Video: iOS 13 is out! Here are the 6 best features for iPhone ? 2024
Du kan ikke administrere SRX Services Gateway, som du ville have en router. SRX er en låst enhed. Du kan ikke engang pinge en grænseflade på SRX oprindeligt, selvom den har en gyldig IP-adresse. SRX bruger begrebet indlejrede sikkerhedszoner. Zoner er et kritisk koncept i SRX-konfigurationen. Ingen trafik går ind eller ud, medmindre sikkerhedszoner er konfigureret korrekt på SRX-grænsefladerne.
For at konfigurere en sikkerhedszone skal du forbinde grænsefladen med en sikkerhedszone, og sikkerhedszoner skal derfor være bundet af en ruteflyvning (hvis der er flere ruteflyvninger).
Det lyder kompliceret, men det er det ikke. Først konfigurerer du zoner, og så forbinder du grænsefladerne med zoner. Her antager vi, at du kun bruger en ruteflyvning. Du kan konfigurere en zone med mere end en grænseflade. Hver grænseflade kan dog kun tilhøre en zone.
Opret nu to sikkerhedszoner til en simpel SRX-konfiguration. En zone er for et lokalt LAN kaldet admins (administration) på grænseflade ge-0/0/0. 0, og den anden zone er for to links til internettet kaldet usammenhængende grænseflader ge-0/0/1. 0 og ge-0/0/2. 0:
root # rediger sikkerhedszoner [rediger sikkerhedszoner] root # sæt sikkerhedszone admins root # sæt sikkerhedszone untrust root # sæt sikkerhedszone admins grænseflader ge-0/0/0. 0 root # sæt sikkerhedszoner untrust-grænseflader ge-0/0/1. 0 root # sæt sikkerhedszoner untrust-grænseflader ge-0/0/2. 0
Konfigurer altid zoner i forhold til SRX'en, du konfigurerer. Mange andre zoner kan være på LAN (tillid, bogføring osv.). Men denne SRX linker kun til admins og untrust.
Nu kan du tilføje tjenester til de zoner, du netop har konfigureret. Antag at indgående ssh, ftp og ping trafik er tilladt fra den usikre zone.
Dette er blot et eksempel. Før du aktiverer nogen tjenester overhovedet på din SRX, skal du sørge for, at du virkelig har brug for dem. FTP i særdeleshed anses ofte for risikabelt, fordi FTP ikke har nogen reel sikkerhed, og du har lige sat et stort hul til det i din sikkerhedszone.
[rediger sikkerhedszoner] root # sæt sikkerhedszone untrust vært-indgående trafik ssh root # sæt sikkerhedszone untrust vært-indgående trafik ftp root # sæt sikkerhedszone untrust vært-indgående trafik ping
Din konfiguration nu ser sådan ud:
[edit security] zoner {security-zone untrust {host-inbound-traffic {system-services {ssh; ftp; ping;}} grænseflader {ge-0/0/1. 0; ge-0/0/2. 0;}} Security-zone admins {grænseflader {ge-0/0/0. 0;}}
Hvis du endnu ikke har konfigureret routing og anvendt licens til din SRX, får du en hent fejlmeddelelse, når du forsøger at forpligte sikkerhedskonfigurationen.Denne fejl vil gå væk, når konfigurationen er afsluttet.
