Βίντεο: Essential Scale-Out Computing by James Cuff 2024
Δεν μπορείτε να διαχειριστείτε την πύλη υπηρεσιών SRX όπως θα κάνατε σε δρομολογητή. Το SRX είναι μια κλειδωμένη συσκευή. Δεν μπορείτε ακόμη να χρησιμοποιήσετε ping μια διασύνδεση στο SRX αρχικά, ακόμα και αν έχει μια έγκυρη διεύθυνση IP. Το SRX χρησιμοποιεί την έννοια των ένθετων ζωνών ασφαλείας. Οι ζώνες είναι μια κρίσιμη έννοια στη διαμόρφωση SRX. Καμία κυκλοφορία δεν εισέρχεται ή εξέρχεται εκτός εάν οι ζώνες ασφαλείας έχουν διαμορφωθεί σωστά στις διασυνδέσεις SRX.
Για να διαμορφώσετε μια ζώνη ασφαλείας, πρέπει να συσχετίσετε τη διασύνδεση με μια ζώνη ασφαλείας και, στη συνέχεια, οι ζώνες ασφαλείας πρέπει να είναι συνδεδεμένες με μια παράμετρο δρομολόγησης (εάν υπάρχουν πολλαπλές παρουσίες δρομολόγησης).
Ακούγεται περίπλοκο, αλλά δεν είναι. Αρχικά, διαμορφώνετε τις ζώνες και στη συνέχεια συνδέετε τις διεπαφές με τις ζώνες. Εδώ υποθέτουμε ότι χρησιμοποιείτε μόνο μία διαδρομή δρομολόγησης. Μπορείτε να ρυθμίσετε μια ζώνη με περισσότερες από μία διεπαφές. Ωστόσο, κάθε διεπαφή μπορεί να ανήκει σε μία μόνο ζώνη.
Τώρα, δημιουργήστε δύο ζώνες ασφαλείας για μια απλή ρύθμιση SRX. Μία ζώνη είναι για ένα τοπικό LAN που ονομάζεται διαχειριστής (admin) στη διεπαφή ge-0/0/0. 0, και η άλλη ζώνη είναι για δύο συνδέσεις στο Διαδίκτυο που ονομάζονται απιστία με διεπαφές ge-0/0/1. 0 και ge-0/0/2. 0:
ρίζα # επεξεργαστείτε ζώνες ασφαλείας [επεξεργασία ζώνες ασφαλείας] ρίζα # set ζώνες ασφαλείας admin root # set ζώνη ασφαλείας απεριόριστη root # set ζωνών ασφαλείας ζωνών ge-0/0/0. 0 ρίζα # set ζώνες ασφαλείας δυσπιστία διεπαφές ge-0/0/1. 0 ρίζα # set ζώνες ασφαλείας δυσπιστία διεπαφές ge-0/0/2. 0
Να ρυθμίζετε πάντα τις ζώνες από την οπτική γωνία του SRX που ρυθμίζετε. Πολλές άλλες ζώνες ενδέχεται να βρίσκονται στο τοπικό δίκτυο (εμπιστοσύνη, λογιστική κ.λπ.). Αλλά αυτό το SRX συνδέεται μόνο με τους διαχειριστές και την απιστία.
Τώρα μπορείτε να προσθέσετε υπηρεσίες στις ζώνες που μόλις ρυθμίσατε. Ας υποθέσουμε ότι η εισερχόμενη κίνηση ssh, ftp και ping επιτρέπεται από τη μη αξιόπιστη ζώνη.
Αυτό είναι μόνο ένα παράδειγμα. Πριν ενεργοποιήσετε οποιεσδήποτε υπηρεσίες στο SRX σας, σιγουρευτείτε ότι τις χρειάζεστε πραγματικά. Ειδικά το FTP θεωρείται συχνά επικίνδυνο επειδή το FTP δεν έχει πραγματική ασφάλεια και μόλις χτυπήσατε μια μεγάλη τρύπα γι 'αυτό στη ζώνη ασφαλείας σας.
[επεξεργασία ζώνες ασφαλείας] ρίζα # set ζώνη ασφαλείας αβέβαιος host-inbound-traffic ssh root # set ζώνη ασφαλείας αναξιόπιστη host-inbound-traffic ftp ρίζα # set ζώνη ασφαλείας αλήθεια host-inbound-ping
Μοιάζει με αυτό:
[edit security] ζώνες {zone-security untrust {host-inbound-traffic {system-services {ssh; ftp; ping}}} διεπαφές {ge-0/0/1. 0; ge-0/0/2. 0;}} διαχειριστές ζώνης ασφαλείας {διεπαφές {ge-0/0/0. 0;}}
Αν δεν έχετε ρυθμίσει ακόμη τη δρομολόγηση και την εφαρμογή της άδειας χρήσης στο SRX σας, θα λάβετε ένα μήνυμα σφάλματος κατά τη λήψη και τη δέσμευση των ρυθμίσεων ασφαλείας.Αυτό το σφάλμα θα πάει μακριά όταν ολοκληρωθεί η διαμόρφωση.