Como configurar zonas de segurança com SRX Junos

Você não pode gerenciar o Gateway de Serviços SRX como se fosse um roteador. O SRX é um dispositivo bloqueado. Você não pode sequer pingar uma interface no SRX inicialmente, mesmo que tenha um endereço IP válido. O SRX usa o conceito de zonas de segurança aninhados. As zonas são um conceito fundamental na configuração SRX. Nenhum tráfego entra ou sai a menos que as zonas de segurança estão configurados corretamente nas interfaces SRX.

Para configurar uma zona de segurança, você precisa associar a interface com uma zona de segurança, e então as zonas de segurança precisa estar vinculado a uma instância de roteamento (se houver várias instâncias de roteamento).

image0.jpg

Parece complicado, mas não é. Primeiro, você configurar as zonas e, em seguida, você associar as interfaces com as zonas. Aqui, nós estamos assumindo que você está usando apenas uma instância de roteamento. Você pode configurar uma zona com mais de uma interface. No entanto, cada interface pode pertencer a uma única zona.

Agora, criar duas zonas de segurança para uma configuração SRX simples. Uma zona é para uma rede local chamada admins (Administração) na interface ge-0/0 / 0,0, e outra zona é para duas ligações à Internet chamadas untrust com interfaces ge-0/0 / 1,0 e ge-0/0 / 2,0:

zonas # edição de segurança de raiz [zonas de segurança editar] root # conjunto de zonas de segurança adminsroot # conjunto de zonas de segurança untrustroot # conjunto de zonas de segurança Administradores de interfaces de ge-0/0 / 0.0root # conjunto de zonas de segurança interfaces de Untrust ge-0/0 / 1.0root # conjunto da zona de segurança de interfaces untrust ge-0/0 / 2,0

Sempre configurar zonas a partir da perspectiva do SRX você está configurando. Muitas outras zonas podem ser na LAN (Confiar em, contabilidade, e assim por diante). Mas isso SRX apenas links para admins e untrust.

Agora você pode adicionar serviços para as zonas que você acabou de configurar. Suponha que ssh entrada, ftp, e do tráfego de ping é permitida a partir da zona não confiável.

Este é apenas um exemplo. Antes de ativar quaisquer serviços a todos à sua SRX, certifique-se que você realmente precisa deles. FTP em particular é muitas vezes considerado arriscado porque FTP não tem nenhuma segurança real, e você apenas perfurado um buraco grande para ele em sua zona de segurança.

[Zonas de segurança editar] root # conjunto de zonas de segurança untrust host-entrada tráfego sshroot # conjunto de zonas de segurança untrust host-entrada tráfego ftproot # conjunto de zonas de segurança de ping untrust host-entrada-de tráfego

Sua configuração agora se parece com isso:

[Segurança editar] zonas {de segurança da zona do untrust {host-entrada-de trânsito {sistema de serviços {ssh-ftp-PING -}} Interfaces {ge-0/0 / 1,0-ge-0/0 / 2,0 -}} de segurança admins -zone {{interface ge-0/0 / 0.0-}}

Se você ainda não tiver configurado o roteamento e aplicado de licenciamento para o seu SRX, você receberá uma busca mensagem de erro quando você tenta e comprometer a configuração de segurança. Este erro vai embora quando a configuração estiver concluída.

menu