Opciones de pantalla para sistemas lógicos de usuario
Las opciones de pantalla de los firewalls serie SRX previenen ataques, como barridos de direcciones IP, análisis de puertos, ataques de denegación de servicio (DOS), ICMP, UDP y SYN inundación. Para obtener más información, consulte los temas siguientes:
Descripción de las opciones de pantalla de los sistemas lógicos
Las opciones de pantalla de Junos OS protegen una zona mediante la inspección, y luego permitir o denegar, todos los intentos de conexión que requieren cruzar una interfaz vinculada a esa zona. Luego, Junos OS aplica políticas de firewall, que pueden contener filtrado de contenido y componentes de IDP, al tráfico que pasa por los filtros de pantalla.
Todas las opciones de pantalla disponibles en el dispositivo están disponibles en cada sistema lógico. Cada administrador del sistema lógico de usuario puede configurar las opciones de pantalla para su sistema lógico de usuario. El administrador principal puede configurar opciones de pantalla para el sistema lógico principal, así como para todos los sistemas lógicos del usuario.
El administrador del sistema lógico de usuario puede configurar y ver todas las opciones de pantalla en un sistema lógico de usuario. Todas las opciones de pantalla de un sistema lógico de usuario son visibles para el administrador principal.
Ver también
Ejemplo: Configurar opciones de pantalla para sistemas lógicos de usuario
En este ejemplo, se muestra cómo configurar las opciones de pantalla para un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico del usuario. Consulte Descripción general de la configuración de sistemas lógicos del usuario.
Configure zonas para el sistema lógico del usuario. Consulte Ejemplo: Configuración de zonas de seguridad para sistemas lógicos de usuario.
Visión general
En este ejemplo, se configura el sistema lógico de usuario de ls-product-design que se muestra en el ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
Puede limitar la cantidad de sesiones simultáneas a la misma dirección IP de destino en un sistema lógico de usuario. Establecer un límite de sesión basado en destino puede garantizar que Junos OS solo permita que un número aceptable de solicitudes de conexión simultáneas (sin importar cuál sea el origen) llegue a cualquier host. Cuando el número de solicitudes de conexión simultáneas a una dirección IP supera el límite, Junos OS bloquea los intentos de conexión adicionales a esa dirección IP. En este ejemplo, se crean las opciones de pantalla descritas en la tabla 1.
Nombre |
Parámetros de configuración |
---|---|
límite de destino de sesiones |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security screen ids-option limit-destination-sessions limit-session destination-ip-based 80 set security zones security-zone ls-product-design-untrust screen limit-destination-sessions
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar límites de sesión basados en destino en un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y ingrese al modo de configuración.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure una opción de pantalla para un límite de sesión basado en destino.
[edit security] lsdesignadmin1@host:ls-product-design# set screen ids-option limit-destination-sessions limit-session destination-ip-based 80
Establezca la zona de seguridad para la opción pantalla.
[edit security] lsdesignadmin1@host:ls-product-design# set zones security-zone ls-product-design-untrust screen limit-destination-sessions
Resultados
Desde el modo de configuración, ingrese los comandos y show security zone
para confirmar la show security screen
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para mayor brevedad, el resultado de este show
comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se ha reemplazado por puntos suspensivos (...).
lsdesignadmin1@host:ls-product-design# show security screen ids-option limit-destination-sessions { limit-session { destination-ip-based 80; } } lsdesignadmin1@host:ls-product-design# show security zones security-zone ls-product-design-trust { ... } security-zone ls-product-design-untrust { screen limit-destination-sessions; ... }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.