Cómo configurar zonas de seguridad SRX con Junos
No se puede gestionar la puerta de enlace de servicios SRX como lo haría un router. El SRX es un dispositivo de bloqueo. Ni siquiera se puede hacer ping a una interfaz en el SRX inicialmente, incluso si no tiene una dirección IP válida. El SRX utiliza el concepto de zonas de seguridad anidadas. Las zonas son un concepto crítico en la configuración SRX. No hay tráfico entra ni sale a menos que las zonas de seguridad están configurados correctamente en las interfaces SRX.
Para configurar una zona de seguridad, es necesario asociar la interfaz con una zona de seguridad, y luego las zonas de seguridad tiene que estar vinculado con una instancia de enrutamiento (si hay varias instancias de enrutamiento).
Suena complicado, pero no lo es. En primer lugar, configure las zonas y luego asociar las interfaces con las zonas. Aquí, estamos asumiendo que usted está usando sólo una instancia de enrutamiento. Puede configurar una zona con más de una interfaz. Sin embargo, cada interfaz puede pertenecer a una sola zona.
Ahora, establecer dos zonas de seguridad para una configuración sencilla SRX. Una zona es para una LAN local llamada administradores (administración) en la interfaz ge-0/0 / 0.0, y la otra zona es de dos enlaces a Internet llamados untrust con interfaces ge-0/0 / 1.0 y ge-0/0 / 2.0:
zonas de seguridad # editar raíz [zonas de seguridad editar] root # conjunto de zonas de seguridad adminsroot # set zona de seguridad untrustroot # conjunto de zonas de seguridad Administradores de las interfaces ge-0/0 / 0.0root # set interfaces de zona de seguridad Untrust ge-0/0 / 1.0root # conjunto de interfaces de la zona de seguridad Untrust ge-0/0 / 2.0
Siempre configurar zonas desde la perspectiva de la SRX está configurando. Muchas otras zonas pueden estar en la LAN (confianza, contabilidad, etcétera). Pero esta SRX sólo enlaces a administradores y untrust.
Ahora puede agregar servicios a las zonas que acaba de configurar. Supongamos que ssh entrantes, ftp, y el tráfico de ping se permite desde la zona no es de confianza.
Esto es solo un ejemplo. Antes de activar ningún servicio en absoluto en su SRX, asegúrese de que realmente los necesita. FTP, en particular, a menudo se considera riesgoso porque FTP no tiene ninguna seguridad real, y que acaba de perforado un agujero grande para ella en su zona de seguridad.
[zonas de seguridad editar] root # conjunto de zonas de seguridad sshroot # set untrust zona de seguridad de host de entrada del tráfico ftproot # set untrust zona de seguridad de host de entrada del tráfico de ping untrust host entrante tráfico
Su configuración ahora se ve así:
[Seguridad editar] zonas {seguridad zona Untrust {host de entrada del tráfico {sistema de servicios {ssh-ftp de ping--}} interfaces de {ge-0/0 / 1.0-ge-0/0 / 2.0 -}} seguridad admins -zona {{interfaces de ge-0/0 / 0.0-}}
Si todavía no ha configurado el enrutamiento y la concesión de licencias se aplica a la SRX, recibirá una zona de alcance mensaje de error cuando se intenta y se compromete la configuración de seguridad. Este error desaparecerá cuando la configuración se ha completado.