ルータと同様にSRX Services Gatewayを管理することはできません。 SRXはロックダウンされたデバイスです。たとえ有効なIPアドレスを持っていても、最初にSRXでインターフェイスにpingを実行することはできません。 SRXは ネストされたセキュリティゾーンという概念を使用します。 SRX構成では、ゾーンは重要な概念です。セキュリティゾーンがSRXインターフェイス上で適切に設定されていない限り、トラフィックは出入りしません。
セキュリティゾーンを設定するには、インターフェイスをセキュリティゾーンに関連付ける必要があります。セキュリティゾーンをルーティングインスタンスにバインドする必要があります(複数のルーティングインスタンスがある場合)。
<! --1 - >
それは複雑に聞こえるが、そうではない。最初に、ゾーンを構成してから、そのインターフェイスをゾーンに関連付けます。ここでは、1つのルーティングインスタンスのみを使用していると仮定しています。複数のインターフェイスでゾーンを設定できます。ただし、各インターフェイスは1つのゾーンにのみ属することができます。
シンプルなSRX構成で2つのセキュリティゾーンを確立します。 1つのゾーンは、インターフェイスge-0/0/0上のadmins(管理)と呼ばれるローカルLAN用です。 0に設定され、もう1つのゾーンは、インターフェイスge-0/0/1でuntrustと呼ばれるインターネットへの2つのリンク用です。 0およびge-0/0/2となる。 0:
<! root#セキュリティゾーンを設定するセキュリティゾーンを設定するセキュリティゾーンを設定するセキュリティゾーンを設定するセキュリティゾーンを設定するセキュリティゾーンを設定するセキュリティゾーンを設定するセキュリティゾーンの管理者インターフェイスはge-0/0/0を設定します。 0 root#セキュリティゾーンの信頼できないインターフェイスge-0/0/1を設定します。 0 root#セキュリティゾーンの信頼できないインターフェイスge-0/0/2を設定します。 0設定しているSRXの観点からゾーンを設定してください。多くの他のゾーンがLAN上に存在する可能性があります(信頼、アカウンティングなど)。しかし、このSRXは管理者だけにリンクし、信頼できません。
<! - 3 - >
今すぐ設定したゾーンにサービスを追加できます。インバウンドのssh、ftp、およびpingのトラフィックは、信頼できないゾーンから許可されているものとします。これは単なる例です。 SRX上でサービスを有効にする前に、サービスが本当に必要かどうかを確認してください。特にFTPは、FTPには本当のセキュリティがなく、セキュリティゾーンで大きな穴を開けただけなので、しばしば危険と見なされます。
[セキュリティゾーンの編集] root#setセキュリティゾーンuntrust host-inbound-traffic sshルート#セキュリティゾーンの設定untrust host-inbound-traffic ftp root#セキュリティゾーンの設定untrust host-inbound-traffic ping
設定次のようになります。
[edit security] zones {セキュリティゾーンuntrust {host-inbound-traffic {system-services {ssh; ftp; ping;}}インタフェース{ge-0/0/1。 0; ge-0/0/2である。 0;}}セキュリティゾーン管理者{interfaces {ge-0/0/0。 0;}}
SRXにルーティングと適用されたライセンスをまだ設定していない場合、セキュリティ設定を試行してコミットするとフェッチエラーメッセージが表示されます。このエラーは、設定が完了したときに消えてしまいます。
