Zonas de seguridad en sistemas lógicos
Las zonas de seguridad son los componentes básicos de las políticas. Las zonas de seguridad son entidades lógicas a las que están enlazadas una o más interfaces y proporcionan un medio para distinguir grupos de hosts (sistemas lógicos de usuario y otros hosts, como servidores) y recursos entre sí para aplicar diferentes medidas de seguridad. Para obtener más información, consulte los temas siguientes:
Descripción de las zonas de sistemas lógicos
Las zonas de seguridad son entidades lógicas a las que están enlazadas una o varias interfaces. El administrador principal puede configurar zonas de seguridad en el sistema lógico principal o en los sistemas lógicos de usuario mediante el administrador del sistema lógico de usuario. En un sistema lógico, el administrador puede configurar varias zonas de seguridad, dividiendo la red en segmentos de red a los que se pueden aplicar varias opciones de seguridad.
El administrador principal configura los números máximos y reservados de zonas de seguridad para cada sistema lógico de usuario. A continuación, el administrador del sistema lógico de usuario puede crear zonas de seguridad en el sistema lógico de usuario y asignar interfaces a cada zona de seguridad. Desde un sistema lógico de usuario, el administrador del sistema lógico de usuario puede usar el show system security-profile zones comando para ver el número de zonas de seguridad asignadas al sistema lógico de usuario y el show interfaces comando para ver las interfaces asignadas al sistema lógico de usuario.
El administrador principal puede configurar un perfil de seguridad para el sistema lógico principal que especifique los números máximos y reservados de zonas de seguridad aplicadas al sistema lógico principal. El número de zonas configuradas en el sistema lógico principal cuenta para el número máximo de zonas disponibles en el dispositivo.
El administrador principal y el administrador de usuarios pueden configurar las siguientes propiedades de una zona de seguridad en un sistema lógico:
Interfaces que forman parte de una zona de seguridad.
Opciones de pantalla: para cada zona de seguridad, puede habilitar un conjunto de opciones de pantalla predefinidas que detecten y bloqueen varios tipos de tráfico que el dispositivo determine como potencialmente dañino.
TCP-Reset: cuando esta función está habilitada, el sistema envía un segmento TCP con el indicador RESET establecido cuando llega tráfico que no coincide con una sesión existente y no tiene establecido el indicador de sincronización.
Tráfico entrante de host: esta función especifica los tipos de tráfico que pueden llegar al dispositivo desde sistemas que están conectados directamente a sus interfaces. Puede configurar estos parámetros a nivel de zona, en cuyo caso afectan a todas las interfaces de la zona, o a nivel de interfaz. (La configuración de la interfaz anula la de la zona).
No hay zonas de seguridad preconfiguradas en el sistema lógico principal ni en el sistema lógico del usuario.
La zona funcional de administración (MGT) solo se puede configurar para el sistema lógico principal. Solo hay una interfaz de administración por dispositivo y esa interfaz se asigna al sistema lógico principal.
El all administrador principal solo puede asignar la interfaz a una zona del sistema lógico principal.
El administrador del sistema lógico de usuario puede configurar y ver todos los atributos de una zona de seguridad en un sistema lógico de usuario. Todos los atributos de una zona de seguridad en un sistema lógico de usuario también son visibles para el administrador principal.
Ver también
Ejemplo: Configuración de sistemas lógicos de usuario
En este ejemplo, se muestra la configuración de interfaces, instancias de enrutamiento, zonas y políticas de seguridad para sistemas lógicos de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos de usuario.
Asegúrese de saber qué interfaces lógicas y, opcionalmente, qué interfaz de túnel lógico (y su dirección IP) asigna el administrador principal al sistema lógico del usuario. Consulte Descripción de los sistemas lógicos primarios y el rol de administrador principal.
Descripción general
En este ejemplo, se configuran los sistemas lógicos de usuario ls-marketing-dept y ls-accounting-dept que se muestran en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
En este ejemplo, se configuran los parámetros descritos en las tablas 1 y 2.
Reportaje |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaz |
GE-0/0/6.1 |
|
Instancia de enrutamiento |
mk-vr1 |
|
Zonas |
ls-marketing-trust |
Enlazar a la interfaz ge-0/0/6.1. |
ls-marketing-untrust |
Enlazar a la interfaz lt-0/0/0.5 |
|
Libreta de direcciones |
Interno de marketing |
|
Marketing-Externo |
|
|
Políticas |
Permit-todas-a-otrasLSYS |
Permita el siguiente tráfico:
|
permit-todo-de-otroslsys |
Permita el siguiente tráfico:
|
Reportaje |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaz |
GE-0/0/7.1 |
|
Instancia de enrutamiento |
ACCT-VR1 |
|
Zonas |
ls-contabilidad-fideicomiso |
Enlazar a la interfaz ge-0/0/7.1. |
ls-contabilidad-desconfianza |
Enlazar a la interfaz lt-0/0/0.7 |
|
Libreta de direcciones |
Contabilidad interna |
|
Contabilidad-Externa |
|
|
Políticas |
Permit-todas-a-otrasLSYS |
Permita el siguiente tráfico:
|
permit-todo-de-otroslsys |
Permita el siguiente tráfico:
|
Configuración
- Configuración del sistema lógico de usuario ls-marketing-dept
- Configuración del sistema lógico de usuario ls-accounting-dept
Configuración del sistema lógico de usuario ls-marketing-dept
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/6 unit 1 family inet address 13.1.1.1/24 set interfaces ge-0/0/6 unit 1 vlan-id 800 set routing-instances mk-vr1 instance-type virtual-router set routing-instances mk-vr1 interface ge-0/0/6.1 set routing-instances mk-vr1 interface lt-0/0/0.5 set routing-instances mk-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set security zones security-zone ls-marketing-trust interfaces ge-0/0/6.1 set security zones security-zone ls-marketing-untrust interfaces lt-0/0/0.5 set security address-book marketing-external address design 12.1.1.0/24 set security address-book marketing-external address accounting 14.1.1.0/24 set security address-book marketing-external address others 12.12.1.0/24 set security address-book marketing-external address-set otherlsys address design set security address-book marketing-external address-set otherlsys address accounting set security address-book marketing-external attach zone ls-marketing-untrust set security address-book marketing-internal address marketers 13.1.1.0/24 set security address-book marketing-internal attach zone ls-marketing-trust set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match source-address marketers set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match destination-address marketers set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y especifique el modo de configuración.
lsmarketingadmin1@host:ls-marketing-dept> configure lsmarketingadmin1@host:ls-marketing-dept#
Configure la interfaz lógica para un sistema lógico de usuario.
[edit interfaces] lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 family inet address 13.1.1.1/24 lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 vlan-id 800
Configure la instancia de enrutamiento y asigne interfaces.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 instance-type virtual-router lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface lt-0/0/0.5
Configure rutas estáticas.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.2 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configure zonas de seguridad y asigne interfaces a cada zona.
[edit security zones] lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-trust interfaces ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-untrust interfaces lt-0/0/0.5
Crear entradas de libreta de direcciones.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal address marketers 13.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address design 12.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address accounting 14.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address others 12.12.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address design lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address accounting
Adjunte libretas de direcciones a zonas.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal attach zone ls-marketing-trust lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external attach zone ls-marketing-untrust
Configure una política de seguridad que permita el tráfico desde la zona ls-marketing-trust a la zona ls-marketing-untrust.
[edit security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match source-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys then permit
Configure una política de seguridad que permita el tráfico desde la zona ls-marketing-untrust a la zona ls-marketing-trust.
[edit security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match destination-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security para confirmar la show routing-instances configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
lsmarketingadmin1@host:ls-marketing-dept# show routing instances
mk-vr1 {
instance-type virtual-router;
interface ge-0/0/6.1;
interface lt-0/0/0.5;
routing-options {
static {
route 12.1.1.0/24 next-hop 10.0.1.2;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
lsmarketingadmin1@host:ls-marketing-dept# show security
address-book {
marketing-external {
address product-designers 12.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address product-designers;
address accounting;
}
attach {
zone ls-marketing-untrust;
}
}
marketing-internal {
address marketers 13.1.1.0/24;
attach {
zone ls-marketing-trust;
}
}
}
policies {
from-zone ls-marketing-trust to-zone ls-marketing-untrust {
policy permit-all-to-otherlsys {
match {
source-address marketers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-marketing-untrust to-zone ls-marketing-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address marketers;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-marketing-trust {
interfaces {
ge-0/0/6.1;
}
}
security-zone ls-marketing-untrust {
interfaces {
lt-0/0/0.5;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del sistema lógico de usuario ls-accounting-dept
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/7 unit 1 family inet address 14.1.1.1/24 set interfaces ge-0/0/7 unit 1 vlan-id 900 set routing-instances acct-vr1 instance-type virtual-router set routing-instances acct-vr1 interface ge-0/0/7.1 set routing-instances acct-vr1 interface lt-0/0/0.7 set routing-instances acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set routing-instances acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set security address-book accounting-internal address accounting 14.1.1.0/24 set security address-book accounting-internal attach zone ls-accounting-trust set security address-book accounting-external address design 12.1.1.0/24 set security address-book accounting-external address marketing 13.1.1.0/24 set security address-book accounting-external address others 12.12.1.0/24 set security address-book accounting-external address-set otherlsys address design set security address-book accounting-external address-set otherlsys address marketing set security address-book accounting-external attach zone ls-accounting-untrust set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match source-address accounting set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match destination-address accounting set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys then permit set security zones security-zone ls-accounting-trust interfaces ge-0/0/7.1 set security zones security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y especifique el modo de configuración.
lsaccountingadmin1@host:ls-accounting-dept> configure lsaccountingadmin1@host:ls-accounting-dept#
Configure la interfaz lógica para un sistema lógico de usuario.
[edit interfaces] lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 family inet address 14.1.1.1/24 lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 vlan-id 900
Configure la instancia de enrutamiento y asigne interfaces.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 instance-type virtual-router lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface lt-0/0/0.7
Configure rutas estáticas.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 lsaccountingadmin1@host:ls-accounting-deptt# set acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configure zonas de seguridad y asigne interfaces a cada zona.
[edit security zones] lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-trust interfaces ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Crear entradas de libreta de direcciones.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal address accounting 14.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address design 12.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address marketing 13.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address others 12.12.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address design lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address marketing
Adjunte libretas de direcciones a zonas.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal attach zone ls-accounting-trust lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external attach zone ls-accounting-untrust
Configure una política de seguridad que permita el tráfico desde la zona ls-accounting-trust a la zona ls-accounting-untrust.
[edit security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match source-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys then permit
Configure una política de seguridad que permita el tráfico desde la zona ls-accounting-untrust a la zona ls-accounting-trust.
[edit security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match destination-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security para confirmar la show routing-instances configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
lsaccountingadmin1@host:ls-accounting-dept# show routing-instances
acct-vr1 {
instance-type virtual-router;
interface ge-0/0/7.1;
interface lt-0/0/0.7;
routing-options {
static {
route 12.12.1.0/24 next-hop 10.0.1.1;
route 12.1.1.0/24 next-hop 10.0.1.2;
route 13.1.1.0/24 next-hop 10.0.1.3;
}
}
}
lsaccountingadmin1@host:ls-accounting-dept# show security
address-book {
accounting-internal {
address accounting 14.1.1.0/24;
attach {
zone ls-accounting-trust;
}
}
accounting-external {
address design 12.1.1.0/24;
address marketing 13.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address design;
address marketing;
}
attach {
zone ls-accounting-untrust;
}
}
}
policies {
from-zone ls-accounting-trust to-zone ls-accounting-untrust {
policy permit-all-to-otherlsys {
match {
source-address accounting;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-accounting-untrust to-zone ls-accounting-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address accounting;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-accounting-trust {
interfaces {
ge-0/0/7.1;
}
}
security-zone ls-accounting-untrust {
interfaces {
lt-0/0/0.7;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Ejemplo: Configuración de zonas de seguridad para un usuario Sistemas lógicos
En este ejemplo, se muestra cómo configurar zonas para un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico de usuario como administrador del sistema lógico de usuario. Consulte Descripción general de la configuración de sistemas lógicos de usuario.
Utilice el
show system security-profile zonescomando para ver los recursos de zona asignados al sistema lógico.Se deben configurar interfaces lógicas para el sistema lógico del usuario. Consulte Ejemplo: Configuración de interfaces e instancias de enrutamiento para sistemas lógicos de usuario.
Descripción general
En este ejemplo, se configura el sistema lógico de usuario ls-product-design que se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
En este ejemplo, se crean las zonas y libretas de direcciones descritas en la tabla 3.
Reportaje |
Nombre |
Parámetros de configuración |
|---|---|---|
Zonas |
ls-producto-diseño-confianza |
|
ls-producto-diseño-desconfianza |
|
|
Libreta de direcciones |
diseño de producto interno |
|
diseño de producto externo |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security address-book product-design-internal address product-designers 12.1.1.0/24 set security address-book product-design-internal attach zone ls-product-design-trust set security address-book product-design-external address marketing 13.1.1.0/24 set security address-book product-design-external address accounting 14.1.1.0/24 set security address-book product-design-external address others 12.12.1.0/24 set security address-book product-design-external address-set otherlsys address marketing set security address-book product-design-external address-set otherlsys address accounting set security address-book product-design-external attach zone ls-product-design-untrust set security zones security-zone ls-product-design-trust tcp-rst set security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar zonas en un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y especifique el modo de configuración.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure una zona de seguridad y asígnela a una interfaz.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
Configure el parámetro TCP-Reset para la zona.
[edit security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
Configure una zona de seguridad y asígnela a una interfaz.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Cree entradas globales en la libreta de direcciones.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 12.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 13.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 14.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 12.12.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
Adjunte libretas de direcciones a zonas.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design# set address-book product-design-external attach zone ls-product-design-untrust
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
lsdesignadmin1@host:ls-product-design# show security
address-book {
product-design-internal {
address product-designers 12.1.1.0/24;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 13.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.