Descripción general de los sistemas lógicos de usuario
Un sistema lógico de usuario le permite configurar zonas, políticas de seguridad, interfaces lógicas y recursos de seguridad asignados a su propio sistema lógico de usuario. Para obtener más información, consulte los temas siguientes:
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Revise la sección Comportamiento del sistema lógico del usuario específico de la plataforma para obtener notas relacionadas con su plataforma.
Descripción general de la configuración de sistemas lógicos de usuario
Cuando el administrador principal crea un sistema lógico de usuario, asigna un administrador del sistema lógico de usuario para administrarlo. Un sistema lógico de usuario puede tener varios administradores del sistema lógico de usuario.
Como administrador de un sistema lógico de usuario, puede acceder a los recursos del sistema lógico de usuario y verlos, pero no los de otros sistemas lógicos de usuario ni los del sistema lógico primario. Puede configurar los recursos asignados al sistema lógico de usuario, pero no puede modificar el número de recursos asignados.
En el procedimiento siguiente se enumeran las tareas que el administrador del sistema lógico de usuario realiza para configurar recursos en el sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario con el nombre de usuario y la contraseña configurados por el administrador principal:
SSH a la dirección IP de administración configurada en el dispositivo. Inicie sesión en el sistema lógico del usuario con el nombre de usuario y la contraseña de administrador proporcionados por el administrador principal.
Escriba un shell UNIX en el sistema lógico del usuario configurado por el administrador principal.
El chip del módulo de plataforma de confianza (TPM) está habilitado de forma predeterminada. Para usar la funcionalidad de TPM en sistemas lógicos, debe configurar la clave de cifrado principal (MEK) solo en el sistema lógico raíz, y los sistemas lógicos de usuario heredarán la misma MEK para cifrar el hash de configuración y los pares de claves de infraestructura de clave pública (PKI). Para obtener más información acerca del TPM, consulte Uso del módulo de plataforma segura para enlazar secretos en dispositivos de la serie SRX.
La presencia del indicador de > indica que la CLI ha comenzado. El indicador va precedido de una cadena que contiene su nombre de usuario, el nombre de host del enrutador y el nombre del sistema lógico del usuario. Cuando se inicia la CLI, se encuentra en el nivel superior en modo operativo. Para entrar en el modo de configuración, ingrese el comando del configure modo operativo. El indicador CLI cambia de user@host: logical-system> a user@host: logical-system#.
Para salir de la CLI y volver al shell de UNIX, ingrese el quit comando.
Configure las interfaces lógicas asignadas al sistema lógico del usuario por el administrador principal. Configure una o varias instancias de enrutamiento y los protocolos y opciones de enrutamiento dentro de cada instancia. Consulte Ejemplo: Configuración de interfaces e instancias de enrutamiento para sistemas lógicos de usuario.
Configure los recursos de seguridad para el sistema lógico del usuario:
Cree zonas para el sistema lógico del usuario y enlace las interfaces lógicas a las zonas. Se pueden crear libretas de direcciones adjuntas a zonas para su uso en políticas. Consulte Ejemplo: Configuración de zonas de seguridad para un sistema lógico de usuario.
Configure las opciones de pantalla a nivel de zona. Consulte Ejemplo: Configuración de opciones de pantalla para un sistema lógico de usuario.
Configure políticas de seguridad entre zonas en el sistema lógico del usuario. Consulte Ejemplo: Configuración de políticas de seguridad en un sistema lógico de usuario.
Se pueden crear aplicaciones personalizadas o conjuntos de aplicaciones para tipos específicos de tráfico. Para crear una aplicación personalizada, utilice la
applicationinstrucción de configuración en el nivel de jerarquía [edit applications]. Para crear un conjunto de aplicaciones, utilice laapplication-setinstrucción de configuración en el nivel de jerarquía [edit applications].Configure la autenticación del firewall. El administrador principal crea perfiles de acceso en el sistema lógico principal. Consulte Ejemplo: Configuración de perfiles de acceso (solo para administradores principales).
A continuación, el administrador del sistema lógico del usuario configura una política de seguridad que especifica la autenticación de firewall para el tráfico coincidente y configura el tipo de autenticación (de paso a través o autenticación Web), el perfil de acceso predeterminado y el banner de éxito. Consulte Ejemplo: Configuración de la autenticación de firewall para un sistema lógico de usuario.
Configure un túnel VPN basado en rutas para proteger el tráfico entre un sistema lógico de usuario y un sitio remoto. El administrador principal asigna una interfaz de túnel seguro al sistema lógico del usuario y configura las SA de IKE e IPsec para el túnel VPN. Consulte Ejemplo: Configuración de SA de IKE e IPsec para un túnel VPN (solo administradores principales).
A continuación, el administrador del sistema lógico del usuario configura un túnel VPN basado en rutas. Consulte Ejemplo: Configuración de un túnel VPN basado en rutas en un sistema lógico de usuario.
Configure la traducción de direcciones de red (TDR). Consulte Ejemplo: Configuración de la traducción de direcciones de red para un sistema lógico de usuario.
Configurar y asignar una política DPI predefinida al sistema lógico del usuario. El administrador principal configura las políticas de DPI en el nivel raíz y especifica una política de DPI en el perfil de seguridad que está enlazada a un sistema lógico. Consulte Ejemplo: Configuración y asignación de una política DPI predefinida para un sistema lógico de usuario.
A continuación, el administrador del sistema lógico del usuario habilita el DPI en una política de seguridad. Consulte Ejemplo: Habilitar DPI en una política de seguridad del sistema lógico del usuario.
Configure y habilite una política de DPI en el sistema lógico del usuario. Consulte Ejemplo: Configuración de una política DPI para un sistema lógico de usuario
Muestra o borra las entradas de la caché del sistema de aplicaciones (ASC). Consulte Descripción de los servicios de identificación de aplicaciones de sistemas lógicos.
Configure los servicios de firewall de la aplicación en un sistema lógico de usuario. Consulte Descripción de los servicios de firewall de aplicación de sistemas lógicos y Ejemplo: Configuración de servicios de firewall de aplicación para un sistema lógico de usuario.
Configure la herramienta de seguimiento de aplicaciones AppTrack. Consulte Ejemplo: Configuración de AppTrack para un sistema lógico de usuario.
Ver también
Descripción de los sistemas lógicos de usuario y la función de administrador del sistema lógico de usuario
Los sistemas lógicos permiten a un administrador principal particionar un firewall de la serie SRX en contextos discretos denominados sistemas lógicos de usuario. Los sistemas lógicos de usuario son contextos privados y autónomos, separados entre sí y del sistema lógico primario. Un sistema lógico de usuario tiene su propia seguridad, redes, interfaces lógicas, configuraciones de enrutamiento y uno o más administradores de sistema lógico de usuario.
Cuando el administrador principal crea un sistema lógico de usuario, asigna uno o más administradores del sistema lógico de usuario para administrarlo. Un administrador del sistema lógico de usuario tiene una vista del dispositivo que se limita a su sistema lógico. Aunque un sistema lógico de usuario lo administra un administrador de sistema lógico de usuario, el administrador principal tiene una vista global del dispositivo y acceso a todos los sistemas lógicos de usuario. Si es necesario, el administrador principal puede administrar cualquier sistema lógico de usuario en el dispositivo.
La función y las responsabilidades de un administrador de sistema lógico de usuario difieren de las del administrador principal. Como administrador de un sistema lógico de usuario, puede acceder, configurar y ver la configuración de los recursos del sistema lógico de usuario, pero no los de otros sistemas lógicos de usuario ni del sistema lógico primario.
Como administrador de un sistema lógico de usuario, puede:
Configure zonas, libretas de direcciones, políticas de seguridad, listas de usuarios, servicios personalizados, etc., para su entorno de sistema lógico de usuario, en función de los recursos que se le asignen.
Por ejemplo, si el administrador principal asigna 40 zonas al sistema lógico del usuario, puede configurar y administrar esas zonas, pero no puede cambiar el número asignado.
Configure las instancias de enrutamiento y asígneles las interfaces asignadas. Cree rutas estáticas y agréguelas a sus instancias de enrutamiento. Configure los protocolos de enrutamiento.
Configura, habilita y monitorea la política de firewall de la aplicación en tu sistema lógico de usuario.
Configure AppTrack.
Vea todas las interfaces lógicas asignadas y configure sus atributos. Los atributos que configure para las interfaces lógicas del sistema lógico de usuario no pueden ser vistos por otros administradores del sistema lógico de usuario.
Ejecute comandos operativos para el sistema lógico del usuario.
Ver también
Comportamiento del sistema lógico del usuario específico de la plataforma
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Utilice la siguiente tabla para revisar los comportamientos específicos de la plataforma para su plataforma:
| Plataforma |
Diferencia |
|---|---|
| serie SRX |
|