논리적 시스템에 대한 보안 프로필
논리적 시스템에 대한 보안 프로필을 사용하면 리소스를 할당할 수 있습니다. 보안 프로필은 보안 프로필이 바인딩된 논리적 시스템에 할당할 리소스 수를 지정합니다. 모든 시스템 리소스는 기본 논리적 시스템에 할당되며 기본 관리자는 보안 프로필을 사용하여 사용자 논리적 시스템에 할당합니다. 자세한 내용은 다음 주제를 참조하십시오.
논리적 시스템 보안 프로필 이해(기본 관리자 전용)
논리적 시스템을 사용하면 지원되는 SRX 시리즈 방화벽을 여러 디바이스로 가상으로 분할하여 서로 격리하고 침입 및 공격으로부터 보호하며, 자체 컨텍스트 외부의 결함 있는 조건으로부터 보호할 수 있습니다. 논리 시스템을 보호하기 위해 보안 리소스는 개별 디바이스에 대해 구성된 방식과 유사한 방식으로 구성됩니다. 그러나 기본 관리자는 논리적 시스템에 보안 리소스의 종류와 양을 할당해야 합니다. 논리적 시스템 관리자는 자신의 논리적 시스템에 대한 리소스를 할당합니다.
논리적 시스템을 실행하는 SRX 시리즈 방화벽은 사용자 논리적 시스템, 원하는 경우 상호 연결 논리적 시스템 및 기본 기본 기본 논리적 시스템으로 분할될 수 있습니다. 시스템이 초기화되면 루트 수준에서 기본 논리적 시스템이 생성됩니다. 모든 시스템 리소스가 할당되어 기본 기본 논리적 시스템 보안 프로파일을 효과적으로 생성합니다. 기본 관리자는 논리적 시스템에 보안 리소스를 배포하기 위해 보안 프로필이 바인딩된 논리적 시스템에 할당할 리소스의 종류와 양을 지정하는 보안 프로필을 만듭니다. 기본 관리자만 보안 프로필을 구성하고 논리적 시스템에 바인딩할 수 있습니다. 사용자 논리적 시스템 관리자는 자신의 논리적 시스템에 대해 이러한 리소스를 구성합니다.
논리적 시스템은 주로 보안 구성 요소, 인터페이스, 라우팅 인스턴스, 정적 경로 및 동적 라우팅 프로토콜을 포함하여 할당된 리소스에 의해 정의됩니다. 기본 관리자는 사용자 논리적 시스템을 구성할 때 보안 프로필을 바인딩합니다. 보안 프로필이 없는 사용자 논리적 시스템에 대한 구성을 커밋하려는 시도는 실패합니다.
이 주제에는 다음 섹션이 포함됩니다.
논리적 시스템 보안 프로필
기본 관리자로서 단일 보안 프로필을 구성하여 특정 논리적 시스템에 리소스를 할당하거나, 둘 이상의 논리적 시스템에 대해 동일한 보안 프로필을 사용하거나, 두 가지 방법을 혼합하여 사용할 수 있습니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽에서 최대 32개의 보안 프로필을 구성할 수 있습니다. 제한에 도달하면 보안 프로필을 삭제하고 구성 변경을 커밋해야만 다른 보안 프로필을 생성하고 커밋할 수 있습니다. 단일 보안 프로파일을 둘 이상의 논리적 시스템에 바인딩할 수 있기 때문에 필요한 보안 프로필이 적은 경우가 많습니다.
보안 프로파일을 사용하면 다음을 수행할 수 있습니다.
정책, 영역, 주소록 및 주소록, 플로우 세션 및 다양한 형태의 NAT를 포함한 디바이스의 리소스를 모든 논리적 시스템 간에 적절하게 공유합니다. 논리 시스템에 다양한 리소스를 바치고 무료 리소스 사용을 위해 경쟁할 수 있도록 할 수 있습니다.
보안 프로필은 다른 논리적 시스템에서 동시에 필요한 리소스가 고갈되는 하나의 논리적 시스템으로부터 보호합니다. 보안 프로필은 중요한 시스템 리소스를 보호하고 디바이스가 트래픽 플로우가 많을 때 사용자 논리적 시스템 간에 공정한 수준의 성능을 유지합니다. 리소스 사용을 지배하고 다른 사용자 논리적 시스템을 박탈하는 하나의 사용자 논리적 시스템으로부터 보호합니다.
향후 추가 사용자 논리적 시스템을 생성할 수 있도록 확장 가능한 방식으로 디바이스를 구성합니다.
논리적 시스템을 삭제하기 전에 논리적 시스템의 보안 프로필을 삭제해야 합니다.
시스템이 논리적 시스템 전반에서 리소스 할당 및 사용을 평가하는 방법
보안 리소스로 논리 시스템을 프로비저닝하려면 기본 관리자로서 각 리소스에 대해 지정하는 보안 프로필을 구성합니다.
지정된 리소스 금액이 항상 논리적 시스템에서 사용할 수 있도록 보장하는 예약 할당량입니다.
허용되는 최대 할당량. 논리적 시스템에 예약된 금액이 허용하는 것보다 더 많은 리소스가 필요한 경우, 가능한 경우 글로벌 최대 금액으로 구성된 리소스를 활용할 수 있습니다. 즉, 다른 논리적 시스템에 할당되지 않은 경우 리소스를 활용할 수 있습니다. 허용되는 최대 할당량은 논리 시스템이 사용할 수 있는 무료 글로벌 리소스의 부분을 지정합니다. 허용되는 최대 할당량이 보안 프로파일의 리소스에 대해 지정된 양을 사용할 수 있음을 보장하지는 않습니다. 논리적 시스템은 글로벌 리소스를 위해 경쟁해야 합니다.
리소스에 대해 예약된 할당량이 구성되지 않은 경우, 기본값은 0입니다. 리소스에 대해 허용되는 최대 할당량이 구성되지 않은 경우, 기본 값은 리소스에 대한 전역 시스템 할당량입니다(글로벌 시스템 할당량은 플랫폼에 따라 달라함). 기본 관리자는 보안 프로필에서 적절한 최대 허용 할당량 값을 구성해야 하므로 특정 논리적 시스템의 최대 리소스 사용량이 디바이스에 구성된 다른 논리적 시스템에 부정적인 영향을 미치지 않도록 해야 합니다. 기본 관리자는 특정 논리적 시스템의 최대 리소스 사용이 디바이스에 구성된 다른 논리적 시스템에 부정적인 영향을 미치지 않도록 보안 프로필에서 적절한 최대 허용 할당량 값을 구성해야 합니다.
시스템은 논리적 시스템이 삭제되면 예약, 사용 및 다시 사용할 수 있는 모든 할당 리소스의 수를 유지합니다. 이 카운트는 리소스가 새로운 논리적 시스템에 사용할 수 있는지 또는 보안 프로필을 통해 기존 논리적 시스템에 할당된 리소스의 양을 늘릴 수 있는지를 결정합니다.
사용자 논리적 시스템이 삭제되면 예약된 리소스 할당이 다른 논리적 시스템에서 사용하기 위해 해제됩니다.
보안 프로필에서 구성된 리소스는 정적 모듈형 리소스 또는 동적 리소스로 특징지어지게 됩니다. 정적 리소스의 경우, 논리 시스템의 확장 가능한 구성을 허용하기 위해 예약된 할당량으로 지정된 양과 같거나 가까운 리소스에 대한 최대 할당량을 설정하는 것이 좋습니다. 리소스에 대한 최대 할당량이 높으면 더 많은 리소스에 액세스하여 논리적 시스템에 더 큰 유연성을 부여할 수 있지만 새 사용자 논리적 시스템에 할당할 수 있는 양을 제한할 수 있습니다.
동적 리소스에 대해 예약된 금액과 허용되는 최대 금액의 차이는 중요하지 않습니다. 동적 리소스가 노후화되어 다른 논리적 시스템에 할당할 수 있는 풀이 고갈되지 않기 때문입니다.
보안 프로필에 다음과 같은 리소스를 지정할 수 있습니다.
스케줄러를 포함한 보안 정책
보안 영역
보안 정책을 위한 주소 및 주소록
애플리케이션 방화벽 규칙 세트
애플리케이션 방화벽 규칙
방화벽 인증
플로우 세션 및 게이트
NAT, 포함:
Cone NAT 바인딩
NAT 대상 규칙
NAT 대상 풀
PAT(Port Address Translation) 없는 소스 풀의 NAT IP 주소
참고:PAT가 없는 IPv6 소스 풀의 IPv6 주소는 보안 프로필에 포함되지 않습니다.
PAT가 있는 소스 풀의 NAT IP 주소
NAT 포트 오버로드
NAT 소스 풀
NAT 소스 규칙
NAT 정적 규칙
플로우 세션을 제외한 모든 리소스는 정적입니다.
보안 프로필이 다른 논리적 시스템에 할당되는 동안 논리적 시스템 보안 프로필을 동적으로 수정할 수 있습니다. 그러나 시스템 리소스 할당량을 초과하지 않도록 하려면 시스템은 다음 작업을 수행합니다.
정적 할당량이 변경되면 보안 프로파일에 지정된 리소스에 대한 논리적 시스템 수를 유지하는 시스템 데몬이 보안 프로필을 다시 검증합니다. 이 검사는 모든 논리적 시스템에 할당된 리소스 수를 식별하여 증가된 양을 포함하여 할당된 리소스를 사용할 수 있는지 여부를 결정합니다.
이러한 할당량 검사는 새 사용자 논리적 시스템을 추가하고 보안 프로필을 바인딩할 때 시스템이 수행하는 것과 동일한 할당량 검사입니다. 또한 현재 보안 프로파일에 할당된 보안 프로필과 다른 보안 프로파일을 기존 사용자 논리적 시스템(또는 기본 논리적 시스템)에 바인딩할 때도 수행됩니다.
동적 할당량이 변경되면 체크가 수행되지 않지만 향후 리소스 사용에 새로운 할당량이 부과됩니다.
사례: 보안 프로필을 통해 할당된 예약 리소스 평가
시스템이 보안 프로필을 통해 예약 리소스 할당을 평가하는 방법을 이해하려면, 하나의 리소스, 영역의 할당을 다루는 다음 3가지 사례를 고려하십시오. 예를 단순하게 유지하기 위해 security-profile-1: 예약된 영역 4개와 최대 영역 6개에 10개의 영역이 할당됩니다. 이 예는 지정된 최대 금액(6개 영역)이 사용자 논리적 시스템에 사용할 수 있다고 가정합니다. 시스템 최대 영역 수는 10입니다.
이러한 경우는 논리적 시스템 전반에서 구성을 해결합니다. 영역 할당을 기반으로 구성이 커밋될 때 구성이 성공하는지 또는 실패하는지 테스트합니다.
표 1 은 보안 프로필과 해당 영역 할당을 보여줍니다.
구성 사례에 사용되는 두 가지 보안 프로필 |
|---|
Security-profile-1
참고:
나중에 기본 관리자는 이 프로필에 지정된 예약된 영역 수를 동적으로 증가합니다. |
기본 논리적 시스템 프로파일
|
표 2 에서는 시스템이 보안 프로필 구성을 기반으로 논리적 시스템 전반의 영역에 대한 예약 리소스를 평가하는 방법을 보여주는 세 가지 사례를 보여줍니다.
모든 논리적 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 적은 8이기 때문에 첫 번째 사례의 구성은 성공합니다.
모든 논리 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 큰 12이기 때문에 두 번째 사례에 대한 구성이 실패합니다.
모든 논리적 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 큰 12이기 때문에 세 번째 사례에 대한 구성이 실패합니다.
논리적 시스템 전반에서 예약된 리소스 할당량 검사 |
|---|
예 1: 성공 이 구성은 범위 내에 있습니다: 4+4+0=8, 최대 용량 =10. 사용된 보안 프로필
|
예 2: 실패 이 구성은 경계를 벗어났습니다: 4+4+4=12, 최대 용량 =10.
보안 프로필
|
예 3: 실패 이 구성은 경계를 벗어났습니다: 6+6=12, 최대 용량 =10. 기본 관리자는 security-profile-1에서 예약된 영역 할당량을 수정하여 수를 6으로 늘렸습니다.
|
더 보기
예: 논리적 시스템 보안 프로필 구성(기본 관리자만 해당)
이 예는 기본 관리자가 사용자 논리 시스템과 기본 논리적 시스템에 할당하도록 세 가지 논리적 시스템 보안 프로필을 구성하여 보안 리소스를 프로비저닝하는 방법을 보여줍니다.
요구 사항
이 예는 논리적 시스템으로 Junos OS 실행하는 SRX5600 디바이스를 사용합니다.
시작하기 전에 SRX 시리즈 논리적 시스템 기본 관리자 구성 작업 개요 를 읽고 이 작업이 전체 구성 프로세스에 어떻게 적합한지 알아보십시오.
개요
이 예는 다음 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 보여줍니다.
루트 논리적 시스템 논리적 시스템. 보안 프로필 기본 프로필은 기본 또는 루트 논리적 시스템에 할당됩니다.
ls-product-design 논리적 시스템. 보안 프로필 ls-design-profile은 논리적 시스템에 할당됩니다.
ls-marketing-dept 논리적 시스템. 보안 프로필 ls-accnt-mrkt-profile은 논리적 시스템에 할당됩니다.
ls-accounting-dept 논리적 시스템. 보안 프로필 ls-accnt-mrkt-profile은 논리적 시스템에 할당됩니다.
하나를 사용하는 경우 인터커넥트 논리적 시스템. 더미 또는 NULL 보안 프로필을 할당해야 합니다.
토폴로지
이 구성은 예: 사용자 논리적 시스템 생성, 관리자, 사용자 및 상호 연결 논리적 시스템 예에 표시된 구축에 의존합니다.
구성
논리적 시스템 보안 프로필 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
세 가지 보안 프로필을 생성합니다.
첫 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약 정책 수를 지정합니다.
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
최대 영역 및 예약 영역 수를 지정합니다.
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
최대 및 예약 세션 수를 지정합니다.
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
최대 및 예약된 ICAP 리디렉션 프로필 수 지정
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약 소스 NAT no-PAT 주소 및 정적 NAT 규칙의 수를 지정합니다.
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
침입 탐지 및 방지(IDP)를 활성화합니다. 기본(루트) 논리적 시스템에 대해서만 IDP를 활성화할 수 있습니다.
[edit system security-profile] user@host# set idp
보안 프로필을 논리적 시스템에 바인딩합니다.
[edit system security-profile] user@host# set master-profile root-logical-system
두 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약 정책 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
최대 영역 및 예약 영역 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
최대 및 예약 세션 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
최대 및 예약된 ICAP 리디렉션 프로필 수 지정
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약 소스 NAT no-PAT 주소 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
최대 및 예약된 정적 NAT 규칙의 수를 지정합니다.
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
보안 프로필을 두 개의 논리적 시스템에 연결합니다.
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
세 번째 보안 프로필을 생성합니다.
단계별 절차
최대 및 예약 정책 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
최대 영역 및 예약 영역 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
최대 및 예약 세션 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
최대 및 예약된 ICAP 리디렉션 프로필 수 지정
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
최대 및 예약 소스 NAT no-PAT 주소 수를 지정합니다.
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
보안 프로필을 논리적 시스템에 바인딩합니다.
user@host# set system security-profile ls-design-profile logical-system ls-product-design
NULL 보안 프로필을 상호 연결 논리적 시스템에 바인딩합니다.
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
결과
구성 모드에서 명령을 입력하여 구성을 show system security-profile 확인하여 모든 보안 프로필이 구성되었는지 확인합니다.
개별 보안 프로필을 보려면 , show system security-profile ls-accnt-mrkt-profile 및 show system security-profile ls-design-profile 명령을 입력show system security-profile master-profile합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
디바이스 구성이 완료되면 구성 모드에서 커밋을 입력합니다.
확인
논리 시스템에 할당된 보안 리소스가 그들에게 할당되었는지 확인하려면 각 논리적 시스템 및 모든 리소스에 대해 이 절차를 따릅니다.
논리 시스템에 보안 프로필 리소스가 효과적으로 할당되는지 확인
목적
각 논리적 시스템에 대한 보안 리소스를 확인합니다. 구성된 모든 논리적 시스템에 대해 이 프로세스를 따릅니다.
작업
-
SSH를 사용하여 사용자 논리적 시스템 관리자로서 각 사용자 논리적 시스템에 로그인합니다.
SSH를 실행하여 SRX 시리즈 방화벽의 IP 주소를 지정합니다.
생성한 사용자 논리 시스템 중 하나에 대한 로그인 ID 및 암호를 입력합니다.
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
프로필에 대해 구성된 리소스를 식별하려면 다음 문을 입력합니다.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
결과 프롬프트에 다음 명령을 입력합니다. 프로필에 대해 구성된 각 기능에 대해 이 작업을 수행합니다.
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
예: 사용자 논리적 시스템 보안 프로필 구성
이 예에서 사용자 논리적 시스템 보안 프로필을 구성합니다. 보안 프로필의 논리적 시스템에 할당된 리소스에 대한 정보를 제공합니다.
SRX4100 및 SRX4200 디바이스는 투명 및 경로 모드 모두에서 논리적 시스템을 지원합니다.
SRX4600 디바이스는 경로 모드에서만 논리 시스템을 지원합니다.
레이어 2 교차 논리적 시스템 트래픽은 지원되지 않습니다.
요구 사항
이 예에서는 논리적 시스템으로 Junos OS 실행하는 SRX4100 및 SRX4200 디바이스를 사용합니다.
시작하기 전에 다음을 수행합니다.
논리적 시스템 구성 프로세스를 이해합니다. 이 작업이 전체 구성 프로세스에 어떻게 적합한지 이해하려면 사용자 논리적 시스템 구성 개요 를 참조하십시오.
개요
논리적 시스템을 통해 기본 관리자는 SRX 시리즈 방화벽을 사용자 논리적 시스템이라는 개별 컨텍스트로 분할할 수 있습니다. 사용자 논리적 시스템은 독립된 프라이빗 컨텍스트이며, 서로 분리되고 기본 논리적 시스템과 분리됩니다. 사용자 논리적 시스템에는 자체 보안, 네트워킹, 논리적 인터페이스, 라우팅 구성 및 하나 이상의 사용자 논리적 시스템 관리자가 있습니다.
이 예에서는 표 3에 설명된 사용자 논리적 시스템에 대한 보안 기능을 구성합니다. 사용자 논리적 시스템 관리자가 사용자 논리적 시스템에 대한 리소스 정보를 표시하는 데 사용하는 이 구성입니다.
필드 이름 |
필드 설명 |
|---|---|
MAC 플래그 |
각 인터페이스에 대한 MAC 주소 학습 속성의 상태:
|
이더넷 스위칭 테이블 |
학습된 항목의 경우, 이더넷 스위칭 테이블에 항목이 추가된 시간입니다. |
논리적 시스템 |
논리적 시스템의 이름 |
라우팅 인스턴스 |
라우팅 인스턴스 이름 |
VLAN 이름 |
VLAN 이름 |
MAC 주소 |
논리적 인터페이스에서 학습된 MAC 주소 또는 주소 |
연령 |
이 필드는 지원되지 않습니다. |
논리적 인터페이스 |
논리적 인터페이스 이름 |
RTR ID |
라우팅 디바이스 ID |
NH 인덱스 |
특정 접두사에 대한 트래픽을 라우팅하는 데 사용되는 다음 홉의 소프트웨어 인덱스입니다. |
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템 보안 프로필 구성 방법:
논리적 시스템 관리자로 사용자 논리적 시스템에 로그인하고 구성 모드를 입력합니다.
[edit] admin@host> configure admin@host#
보안 프로필을 구성하고 논리 시스템에 할당합니다.
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
인터페이스를 적절한 인터페이스 모드로 설정하고 태그 없는 데이터 패킷을 수신할 논리적 인터페이스가 네이티브 VLAN의 멤버임을 지정합니다.
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
IRB 인터페이스를 생성하고 서브넷에 주소를 할당합니다.
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
트러스트 영역에서 신뢰할 수 없는 영역으로 트래픽을 허용하고 각 영역에 인터페이스를 할당하는 보안 정책을 생성합니다.
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
IRB 인터페이스를 VLAN과 연결합니다.
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show ethernet-switching table . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
사용자 논리적 시스템 보안 프로필 구성 확인
목적
보안 정책 정보를 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show ethernet-switching table .
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
예: 논리적 시스템에 대한 보안 로그 스트림 구성
이 예는 논리적 시스템에 대한 보안 프로필을 구성하는 방법을 보여줍니다.
요구 사항
이 예에서는 논리적 시스템으로 Junos OS 실행하는 SRX 시리즈 방화벽을 사용합니다.
시작하기 전에 다음을 수행합니다.
SRX 시리즈 논리적 시스템 기본 관리자 구성 작업 개요를 읽고 이 작업이 전체 구성 프로세스에 어떻게 적합한지 이해합니다.
개요
기본 관리자로서 단일 보안 프로필을 구성하여 특정 논리적 시스템에 리소스를 할당할 수 있습니다. Yo는 둘 이상의 논리적 시스템에 동일한 보안 프로필을 사용하거나 두 가지 방법을 혼합하여 사용할 수 있습니다. SRX 시리즈 set logical-system LSYS1 security log 방화벽에 대한 로깅 지원을 위해 명령이 도입되었습니다.
구성
논리적 시스템 보안 프로필 논리적 시스템 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
보안 프로필을 구성하고 최대 및 예약 정책 수를 지정합니다.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
구성된 보안 프로필을 LSYS1에 할당합니다.
user@host# set security-profile p1 logical-system LSYS1
결과
구성 모드에서 명령을 입력하여 구성을 show system security-profile 확인하여 모든 보안 프로필이 구성되었는지 확인합니다.
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
확인
구성이 제대로 작동하는지 확인하려면 아래 작업을 수행하십시오.
- 논리적 시스템에 대한 보안 프로필 리소스 확인
- 논리적 시스템에 대한 보안 로그 스트림 번호 확인
- 논리적 시스템에 대한 security-log-stream-number 요약 확인
- 논리적 시스템에 대한 보안 로그 스트림 번호 세부 정보 확인
논리적 시스템에 대한 보안 프로필 리소스 확인
목적
각 논리적 시스템에 대한 보안 리소스를 확인합니다.
작업
운영 모드에서 , , show system security-profile security-log-stream-number logical-system allshow system security-profile security-log-stream-number summary또는 show system security-profile security-log-stream-number detail logical-system all 명령을 입력show system security-profile all-resource하여 출력을 확인합니다.
show system security-profile all-resource
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
의미
샘플 출력은 보안 프로필의 논리적 시스템에 할당된 리소스에 대한 정보를 표시합니다. 지정된 각 리소스에 대해 논리적 시스템에서 사용하는 수와 구성된 최대 및 예약된 값이 표시됩니다.
논리적 시스템에 대한 보안 로그 스트림 번호 확인
목적
각 논리적 시스템에 대한 security-log-stream-number를 확인합니다.
작업
운영 모드에서 명령을 입력 show system security-profile security-log-stream-number logical-system all 하여 출력을 확인합니다.
show system security-profile security-log-stream-number 논리 시스템 모두
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
의미
샘플 출력은 보안 프로필 이름의 보안 프로파일에서 논리 시스템에 할당된 리소스에 대한 정보를 표시합니다. 지정된 각 리소스에 대해 논리적 시스템에서 사용하는 수와 구성된 최대 및 예약된 값이 표시됩니다.
논리적 시스템에 대한 security-log-stream-number 요약 확인
목적
security-log-stream-number 요약을 확인합니다.
작업
운영 모드에서 명령을 입력 show system security-profile security-log-stream-number summary 하여 출력을 확인합니다.
show system security-profile security-log-stream-number 요약
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
의미
샘플 출력에는 모든 논리적 시스템의 리소스에 대한 요약 정보가 표시됩니다.
논리적 시스템에 대한 보안 로그 스트림 번호 세부 정보 확인
목적
security-log-stream-number 세부 정보를 확인합니다.
작업
운영 모드에서 명령을 입력 show system security-profile security-log-stream-number detail logical-system all 하여 출력을 확인합니다.
show system security-profile security-log-stream-number detail logical-system 모두
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
의미
샘플 출력은 모든 논리적 시스템에 대한 자세한 출력 수준을 표시합니다.