Zonas de seguridad en los sistemas lógicos
Las zonas de seguridad son los componentes básicos de las políticas. Las zonas de seguridad son entidades lógicas a las que una o más interfaces están enlazadas y proporcionan un medio para distinguir grupos de hosts (sistemas lógicos de usuario y otros hosts, como servidores), recursos entre sí para aplicar diferentes medidas de seguridad. Para obtener más información, consulte los temas siguientes:
Descripción de zonas de sistemas lógicos
Las zonas de seguridad son entidades lógicas a las que una o más interfaces están enlazadas. El administrador principal puede configurar las zonas de seguridad en el sistema lógico principal o en los sistemas lógicos de usuario por el administrador del sistema lógico del usuario. En un sistema lógico, el administrador puede configurar varias zonas de seguridad, dividiendo la red en segmentos de red a los que se pueden aplicar varias opciones de seguridad.
El administrador principal configura los números máximos y reservados de zonas de seguridad para cada sistema lógico de usuario. A continuación, el administrador del sistema lógico de usuario puede crear zonas de seguridad en el sistema lógico de usuario y asignar interfaces a cada zona de seguridad. Desde un sistema lógico de usuario, el administrador del sistema lógico del usuario puede usar el show system security-profile zones comando para ver el número de zonas de seguridad asignadas al sistema lógico de usuario y el show interfaces comando para ver las interfaces asignadas al sistema lógico del usuario.
El administrador principal puede configurar un perfil de seguridad para el sistema lógico principal que especifique los números máximos y reservados de zonas de seguridad aplicadas al sistema lógico principal. La cantidad de zonas configuradas en el sistema lógico principal cuenta hacia la cantidad máxima de zonas disponibles en el dispositivo.
El administrador principal y de usuario pueden configurar las siguientes propiedades de una zona de seguridad en un sistema lógico:
Interfaces que forman parte de una zona de seguridad.
Opciones de pantalla: para cada zona de seguridad, puede habilitar un conjunto de opciones de pantalla predefinidas que detectan y bloquean varios tipos de tráfico que el dispositivo determina como potencialmente dañinos.
TCP-Reset: cuando esta función está habilitada, el sistema envía un segmento TCP con la marca RESET establecida cuando llega el tráfico que no coincide con una sesión existente y no tiene la marca de sincronización establecida.
Host de entrada de tráfico: esta función especifica los tipos de tráfico que pueden llegar al dispositivo desde sistemas que están conectados directamente a sus interfaces. Puede configurar estos parámetros en el nivel de zona, en cuyo caso afectan a todas las interfaces de la zona, o a nivel de interfaz. (La configuración de interfaz reemplaza la de la zona.)
No hay zonas de seguridad preconfiguradas en el sistema lógico principal ni en el sistema lógico del usuario.
La zona funcional de administración (MGT) solo se puede configurar para el sistema lógico principal. Solo hay una interfaz de administración por dispositivo y esa interfaz se asigna al sistema lógico principal.
El all administrador principal solo puede asignar la interfaz a una zona del sistema lógico principal.
El administrador del sistema lógico de usuario puede configurar y ver todos los atributos de una zona de seguridad en un sistema lógico de usuario. Todos los atributos de una zona de seguridad en un sistema lógico de usuario también son visibles para el administrador principal.
Ver también
Ejemplo: Configuración de sistemas lógicos de usuario
En este ejemplo, se muestra la configuración de interfaces, instancias de enrutamiento, zonas y políticas de seguridad para sistemas lógicos de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos del usuario.
Asegúrese de saber qué interfaces lógicas y, opcionalmente, qué interfaz de túnel lógico (y su dirección IP) se asignan al sistema lógico de usuario por el administrador principal. Consulte Descripción de los sistemas lógicos principales y la función de administrador principal.
Visión general
En este ejemplo, se configuran los sistemas lógicos de usuario ls-marketing-dept y ls-accounting-dept que se muestran en el ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
En este ejemplo, se configuran los parámetros descritos en la tabla 1 y la tabla 2.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaz |
ge-0/0/6.1 |
|
Instancia de enrutamiento |
mk-vr1 |
|
Zonas |
ls-marketing-trust |
Enlazar a la interfaz ge-0/0/6.1. |
|
ls-marketing-no confiable |
Enlazar a la interfaz lt-0/0/0.5 |
Libretas de direcciones |
marketing interno |
|
|
marketing externo |
|
Políticas |
permitir-todo-a-otroslsys |
Permita el siguiente tráfico:
|
|
permitir-todo-desde-otroslsys |
Permita el siguiente tráfico:
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaz |
ge-0/0/7.1 |
|
Instancia de enrutamiento |
acct-vr1 |
|
Zonas |
ls-contabilidad-confianza |
Enlazar a la interfaz ge-0/0/7.1. |
|
ls-accounting-notrust |
Enlazar a la interfaz lt-0/0/0.7 |
Libretas de direcciones |
contabilidad interna |
|
|
contabilidad externa |
|
Políticas |
permitir-todo-a-otroslsys |
Permita el siguiente tráfico:
|
|
permitir-todo-desde-otroslsys |
Permita el siguiente tráfico:
|
Configuración
- Configuración del sistema lógico de usuario de ls-marketing-dept
- Configuración del sistema lógico del usuario de ls-accounting-dept
Configuración del sistema lógico de usuario de ls-marketing-dept
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/6 unit 1 family inet address 13.1.1.1/24 set interfaces ge-0/0/6 unit 1 vlan-id 800 set routing-instances mk-vr1 instance-type virtual-router set routing-instances mk-vr1 interface ge-0/0/6.1 set routing-instances mk-vr1 interface lt-0/0/0.5 set routing-instances mk-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set security zones security-zone ls-marketing-trust interfaces ge-0/0/6.1 set security zones security-zone ls-marketing-untrust interfaces lt-0/0/0.5 set security address-book marketing-external address design 12.1.1.0/24 set security address-book marketing-external address accounting 14.1.1.0/24 set security address-book marketing-external address others 12.12.1.0/24 set security address-book marketing-external address-set otherlsys address design set security address-book marketing-external address-set otherlsys address accounting set security address-book marketing-external attach zone ls-marketing-untrust set security address-book marketing-internal address marketers 13.1.1.0/24 set security address-book marketing-internal attach zone ls-marketing-trust set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match source-address marketers set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match destination-address marketers set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust policy permit-all-from-otherlsys then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y ingrese al modo de configuración.
lsmarketingadmin1@host:ls-marketing-dept> configure lsmarketingadmin1@host:ls-marketing-dept#
Configure la interfaz lógica para un sistema lógico de usuario.
[edit interfaces] lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 family inet address 13.1.1.1/24 lsmarketingadmin1@host:ls-marketing-dept# set ge-0/0/6 unit 1 vlan-id 800
Configure la instancia de enrutamiento y asigne interfaces.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 instance-type virtual-router lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 interface lt-0/0/0.5
Configure rutas estáticas.
[edit routing-instances] lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.2 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsmarketingadmin1@host:ls-marketing-dept# set mk-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configure zonas de seguridad y asigne interfaces a cada zona.
[edit security zones] lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-trust interfaces ge-0/0/6.1 lsmarketingadmin1@host:ls-marketing-dept# set security-zone ls-marketing-untrust interfaces lt-0/0/0.5
Cree entradas en la libreta de direcciones.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal address marketers 13.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address design 12.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address accounting 14.1.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address others 12.12.1.0/24 lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address design lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external address-set otherlsys address accounting
Adjuntar libretas de direcciones a zonas.
[edit security] lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-internal attach zone ls-marketing-trust lsmarketingadmin1@host:ls-marketing-dept# set address-book marketing-external attach zone ls-marketing-untrust
Configure una política de seguridad que permita el tráfico desde la zona de ls-marketing-trust a la zona ls-marketing-untrust.
[edit security policies from-zone ls-marketing-trust to-zone ls-marketing-untrust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match source-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-to-otherlsys then permit
Configure una política de seguridad que permita el tráfico desde la zona ls-marketing-untrust hasta la zona ls-marketing-trust.
[edit security policies from-zone ls-marketing-untrust to-zone ls-marketing-trust] lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match destination-address marketers lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys match application any lsmarketingadmin1@host:ls-marketing-dept# set policy permit-all-from-otherlsys then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security para confirmar la show routing-instances configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
lsmarketingadmin1@host:ls-marketing-dept# show routing instances
mk-vr1 {
instance-type virtual-router;
interface ge-0/0/6.1;
interface lt-0/0/0.5;
routing-options {
static {
route 12.1.1.0/24 next-hop 10.0.1.2;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
lsmarketingadmin1@host:ls-marketing-dept# show security
address-book {
marketing-external {
address product-designers 12.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address product-designers;
address accounting;
}
attach {
zone ls-marketing-untrust;
}
}
marketing-internal {
address marketers 13.1.1.0/24;
attach {
zone ls-marketing-trust;
}
}
}
policies {
from-zone ls-marketing-trust to-zone ls-marketing-untrust {
policy permit-all-to-otherlsys {
match {
source-address marketers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-marketing-untrust to-zone ls-marketing-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address marketers;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-marketing-trust {
interfaces {
ge-0/0/6.1;
}
}
security-zone ls-marketing-untrust {
interfaces {
lt-0/0/0.5;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del sistema lógico del usuario de ls-accounting-dept
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/7 unit 1 family inet address 14.1.1.1/24 set interfaces ge-0/0/7 unit 1 vlan-id 900 set routing-instances acct-vr1 instance-type virtual-router set routing-instances acct-vr1 interface ge-0/0/7.1 set routing-instances acct-vr1 interface lt-0/0/0.7 set routing-instances acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1 set routing-instances acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 set routing-instances acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set security address-book accounting-internal address accounting 14.1.1.0/24 set security address-book accounting-internal attach zone ls-accounting-trust set security address-book accounting-external address design 12.1.1.0/24 set security address-book accounting-external address marketing 13.1.1.0/24 set security address-book accounting-external address others 12.12.1.0/24 set security address-book accounting-external address-set otherlsys address design set security address-book accounting-external address-set otherlsys address marketing set security address-book accounting-external attach zone ls-accounting-untrust set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match source-address accounting set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match destination-address accounting set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust policy permit-all-from-otherlsys then permit set security zones security-zone ls-accounting-trust interfaces ge-0/0/7.1 set security zones security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y ingrese al modo de configuración.
lsaccountingadmin1@host:ls-accounting-dept> configure lsaccountingadmin1@host:ls-accounting-dept#
Configure la interfaz lógica para un sistema lógico de usuario.
[edit interfaces] lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 family inet address 14.1.1.1/24 lsaccountingadmin1@host:ls-accounting-dept# set ge-0/0/7 unit 1 vlan-id 900
Configure la instancia de enrutamiento y asigne interfaces.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 instance-type virtual-router lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 interface lt-0/0/0.7
Configure rutas estáticas.
[edit routing-instances] lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.1.1.0/24 next-hop 10.0.1.2 lsaccountingadmin1@host:ls-accounting-deptt# set acct-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsaccountingadmin1@host:ls-accounting-dept# set acct-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Configure zonas de seguridad y asigne interfaces a cada zona.
[edit security zones] lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-trust interfaces ge-0/0/7.1 lsaccountingadmin1@host:ls-accounting-dept# set security-zone ls-accounting-untrust interfaces lt-0/0/0.7
Cree entradas en la libreta de direcciones.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal address accounting 14.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address design 12.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address marketing 13.1.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address others 12.12.1.0/24 lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address design lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external address-set otherlsys address marketing
Adjuntar libretas de direcciones a zonas.
[edit security] lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-internal attach zone ls-accounting-trust lsaccountingadmin1@host:ls-accounting-dept# set address-book accounting-external attach zone ls-accounting-untrust
Configure una política de seguridad que permita el tráfico desde la zona ls-accounting-trust a la zona ls-accounting-untrust.
[edit security policies from-zone ls-accounting-trust to-zone ls-accounting-untrust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match source-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match destination-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-to-otherlsys then permit
Configure una política de seguridad que permita el tráfico desde la zona ls-accounting-untrust a la zona ls-accounting-trust.
[edit security policies from-zone ls-accounting-untrust to-zone ls-accounting-trust] lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match source-address otherlsys lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match destination-address accounting lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys match application any lsaccountingadmin1@host:ls-accounting-dept# set policy permit-all-from-otherlsys then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security para confirmar la show routing-instances configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
lsaccountingadmin1@host:ls-accounting-dept# show routing-instances
acct-vr1 {
instance-type virtual-router;
interface ge-0/0/7.1;
interface lt-0/0/0.7;
routing-options {
static {
route 12.12.1.0/24 next-hop 10.0.1.1;
route 12.1.1.0/24 next-hop 10.0.1.2;
route 13.1.1.0/24 next-hop 10.0.1.3;
}
}
}
lsaccountingadmin1@host:ls-accounting-dept# show security
address-book {
accounting-internal {
address accounting 14.1.1.0/24;
attach {
zone ls-accounting-trust;
}
}
accounting-external {
address design 12.1.1.0/24;
address marketing 13.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address design;
address marketing;
}
attach {
zone ls-accounting-untrust;
}
}
}
policies {
from-zone ls-accounting-trust to-zone ls-accounting-untrust {
policy permit-all-to-otherlsys {
match {
source-address accounting;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-accounting-untrust to-zone ls-accounting-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address accounting;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone ls-accounting-trust {
interfaces {
ge-0/0/7.1;
}
}
security-zone ls-accounting-untrust {
interfaces {
lt-0/0/0.7;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Ejemplo: Configurar zonas de seguridad para sistemas lógicos de usuario
En este ejemplo, se muestra cómo configurar zonas para un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico del usuario. Consulte Descripción general de la configuración de sistemas lógicos del usuario.
Utilice el
show system security-profile zonescomando para ver los recursos de zona asignados al sistema lógico.Se deben configurar las interfaces lógicas para el sistema lógico del usuario. Consulte Ejemplo: Configuración de interfaces e instancias de enrutamiento para sistemas lógicos de usuario.
Visión general
En este ejemplo, se configura el sistema lógico de usuario de ls-product-design que se muestra en el ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
En este ejemplo, se crean las zonas y las libretas de direcciones descritas en la tabla 3.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Zonas |
ls-product-design-trust |
|
|
ls-product-design-untrust |
|
Libretas de direcciones |
diseño de producto interno |
|
|
producto-diseño-externo |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security address-book product-design-internal address product-designers 12.1.1.0/24 set security address-book product-design-internal attach zone ls-product-design-trust set security address-book product-design-external address marketing 13.1.1.0/24 set security address-book product-design-external address accounting 14.1.1.0/24 set security address-book product-design-external address others 12.12.1.0/24 set security address-book product-design-external address-set otherlsys address marketing set security address-book product-design-external address-set otherlsys address accounting set security address-book product-design-external attach zone ls-product-design-untrust set security zones security-zone ls-product-design-trust tcp-rst set security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar zonas en un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y ingrese al modo de configuración.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure una zona de seguridad y asígnela a una interfaz.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
Configure el parámetro TCP-Reset para la zona.
[edit security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
Configure una zona de seguridad y asígnela a una interfaz.
[edit security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
Cree entradas de libreta de direcciones globales.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 12.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 13.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 14.1.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 12.12.1.0/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
Adjuntar libretas de direcciones a zonas.
[edit security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design# set address-book product-design-external attach zone ls-product-design-untrust
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
lsdesignadmin1@host:ls-product-design# show security
address-book {
product-design-internal {
address product-designers 12.1.1.0/24;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 13.1.1.0/24;
address accounting 14.1.1.0/24;
address others 12.12.1.0/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.