Junos - dummy

라우터처럼 SRX Services Gateway를 관리 할 수 ​​없습니다. SRX는 잠긴 장치입니다. 유효한 IP 주소가 있어도 처음에는 SRX에서 인터페이스를 ping 할 수 없습니다. SRX는 중첩 보안 영역의 개념을 사용합니다. SRX 구성에서 영역은 중요한 개념입니다. 보안 영역이 SRX 인터페이스에서 제대로 구성되어 있지 않으면 트래픽이 유입 또는 유출되지 않습니다.

보안 영역을 구성하려면 인터페이스를 보안 영역과 연결 한 다음 보안 영역을 라우팅 인스턴스와 바인딩해야합니다 (여러 라우팅 인스턴스가있는 경우).

복잡한 것처럼 들리지만 그렇지 않습니다. 먼저 영역을 구성한 다음 인터페이스를 영역과 연결합니다. 여기서는 하나의 라우팅 인스턴스 만 사용하고 있다고 가정합니다. 하나 이상의 인터페이스로 영역을 구성 할 수 있습니다. 그러나 각 인터페이스는 하나의 영역에만 속할 수 있습니다.

간단한 SRX 구성을 위해 두 개의 보안 영역을 설정하십시오. 하나의 영역은 인터페이스 ge-0 / 0 / 0에서 admins (관리)라고하는 로컬 LAN 용입니다. 0이고 나머지 영역은 인터페이스 ge-0 / 0 / 1이있는 untrust라고하는 인터넷에 대한 두 개의 링크입니다. 0 및 ge-0 / 0 / 2이다. 0:

root # 보안 영역 편집 [보안 영역 편집] root # 보안 영역 관리자 설정 root # 보안 영역 설정 untrust root # 보안 영역 관리자 인터페이스 설정 ge-0 / 0 / 0. 0 root # 보안 영역의 트러스트되지 않은 인터페이스 ge-0 / 0 / 1을 설정합니다. 0 root # 보안 영역의 트러스트되지 않은 인터페이스 ge-0 / 0 / 2를 설정합니다. 0

구성중인 SRX의 관점에서 영역을 항상 구성하십시오. LAN상의 많은 다른 영역 (신뢰, 회계 등)이있을 수 있습니다. 그러나이 SRX는 관리자와 신뢰할 수없는 사람 만 연결할 수 있습니다.

방금 구성한 영역에 서비스를 추가 할 수 있습니다. 신뢰할 수없는 영역에서 인바운드 ssh, ftp 및 ping 트래픽이 허용된다고 가정합니다.

이것은 단지 예일뿐입니다. SRX에서 서비스를 활성화하기 전에 서비스가 정말로 필요한지 확인하십시오. 특히 FTP는 실제 보안이 없기 때문에 FTP는 위험한 것으로 간주되며, 보안 영역에 큰 구멍을 뚫었습니다.

루트 설정 # 보안 영역 설정 신뢰하지 않는 호스트 - 인바운드 - 트래픽 ssh 루트 # 보안 영역 설정 신뢰할 수없는 호스트 - 인바운드 트래픽 ftp 루트 # 보안 영역 설정 신뢰할 수없는 호스트 - 인바운드 트래픽 ping

지금 구성 다음과 같습니다:

[보안 편집] 영역 {보안 영역 untrust {host-inbound-traffic {system-services {ssh; ftp; ping;}} 인터페이스 {ge-0 / 0 / 1. 0; ge-0 / 0 / 2. 0;}} 보안 영역 관리자 {인터페이스 {ge-0 / 0 / 0. 0;}}

SRX에 라우팅 및 적용 라이센싱을 아직 구성하지 않은 경우 보안 구성을 시도하고 커밋 할 때 페치 오류 메시지가 표시됩니다.구성이 완료되면이 오류가 사라집니다.