제공합니다.
SRX4100 및 SRX4200 디바이스는 투명 모드와 경로 모드 모두에서 논리적 시스템을 지원합니다.
SRX4600 디바이스는 경로 모드에서만 논리 시스템을 지원합니다.
레이어 2 논리적 시스템 간 트래픽은 지원되지 않습니다.
요구 사항
이 예에서는 논리적 시스템과 함께 Junos OS 실행하는 SRX4100 및 SRX4200 디바이스를 사용합니다.
시작하기 전에:
논리적 시스템 구성 프로세스를 이해합니다. 참조 .. /본보기/.. /topic-map/user-logical-system-overview.html#id-user-logical-systems-configuration-overview 를 사용하여 이 작업이 전체 구성 프로세스에 어떻게 적합한지 이해할 수 있습니다.
개요
논리적 시스템을 사용하면 기본 관리자가 SRX 시리즈 방화벽을 사용자 논리적 시스템이라는 개별 컨텍스트로 분할할 수 있습니다. 사용자 논리적 시스템은 서로 분리된 독립형 프라이빗 컨텍스트이며 기본 논리적 시스템과도 분리되어 있습니다. 사용자 논리적 시스템에는 자체 보안, 네트워킹, 논리적 인터페이스, 라우팅 구성 및 하나 이상의 사용자 논리적 시스템 관리자가 있습니다.
이 예에서는 표 3에 설명된 사용자 논리 시스템에 대한 보안 기능을 구성합니다. 이 구성은 사용자 논리적 시스템 관리자가 사용자 논리적 시스템에 대한 리소스 정보를 표시하기 위해 사용합니다.
필드 이름 |
필드 설명 |
|---|---|
MAC 플래그 |
각 인터페이스에 대한 MAC 주소 학습 속성의 상태는 다음과 같습니다.
|
이더넷 스위칭 테이블 |
학습된 항목의 경우, 이더넷 스위칭 테이블에 해당 항목이 추가된 시간입니다. |
논리적 시스템 |
논리적 시스템의 이름입니다 |
라우팅 인스턴스 |
라우팅 인스턴스의 이름입니다 |
VLAN 명칭 |
VLAN의 이름입니다 |
MAC 주소 |
MAC 주소 또는 논리적 인터페이스에서 학습된 주소 |
연령 |
이 필드는 지원되지 않습니다 |
논리적 인터페이스 |
논리적 인터페이스의 이름입니다 |
RTR ID |
라우팅 디바이스 ID입니다 |
NH농협지수 |
특정 접두사에 대한 트래픽 라우팅에 사용되는 다음 홉의 소프트웨어 인덱스입니다. |
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템 보안 프로파일을 구성하려면 다음을 수행합니다.
논리적 시스템 관리자로 사용자 논리적 시스템에 로그인하고 구성 모드를 입력합니다.
[edit] admin@host> configure admin@host#
보안 프로필을 구성하고 논리적 시스템에 할당합니다.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
인터페이스를 적절한 인터페이스 모드로 설정하고 태그 처리되지 않은 데이터 패킷을 수신할 논리적 인터페이스가 기본 VLAN의 일부가 되도록 지정합니다.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
IRB 인터페이스를 생성하고 서브넷에서 주소를 할당합니다.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
트러스트 영역에서 언트러스트(untrust) 영역으로 트래픽을 허용하는 보안 정책을 생성하고 각 영역에 인터페이스를 할당합니다.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
IRB 인터페이스를 VLAN과 연결합니다.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
결과
구성 모드에서 명령을 입력하여 show ethernet-switching table 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
확인
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
사용자 논리적 시스템 보안 프로파일 구성 확인
목적
보안 정책 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show ethernet-switching table .
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
예: 논리적 시스템에 대한 보안 로그 스트림 구성
이 예는 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서는 논리적 시스템과 함께 Junos OS를 실행하는 SRX 시리즈 방화벽을 사용합니다.
시작하기 전에:
읽기 .. /본보기/.. /topic-map/master-logical-system-overview.html#id-srx-series-logical-systems-master-administrator-configuration-tasks-overview를 사용하여 이 작업이 전체 구성 프로세스에 어떻게 부합하는지 이해할 수 있습니다.
예: 논리적 시스템 보안 프로파일 구성(기본 관리자만 해당)을 참조하십시오.
개요
기본 관리자는 단일 보안 프로필을 구성하여 리소스를 특정 논리적 시스템에 할당할 수 있습니다. Yo는 둘 이상의 논리적 시스템에 대해 동일한 보안 프로필을 사용하거나 두 가지 방법을 혼합하여 사용할 수 있습니다. 이 set logical-system LSYS1 security log 명령은 SRX 시리즈 방화벽에서 로깅 지원을 위해 도입되었습니다.
구성
논리적 시스템 보안 프로파일 구성 logical-system
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 프로필을 구성하고 최대 및 예약된 정책 수를 지정합니다.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
구성된 보안 프로파일을 LSYS1에 할당합니다.
user@host# set security-profile p1 logical-system LSYS1
결과
구성 모드에서 명령을 입력하여 show system security-profile 구성을 확인하면 구성된 모든 보안 프로필을 볼 수 있습니다.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
- 논리적 시스템에 대한 보안 프로필 리소스 확인
- 논리적 시스템에 대한 security-log-stream-number 검증
- 논리적 시스템에 대한 security-log-stream-number 요약 확인
- 논리적 시스템에 대한 security-log-stream-number 세부 정보 검증
논리적 시스템에 대한 보안 프로필 리소스 확인
목적
각 논리적 시스템에 대한 보안 리소스를 확인합니다.
행동
작동 모드에서 , show system security-profile security-log-stream-number logical-system all, show system security-profile security-log-stream-number summary또는 show system security-profile security-log-stream-number detail logical-system all 명령을 입력하여 show system security-profile all-resource출력을 확인합니다.
시스템 보안 프로필 모든 리소스 표시
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
의미
샘플 출력은 보안 프로필의 논리적 시스템에 할당된 리소스에 대한 정보를 표시합니다. 지정된 각 리소스에 대해 논리적 시스템이 사용하는 수와 구성된 최대값 및 예약값이 표시됩니다.
논리적 시스템에 대한 security-log-stream-number 검증
목적
각 논리적 시스템에 대한 security-log-stream-number를 확인합니다.
행동
운영 모드에서 명령을 입력하여 show system security-profile security-log-stream-number logical-system all 출력을 확인합니다.
시스템 보안 프로필 보안 로그 스트림 번호 논리적 시스템 모두 표시
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
의미
샘플 출력은 보안 프로필 이름이 인 보안 프로필의 논리적 시스템에 할당된 리소스에 대한 정보를 표시합니다. 지정된 각 리소스에 대해 논리적 시스템이 사용하는 수와 구성된 최대값 및 예약값이 표시됩니다.
논리적 시스템에 대한 security-log-stream-number 요약 확인
목적
security-log-stream-number 요약을 확인합니다.
행동
운영 모드에서 명령을 입력하여 show system security-profile security-log-stream-number summary 출력을 확인합니다.
show system security-profile 보안 로그 스트림 번호 요약
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
의미
샘플 출력은 모든 논리적 시스템의 리소스에 대한 요약 정보를 표시합니다.
논리적 시스템에 대한 security-log-stream-number 세부 정보 검증
목적
security-log-stream-number 세부 정보를 확인합니다.
행동
운영 모드에서 명령을 입력하여 show system security-profile security-log-stream-number detail logical-system all 출력을 확인합니다.
show system security-profile security-log-stream-number 세부 정보 논리적 시스템 모두
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
의미
샘플 출력은 모든 논리적 시스템에 대한 상세한 출력 수준을 표시합니다.