Video: Golfstaaten: Moderne Sklaverei | missio 2024
Sie können das SRX Services Gateway nicht wie einen Router verwalten. Der SRX ist ein gesperrtes Gerät. Sie können nicht einmal eine Schnittstelle auf dem SRX anfangen, selbst wenn es eine gültige IP-Adresse hat. Der SRX verwendet das Konzept von geschachtelten Sicherheitszonen . Zonen sind ein kritisches Konzept in der SRX-Konfiguration. Es wird kein Datenverkehr übertragen, solange die Sicherheitszonen nicht ordnungsgemäß auf den SRX-Schnittstellen konfiguriert sind.
Um eine Sicherheitszone zu konfigurieren, müssen Sie die Schnittstelle einer Sicherheitszone zuordnen. Anschließend müssen die Sicherheitszonen an eine Routinginstanz gebunden werden (wenn mehrere Routinginstanzen vorhanden sind).
Es hört sich kompliziert an, ist es aber nicht. Zuerst konfigurieren Sie die Zonen und ordnen dann die Schnittstellen den Zonen zu. Hier gehen wir davon aus, dass Sie nur eine Routing-Instanz verwenden. Sie können eine Zone mit mehr als einer Schnittstelle konfigurieren. Jede Schnittstelle kann jedoch nur zu einer Zone gehören.
Richten Sie nun zwei Sicherheitszonen für eine einfache SRX-Konfiguration ein. Eine Zone ist für ein lokales LAN namens admins (Verwaltung) auf der Schnittstelle ge-0/0/0. 0, und die andere Zone ist für zwei Links zum Internet namens Untrust mit Schnittstellen ge-0/0/1. 0 und ge-0/0/2. 0:
root # Sicherheitszonen bearbeiten [Sicherheitszonen bearbeiten] root # Sicherheitszone festlegen admins root # Sicherheitszone setzen nicht zutreffend root # Sicherheitszone einstellen admins interfaces ge-0/0/0. 0 root # set Sicherheitszone untrust Schnittstellen ge-0/0/1. 0 root # set Sicherheitszone untrust Schnittstellen ge-0/0/2. 0
Konfigurieren Sie Zonen immer aus der Perspektive des SRX, das Sie konfigurieren. Viele andere Zonen können sich im LAN befinden (Trust, Accounting usw.). Aber dieser SRX verbindet sich nur mit Admins und Nicht-Vertrauen.
Jetzt können Sie den gerade konfigurierten Zonen Dienste hinzufügen. Angenommen, eingehender ssh-, ftp- und ping-Verkehr ist von der nicht vertrauenswürdigen Zone aus zulässig.
Dies ist nur ein Beispiel. Bevor Sie überhaupt Dienste auf Ihrem SRX aktivieren, stellen Sie sicher, dass Sie diese wirklich benötigen. Insbesondere FTP wird oft als riskant angesehen, da FTP keine wirkliche Sicherheit bietet und Sie in Ihrer Sicherheitszone einfach ein großes Loch dafür gestanzt haben.
[Sicherheitszonen bearbeiten] root # set Sicherheitszone nicht vertrauenswürdig host-inbound-traffic ssh root # Sicherheitszone nicht vertrauenswürdig Host-Inbound-Verkehr FTP Root # Sicherheitszone nicht vertrauenswürdig Host-Inbound-Traffic Ping
Ihre Konfiguration jetzt sieht so aus:
[Sicherheit bearbeiten] Zonen {Sicherheitszone untrust {Host-Inbound-Traffic {Systemdienste {ssh; ftp; Ping;}} Schnittstellen {ge-0/0/1. 0; ge-0/0/2. 0;}} Sicherheitszone admins {interfaces {ge-0/0/0. 0;}}
Wenn Sie das Routing und die angewendete Lizenzierung noch nicht für Ihr SRX konfiguriert haben, erhalten Sie beim Abrufen und Festschreiben der Sicherheitskonfiguration eine Abruffehlermeldung.Dieser Fehler verschwindet, wenn die Konfiguration abgeschlossen ist.
