Juniper Firewall

(作成:2011/08)

専門外の方はちょっと聞いた事が無いかも知れない。ファイアウォールなどのセキュリティ・アプライアンスで結構名の知れたベンダー。これまで仕事で使ってきた我思うに、Juniper製品は以下のような特徴がある

  • 専門なだけあって抜群の安定感
  • 製品毎にライセンスが細かく分かれており小規模〜大規模まで賄える
  • Web設定画面が使い易い
  • 説明書PDFが分かり易い
  • 初期費用が高い
  • 保守費用が高過ぎ
  • Extended Licenseて何ですかNetScreen時代には無かったじゃないですかやだー

セキュリティ関連は費用対効果を考えて選んだ方が良いね。まあでもJuniper製品は管理面の容易さも含めて、主要拠点には設置しても良いかも。

Initialize

ここではSSG5を基にした設定作業について記述する。

ssg5-isdn-> unset all 
Erase all system config, are you sure y/[n] ? y 
ssg5-isdn-> reset 
Configuration modified, save? [y]/n n 
System reset, are you sure? y/[n] y 
In reset ... 

ScreenOS version up

ScreenOSは販売代理店の保守を受けないとDLできない。メンドクセエ商売だからしかたないね。
作業は以下の順で実施する。

  1. IP通信ポート作成
  2. バックアップ
  3. ScreenOSコピー
  4. 再起動

IP通信ポート作成

ScreenOSアップデートはブラウザから行なうため、一時的にIP通信できるポートを作成する必要がある。

unset interface bgroup0 port ethernet0/6 
set interface ethernet0/6 zone MGT
set interface ethernet0/6 ip 192.168.1.200/24
set interface ethernet0/6 manage 

なおブラウザで初アクセスした際、Rapid Deployment Wizardが表示されるがWizardは使わない。No, skip the Wizard and go straight to the WebUI management session instead.を選択すること。

バックアップ

既存のScreenOSをバックアップしておく。バックアップ先にはtftpを利用する。

save software from flash to tftp 192.168.1.1 ssg5.default.bin

ScreenOSコピー

  • ConfigurationUpdateScreenOS/Keys
    • Firmware Update (ScreenOS)を選択、Load FileでScreenOSを開きApply

再起動

ブラウザの指示通りに[OK]を押していけば再起動が走る。コンソールなどで起動状況を確認すれば良い。

Administrative settings

管理者パスワード変更

  • ConfigurationAdminAdministrators
    • Local Administrators databasenetscreenEdit
    • Old Password New Password Confirm New Password を変更

管理画面のHTTP→HTTPS強制リダイレクト

  • ConfigurationAdminManagement
    • HTTP PortRedirect HTTP to HTTPS: チェック

メール通知設定

  • ConfigurationReport SettingsEmail
    • Enable E-mail Notification for Alarms: チェック
    • SMTP Server Name: 192.168.1.1
    • E-mail Address 1: (管理用メールアドレス)

###ホスト設定

  • NetworkDNSHost
    • Host Name: privatefw-00
    • Domain Name: (ドメイン)

SNMP設定

※インタフェース設定後に実施。

  • ConfigurationReport SettingsSNMP
    • System Name: privatefw-00
    • System Contact: (管理用メールアドレス)
    • Location: Local
    • CommunitiesNew Community
    • PermissionsWrite: アンチェック
    • Hosts IP Address / Netmask: 192.168.1.1 / 32
    • Source Interface: (Trustインタフェース)

ホスト設定

※インタフェース設定後に実施。

  • NetworkDNSHost
    • Primary DNS Server: 192.168.1.1 / Src Interface: (Trustインタフェース)

Zone setting

好みによる場合もあるが、ルーティングなどでは trust-vruntrust-vr を明確に分けた方が設定が綺麗になる。
デフォルトではNull Zone以外全て trust-vr に所属しているので、大まかに以下の通り初期設定する。

  • untrust-vr
    • Untrust , DMZ
  • trust-vr
    • その他デフォルトZone

インタフェースに割当済の場合は変更できないので、先にこれを外してからの作業となる。これがかなり面倒。
設定ファイルを直接修正すると楽に変更可能だが、ルーティング設定も変更する必要があるため既存のSSGが trust-vr しか無い場合は無理に変更しない事。
作業は以下の順で実施する。

  1. インタフェース設定からの解除
  2. Zone設定変更
  3. インタフェース設定を戻す

インタフェース設定からの解除

以下、SSG5初期化状態での解除方法。

  • NetworkInterfaceList
    Zoneが 上記 untrust-vr に該当するものに対し Edit

    • Zone Name: Null
    • IP Address / Netmask: 0.0.0.0 / 0

元々のZone設定はメモなどして記憶しておくこと。

Zone設定変更

  • NetworkZones
    上記”untrust-vr”に該当するものに対しEdit

    • Virtual Router Name: untrust-vr

インタフェース設定を戻す

  • NetworkInterfaceList
    Zone が上記 untrust-vr に該当するものに対し Edit

    • Zone Name IP Address / Netmaskなどを先の設定に戻す

IP mapping

VIP

グローバルIPが1つしか付与されていない場合、ポートフォワーディングのような方法でポート毎公開サーバを設定することができる。

  • NetworkInterfacesList Internet用ポートを開く
    • VIPを開く
    • Add/Modify VIP EntrySame as the interface IP addressをチェック、Add
      • New VIP Service
      • Virtual IP: (グローバルIP)
      • Virtual Port: (公開したいポート番号)
      • Map to IP: (公開したいサーバIP)
      • Server Auto Detector: チェック
    • PolicyPolicies
    • From Untrust To TrustNew
      • Source Address: Any
      • Destination Address: VIP(ethernet0/*)
      • Service: (公開したいポート番号)
      • Logging: チェック

トラフィック制御

セッション数制限

  • PolicyPoliciesにて制限したいポリシをEdit
    • Session-limit: チェック
    • Counter: (セッション数上限)

トラフィック制限

  • PolicyPoliciesにて制限したいポリシをEditAdvanced
    • Traffic Shaping: チェック
    • Policy Based Classification: チェック
    • Guarantee Bandwidth: (トラフィック上限)
    • Maximum Bandwidth: チェック、(トラフィック上限)
    • Traffic Priority: Lowest Priority