Настройка на JUNIPER SRX 650 зон безопасности с Junos




Полезная ссылка: О нас и наших клиентах

 

 

Настройка на оборудовании JUNIPER SRX 650 зон безопасности с Junos


Вы не сможете настроить SRX Services Gateway как маршрутизатор. Juniper SRX 650 является заблокированным устройством (защищенным). Вначале Вы даже не сможете пинговать интерфейс на SRX, даже если там есть действительный IP-адрес. Juniper SRX 650 использует концепцию вложенных зон безопасности (nested security zones). Зоны являются одним из важнейших пунктов в настройке SRX. Трафик не будет идти, если зоны безопасности правильно не настроены на SRX интерфейсах.

Полезная ссылка: Помощь в настройке оборудования Juniper SRX


Чтобы настроить зоны безопасности, необходимо связать интерфейс с зоной безопасности, затем зоны безопасности нужно связать с одним из экземпляров маршрутизации (если есть несколько экземпляров маршрутизации).

 

Это кажется сложным, но это не так. Сначала Вы настраиваете зоны, затем Вы связываете интерфейсы с зонами. Мы предполагаем, что вы используете только один экземпляр маршрутизации. Вы можете настроить зоны с более чем одним интерфейсом. Однако каждый интерфейс может принадлежать только одной зоне.

 

Теперь следует создать две зоны безопасности для простой конфигурации SRX 650. Одна зона для локальной LAN, которая должна называться admins (администрация) на интерфейсе ge-0/0/0.0, а вторая зона для двух соединений с интернетом с названием Untrust с интерфейсами ge-0/0/1.0 и GE-0/0 / 2.0:

 

root# edit security zones

[edit security zones]

root# set security zone admins

root# set security zone untrust

root# set security zone admins interfaces ge-0/0/0.0

root# set security zone untrust interfaces ge-0/0/1.0

root# set security zone untrust interfaces ge-0/0/2.0

 

Всегда настраивайте зоны с позиции Juniper SRX 650. Многие другие зоны могут быть на LAN (trust, accounting и т.д.). Но здесь SRX имеет соединение только с admins и Untrust.


Теперь можно добавить сервисы к настроенным зонам. Предположим, что входящий трафик SSH, FTP, и ping разрешен из зоны untrusted.

 

Это всего лишь пример. Перед включением любых сервисов на своем SRX, убедитесь, что они действительно Вам нужны. FTP в частности часто считается рискованным, поскольку FTP не имеет реальной безопасности, и Вам нужно будет сделать большую дыру для него в вашей зоне безопасности.

 

 [edit security zones]

root# set security zone untrust host-inbound-traffic ssh

root# set security zone untrust host-inbound-traffic ftp

root# set security zone untrust host-inbound-traffic ping

 

Ваши настройки должны выглядеть так:

[edit security]

zones {

  security-zone untrust {

   host-inbound-traffic {

     system-services {

      ssh;

      ftp;

      ping;

     }

   }  

   interfaces {

     ge-0/0/1.0;

     ge-0/0/2.0;

   }

  }

  security-zone admins {

   interfaces {

     ge-0/0/0.0;

     }

   }

Если вы еще не настроили  маршрутизацию, но уже использовали лицензирование для SRX, вы получите сообщение об ошибке, когда попытаетесь совершить настройку безопасности. Эта ошибка исчезнет после завершения настройки.



Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником
 

____

______
Яндекс.Метрика