セキュリティゾーン、スタティックルートの設定
4-1 .ゾーンのアーキテクチャの違い 4-2 .ゾーンの種類
4-3 .ゾーンの作成と割当て
4-4 . host-inbound-traffic の設定 4-5 .管理サービス
4-6 .スタティックルートの設定 4-7 .ルーティングテーブル
アジェンダ
SSG
はインタフェースがゾーンに所属し、ゾーンがバーチャルルータに 所属するアーキテクチャSRX
はインタフェースがゾーンとルーティングインスタンス(バーチャルルータ)に 所属し、ゾーンとルーティングインスタンスの主従関係がないアーキテクチャ4-1 .ゾーンのアーキテクチャの違い
SSG アーキテクチャ
Interface Zone Virtual
Router
Interface
Routing Instance Zone
SRX
アーキテクチャ4-2 .ゾーンの種類( 1/2 )
SSG
とSRX
は共に以下のゾーンが存在• Security zone
• Functional zone
- SSG では複数の種類が存在したが、SRX は Management
のみ- Management zone
は受信したトラフィックをルーティングしない• Null zone
さらに
SRX
には自身への受信トラフィックおよび自身からの送信トラフィックを ポリシー制御するためのデフォルトゾーンが存在• junos-host zone
4-2 .ゾーンの種類( 2/2 )
ゾーンの確認
• SSG
• SRX
SSG5-> get zone
Total 14 zones created in vsys Root - 8 are policy configurable.
Total policy configurable zones for Root is 8.
---ID Name Type Attr VR Default-IF VSYS 0 Null Null Shared untrust-vr null Root
1 Untrust Sec(L3) Shared trust-vr ethernet0/1 Root
2 Trust Sec(L3) trust-vr bgroup0 Root
root@SRX300> show security zones snip
---Security zone: trust
Send reset for non-SYN session TCP packets: Off Policy configurable: Yes
Interfaces bound: 1 Interfaces:
ge-0/0/1.0 snip
---4-3 .ゾーンの作成と割り当て( 1/3 )
SSG
はゾーンを作成し、インタフェースに対してゾーンを割り当てSRX
はゾーンを作成し、ゾーンに対してインタフェースを割り当て• SSG
• SRX
- Security zone の作成
- Functional zone の作成
SSG5-> set zone name zone-name
root@SRX300# set security zones security-zone zone-name
root@SRX300# set security zones functional-zone management
4-3 .ゾーンの作成と割り当て( 2/3 )
• SSG
-
インタフェースへのゾーン割り当て-
インタフェースの割り当てゾーンの確認SSG5-> set interface interface-name zone zone-name
SSG5-> get interface interface-name Interface ethernet0/1:
description ethernet0/1
number 5, if_info 2040, if_index 0, mode route link up, phy-link up/full-duplex, admin status up status change:1, last change:11/24/2013 11:20:54 vsys Root, zone Untrust, vr trust-vr
dhcp client disabled
4-3 .ゾーンの作成と割り当て( 3/3 )
• SRX
-
ゾーンへのインタフェース割り当て-
インタフェースの割り当てゾーンの確認root@SRX300> show interfaces interface-name
Logical interface ge-0/0/1.0 (Index 84) (SNMP ifIndex 522) Flags: Device-Down SNMP-Traps 0x0 Encapsulation: ENET2 Input packets : 0
Output packets: 0 Security: Zone: trust snip
---root@SRX300# set security zones security-zone zone-name interfaces interface-name
4-4 . host-inbound-traffic の設定( 1/3 )
SSG
はインタフェースのmanage
オプションで自身宛のトラフィックを設定SRX
はセキュリティゾーンのhost-inbound-traffic
オプションで設定• SSG
• SRX
-
管理サービスの設定-
ネットワークプロトコルの指定SSG5-> set interface interface-name manage service-name
root@SRX300# set security zones security-zone zone-name interfaces interface-name host-inbound-traffic system-services service-name
root@SRX300# set security zones security-zone zone-name interfaces interface-name host-inbound-traffic protocols protocol-name
4-4 . host-inbound-traffic の設定( 2/3 )
SRX
はゾーン配下とインタフェース配下の両方に設定可能 両方に設定した場合はインタフェースの設定が優先• SRX
<設定例>
ge-0/0/0 インタフェースは、telnet
のみ許可ge-0/0/1
インタフェースは、ssh のみ許可zone
ゾーン名host-inbound-traffic ~
host-inbound-traffic ~ interfaces インタフェース名
root@SRX300# set security zones security-zone trust interfaces ge-0/0/0 root@SRX300# set security zones security-zone trust interfaces ge-0/0/1
root@SRX300# set security zones security-zone trust host-inbound-traffic system-services ssh root@SRX300# set security zones security-zone trust interfaces ge-0/0/0 host-inbound-traffic system-services telnet
4-4 . host-inbound-traffic の設定( 3/3 )
host-inbound-traffic
の確認• SSG
• SRX
root@SRX300> show interfaces interface-name
Logical interface ge-0/0/1.0 (Index 84) (SNMP ifIndex 522) Flags: Device-Down SNMP-Traps 0x0 Encapsulation: ENET2 snip
---Security: Zone: trust
Allowed host-inbound traffic : bootp bfd bgp dns dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp dhcp finger ftp tftp ident-reset http https ike netconf ping reverse-telnet reverse-ssh rlogin rpm rsh snmp snmp-trap ssh telnet traceroute xnm-clear-text xnm-ssl lsping ntp sip r2cp webapi-clear-text webapi-ssl tcp-encap
SSG5-> get interface interface-name Interface ethernet0/1:
description ethernet0/1 snip
---pmtu-v4 disabled
ping disabled, telnet enabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled
4-5 .管理サービス( 1/3 )
SSG
はssh
の有効化が必要SRX
は各サービス(ssh
、telnet
、ftp
、web
など)のsystem services
設定で 個別に指定• SSG
- ssh の有効化
-
有効化の確認SSG5-> set ssh enable
SSG5-> get ssh SSH V2 is active SSH is enabled
SSH is ready for connections Maximum sessions: 4
snip
---4-5 .管理サービス( 2/3 )
• SRX
- ssh
の有効化-
有効化の確認- J-Web 接続はインタフェース制限が設定可能(オプション)
※指定がない場合は全インタフェースで受信可能
root@SRX300# set system services ssh
root@SRX300> show system connections root> show system connections
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp46 0 0 *.443 *.* LISTEN
snip
---tcp4 0 0 *.23 *.* LISTEN tcp4 0 0 *.22 *.* LISTEN
snip
---root@SRX300# set system services web-management http interface interface-name
4-5 .管理サービス( 3/3 )
SSG
は管理アクセス可能なIP
アドレス制限をmanager-ip
オプションで設定SRX
はlo0
にFirewall Filter
を適用してIP
アドレスの制限を設定• SSG
• SRX
<設定例>
10.1.1.0/24 からの接続のみを許可
SSG5-> set admin manager-ip ip-address mask
root@SRX300# set firewall family inet filter TELNET-FILTER term TERM1 from source-address 10.1.1.0/24
root@SRX300# set firewall family inet filter TELNET-FILTER term TERM1 then accept root@SRX300# set interfaces lo0 unit 0 family inet filter input TELNET-FILTER
4-6 .スタティックルートの設定
SSG
は宛先アドレス、出力インタフェース、ネクストホップを指定SRX
は宛先アドレス、ネクストホップを指定• SSG
• SRX
SSG5-> set route dst-prefix interface-name gateway next-hop
root@SRX300# set routing-options static route dst-prefix next-hop next-hop
4-7 .ルーティングテーブル( 1/2 )
SSG
はルーティングテーブルを転送に使用SRX
はルーティングテーブルからフォワーディングテーブルが作成され、パケット転送に使用
• SSG
-
ルーティングテーブルの確認SSG5-> get route snip
---IPv4 Dest-Routes for <trust-vr> (7 entries)
--- ID IP-Prefix Interface Gateway P Pref Mtr Vsys
---* 7 0.0.0.0/0 eth0/1 10.254.1.254 S 20 1 Root
* 3 10.254.1.0/24 eth0/1 0.0.0.0 C 0 0 Root
* 6 192.168.1.1/32 bgroup0 0.0.0.0 H 0 0 Root
4-7 .ルーティングテーブル( 2/2 )
• SRX
-
ルーティングテーブルの確認-
フォワーディングテーブルの確認root@SRX300> show route
inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/5] 00:00:32
> to 172.16.7.1 via ge-0/0/14.0 10.1.7.0/24 *[Direct/0] 00:26:14
> via ge-0/0/4.0
root@SRX300> show route forwarding-table Routing table: default.inet
Internet:
Destination Type RtRef Next hop Type Index NhRef Netif
default user 0 2c:6b:f5:62:4c:87 ucst 568 3 ge-0/0/14.0 default perm 0 rjct 36 1
0.0.0.0/32 perm 0 dscd 34 1
10.1.7.0/24 intf 0 rslv 551 1 ge-0/0/4.0 10.1.7.0/32 dest 0 10.1.7.0 recv 549 1 ge-0/0/4.0 10.1.7.254/32 intf 0 10.1.7.254 locl 550 2