Comment configurer des zones de sécurité SRX avec junos

Vous ne pouvez pas gérer la passerelle de services SRX comme vous le feriez un routeur. Le SRX est un dispositif verrouillé. Vous pouvez même pas cingler une interface sur le SRX d'abord, même si elle dispose d'une adresse IP valide. Le SRX utilise le concept de les zones de sécurité imbriqués. Les zones sont un concept essentiel dans la configuration du SRX. Aucun trafic va dans ou à moins que les zones de sécurité sont correctement configurés sur les interfaces SRX.

Pour configurer une zone de sécurité, vous devez associer l'interface avec une zone de sécurité, puis les zones de sécurité doivent être lié avec une instance de routage (si il ya plusieurs instances de routage).

image0.jpg

Cela paraît compliqué, mais il est pas. Tout d'abord, vous configurez les zones puis vous associez les interfaces avec les zones. Ici, nous supposons que vous utilisez une seule instance de routage. Vous pouvez configurer une zone avec plus d'une interface. Cependant, chaque interface peut appartenir à une seule zone.

Maintenant, établir deux zones de sécurité pour une configuration de SRX simple. Une zone est un réseau local appelé admins (administration) sur l'interface ge-0/0 / 0.0, et l'autre zone est pour les deux liens vers l'Internet appelés untrust avec des interfaces ge-0/0 / 1.0 et ge-0/0 / 2.0:




zones de sécurité # de modifier profondes [zones de sécurité modifier] zone racine # de série de la zone de sécurité de la zone de sécurité adminsroot # set untrustroot de # de consigne de sécurité Admins interfaces ge-0/0 / 0.0root zone de sécurité de série de # interfaces Untrust ge-0/0 / 1.0root # la zone de sécurité de série interfaces Untrust ge-0/0 / 2.0

Toujours configurer des zones de la perspective de la SRX vous configurez. Beaucoup d'autres zones peuvent se trouver sur le réseau local (confiance, comptabilité, et ainsi de suite). Mais cette SRX seulement des liens vers admins et untrust.

Maintenant, vous pouvez ajouter des services à des zones que vous venez de configurer. Supposons que ssh entrante, ftp, et le trafic de ping est autorisée à partir de la zone non fiable.

Ceci est juste un exemple. Avant d'activer des services à tous sur votre SRX, assurez-vous que vous avez vraiment besoin d'eux. FTP en particulier, est souvent considéré comme risqué parce que FTP a pas de sécurité réelle, et vous avez juste frappé un grand trou pour elle dans votre zone de sécurité.

[zones de sécurité modifier] zone de sécurité root # ensemble de la zone de sécurité sshroot # set hôte entrant trafic untrust zone de sécurité ftproot # set hôte entrant trafic untrust untrust hôte entrant trafic ping-

Votre configuration ressemble maintenant à ceci:

[Sécurité modifier] des zones {la sécurité de la zone untrust {hôte entrant trafic {système de services {ssh-ftp-ping -}} interfaces {ge-0/0 / 1.0-ge-0/0 / 2.0 -}} Sécurité admins -Zone {{interfaces ge-0/0 / 0.0-}}

Si vous avez pas encore configuré le routage et les licences appliquée à votre SRX, vous obtiendrez une extraction message d'erreur lorsque vous essayez et que vous livrez la configuration de sécurité. Cette erreur disparaîtra lorsque la configuration est terminée.


» » » » Comment configurer des zones de sécurité SRX avec junos