Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

逻辑系统中的安全区域

安全区域是策略的构建块。安全区域是一个或多个接口绑定的逻辑实体,可通过一种方法将主机组(用户逻辑系统和其他主机,如服务器)资源与另一个主机区分开来,以便应用不同的安全措施。有关更多信息,请参阅以下主题:

了解逻辑系统区域

安全区域是一个或多个接口绑定的逻辑实体。安全区域可由主逻辑系统上由主管理员配置,也可由用户逻辑系统管理员在用户逻辑系统上配置。在逻辑系统上,管理员可以配置多个安全区域,将网络划分为多个网段,以便对其应用各种安全选项。

主管理员为每个用户逻辑系统配置安全区域的最大和保留数量。然后,用户逻辑系统管理员可以在用户逻辑系统中创建安全区域,并将接口分配给每个安全区域。用户逻辑系统管理员可以在用户逻辑系统中使用 show system security-profile zones 命令查看分配给用户逻辑系统的安全区域数,并使用 show interfaces 命令查看分配给用户逻辑系统的接口。

注意:

主管理员可以为主逻辑系统配置安全配置文件,以指定应用于主逻辑系统的安全区域的最大和保留数量。在主逻辑系统中配置的区域数计入设备上可用的最大区域数。

主管理员和用户管理员可以在逻辑系统中配置安全区域的以下属性:

  • 属于安全区域的接口。

  • 筛选选项 — 对于每个安全区域,都可以启用一组预定义的筛选选项,以检测并阻止设备确定为潜在有害的各类流量。

  • TCP 重置 — 启用此功能后,当流量到达时,系统会发送一个带有 RESET 标志的 TCP 分段,该分段与现有会话不匹配,并且没有设置同步标记。

  • 主机入站流量 — 此功能指定可以从直接连接到其接口的系统访问设备的流量类型。您可以在区域级别(在这种情况下,它们会影响区域的所有接口)或接口级别配置这些参数。(接口配置将覆盖区域的配置。)

主逻辑系统或用户逻辑系统中没有预配置的安全区域。

只能为主逻辑系统配置管理功能区 (MGT)。每个设备只有一个管理接口,并且该接口分配给主逻辑系统。

接口 all 只能由主管理员分配给主逻辑系统中的一个区域。

用户逻辑系统管理员可以在用户逻辑系统中配置和查看安全区域的所有属性。主管理员也可以看到用户逻辑系统中安全区域的所有属性。

另请参阅

示例:配置用户逻辑系统

此示例显示了用户逻辑系统的接口、路由实例、区域和安全策略的配置。

要求

开始之前:

概述

此示例配置 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中显示的 ls-marketing-dept 和 ls-accounting-dept 用户逻辑系统。

此示例配置 表 1表 2 中描述的参数。

表 1: ls-marketing-dept 逻辑系统配置

特征

名字

配置参数

接口

ge-0/0/6.1

  • IP 地址 13.1.1.1/24

  • VLAN ID 800

路由实例

mk-vr1

  • 实例类型:虚拟路由器

  • 包括接口 ge-0/0/6.1 和 lt-0/0/0.5

  • 静态路由:

    • 12.1.1.0/24 下一跳 10.0.1.2

    • 14.1.1.0/24 下一跳 10.0.1.4

    • 12.12.1.0/24 下一跳 10.0.1.1

ls-marketing-trust

绑定到接口 ge-0/0/6.1。

ls-marketing-untrust

绑定到接口 lt-0/0/0.5

地址簿

内部营销

  • 地址营销人员:13.1.1.0/24

  • 附加区域 ls-marketing-trust

外部营销

  • 地址设计:12.1.1.0/24

  • 地址计费:14.1.1.0/24

  • 其他地址:12.12.1.0/24

  • 地址集 Otherlsys:设计、核算

  • 附加区域 ls-marketing-untrust

政策

permit-all-to-otherlsys

允许以下流量:

  • From Zone:ls-marketing-trust

  • 到区域:ls-marketing-untrust

  • 源地址:营销人员

  • 目标地址:Otherlsys

  • 应用程序:任何

permit-all-from-otherlsys

允许以下流量:

  • 从区域:ls-marketing-untrust

  • 到区域:ls-marketing-trust

  • 源地址:Otherlsys

  • 目标地址:营销人员

  • 应用程序:任何
表 2: ls-accounting-dept 逻辑系统配置

特征

名字

配置参数

接口

ge-0/0/7.1

  • IP 地址 14.1.1.1/24

  • VLAN ID 900

路由实例

acct-vr1

  • 实例类型:虚拟路由器

  • 包括接口 ge-0/0/7.1 和 lt-0/0/0.7

  • 静态路由:

    • 12.1.1.0/24 下一跳 10.0.1.2

    • 13.1.1.0/24 下一跳 10.0.1.3

    • 12.12.1.0/24 下一跳 10.0.1.1

ls-accounting-trust

绑定到接口 ge-0/0/7.1。

ls-accounting-untrust

绑定到接口 lt-0/0/0.7

地址簿

内部计费

  • 地址计费:14.1.1.0/24

  • 连接到 zone ls-accounting-trust

外部计费

  • 地址设计:12.1.1.0/24

  • 地址营销:13.1.1.0/24

  • 其他地址:12.12.1.0/24

  • 地址集 Otherlsys:设计、营销

  • 连接到区域 ls-accounting-untrust

政策

permit-all-to-otherlsys

允许以下流量:

  • From Zone:ls-accounting-trust

  • 到区域:ls-accounting-untrust

  • 源地址:计费

  • 目标地址:Otherlsys

  • 应用程序:任何

permit-all-from-otherlsys

允许以下流量:

  • 从区域:ls-accounting-untrust

  • 到区域:ls-accounting-trust

  • 源地址:Otherlsys

  • 目标地址:计费

  • 应用程序:任何

配置

配置 ls-marketing-dept 用户逻辑系统

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

要配置用户逻辑系统:

  1. 以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。

  2. 为用户逻辑系统配置逻辑接口。

  3. 配置路由实例并分配接口。

  4. 配置静态路由。

  5. 配置安全区域并将接口分配给每个区域。

  6. 创建通讯簿条目。

  7. 将通讯簿附加到区域。

  8. 配置一个安全策略,以允许从 ls-marketing-trust 区域到 ls-marketing-untrust 区域的流量。

  9. 配置一个安全策略,以允许从 ls-marketing-untrust 区域到 ls-marketing-trust 区域的流量。

结果

在配置模式下,输入和 show security 命令以确认show routing-instances您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置 ls-accounting-dept 用户逻辑系统

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

要配置用户逻辑系统:

  1. 以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。

  2. 为用户逻辑系统配置逻辑接口。

  3. 配置路由实例并分配接口。

  4. 配置静态路由。

  5. 配置安全区域并将接口分配给每个区域。

  6. 创建通讯簿条目。

  7. 将通讯簿附加到区域。

  8. 配置一个安全策略,以允许从 ls 计费信任区域到 ls 核算不信任区域的流量。

  9. 配置一个安全策略,允许从 ls-accounting-untrust 区域到 ls-accounting-trust 区域的流量。

结果

在配置模式下,输入和 show security 命令以确认show routing-instances您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证策略配置

目的

验证有关策略和规则的信息。

行动

在操作模式下,输入 show security policies detail 命令以显示在逻辑系统上配置的所有策略的摘要。

另请参阅

示例:为用户逻辑系统配置安全区域

此示例说明如何为用户逻辑系统配置区域。

要求

开始之前:

概述

此示例配置 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中显示的 ls-product 设计用户逻辑系统。

此示例创建 表 3 中描述的区域和地址簿。

表 3:用户逻辑系统区域和地址簿配置

特征

名字

配置参数

ls-product-design-trust

  • 绑定到接口 ge-0/0/5.1。

  • 已启用 TCP 重置。

ls-product-design-untrust

  • 绑定到接口 lt-0/0/0.3。

地址簿

产品设计内部

  • 地址产品设计人员:12.1.1.0/24

  • 连接到 zone ls-product-design-trust

产品设计-外部

  • 地址营销:13.1.1.0/24

  • 地址计费:14.1.1.0/24

  • 其他地址:12.12.1.0/24

  • 地址集 Otherlsys:营销、会计

  • 连接到区域 ls-product-design-untrust

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

在用户逻辑系统中配置区域:

  1. 以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。

  2. 配置安全区域并将其分配给接口。

  3. 为区域配置 TCP-Reset 参数。

  4. 配置安全区域并将其分配给接口。

  5. 创建全局通讯簿条目。

  6. 将通讯簿附加到区域。

结果

在配置模式下,输入命令以确认 show security 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

另请参阅

相关文档