Descripción general de los sistemas lógicos del usuario
Un sistema lógico de usuario le permite configurar zonas, políticas de seguridad, interfaces lógicas y recursos de seguridad asignados a su propio sistema lógico de usuario. Para obtener más información, consulte los temas siguientes:
Descripción general de la configuración de los sistemas lógicos del usuario
Cuando el administrador principal crea un sistema lógico de usuario, asigna un administrador de sistema lógico de usuario para administrarlo. Un sistema lógico de usuario puede tener varios administradores de sistema lógico de usuario.
Como administrador del sistema lógico de usuario, puede acceder y ver los recursos del sistema lógico de usuario, pero no los de otros sistemas lógicos de usuario o el sistema lógico principal. Puede configurar los recursos asignados al sistema lógico de usuario, pero no puede modificar el número de recursos asignados.
El siguiente procedimiento enumera las tareas que el administrador del sistema lógico de usuario realiza para configurar los recursos en el sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario con el inicio de sesión y la contraseña configurados por el administrador principal:
SSH a la dirección IP de administración configurada en el dispositivo. Inicie sesión en el sistema lógico del usuario con el inicio de sesión y la contraseña del administrador proporcionados por el administrador principal.
Escriba un shell de UNIX en el sistema lógico de usuario configurado por el administrador principal.
A partir de la versión 20.1R1 de Junos OS, en los dispositivos de la serie SRX5400, SRX5600 y SRX5800, el módulo de plataforma de confianza (TPM) solo es compatible con el motor de enrutamiento SRX5K-RE3-128G (RE3). El chip TPM se habilita de forma predeterminada. Para usar la funcionalidad TPM en sistemas lógicos, debe configurar la clave de cifrado maestro (MEK) solo en el sistema lógico raíz, y los sistemas lógicos de usuario heredarán el mismo MEK para cifrar pares de claves hash de configuración e infraestructura de clave pública (PKI). Para obtener más información sobre TPM, consulte Uso del módulo de plataforma de confianza para enlazar secretos en dispositivos de la serie SRX.
La presencia del indicador de > indica que la CLI se inició. El indicador viene precedido por una cadena que contiene su nombre de usuario, el nombre de host del enrutador y el nombre del sistema lógico del usuario. Cuando se inicia la CLI, se encuentra en el nivel superior en modo operativo. Para entrar en el modo de configuración, escriba el comando del configure modo operativo. El indicador de CLI cambia de user@host: logical-system> a user@host: logical-system#.
Para salir de la CLI y volver al shell de UNIX, escriba el quit comando.
Configure las interfaces lógicas asignadas al sistema lógico del usuario por el administrador principal. Configure una o más instancias de enrutamiento y los protocolos y opciones de enrutamiento dentro de cada instancia. Consulte Ejemplo: Configuración de interfaces e instancias de enrutamiento para sistemas lógicos de usuario.
Configure los recursos de seguridad para el sistema lógico del usuario:
Cree zonas para el sistema lógico del usuario y vincule las interfaces lógicas a las zonas. Se pueden crear libretas de direcciones adjuntas a zonas para su uso en políticas. Consulte Ejemplo: Configuración de zonas de seguridad para sistemas lógicos de usuario.
Configure las opciones de pantalla en el nivel de la zona. Consulte Ejemplo: Configuración de opciones de pantalla para sistemas lógicos de usuario.
Configure políticas de seguridad entre zonas en el sistema lógico del usuario. Vea ejemplo: Configuración de políticas de seguridad en sistemas lógicos de usuario.
Se pueden crear aplicaciones o conjuntos de aplicaciones personalizados para tipos específicos de tráfico. Para crear una aplicación personalizada, utilice la
applicationinstrucción de configuración en el nivel de jerarquía [edit applications]. Para crear un conjunto de aplicaciones, utilice laapplication-setinstrucción de configuración en el nivel de jerarquía [edit applications].Configure la autenticación de firewall. El administrador principal crea perfiles de acceso en el sistema lógico principal. Consulte ejemplo: Configuración de perfiles de acceso (solo administradores principales).
A continuación, el administrador del sistema lógico del usuario configura una política de seguridad que especifica la autenticación de firewall para hacer coincidir el tráfico y configura el tipo de autenticación (autenticación de paso o web), el perfil de acceso predeterminado y el banner de éxito. Consulte Ejemplo: Configuración de autenticación de firewall para un sistema lógico de usuario.
Configure un túnel VPN basado en rutas para proteger el tráfico entre un sistema lógico de usuario y un sitio remoto. El administrador principal asigna una interfaz de túnel seguro al sistema lógico del usuario y configura las SA de IKE e IPsec para el túnel VPN. Consulte Ejemplo: Configuración de SA de ICR e IPsec para un túnel VPN (solo para administradores principales).
A continuación, el administrador del sistema lógico de usuario configura un túnel VPN basado en rutas. Consulte Ejemplo: Configurar un túnel VPN basado en rutas en sistemas lógicos de usuario.
Configure la traducción de direcciones de red (TDR). Consulte Ejemplo: Configuración de la traducción de direcciones de red para sistemas lógicos de usuario.
Configure y asigne una política de IDP predefinida al sistema lógico del usuario. El administrador principal configura las políticas de IDP en el nivel raíz y especifica una política de IDP en el perfil de seguridad que está vinculada a un sistema lógico. Consulte Ejemplo: Configuración y asignación de una política de IDP predefinida para un sistema lógico de usuario.
A continuación, el administrador del sistema lógico de usuario habilita el IDP en una política de seguridad. Vea el ejemplo: Habilitación de IDP en una política de seguridad del sistema lógico del usuario.
Configure y habilite una política de IDP en el sistema lógico del usuario. Vea ejemplo: Configurar una política de IDP para un sistema lógico de usuario
Muestra o borra las entradas de la caché del sistema de aplicaciones (ASC). Consulte Descripción de los servicios de identificación de aplicaciones de sistemas lógicos.
Configure los servicios de firewall de aplicaciones en un sistema lógico de usuario. Consulte Descripción de los servicios de firewall de aplicaciones de sistemas lógicos y ejemplo: Configuración de servicios de firewall de aplicaciones para un sistema lógico de usuario.
Configure la herramienta de seguimiento de aplicaciones AppTrack. Consulte Ejemplo: Configurar AppTrack para sistemas lógicos de usuario.
Ver también
Descripción de los sistemas lógicos de usuario y la función de administrador del sistema lógico del usuario
Los sistemas lógicos permiten que un administrador principal particione un firewall serie SRX en contextos discretos llamados sistemas lógicos de usuario. Los sistemas lógicos de usuario son contextos privados y autónomos, separados entre sí y del sistema lógico principal. Un sistema lógico de usuario tiene su propia seguridad, redes, interfaces lógicas, configuraciones de enrutamiento y uno o más administradores de sistema lógico de usuario.
Cuando el administrador principal crea un sistema lógico de usuario, asigna uno o más administradores de sistema lógico de usuario para que lo administren. Un administrador de sistema lógico de usuario tiene una vista del dispositivo que está limitada a su sistema lógico. Aunque un sistema lógico de usuario es administrado por un administrador de sistema lógico de usuario, el administrador principal tiene una vista global del dispositivo y acceso a todos los sistemas lógicos de usuario. Si es necesario, el administrador principal puede administrar cualquier sistema lógico de usuario en el dispositivo.
El rol y las responsabilidades de un administrador de sistema lógico de usuario difieren de las del administrador principal. Como administrador del sistema lógico de usuario, puede acceder, configurar y ver la configuración de los recursos del sistema lógico de usuario, pero no los de otros sistemas lógicos de usuario o el sistema lógico principal.
Como administrador del sistema lógico de usuario, puede:
Configure zonas, libretas de direcciones, políticas de seguridad, listas de usuarios, servicios personalizados, etc., para su entorno de sistema lógico de usuario, según los recursos que se le asignen.
Por ejemplo, si el administrador principal asigna 40 zonas al sistema lógico de usuario, puede configurar y administrar esas zonas, pero no puede cambiar el número asignado.
Configure instancias de enrutamiento y asigne interfaces asignadas a ellas. Cree rutas estáticas y agréguelas a sus instancias de enrutamiento. Configure los protocolos de enrutamiento.
Configure, habilite y monitoree la política de firewall de aplicaciones en su sistema lógico de usuario.
Configure AppTrack.
Vea todas las interfaces lógicas asignadas y configure sus atributos. Los atributos que configura para las interfaces lógicas para el sistema lógico de usuario no pueden ser vistos por otros administradores del sistema lógico de usuario.
Ejecute comandos operativos para su sistema lógico de usuario.