本页内容
租户系统安全区域
安全区域可配置为租户系统。有关更多信息,请参阅以下主题:
了解租户系统的区域
安全区域是一个或多个接口绑定的逻辑实体。管理员可在租户系统上配置安全区域。在租户系统上,管理员可以配置多个安全区域,将网络划分为多个网段,以便对其应用各种安全选项。
主管理员为租户系统配置安全区域的最大和保留数。然后,租户系统的管理员可以在租户系统中创建安全区域,并将接口分配给每个安全区域。在租户系统中配置的区域数计入设备上可用的最大区域数。命令 show system security-profile zones 用于查看分配给租户系统的安全区域数,命令 show interfaces 用于查看分配给租户系统的接口。
您可以在租户系统安全区域配置以下功能:
属于安全区域的接口。
筛选选项 — 对于每个安全区域,都可以启用一组预定义的筛选选项,以检测并阻止设备确定为潜在有害的各类流量。
TCP 重置 — 启用此功能后,当流量到达时,系统会发送一个带有 RESET 标志的 TCP 分段,该分段与现有会话不匹配,并且没有设置同步标记。
主机入站流量 — 此功能指定可以从直接连接到其接口的系统访问设备的流量类型。您可以在区域级别(在这种情况下,它们会影响区域的所有接口)或接口级别配置这些参数。接口配置将覆盖区域配置。
租户系统中没有预配置的安全区域。
可以为租户系统配置管理功能区 (MGT)。每个设备都有分配给租户系统的管理接口。
租户系统的管理员可以配置和查看租户系统中某个安全区域的所有属性。租户系统中的所有安全区域属性也对主管理员可见。
示例:在租户系统中配置区域
此示例说明如何为租户系统配置区域。
要求
开始配置之前:
配置由主管理员创建的接口。请参阅 示例:为租户系统配置接口和路由实例。
概述
在此示例中,您可以为租户系统配置区域。安全区域是策略的构建块;它们是一个或多个接口绑定的逻辑实体层级 [edit tenants tenant-name security zones] 用于配置安全区域。此示例配置 表 1 中描述的安全策略和区域。
特征 |
配置参数 |
|---|---|
区域 1 |
|
区域 2 |
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set tenants TN1 security zones security-zone trust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone trust interfaces xe-0/0/1.0 set tenants TN1 security zones security-zone untrust host-inbound-traffic system-services any-service set tenants TN1 security zones security-zone untrust interfaces xe-0/0/3.0
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
在租户系统中配置安全区域:
将租户系统名称定义为 TN1。
[edit] user@host# set tenants TN1
将安全区域配置为允许来自区域信任的流量的信任,并将其分配给接口。
[edit tenants TN1 security zones security-zone trust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/1.0
将安全区域配置为不信任区域,允许来自不信任区域的流量并将其分配给接口。
[edit tenants TN1 security zones security-zone untrust] user@host# set host-inbound-traffic system-services any-service user@host# set interfaces xe-0/0/3.0
结果
在配置模式下,输入 and show tenants tenant-name security zones 命令以确认show tenants tenant-name security policies您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
user@host# show tenants TN1 security zones
security-zone trust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
any-service;
}
}
interfaces {
xe-0/0/3.0;
}
}
验证
要确认配置工作正常,请执行以下任务:
验证区域配置
目的
验证有关安全区域的信息。
行动
要验证配置是否工作正常,请在 show security zones tenant all 操作模式下输入命令。
user@host> show security zones tenant all
Tenant: TN1 Security zone: Host Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces: Security zone: abc Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces:xe-0/0/1.0 Security zone: def Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 1 Interfaces:xe-0/0/3.0
意义
输出显示租户系统上配置的安全区域的信息。