Como configurar zonas de segurança srx com junos
Video: Juniper SRX (Junos OS) - setting up User Accounts & Passwords
Conteúdo
Você não pode gerenciar o Gateway de Serviços SRX como se fosse um roteador. O SRX é um dispositivo bloqueada. Você não pode sequer pingar uma interface no SRX inicialmente, mesmo que tenha um endereço IP válido. O SRX usa o conceito de zonas de segurança aninhados. Zonas são um conceito fundamental na configuração SRX. Nenhum tráfego entra ou sai a menos que as zonas de segurança estão configurados corretamente nas interfaces SRX.
Para configurar uma zona de segurança, você precisa associar a interface com uma zona de segurança, e, em seguida, as zonas de segurança precisa estar vinculado a uma instância de roteamento (se houver várias instâncias de roteamento).
Video: Juniper SRX (Junos) Firewall - Configure System Settings
Parece complicado, mas não é. Primeiro, você configurar as zonas e então você associar as interfaces com as zonas. Aqui, nós estamos assumindo que você está usando apenas uma instância de roteamento. Você pode configurar uma zona com mais de uma interface. No entanto, cada interface pode pertencer a uma única zona.
Agora, estabelecer duas zonas de segurança para uma configuração SRX simples. Uma zona é para uma LAN local chamado admins (Administração) na interface ge-0/0 / 0,0, e outra zona é para duas ligações à Internet chamadas untrust com interfaces ge-0/0 / 1.0 e ge-0/0 / 2.0:
zonas # edição de segurança raiz [zonas de segurança editar] root # conjunto de zonas de segurança adminsroot # conjunto de zonas de segurança untrustroot # conjunto de zonas de segurança Administradores de interfaces de ge-0/0 / 0.0root # conjunto de zonas de segurança interfaces de untrust ge-0/0 / 1.0root # conjunto das zonas de segurança interfaces de untrust ge-0/0 / 2.0
Sempre configurar zonas a partir da perspectiva do SRX você está configurando. Muitas outras zonas pode estar na LAN (Confiar em, contabilidade, e assim por diante). Mas isso SRX apenas links para admins e untrust.
Agora você pode adicionar serviços para as zonas que você acabou de configurar. Suponha que ssh entrada, ftp, eo tráfego de ping é permitida a partir da zona não confiável.
Este é apenas um exemplo. Antes de ativar os serviços em tudo em seu SRX, certifique-se que você realmente precisa deles. FTP em particular é muitas vezes considerado arriscado porque FTP não tem nenhuma segurança real, e você apenas perfurado um buraco grande para ele em sua zona de segurança.
Video: SRX Series: Configuring IDP on SRX - Juniper KBTV
[Zonas de segurança editar] root # conjunto de zonas de segurança untrust host-entrada-tráfego sshroot # conjunto de zonas de segurança untrust host-entrada-tráfego ftproot # conjunto de zonas de segurança de ping untrust host-entrada-trânsito
Sua configuração agora se parece com isso:
[Segurança editar] zonas {segurança zona untrust {host-entrada-de tráfego {sistema de serviços {ssh-ftp-PING -}} interfaces de {ge-0/0 / 1,0-ge-0/0 / 2,0 -}} segurança admins -zone {interfaces de {ge-0/0 / 0.0-}}Se você ainda não tiver configurado o roteamento e aplicado de licenciamento para o seu SRX, você vai ter um buscar mensagem de erro ao tentar cometer a configuração de segurança. Este erro vai embora quando a configuração estiver concluída.