Vidéo: Juniper Firewall Config, SRX firewall lab config,SRX firewall network configuration,EVE-NG firewall 2024
Vous ne pouvez pas gérer la passerelle SRX Services comme vous le feriez avec un routeur. Le SRX est un périphérique verrouillé. Vous ne pouvez même pas lancer une commande ping sur une interface sur le SRX, même si elle possède une adresse IP valide. Le SRX utilise le concept des zones de sécurité imbriquées . Les zones sont un concept critique dans la configuration SRX. Aucun trafic entrant ou sortant à moins que les zones de sécurité sont configurés correctement sur les interfaces SRX.
Pour configurer une zone de sécurité, vous devez associer l'interface à une zone de sécurité, puis les zones de sécurité doivent être liées à une instance de routage (s'il existe plusieurs instances de routage).
Cela semble compliqué, mais ce n'est pas le cas. D'abord, vous configurez les zones, puis vous associez les interfaces aux zones. Ici, nous supposons que vous utilisez une seule instance de routage. Vous pouvez configurer une zone avec plus d'une interface. Cependant, chaque interface peut appartenir à une seule zone.
Maintenant, établissez deux zones de sécurité pour une configuration SRX simple. Une zone est pour un LAN local appelé admins (administration) sur l'interface ge-0/0/0. 0, et l'autre zone est pour deux liens à l'Internet appelé non fiable avec les interfaces ge-0/0/1. 0 et ge-0/0/2. 0:
root # éditer les zones de sécurité [éditer les zones de sécurité] root # définir la zone de sécurité admins root # définir la zone de sécurité non fiable root # définir la zone de sécurité admins interfaces ge-0/0/0. 0 root # définir les interfaces non fiables de la zone de sécurité ge-0/0/1. 0 root # Définir les interfaces non fiables de la zone de sécurité ge-0/0/2. 0
Configurez toujours les zones du point de vue du SRX que vous configurez. De nombreuses autres zones peuvent être sur le réseau local (approbation, comptabilité, etc.). Mais ce SRX ne lie que vers les admins et n'est pas fiable.
Vous pouvez maintenant ajouter des services aux zones que vous venez de configurer. Supposons que le trafic ssh, ftp et ping entrant est autorisé depuis la zone non approuvée.
Ceci est juste un exemple. Avant d'activer des services sur votre SRX, assurez-vous d'en avoir vraiment besoin. FTP en particulier est souvent considéré comme risqué car le FTP n'a pas de réelle sécurité, et vous avez juste fait un gros trou dans votre zone de sécurité.
[éditer les zones de sécurité] root # définir la zone de sécurité non fiable host-inbound-traffic ssh root # définir la zone de sécurité non fiable host-inbound-traffic ftp racine # définir la zone de sécurité non fiable host-inbound-traffic ping
Votre configuration maintenant ressemble à ceci:
zones [edit security] {security-zone non fiable {host-inbound-traffic {système-services {ssh; ftp; ping;}} interfaces {ge-0/0/1. 0; ge-0/0/2. 0;}} administrateurs de zone de sécurité {interfaces {ge-0/0/0. 0;}}
Si vous n'avez pas encore configuré le routage et les licences appliquées à votre SRX, vous obtiendrez un message d'erreur d'extraction lorsque vous essayez et validez la configuration de sécurité.Cette erreur disparaîtra lorsque la configuration est terminée.
