Come configurare zone di sicurezza con SRX Junos

Non è possibile gestire la SRX Services Gateway come se fosse un router. La SRX è un dispositivo bloccato verso il basso. Si cana € t anche il ping di un interfaccia sul SRX inizialmente, anche se ha un indirizzo IP valido. La SRX utilizza il concetto di zone di sicurezza annidate. Le zone sono un concetto fondamentale nella configurazione SRX. Nessun traffico va dentro o fuori a meno che le zone di sicurezza siano configurati correttamente sulle interfacce SRX.

Per configurare una zona di sicurezza, è necessario associare l'interfaccia con una zona di sicurezza, e quindi le zone di sicurezza devono essere legato con una istanza di routing (se sono presenti più istanze di routing).

Come configurare zone di sicurezza con SRX Junos

Sembra complicato, ma itâ € s non. In primo luogo, si configurano le zone e quindi associare le interfacce con le zone. Qui, stiamo assumendo che youâ € re utilizzando una sola istanza di routing. È possibile configurare una zona con più di una interfaccia. Tuttavia, ciascuna interfaccia può appartenere ad una sola zona.

Ora, definire due zone di sicurezza per una semplice configurazione SRX. Una zona è per una LAN locale chiamato amministratori (amministrazione) su interfaccia ge-0/0 / 0,0, e l'altra zona è per due collegamenti a Internet chiamato untrust con interfacce ge-0/0 / 1.0 e ge-0/0 /2.0:

root # modificare le aree di protezione
[Modifica zone di sicurezza]
root # set amministratori di zona di sicurezza
root # impostare zona untrust sicurezza
root # zona di sicurezza insieme gli amministratori interfacce ge-0/0 / 0.0
radice di zona di protezione # set interfacce untrust ge-0/0 / 1.0
radice di zona di protezione # set interfacce untrust ge-0/0 / 2.0

Configurare sempre le zone dal punto di vista della SRX si sta configurando. Molte altre zone possono essere sulla LAN (trust, la contabilità, e così via). Ma questo SRX solo link ad amministratori e untrust.

Ora è possibile aggiungere servizi alle zone appena configurate. Si supponga che ssh in entrata, ftp, e il traffico ping è consentita dalla zona attendibile.

Questo è solo un esempio. Prima di attivare qualsiasi servizio a tutti sulla SRX, assicuratevi di veramente bisogno di loro. FTP in particolare, è spesso considerato rischioso perché FTP non ha una reale sicurezza, e basta un pugno un grande buco per esso nella zona di sicurezza.

[Modifica zone di sicurezza]
zona di sicurezza root # set host-ingresso-traffico untrust ssh
zona di sicurezza root # set host-ingresso-traffico untrust ftp
zona di sicurezza root # set host-ingresso-traffico untrust ping

La configurazione ora si presenta così:

[Sicurezza modifica]
zone {
sicurezza-zone untrust {
host-ingresso-traffico {
system-servizi {
ssh;
ftp;
ping;
}
}
interfacce {
ge-0/0 / 1.0;
ge-0/0 / 2.0;
}
}
amministratori di sicurezza della zona {
interfacce {
ge-0/0 / 0.0;
}
}

Se havenâ € t ancora configurato il routing e applicato le licenze al vostro SRX, si otterrà un messaggio di prendere errore quando si tenta e commettere la configurazione di sicurezza. Questo errore andrà via quando la configurazione è completa.