Video: EleksMaker EleksMill Mini Cnc & Laser Build, Test & Review 2024
Anda tidak boleh menguruskan Gateway Perkhidmatan SRX seperti yang anda lakukan penghala. SRX adalah peranti terkunci. Anda tidak boleh ping antara muka pada SRX pada mulanya, walaupun ia mempunyai alamat IP yang sah. SRX menggunakan konsep zon keselamatan bersarang . Zon adalah konsep kritikal dalam konfigurasi SRX. Tiada lalu lintas masuk atau keluar melainkan zon keselamatan dikonfigurasi dengan betul pada antara muka SRX.
Untuk mengkonfigurasi zon keselamatan, anda perlu mengaitkan antara muka dengan zon keselamatan, dan zon keselamatan perlu terikat dengan contoh routing (jika terdapat banyak contoh routing).
Kedengarannya rumit, tetapi tidak. Pertama, anda mengkonfigurasi zon dan kemudian anda mengaitkan antara muka dengan zon. Di sini, kami mengandaikan bahawa anda hanya menggunakan satu contoh routing. Anda boleh mengkonfigurasi zon dengan lebih daripada satu antara muka. Bagaimanapun, setiap antara muka boleh dimiliki hanya dengan satu zon.
Sekarang, buat dua zon keselamatan untuk konfigurasi SRX yang mudah. Satu zon adalah untuk LAN tempatan yang disebut admin (pentadbiran) pada antara muka ge-0/0/0. 0, dan zon yang lain adalah untuk dua pautan ke Internet yang tidak dikenali dengan antaramuka ge-0/0/1. 0 dan ge-0/0/2. 0:
root # edit zon keselamatan [edit zon keselamatan] root # set zon keselamatan zon akar # zon keselamatan set root untrust # set zon keselamatan zon antara muka ge-0/0/0. 0 root # set zon keselamatan untrust interface ge-0/0/1. 0 root # zon keselamatan set untrust interface ge-0/0/2. 0
Sentiasa mengkonfigurasi zon dari perspektif SRX yang anda sedang konfigurasi. Banyak zon lain mungkin berada di LAN (amanah, perakaunan, dan sebagainya). Tetapi SRX ini hanya menghubungkan kepada pentadbir dan tidak dipercayai.
Sekarang anda boleh menambah perkhidmatan ke zon yang anda hanya konfigurasikan. Anggapkan bahawa trafik ssh, ftp, dan ping masuk dibenarkan dari zon yang tidak dipercayai.
Ini hanyalah satu contoh. Sebelum anda mengaktifkan apa-apa perkhidmatan pada SRX anda, pastikan anda benar-benar memerlukannya. FTP khususnya sering dianggap berisiko kerana FTP tidak mempunyai keselamatan yang sebenar, dan anda hanya memukul lubang besar untuk itu di zon keselamatan anda.
[edit zon keselamatan] root # zon keselamatan yang tidak terjejas ssh root trafik in-host-inbound # zon keselamatan set untrust host-inbound-trafik ftp root # zon keselamatan set untrust host-inbound ping trafik
Konfigurasi anda sekarang kelihatan seperti ini:
[edit security] zones {security-zone untrust {host-inbound-traffic {system-services {ssh; ftp; ping;}} antara muka {ge-0/0/1. 0; ge-0/0/2. 0;}} admin-zone admin {interfaces {ge-0/0/0. 0;}}
Jika anda belum mengkonfigurasi peralihan dan menggunakan pelesenan kepada SRX anda, anda akan mendapat mesej ralat semasa anda mencuba dan membuat konfigurasi keselamatan.Kesilapan ini akan hilang apabila konfigurasi selesai.
