Wie SRX Sicherheitszonen mit Junos konfigurieren

Sie können die SRX-Services-Gateway nicht verwalten, wie Sie es einen Router. Der SRX ist ein Locked-Down-Gerät. Sie können nicht einmal eine Schnittstelle auf dem SRX ping zunächst, auch wenn es eine gültige IP-Adresse hat. Die SRX verwendet das Konzept der verschachtelte Sicherheitszonen. Zonen sind ein kritischer Konzept in SRX-Konfiguration. Kein Verkehr geht in oder es sei denn, die Sicherheitszonen richtig auf den SRX-Schnittstellen konfiguriert sind.

Um eine Sicherheitszone zu konfigurieren, müssen Sie die Schnittstelle mit einer Sicherheitszone zugeordnet werden soll, und dann müssen die Sicherheitszonen mit einer Routing-Instanz gebunden zu sein (wenn es mehrere Routing-Instanzen sind).

bild0.jpg

Das klingt kompliziert, aber es ist nicht. Zuerst müssen Sie die Zonen konfigurieren und dann verbinden Sie die Schnittstellen mit den Zonen. Hier gehen wir davon aus, dass Sie nur eine Routing-Instanz verwenden. Sie können eine Zone mit mehr als einer Schnittstelle zu konfigurieren. Jedoch kann jede Schnittstelle nur eine Zone gehören.

Nun, stellen zwei Sicherheitszonen für eine einfache SRX-Konfiguration. Eine Zone ist für eine lokale LAN genannt admins (Verwaltung) auf der Schnittstelle ge-0/0 / 0.0, und die andere Zone ist für zwei Verbindungen mit dem Internet genannt untrust mit Schnittstellen ge-0/0 / 1.0 und ge-0/0 / 2.0:

root # bearbeiten Sicherheitszonen [Bearbeiten Sicherheitszonen] root # set Sicherheitszone adminsroot # set Sicherheitszone untrustroot # set Sicherheitszone Schnittstellen ge-0/0 / 0.0root # set Sicherheitszone untrust Schnittstellen ge-0/0 / 1.0root admins # set Sicherheitszone untrust Schnittstellen ge-0/0 / 2.0

Immer konfigurieren Zonen aus der Perspektive des SRX Sie konfigurieren. Viele andere Zonen auf dem LAN sein kann (Vertrauen, Buchhaltung, und so weiter). Aber das SRX nur Links zu admins und untrust.

Jetzt können Sie Dienste für die Zonen hinzufügen, die Sie gerade konfiguriert. Nehmen wir an, eingehende SSH, FTP und Ping-Verkehr aus dem nicht vertrauenswürdigen Zone erlaubt ist.

Dies ist nur ein Beispiel. Bevor Sie irgendwelche Dienste auf dem SRX überhaupt aktivieren, stellen Sie sicher, dass Sie brauchen, um sie wirklich. FTP insbesondere ist oft riskant, weil FTP keine wirkliche Sicherheit hat, und Sie gestanzt nur ein großes Loch für sie in der Sicherheitszone.

[Bearbeiten Sicherheitszonen] root # set Sicherheitszone untrust Host-Inbound-Verkehr sshroot # set Sicherheitszone untrust Host-Inbound-Verkehr ftproot # set Sicherheitszone untrust Host-Inbound-Verkehr ping

Ihre Konfiguration sieht nun wie folgt aus:

[Bearbeiten Sicherheit] Zonen {Sicherheitszone untrust {host-Inbound-Verkehr {System-Dienste {ssh-ftp-ping -}} Schnittstellen {ge-0/0 / 1.0-ge-0/0 / 2.0 -}} Sicherheit -Zone admins {Schnittstellen {ge-0/0 / 0.0-}}

Wenn Sie noch kein Routing konfiguriert und angewendet Lizenzierung an Ihren SRX, erhalten Sie eine Fehlermeldung zu holen, wenn Sie die Sicherheitskonfiguration versuchen und zu begehen. Dieser Fehler wird weggehen, wenn die Konfiguration abgeschlossen ist.

Ähnliche

Menü