Video: SPEED GANG - H O E (EXCLUSIVE) (LYRICS) 2024
U kunt de SRX Services Gateway niet beheren zoals u een router zou doen. De SRX is een geblokkeerd apparaat. U kunt in eerste instantie niet eens een interface op de SRX pingen, zelfs als deze een geldig IP-adres heeft. De SRX gebruikt het concept van geneste beveiligingszones. Zones zijn een kritiek concept in SRX-configuratie. Er gaat geen verkeer in of uit tenzij de beveiligingszones correct zijn geconfigureerd op de SRX-interfaces.
Als u een beveiligingszone wilt configureren, moet u de interface koppelen aan een beveiligingszone en moeten de beveiligingszones worden gekoppeld aan een routeringsinstantie (als er meerdere routeringsinstanties zijn).
Het klinkt ingewikkeld, maar dat is het niet. Eerst configureert u de zones en vervolgens associeert u de interfaces met de zones. Hier nemen we aan dat u slechts één routeringsinstantie gebruikt. U kunt een zone met meer dan één interface configureren. Elke interface kan echter tot slechts één zone behoren.
Maak nu twee beveiligingszones voor een eenvoudige SRX-configuratie. Eén zone is voor een lokaal LAN genaamd admins (beheer) op interface ge-0/0/0. 0, en de andere zone is voor twee links naar internet genaamd untrust met interfaces ge-0/0/1. 0 en ge-0/0/2. 0:
root # bewerk beveiligingszones [wijzig beveiligingszones] root # stel beveiligingszone beheerders root # stel beveiligingszone untrust root # stel beveiligingszone admins interfaces in ge-0/0/0. 0 root # set veiligheidszone untrust-interfaces ge-0/0/1. 0 root # set veiligheidszone niet-vertrouwde interfaces ge-0/0/2. 0
Configureer altijd zones vanuit het perspectief van de SRX die u aan het configureren bent. Veel andere zones kunnen zich op het LAN bevinden (vertrouwen, boekhouding, enzovoort). Maar deze SRX linkt alleen aan admins en untrust.
U kunt nu services toevoegen aan de zones die u net hebt geconfigureerd. Stel dat inkomende ssh-, ftp- en ping-verkeer is toegestaan vanuit de niet-vertrouwde zone.
Dit is maar een voorbeeld. Voordat u alle services op uw SRX inschakelt, moet u ze echt nodig hebben. Vooral FTP wordt vaak als riskant beschouwd omdat FTP geen echte beveiliging heeft, en u hebt er gewoon een groot gat in gestoken in uw beveiligingszone.
[beveiligingszones bewerken] root # set beveiligingszone untrust host-inkomend verkeer ssh root # stel beveiligingszone untrust host-inkomend verkeer ftp root # stel beveiligingszone untrust host-inkomend verkeer ping
Uw configuratie nu ziet er zo uit:
[bewerkingsbeveiligings] zones {security-zone untrust {host-inkomend verkeer} {system-services {ssh; ftp; ping;}} interfaces {ge-0/0/1. 0; ge-0/0/2. 0;}} security-zone admins {interfaces {ge-0/0/0. 0;}}
Als u routering en toegepaste licenties nog niet op uw SRX hebt geconfigureerd, krijgt u een fetch-foutmelding wanneer u de beveiligingsconfiguratie probeert te plegen.Deze fout verdwijnt als de configuratie is voltooid.