Video: Đà Nẵng bắt nhóm đối tượng Trung Quốc dụ trẻ em đóng phim khiêu dâm 2025
Bạn không thể quản lý Cổng dịch vụ SRX giống như một router. SRX là một thiết bị bị khóa. Bạn thậm chí không thể ping một giao diện trên SRX ngay cả khi nó có một địa chỉ IP hợp lệ. SRX sử dụng khái niệm các vùng an ninh lồng nhau. Các vùng là một khái niệm quan trọng trong cấu hình SRX. Không có lưu thông đi vào hoặc ra, trừ khi các khu vực an ninh được cấu hình đúng trên các giao diện SRX.
Để cấu hình một vùng bảo mật, bạn cần liên kết giao diện với một vùng bảo mật, và sau đó các vùng bảo mật cần phải bị ràng buộc với một thể hiện định tuyến (nếu có nhiều trường hợp định tuyến).
Nghe có vẻ phức tạp, nhưng không. Trước tiên, bạn cấu hình các khu vực và sau đó bạn liên kết các giao diện với các khu. Ở đây, giả sử rằng bạn đang sử dụng chỉ một cá thể định tuyến. Bạn có thể cấu hình một vùng với nhiều giao diện. Tuy nhiên, mỗi giao diện chỉ có thể thuộc một vùng.
Bây giờ, thiết lập hai khu vực an toàn cho một cấu hình SRX đơn giản. Một vùng dành cho LAN cục bộ được gọi là quản trị viên (quản trị) trên giao diện ge-0/0/0. 0, và vùng khác là cho hai liên kết đến Internet được gọi là không đáng tin cậy với giao diện ge-0/0/1. 0 và ge-0/0/2. 0:
root # chỉnh sửa các vùng an ninh [chỉnh sửa các vùng an ninh] root # thiết lập security zone admins root # thiết lập vùng bảo mật không tin cậy root # thiết lập security zone admins giao diện ge-0/0/0. 0 gốc # thiết lập giao diện khu vực an ninh không đáng tin cậy ge-0/0/1. 0 gốc # thiết lập giao diện khu vực bảo mật không đáng tin cậy ge-0/0/2. 0
Luôn định cấu hình các vùng từ quan điểm của SRX mà bạn đang cấu hình. Nhiều khu khác có thể nằm trên mạng LAN (tin cậy, kế toán, vân vân). Nhưng SRX này chỉ liên kết với quản trị viên và không tin tưởng.
Bây giờ bạn có thể thêm dịch vụ vào các khu bạn vừa cấu hình. Giả sử lưu lượng truy cập ssh, ftp và ping trong nước được phép từ vùng không đáng tin cậy.
Đây chỉ là một ví dụ. Trước khi bạn bật bất kỳ dịch vụ nào trên SRX, hãy đảm bảo bạn thực sự cần chúng. FTP nói riêng thường bị coi là nguy hiểm bởi vì FTP không có bảo mật thực sự, và bạn chỉ cần đấm một lỗ lớn cho nó trong khu vực an ninh của bạn.
[chỉnh sửa các vùng an ninh] root # thiết lập vùng bảo mật không tin cậy host-inbound-traffic root ssh # đặt vùng bảo mật không tin cậy host-inbound-traffic ftp root # thiết lập vùng bảo mật không tin cậy host-inbound-traffic ping
trông như thế này:
[edit an ninh] zone {security-zone untrust {host-inbound-traffic {hệ thống-dịch vụ {ssh; ftp; ping;}} giao diện {ge-0/0/1. 0; ge-0/0/2. 0;}} quản trị viên khu vực an ninh {giao diện {ge-0/0/0. 0;}}
Nếu bạn chưa định cấu hình việc định tuyến và cấp phép áp dụng cho SRX của mình, bạn sẽ nhận được một thông báo lỗi tìm nạp khi bạn cố gắng và cam kết cấu hình bảo mật.Lỗi này sẽ biến mất khi cấu hình hoàn tất.
