Perfiles de seguridad para sistemas lógicos
Los perfiles de seguridad para sistemas lógicos le permiten asignar recursos. Perfiles de seguridad especifica el número de recursos que se van a asignar a un sistema lógico al que está enlazado el perfil de seguridad. Todos los recursos del sistema se asignan al sistema lógico principal y el administrador principal los asigna al sistema lógico del usuario mediante el perfil de seguridad. Para obtener más información, consulte los temas siguientes:
Descripción de los perfiles de seguridad de sistemas lógicos (solo administradores principales)
Los sistemas lógicos le permiten dividir virtualmente un firewall compatible de la serie SRX en varios dispositivos, aislándolos unos de otros, protegiéndolos de intrusiones y ataques, y protegiéndolos de condiciones defectuosas fuera de sus propios contextos. Para proteger los sistemas lógicos, los recursos de seguridad se configuran de manera similar a como se configuran para un dispositivo discreto. Sin embargo, como administrador principal, debe asignar los tipos y cantidades de recursos de seguridad a los sistemas lógicos. El administrador del sistema lógico asigna recursos para su propio sistema lógico.
Un firewall de la serie SRX que ejecuta sistemas lógicos se puede dividir en sistemas lógicos de usuario, un sistema lógico de interconexión, si se desea, y el sistema lógico principal predeterminado. Cuando se inicializa el sistema, el sistema lógico principal se crea en el nivel raíz. Se le asignan todos los recursos del sistema, lo que crea efectivamente un perfil de seguridad del sistema lógico primario predeterminado. Para distribuir los recursos de seguridad entre sistemas lógicos, el administrador principal crea perfiles de seguridad que especifican los tipos y cantidades de recursos que se asignarán a un sistema lógico al que está enlazado el perfil de seguridad. Solo el administrador principal puede configurar los perfiles de seguridad y enlazarlos a sistemas lógicos. El administrador del sistema lógico del usuario configura estos recursos para su sistema lógico.
Los sistemas lógicos se definen en gran medida por los recursos que se les asignan, incluidos los componentes de seguridad, las interfaces, las instancias de enrutamiento, las rutas estáticas y los protocolos de enrutamiento dinámico. Cuando el administrador principal configura un sistema lógico de usuario, vincula un perfil de seguridad a él. Se producirá un error en cualquier intento de confirmar una configuración para un sistema lógico de usuario sin un perfil de seguridad enlazado a ella.
En este tema, se incluyen las siguientes secciones:
- Perfiles de seguridad de sistemas lógicos
- Cómo evalúa el sistema la asignación y el uso de recursos en sistemas lógicos
- Casos: Evaluaciones de recursos reservados asignados a través de perfiles de seguridad
Perfiles de seguridad de sistemas lógicos
Como administrador principal, puede configurar un único perfil de seguridad para asignar recursos a un sistema lógico específico, utilizar el mismo perfil de seguridad para más de un sistema lógico o utilizar una combinación de ambos métodos. Puede configurar hasta 32 perfiles de seguridad en un firewall de la serie SRX que ejecute sistemas lógicos. Cuando alcance el límite, debe eliminar un perfil de seguridad y confirmar el cambio de configuración antes de poder crear y confirmar otro perfil de seguridad. En muchos casos, se necesitan menos perfiles de seguridad, ya que puede enlazar un único perfil de seguridad a más de un sistema lógico.
Los perfiles de seguridad le permiten:
Comparta los recursos del dispositivo, incluidas las políticas, las zonas, las direcciones y las libretas de direcciones, las sesiones de flujo y las diversas formas de TDR, entre todos los sistemas lógicos de manera adecuada. Puede dedicar varias cantidades de un recurso a los sistemas lógicos y permitirles competir por el uso de los recursos gratuitos.
Los perfiles de seguridad protegen contra un sistema lógico que agota un recurso que es requerido al mismo tiempo por otros sistemas lógicos. Los perfiles de seguridad protegen los recursos críticos del sistema y mantienen un buen nivel de rendimiento entre los sistemas lógicos del usuario cuando el dispositivo experimenta un flujo de tráfico intenso. Se defienden contra un sistema lógico de usuario que domina el uso de recursos y priva de ellos a otros sistemas lógicos de usuario.
Configure el dispositivo de forma escalable para permitir la creación futura de sistemas lógicos de usuario adicionales.
Debe eliminar el perfil de seguridad de un sistema lógico antes de eliminar ese sistema lógico.
Cómo evalúa el sistema la asignación y el uso de recursos en sistemas lógicos
Para aprovisionar un sistema lógico con recursos de seguridad, usted, como administrador principal, configura un perfil de seguridad que especifique para cada recurso:
Una cuota reservada que garantiza que la cantidad de recursos especificada siempre esté disponible para el sistema lógico.
Una cuota máxima permitida. Si un sistema lógico requiere más de un recurso de lo que permite su cantidad reservada, puede utilizar recursos configurados para la cantidad máxima global si están disponibles, es decir, si no están asignados a otros sistemas lógicos. La cuota máxima permitida especifica la parte de los recursos globales gratuitos que puede usar el sistema lógico. La cuota máxima permitida no garantiza que la cantidad especificada para el recurso en el perfil de seguridad esté disponible. Los sistemas lógicos deben competir por los recursos globales.
Si no se configura una cuota reservada para un recurso, el valor predeterminado es 0. Si no se configura una cuota máxima permitida para un recurso, el valor predeterminado es la cuota del sistema global para el recurso (las cuotas del sistema global dependen de la plataforma). El administrador principal debe configurar los valores de cuota máximos permitidos adecuados en los perfiles de seguridad para que el uso máximo de recursos de un sistema lógico específico no afecte negativamente a otros sistemas lógicos configurados en el dispositivo.
El sistema mantiene un recuento de todos los recursos asignados que se reservan, usan y vuelven a estar disponibles cuando se elimina un sistema lógico. Este recuento determina si hay recursos disponibles para usarlos en nuevos sistemas lógicos o para aumentar la cantidad de recursos asignados a sistemas lógicos existentes a través de sus perfiles de seguridad.
Cuando se elimina un sistema lógico de usuario, sus asignaciones de recursos reservados se liberan para su uso por otros sistemas lógicos.
Los recursos configurados en los perfiles de seguridad se caracterizan como recursos estáticos y modulares o recursos dinámicos. En el caso de los recursos estáticos, se recomienda establecer una cuota máxima para un recurso igual o cercana a la cantidad especificada como cuota reservada, a fin de permitir una configuración escalable de los sistemas lógicos. Una cuota máxima alta para un recurso podría proporcionar a un sistema lógico una mayor flexibilidad mediante el acceso a una mayor cantidad de ese recurso, pero restringiría la cantidad disponible para asignar a un nuevo sistema lógico de usuario.
La diferencia entre los importes reservados y máximos permitidos para un recurso dinámico no es importante, ya que los recursos dinámicos están caducados y no agotan el conjunto disponible para su asignación a otros sistemas lógicos.
Se pueden especificar los siguientes recursos en un perfil de seguridad:
Políticas de seguridad, incluidos los programadores
Zonas de seguridad
Direcciones y libreta de direcciones para políticas de seguridad
Conjuntos de reglas de firewall de aplicaciones
Reglas de firewall de la aplicación
Autenticación de firewall
Sesiones de flujo y puertas
TDR, entre los que se incluyen:
Fijaciones de cono TDR
Regla de destino de TDR
Grupo de destino TDR
Dirección IP TDR en el grupo de origen sin traducción de direcciones de puerto (TDP)
Nota:Las direcciones IPv6 de grupos de origen IPv6 sin PAT no se incluyen en los perfiles de seguridad.
Dirección IP TDR en el conjunto de fuentes con PAT
Sobrecarga de puertos TDR
Grupo de fuentes TDR
Regla de origen de TDR
Regla estática de TDR
Todos los recursos, excepto las sesiones de flujo, son estáticos.
Puede modificar un perfil de seguridad de sistema lógico dinámicamente mientras el perfil de seguridad está asignado a otros sistemas lógicos. Sin embargo, para garantizar que no se supere la cuota de recursos del sistema, el sistema realiza las siguientes acciones:
Si se cambia una cuota estática, los daemons del sistema que mantienen recuentos lógicos del sistema para los recursos especificados en los perfiles de seguridad revalidan el perfil de seguridad. Esta comprobación identifica el número de recursos asignados en todos los sistemas lógicos para determinar si los recursos asignados, incluidos sus importes incrementados, están disponibles.
Estas comprobaciones de cuota son las mismas comprobaciones de cuota que realiza el sistema cuando se agrega un nuevo sistema lógico de usuario y se enlaza un perfil de seguridad a él. También se realizan cuando se enlaza un perfil de seguridad distinto del perfil de seguridad que se le asigna actualmente a un sistema lógico de usuario existente (o al sistema lógico principal).
Si se cambia una cuota dinámica, no se realiza ninguna comprobación, pero la nueva cuota se impone al uso futuro de recursos.
Casos: Evaluaciones de recursos reservados asignados a través de perfiles de seguridad
Para comprender cómo el sistema evalúa la asignación de recursos reservados a través de perfiles de seguridad, considere los siguientes tres casos que abordan la asignación de un recurso, las zonas. Para que el ejemplo sea sencillo, se asignan 10 zonas en security-profile-1: 4 zonas reservadas y 6 zonas máximas. En este ejemplo se supone que la cantidad máxima completa especificada (seis zonas) está disponible para los sistemas lógicos del usuario. El número máximo de zonas del sistema es 10.
Estos casos abordan la configuración entre sistemas lógicos. Prueban para ver si una configuración se realizará correctamente o no cuando se confirme en función de la asignación de zonas.
En la Tabla 1 se muestran los perfiles de seguridad y sus asignaciones de zona.
Dos perfiles de seguridad utilizados en los casos de configuración |
|---|
perfil de seguridad 1
Nota:
Más adelante, el administrador principal aumenta dinámicamente el recuento de zonas reservadas especificado en este perfil. |
perfil del sistema lógico primario
|
En la tabla 2 se muestran tres casos que ilustran cómo el sistema evalúa los recursos reservados para zonas en sistemas lógicos en función de las configuraciones del perfil de seguridad.
La configuración del primer caso se realiza correctamente porque la cuota acumulada de recursos reservados para las zonas configuradas en los perfiles de seguridad enlazados a todos los sistemas lógicos es 8, que es menor que la cuota máxima de recursos del sistema.
La configuración del segundo caso falla porque la cuota acumulada de recursos reservados para las zonas configuradas en los perfiles de seguridad enlazados a todos los sistemas lógicos es 12, que es mayor que la cuota máxima de recursos del sistema.
Se produce un error en la configuración del tercer caso, ya que la cuota acumulada de recursos reservados para las zonas configuradas en los perfiles de seguridad enlazados a todos los sistemas lógicos es 12, que es mayor que la cuota máxima de recursos del sistema.
Comprobaciones de cuotas de recursos reservados en sistemas lógicos |
|---|
Ejemplo 1: Tiene éxito Esta configuración está dentro de los límites: 4+4+0=8, capacidad máxima =10. Perfiles de seguridad utilizados
|
Ejemplo 2: Error Esta configuración está fuera de los límites: 4+4+4=12, capacidad máxima =10.
Perfiles de seguridad
|
Ejemplo 3: Error Esta configuración está fuera de los límites: 6+6=12, capacidad máxima =10. El administrador principal modifica la cuota de zonas reservadas en security-profile-1, aumentando el recuento a 6.
|
Ver también
Ejemplo: Configuración de perfiles de seguridad de sistemas lógicos (solo administradores principales)
En este ejemplo, se muestra cómo un administrador principal configura tres perfiles de seguridad del sistema lógico para asignarlos a los sistemas lógicos de los usuarios y el sistema lógico principal para aprovisionarlos de recursos de seguridad.
Requisitos
En el ejemplo, se utiliza un dispositivo SRX5600 que ejecuta Junos OS con sistemas lógicos.
Antes de comenzar, lea Descripción general de las tareas de configuración del administrador principal de sistemas lógicos de la serie SRX para comprender cómo encaja esta tarea en el proceso de configuración general.
Descripción general
En este ejemplo, se muestra cómo configurar los perfiles de seguridad para los siguientes sistemas lógicos:
El sistema lógico lógico raíz. El perfil principal del perfil de seguridad se asigna al sistema lógico principal o raíz.
El sistema lógico ls-product-design. El perfil de seguridad ls-design-profile se asigna al sistema lógico.
El sistema lógico ls-marketing-dept. El perfil de seguridad ls-accnt-mrkt-profile se asigna al sistema lógico.
El sistema lógico ls-accounting-dept. El perfil de seguridad ls-accnt-mrkt-profile se asigna al sistema lógico.
El sistema lógico de interconexión, si usas uno. Debe asignarle un perfil de seguridad ficticio o nulo.
Topología
Esta configuración se basa en el despliegue que se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
Configuración
Configuración de perfiles de seguridad del sistema lógico
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Cree tres perfiles de seguridad.
Cree el primer perfil de seguridad.
Procedimiento paso a paso
Especifique el número de políticas máximas y reservadas.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
Especifique el número de zonas máximas y reservadas.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
Especifique el número de sesiones máximas y reservadas.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
Especifique el número máximo y reservado de perfiles de redireccionamiento ICAP
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
Especifique la cantidad máxima y reservada de direcciones TDR sin PAT de origen y reglas TDR estáticas.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
Habilite la detección y prevención de intrusiones (DPI). Puede habilitar DPI solo para el sistema lógico principal (raíz).
[edit system security-profile] user@host# set idp
Enlazar el perfil de seguridad al sistema lógico.
[edit system security-profile] user@host# set master-profile root-logical-system
Cree el segundo perfil de seguridad.
Procedimiento paso a paso
Especifique el número de políticas máximas y reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
Especifique el número de zonas máximas y reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
Especifique el número de sesiones máximas y reservadas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
Especifique el número máximo y reservado de perfiles de redireccionamiento ICAP
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
Especifique el número máximo y reservado de direcciones TDR NAT™ sin PAT.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
Especifique el número máximo y reservado de reglas TDR estáticas.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
Enlazar el perfil de seguridad a dos sistemas lógicos.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
Cree el tercer perfil de seguridad.
Procedimiento paso a paso
Especifique el número de políticas máximas y reservadas.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
Especifique el número de zonas máximas y reservadas.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
Especifique el número de sesiones máximas y reservadas.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
Especifique el número máximo y reservado de perfiles de redireccionamiento ICAP
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
Especifique el número máximo y reservado de direcciones TDR NAT™ sin PAT.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
Enlazar el perfil de seguridad a un sistema lógico.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
Enlazar un perfil de seguridad nulo al sistema lógico de interconexión.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show system security-profile configuración para ver todos los perfiles de seguridad configurados.
Para ver perfiles de seguridad individuales, escriba los show system security-profile master-profilecomandos , los show system security-profile ls-accnt-mrkt-profile y los comandos . show system security-profile ls-design-profile Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para confirmar que se les han asignado los recursos de seguridad asignados a los sistemas lógicos, siga este procedimiento para cada sistema lógico y para todos sus recursos.
Comprobación de que los recursos del perfil de seguridad se asignan efectivamente a los sistemas lógicos
Propósito
Compruebe los recursos de seguridad para cada sistema lógico. Siga este proceso para todos los sistemas lógicos configurados.
Acción
-
Utilice SSH para iniciar sesión en cada sistema lógico de usuario como administrador del sistema lógico de usuario.
Ejecute SSH, especificando la dirección IP de su firewall de la serie SRX.
Introduzca el ID de inicio de sesión y la contraseña de uno de los sistemas lógicos de usuario que ha creado.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
Escriba la instrucción siguiente para identificar los recursos configurados para el perfil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
Escriba el comando siguiente en el indicador resultante. Haga esto para cada función configurada para el perfil.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
Ejemplo: Configuración de perfiles de seguridad de sistemas lógicos de usuario
En este ejemplo, se configuran los perfiles de seguridad de los sistemas lógicos del usuario. Proporciona información sobre un recurso asignado al sistema lógico en un perfil de seguridad.
Los dispositivos SRX4100 y SRX4200 admiten el sistema lógico tanto en modo transparente como de ruta.
El dispositivo SRX4600 solo admite el sistema lógico en modo de ruta.
No se admite el tráfico de sistema lógico cruzado de capa 2.
Requisitos
En este ejemplo, se utilizan dispositivos SRX4100 y SRX4200 que ejecutan Junos OS con sistemas lógicos.
Antes de empezar:
Comprende el proceso de configuración del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos de usuario para comprender cómo encaja esta tarea en el proceso de configuración general.
Descripción general
Los sistemas lógicos permiten a un administrador principal particionar un firewall de la serie SRX en contextos discretos denominados sistemas lógicos de usuario. Los sistemas lógicos de usuario son contextos privados y autónomos, separados entre sí y del sistema lógico primario. Un sistema lógico de usuario tiene su propia seguridad, redes, interfaces lógicas, configuraciones de enrutamiento y uno o más administradores de sistema lógico de usuario.
En este ejemplo, se configuran las características de seguridad para el sistema lógico del usuario descrito en la tabla 3. Esta configuración la utiliza el administrador del sistema lógico de usuario para mostrar información de recursos para un sistema lógico de usuario.
Nombre del campo |
Descripción de campo |
|---|---|
Indicadores de MAC |
Estado de las propiedades de aprendizaje de la dirección MAC para cada interfaz:
|
Tabla de conmutación Ethernet |
En el caso de las entradas aprendidas, la hora a la que se agregó la entrada a la tabla de conmutación Ethernet. |
Sistema lógico |
Nombre del sistema lógico |
Instancia de enrutamiento |
Nombre de la instancia de enrutamiento |
Nombre de VLAN |
Nombre de la VLAN |
dirección MAC |
dirección MAC o direcciones aprendidas en una interfaz lógica |
Edad |
Este campo no se admite |
Interfaz lógica |
Nombre de la interfaz lógica |
RTR ID |
ID del dispositivo enrutador |
Índice NH |
Índice de software del siguiente salto que se utiliza para enrutar el tráfico de un prefijo determinado. |
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar perfiles de seguridad de sistemas lógicos de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y especifique el modo de configuración.
[edit] admin@host> configure admin@host#
Configure un perfil de seguridad y asígnelo a un sistema lógico.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
Establezca las interfaces en los modos de interfaz adecuados y especifique que la interfaz lógica que recibirá los paquetes de datos sin etiquetar es miembro de la VLAN nativa.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
Cree la interfaz IRB y asígnele una dirección en la subred.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
Cree la política de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza y asigne interfaces a cada zona.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
Asocie una interfaz IRB con la VLAN.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show ethernet-switching table configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificar la configuración de los perfiles de seguridad de los sistemas lógicos del usuario
Propósito
Verifique la información de las políticas de seguridad.
Acción
Desde el modo operativo, introduzca el show ethernet-switching table comando.
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
Ejemplo: Configuración de flujo de registro de seguridad para sistemas lógicos
En este ejemplo, se muestra cómo configurar perfiles de seguridad para un sistema lógico.
Requisitos
En este ejemplo, se utilizan los firewalls de la serie SRX que ejecutan Junos OS con sistemas lógicos.
Antes de empezar:
Lea Descripción general de las tareas de configuración del administrador principal de sistemas lógicos de la serie SRX para comprender cómo encaja esta tarea en el proceso de configuración general.
Descripción general
Como administrador principal, puede configurar un único perfil de seguridad para asignar recursos a un sistema lógico específico. Puede usar el mismo perfil de seguridad para más de un sistema lógico o usar una combinación de ambos métodos. El set logical-system LSYS1 security log comando se introduce para la compatibilidad de registro en firewalls de la serie SRX.
Configuración
Configuración de perfiles de seguridad del sistema lógico sistema lógico
Configuración rápida de CLI
Para configurar rápidamente este ejemplo En este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Configure un perfil de seguridad y especifique el número de políticas máximas y reservadas.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
Asigne el perfil de seguridad configurado a LSYS1.
user@host# set security-profile p1 logical-system LSYS1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show system security-profile configuración para ver todos los perfiles de seguridad configurados.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar recursos de perfil de seguridad para sistemas lógicos
- Verificar el número de flujo de registro de seguridad para sistemas lógicos
- Verificar el resumen del número de flujo de registro de seguridad para sistemas lógicos
- Verificar detalles del número de flujo de registro de seguridad para sistemas lógicos
Verificar recursos de perfil de seguridad para sistemas lógicos
Propósito
Compruebe los recursos de seguridad para cada sistema lógico.
Acción
Desde el modo operativo, escriba el show system security-profile all-resourcecomando , show system security-profile security-log-stream-number logical-system all, show system security-profile security-log-stream-number summaryo show system security-profile security-log-stream-number detail logical-system all para ver el resultado:
muestra todos los recursos del perfil de seguridad del sistema
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
Significado
Los resultados de ejemplo muestran información sobre los recursos asignados al sistema lógico en un perfil de seguridad. Para cada recurso especificado, se muestra el número utilizado por el sistema lógico y los valores máximos y reservados configurados.
Verificar el número de flujo de registro de seguridad para sistemas lógicos
Propósito
Compruebe el número de flujo de registro de seguridad de cada sistema lógico.
Acción
Desde el modo operativo, escriba el show system security-profile security-log-stream-number logical-system all comando para ver el resultado:
muestra el perfil de seguridad del sistema número de registro de flujo de seguridad sistema lógico todos
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
Significado
La salida de ejemplo muestra la información sobre un recurso asignado al sistema lógico en un perfil de seguridad con un nombre de perfil de seguridad. Para cada recurso especificado, se muestra el número utilizado por el sistema lógico y los valores máximos y reservados configurados.
Verificar el resumen del número de flujo de registro de seguridad para sistemas lógicos
Propósito
Compruebe el resumen del número de flujo de registro de seguridad.
Acción
Desde el modo operativo, escriba el show system security-profile security-log-stream-number summary comando para ver el resultado:
muestra el perfil de seguridad del sistema resumen del número de registro-de-flujo-de-seguridad
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
Significado
La salida de ejemplo muestra la información de resumen sobre el recurso para todos los sistemas lógicos.
Verificar detalles del número de flujo de registro de seguridad para sistemas lógicos
Propósito
Compruebe el detalle del número de flujo de registro de seguridad.
Acción
Desde el modo operativo, escriba el show system security-profile security-log-stream-number detail logical-system all comando para ver el resultado:
muestra el perfil de seguridad del sistema detalle del número de flujo de seguridad del sistema lógico todos
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
Significado
La salida de ejemplo muestra el nivel detallado de salida para todos los sistemas lógicos.