Juniper Firewall

（作成：2011/08）

専門外の方はちょっと聞いた事が無いかも知れない。ファイアウォールなどのセキュリティ・アプライアンスで結構名の知れたベンダー。これまで仕事で使ってきた我思うに、Juniper製品は以下のような特徴がある

• 専門なだけあって抜群の安定感
• 製品毎にライセンスが細かく分かれており小規模〜大規模まで賄える
• Web設定画面が使い易い
• 説明書PDFが分かり易い
• 初期費用が高い
• 保守費用が高過ぎ
• Extended Licenseて何ですかNetScreen時代には無かったじゃないですかやだー

セキュリティ関連は費用対効果を考えて選んだ方が良いね。まあでもJuniper製品は管理面の容易さも含めて、主要拠点には設置しても良いかも。

Initialize

ここではSSG5を基にした設定作業について記述する。

ssg5-isdn-> unset all 
Erase all system config, are you sure y/[n] ? y 
ssg5-isdn-> reset 
Configuration modified, save? [y]/n n 
System reset, are you sure? y/[n] y 
In reset ... 

ScreenOS version up

ScreenOSは販売代理店の保守を受けないとDLできない。メンドクセエ商売だからしかたないね。
作業は以下の順で実施する。

1. IP通信ポート作成
2. バックアップ
3. ScreenOSコピー
4. 再起動

IP通信ポート作成

ScreenOSアップデートはブラウザから行なうため、一時的にIP通信できるポートを作成する必要がある。

unset interface bgroup0 port ethernet0/6 
set interface ethernet0/6 zone MGT
set interface ethernet0/6 ip 192.168.1.200/24
set interface ethernet0/6 manage 

なおブラウザで初アクセスした際、Rapid Deployment Wizardが表示されるがWizardは使わない。No, skip the Wizard and go straight to the WebUI management session instead.を選択すること。

バックアップ

既存のScreenOSをバックアップしておく。バックアップ先にはtftpを利用する。

save software from flash to tftp 192.168.1.1 ssg5.default.bin

ScreenOSコピー

• Configuration - Update - ScreenOS/Keys
  • Firmware Update (ScreenOS)を選択、Load FileでScreenOSを開きApply

再起動

ブラウザの指示通りに[OK]を押していけば再起動が走る。コンソールなどで起動状況を確認すれば良い。

Administrative settings

管理者パスワード変更

• Configuration - Admin - Administrators
  • Local Administrators database - netscreen - Edit
  • Old Password New Password Confirm New Password を変更

管理画面のHTTP→HTTPS強制リダイレクト

• Configuration - Admin - Management
  • HTTP Port - Redirect HTTP to HTTPS: チェック

メール通知設定

• Configuration - Report Settings - Email
  • Enable E-mail Notification for Alarms: チェック
  • SMTP Server Name: 192.168.1.1
  • E-mail Address 1: (管理用メールアドレス)

###ホスト設定

• Network - DNS - Host
  • Host Name: privatefw-00
  • Domain Name: (ドメイン)

SNMP設定

※インタフェース設定後に実施。

• Configuration - Report Settings - SNMP
  • System Name: privatefw-00
  • System Contact: (管理用メールアドレス)
  • Location: Local
  • Communities - New Community
  • Permissions - Write: アンチェック
  • Hosts IP Address / Netmask: 192.168.1.1 / 32
  • Source Interface: (Trustインタフェース)

ホスト設定

※インタフェース設定後に実施。

• Network - DNS - Host
  • Primary DNS Server: 192.168.1.1 / Src Interface: (Trustインタフェース)

Zone setting

好みによる場合もあるが、ルーティングなどでは trust-vr と untrust-vr を明確に分けた方が設定が綺麗になる。
デフォルトではNull Zone以外全て trust-vr に所属しているので、大まかに以下の通り初期設定する。

• untrust-vr
  • Untrust , DMZ
• trust-vr
  • その他デフォルトZone

インタフェースに割当済の場合は変更できないので、先にこれを外してからの作業となる。これがかなり面倒。
設定ファイルを直接修正すると楽に変更可能だが、ルーティング設定も変更する必要があるため既存のSSGが trust-vr しか無い場合は無理に変更しない事。
作業は以下の順で実施する。

1. インタフェース設定からの解除
2. Zone設定変更
3. インタフェース設定を戻す

インタフェース設定からの解除

以下、SSG5初期化状態での解除方法。

• Network - Interface - List
Zoneが 上記 untrust-vr に該当するものに対し Edit
  • Zone Name: Null
  • IP Address / Netmask: 0.0.0.0 / 0

元々のZone設定はメモなどして記憶しておくこと。

Zone設定変更

• Network - Zones
  上記"untrust-vr"に該当するものに対しEdit
  • Virtual Router Name: untrust-vr

インタフェース設定を戻す

• Network - Interface - List
Zone が上記 untrust-vr に該当するものに対し Edit
  • Zone Name IP Address / Netmaskなどを先の設定に戻す

IP mapping

VIP

グローバルIPが1つしか付与されていない場合、ポートフォワーディングのような方法でポート毎公開サーバを設定することができる。

• Network-Interfaces-List Internet用ポートを開く
  • VIPを開く
  • Add/Modify VIP Entry-Same as the interface IP addressをチェック、Add
    • New VIP Service
    • Virtual IP: (グローバルIP)
    • Virtual Port: (公開したいポート番号)
    • Map to IP: (公開したいサーバIP)
    • Server Auto Detector: チェック
  • Policy-Policies
  • From Untrust To TrustでNew
    • Source Address: Any
    • Destination Address: VIP(ethernet0/*)
    • Service: (公開したいポート番号)
    • Logging: チェック

トラフィック制御

セッション数制限

• Policy - Policiesにて制限したいポリシをEdit
  • Session-limit: チェック
  • Counter: (セッション数上限)

トラフィック制限

• Policy - Policiesにて制限したいポリシをEdit - Advanced
  • Traffic Shaping: チェック
  • Policy Based Classification: チェック
  • Guarantee Bandwidth: (トラフィック上限)
  • Maximum Bandwidth: チェック、(トラフィック上限)
  • Traffic Priority: Lowest Priority