CW4Sの手引き - Juniper SRX GUI設定支援ツール
-
Upload
juniper-networks- -
Category
Technology
-
view
7.229 -
download
18
Transcript of CW4Sの手引き - Juniper SRX GUI設定支援ツール
![Page 1: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/1.jpg)
CW4Sの手引きJuniper SRX GUI設定支援ツール
2016年2月
ジュニパーネットワークス株式会社
![Page 2: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/2.jpg)
CW4S目次
• 第1部:はじめに
• 第2部:ファイヤウォール機能を利用する
• 第3部:NAT機能を利用する
• 第4部:VPN機能を利用する
• 第5部:管理機能を利用する
• 初版:2015年11月11日
![Page 3: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/3.jpg)
第1部:はじめに
![Page 4: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/4.jpg)
CW4Sとは?
• Classic Web-interface for SRX
• NetScreen/SSGと同じ感覚で操作できるWeb UIで、SRXを設定することが可能です。
• CW4Sは オープンソース・ソフトウェアベースのフリーウェアです。(制作;RCA&LEFT様 & 協力;Juniper)
– ダウンロードサイト:http://cw4s.org/
![Page 5: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/5.jpg)
CW4Sでできること
CW4Sでは、以下のような項目の設定が可能です。
初期セットアップ
基本設定 (管理者ユーザ, SNMP, Syslog, DNS, DHCP)
インタフェース関連 (IP Address, VLAN)
スタティック・ルーティング
ファイアウォール関連
(Zone, Policy, Address Book, Applications, Screen)
NAT
VPN
PPPoE
コミット / ロールバック, 設定の比較
初期設定のシャーシクラスタ
未対応機能
UTM / IDP / AppSecure
Logging
CW4Sのメニュー一覧
![Page 6: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/6.jpg)
CW4S - 動作概要
Netconf(over SSH)
SRX Series(JUNOS:11.4+)
PC(Win/MAC/Linux)
Java:1.7+
CW4S ブラウザ
http
• CW4Sはブラウザ経由で動作するアプリケーションです。
• CW4Sで作成した設定は、Netconfを使ってSRXに適用されます。
• 工場出荷時のSRXは、Netconfの通信を許可していないため、最低限の初期設定だけCLIから実施します。初期設定configは、CW4Sから作成できます。作成した初期設定を、SRXにコピー&ペーストするだけでCW4Sを使用できます。
![Page 7: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/7.jpg)
CW4S - インストールから利用開始まで
1. CW4SのWebサイト(http://cw4s.org/) からファイルをダウンロードして解凍します。
2. 解凍して出来たフォルダのCW4Sのアイコンをダブルクリックし、アプリを起動します。タスクトレイにCW4Sアイコンが表示されます。
3. タスクトレイのCW4Sアイコンを右クリックして”Open”を選択すると、ブラウザが起動します。(http://localhost:9000/setup/device)
![Page 8: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/8.jpg)
CW4S - Web UIのスタート画面
はじめて起動した画面では、以下の2つのボタンのみ表示されています。
・Initial Setup – CW4SからアクセスするためのSRXの初期設定configを作成
・Register your device – CW4Sで設定したいSRXの情報を登録
初期状態のSRXは、Netconfを許可していないためCW4Sからアクセスすることができません。
まずは初期設定configを作成するため、Initial Setupボタンをクリックします。
![Page 9: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/9.jpg)
SRX初期設定の前に – CLIの準備
CW4S用の設定を追加するため、パソコンからコンソールケーブルを使ってSRXのコンソールポートに接続します。
Terminalソフトを立ち上げ、SRXのCLIにアクセスします。
Terminalから、rootユーザーでログインします(初期状態ではパスワードなし)。
プロンプトが表示されたら、cliと入力すると、>に表示がかわります。
この状態で設定準備は完了です。CW4Sで初期設定configの作成に進みます。
Amnesiac (ttyu0)
login: root
--- JUNOS 12.1X46-D10.2 built 2013-12-18 02:03:20 UTC
root@%
root@% cli
root>
root>
![Page 10: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/10.jpg)
SRX初期設定 (1) – CW4S初期設定configの作成
Initial setupの画面から、初期設定を作成します。
1. Platformから、設定を行うSRXをプラットフォームを選択します。
2. ルートパスワードを設定します。
3. SRXのホスト名を設定します。
4. Security Zoneを作成します。初期設定時はデフォルトから変更不要です。
![Page 11: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/11.jpg)
5. インタフェースの設定を追加します。Addをクリックし、設定するインタフェースを選択します。
6. (オプション) VLANを作成し、L3スイッチとして動作させる設定作成も可能です。
SRX初期設定 (2) – CW4S初期設定configの作成
PCを接続するインタフェースを選択 IPアドレスを手動で設定するか、DHCPで取得するかを設定
Security Zoneはtrustを選択
VLAN名とVLAN IDを設定 VLAN間ルーティングをさせるL3インタフェースの設定
VLANに参加するアクセスポートを設定
![Page 12: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/12.jpg)
SRX初期設定 (3) – CW4S初期設定configの適用
7. Generate Configurationボタンをクリックすると、SRXの初期設定configが作成されます。※設定をやり直したい場合はClearボタンをクリックすると、設定がクリアされます
8. 作成したconfigをSRXにコピー&ペーストします。(出荷時・設定済configは上書きされます)設定が保存され、CW4Sからアクセス可能になります。
![Page 13: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/13.jpg)
CW4Sを動作させるパソコンのネットワーク設定
パソコンとSRXをイーサネットケーブル(LANケーブル)で、初期設定したTrustポートに接続します。ストレートケーブルでもクロスケーブルでも構いません。
TCP/IP設定でIPアドレスを設定し、SRXと疎通がとれることを確認します。SRXとパソコンがネットワークレベルで正しく接続されているかを確認するには、 初期設定時に設定したIPアドレスに対してpingで応答が返ってくるのをチェックします。
たとえばge-0/0/1に192.168.1.1を設定した場合は、ping 192.168.1.1と実行します。
イーサネットケーブル
左からge-0/0/0 ~ ge-0/0/7SRX220の場合
コンソールポート
![Page 14: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/14.jpg)
CW4S初期設定 (1) – SRXの登録
スタート画面に戻り、Register your deviceボタンをクリックし、SRXを登録します。
登録したいSRXの基本情報を入力し、Registボタンをクリックします。
・name – CW4S上でのデバイス名
・hostname/ip address – IPアドレス、またはホスト名(DNSによる名前解決が必要)
・username –ユーザー名 (root)
・password – パスワード (root password)
![Page 15: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/15.jpg)
CW4S初期設定 (2) – SRXの登録
登録が完了すると、登録済みデバイスの一覧が表示されます。
設定したいSRXのHomeリンクをクリックし、GUIの画面を表示します。
もしアクセスに失敗した場合は、以下の点を確認してください。
・PCからSRXのIPアドレスに疎通がとれているか
・作成した初期設定が正しく反映されているか
![Page 16: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/16.jpg)
CW4S初期設定 (3) – SRXの登録
正常にアクセスができると、メニュー画面が表示されます。
![Page 17: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/17.jpg)
SRX設定時の注意 - commitについて
Netscreen/SSGのScreenOSと異なり、SRXはJunosで稼動しています。
Junosでは設定変更は即時反映されません。変更を確定する処理として‘commit’が必要です。
CW4Sでは、画面右上にcommit用のメニューが用意されています。
・Rollback – CW4S上での設定変更をいったんクリアし、もとの状態に戻します。
・Sync – 現在稼働中のSRXのconfigをCW4Sにコピーし、状態を同期します。
・Commit – commitを実行します。commit完了後に設定が有効化されます。
設定変更後はcommitを実行し忘れないように注意しましょう。
※以降のページではcommitの説明は省略しています
Running ConfigCandidate Config Change
CHECK !
COMMIT !!
Candidate Config
![Page 18: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/18.jpg)
基本設定 – 管理者ID/パスワード設定Configuration > Admin > Administrators
SRXの管理者IDとパスワードを設定します。
Newボタンから、root以外のユーザーを新規に作成することが可能です。
新規ユーザーを作成
パスワード・特権レベルの変更
ユーザー名を設定
パスワードを設定
同じパスワードを再入力
ユーザーに設定する特権レベルを選択
![Page 19: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/19.jpg)
基本設定 – インタフェース設定Network > Interfaces (List)
IPアドレス等、各インタフェースの詳細設定を行います。Newボタンで新規に設定を追加します。
インタフェース設定を変更する
新規設定を追加
![Page 20: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/20.jpg)
基本設定 – 新規インタフェース設定Network > Interfaces (List) > Configuration
設定したいインタフェース名とunit番号(通常は0)を選択
アサインしたいSecurity Zoneを選択
IPアドレスとサブネットマスクを設定
VLAN tagの設定
Check Allでサービスを全許可もし許可したくないサービスがあれば個別にチェックを外す
![Page 21: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/21.jpg)
基本設定 – インタフェース設定変更Network > Interfaces > Edit
Security Zoneの変更
IPアドレスの取得方法を選択
MTUサイズの変更
PPPoE用の設定を作成します
![Page 22: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/22.jpg)
基本設定 – PPPoEインタフェース設定Network > PPPoE > Edit
PPPoE方式でISPに接続する場合は、PPPoE Profileを作成し、インタフェースとひもづけます。Unit番号を選択します(0から)
ひもづける物理インタフェースを指定します
ISPからの情報にあわせて、ユーザー名・パスワード・認証方式を設定します
ひもづけたインタフェースはpp0.xとして表示されます
![Page 23: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/23.jpg)
基本設定 – DHCPクライアント設定Network > Interfaces > Edit
DHCPサーバからIPアドレスを取得したい場合は、インタフェース設定でEditをクリックし、
‘Obtain IP using DHCP’を選択します。
![Page 24: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/24.jpg)
基本設定 – ユーザLANネットワークDHCP設定Network > DHCP (List)
LANネットワーク向けに、SRXをDHCPサーバとして動作させるかどうか設定します。
DHCPサーバを有効化したいインタフェースのEditリンクをクリックします。
![Page 25: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/25.jpg)
基本設定 – インタフェース設定確認Network > DHCP > Edit
DHCPサーバを有効にします
配布するアドレスレンジを入力
リース期間を入力します無期限の場合はUnlimitedを選択します
デフォルトゲートウェイのアドレス
DNSサーバのIPアドレス
必要な設定を入力し、OKをクリックします。
有効化されると、NoneからServerにステータスがかわります。
![Page 26: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/26.jpg)
基本設定 – 設定確認Config
Commitする前に、CW4Sで設定した内容と、configとの差分をXML形式で確認できます。
Candidate Config – 編集前のconfig Editing Config – CW4Sで編集中のconfig
差分チェック
差分のある箇所は自動的にハイライト(commitすると差分はなくなります)
![Page 27: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/27.jpg)
第2部:ファイアウォール機能を利用する
![Page 28: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/28.jpg)
ファイアウォール処理による転送動作
• SRXは用途によってパケットの転送方法をデバイス単位で選択する事が出来ます。
• フローモード : ステートフルインスペクションファイアウォールとして動作
• パケットモード : ルータ/スイッチとして動作
• SRXをファイアウォール/VPN機器として利用する場合には、フローモードを選択します。
• デフォルトではフローモードで設定されています。
• パケットモードはトランスペアレントモード時でも対応。
フローモード パケットモード
SRX100/210/220/240/550/650 対応(デフォルト) 対応
SRX1400/3000/5000シリーズ 対応 未対応
【 参考: SRX製品毎の転送モード対応状況(12.3X48) 】
* ScreenOSはフローモードのみに対応
![Page 29: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/29.jpg)
ゾーン、インタフェースの考え方 – SCREENOSとの違い
• 複数のフォワーディングモードを持つことから、SRXでは論理的な設定対象の考え方がScreenOSと異なり、フォワーディング関連の設定対象とセキュリティ系の設定対象が分離されています。
バーチャルルータ
ゾーン
インタフェース
IPアドレス
ScreenOS ルーティングインスタンス
インタフェース
IPアドレス
JUNOS
ゾーン
インタ
フェース
JUNOSではルーティングインスタンスがゾーンから分離
![Page 30: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/30.jpg)
ルーティングインスタンスとは
• ScreenOSのバーチャルルータは、JUNOSではルーティングインスタンスと呼ばれます。
• JUNOSでは、前述の通り、ルーティングインスタンスがゾーンから分離さているため、デフォルトではマスターのルーティングインスタンス(ipv4ではinet.0)のみが存在します。
• 全てのインタフェースは、デフォルトでマスターのルーティングインスタンスに含まれています。ルーティングテーブルを分ける必要ある場合には、新規にルーティングインスタンスを作成します。
![Page 31: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/31.jpg)
セキュリティゾーンとは?
• セキュリティゾーンとは、インタフェースに割り当てる仮想的なグループです。
• SRXでは主にセキュリティゾーンを使ってトラフィックを制御します。トラフィック制御に用いるポリシー(後述)でチェックするのは入力ゾーンから違うゾーンへの通信、もしくは入力ゾーンと同じゾーンの通信です。
• セキュリティゾーンは、下記の二つの種類が存在します。
• ファンクショナルゾーン(Functional zone)主にマネージメントの為のゾーンで、このゾーンで受信したトラフィックが転送されることはありません。SRXでは、ScreenOSと異なり、多くの機器に専用の管理インタフェースとなるfxp0が供されていることもあり、ほとんどの場合でFunctional zoneを意識する必要はありません。
• セキュリティゾーン(Security zone)ファイアウォールを通過するトラフックに対して制御するためのゾーン。通常ゾーンといった場合には、このセキュリティゾーンを示します。ファイアウォールポリシーは、セキュリティゾーン間で設定されることになります。工場出荷時の設定では、以下のセキュリティーゾーンが定義されています。
• untrust : インターネット(外部)との接続用
• trust : 内部接続用
![Page 32: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/32.jpg)
ファイアウォール機能(1)ー初期設定
• SRXでの初期インタフェース設定は以下の通りです。
• f(g)e-0/0/0.0初期設定ではuntrustゾーンに設定されています。
• vlan.0初期設定ではインタフェースfe-0/0/1~fe-0/0/7がバインドされており、同一vlanに所属する物理インタフェース間はスイッチのようにブリッジ転送されます。vlanに所属させる物理インタフェースは任意に設定可能です。
![Page 33: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/33.jpg)
ファイアウォール機能(2)-VLANの設定
Editをクリック
![Page 34: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/34.jpg)
ファイアウォール機能(3)-VLANの設定
Bind Portをクリック
![Page 35: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/35.jpg)
ファイアウォール機能(4)-VLANの設定
vlanに参加/除外させたいポートを選択する
設定をしたらOKをクリック
![Page 36: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/36.jpg)
ファイアウォール機能(5)-IPアドレスを設定
IPアドレスを設定
ゾーンを設定
![Page 37: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/37.jpg)
ファイアウォール機能(6)-IPアドレスの確認
設定しIPアドレスである事を確認
![Page 38: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/38.jpg)
ファイアウォール機能(7)-セキュリティポリシー
SRXではゾーン間をまたぐ、または同一ゾーン内のトラフィックを制御します。
初期設定ではtrustからuntrust方向への全てのトラフィックを許可する設定となっています。
![Page 39: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/39.jpg)
ファイアウォール機能(8)-セキュリティポリシーの考え方
• ポリシーのルールに従ってトラフィックを許可します。
• Source – Address BookまたはAddress Group• Destination - Address BookまたはAddress Group• Service – Pre-defined Service, Custom ServiceまたはCustom ServiceGroup
Src IP10.1.10.5
Dest IP1.1.70.250
Protocol06
Src Port36033
Dest Port80
Data#@$%D
![Page 40: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/40.jpg)
ファイアウォール機能(9)-セキュリティポリシー設定
送信元ゾーンを設定 送信先ゾーンを設定 Newをクリック
![Page 41: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/41.jpg)
ファイアウォール機能(9)-セキュリティポリシー設定
ポリシー名を設定
送受信アドレス、サービス(ポート番号)を設定
上記で設定したトラフィックに対するActionを設定
![Page 42: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/42.jpg)
ファイアウォール機能(10)-オブジェクトとは
• オブジェクト(アドレスグループ、サービスグループ)を作成すると、グループ内の各アドレス、サービスに対して個々に内部ポリシーを作成します。
• オブジェクトを使用する事で、作成するポリシーを少なくすることが可能です。
オブジェクトを設定
![Page 43: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/43.jpg)
ファイアウォール機能(11)-アドレスブックの作成
Policy – Policy Elements – Addresses – ListでNewをクリックして、アドレスブックを作成します。
![Page 44: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/44.jpg)
ファイアウォール機能(12)-アドレスグループの作成
Policy – Policy Elements – Addresses – GroupsでNewをクリックして、アドレスグループを作成します。
アドレスグループ名を設定
アドレスグループに参加させたいオブジェクトを左のボックスに移動
![Page 45: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/45.jpg)
ファイアウォール機能(13)-カスタムサービス
SRXでは定義済みサービス以外で新規にサービスを作成する事が可能です。Policy – Policy Elements – Services – CustomでNewをクリックして、カスタムサービスを作成します。
定義済みサービスは、 Policy – Policy Elements – Services – Predefinedで確認が可能です。
![Page 46: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/46.jpg)
ファイアウォール機能(14)-サービスグループの作成
Policy – Policy Elements – Services – GroupsでNewをクリックして、サービスグループを作成します。
サービスグループに参加させたいオブジェクトを左のボックスに移動
サービスグループ名を設定
![Page 47: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/47.jpg)
スタティックルートの設定
![Page 48: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/48.jpg)
ネットワークの設定
上図のようにルータやスイッチを介して、別のIPネットワークが存在する場合、これをSRXに学習させる方法は以下の2通りがあります。
• スタティックルートを設定する。
• ダイナミックルーティングを設定する。(本書では触れません)
WAN
ネットワークアドレス172.16.1.0サブネットマスク255.255.255.0
ルータまたはスイッチ
自宅またはオフィス
インターネット
![Page 49: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/49.jpg)
ネットワークの設定:設定例
必要な情報
• SRXに学習させたい全てのネットワークアドレスとそのサブネットマスク
• 例:172.16.1.0/24
• LAN側ルータ/スイッチのSRX側のインタフェースアドレス
• 例:192.168.1.254この時、SRXのLAN側のインタフェースアドレスはルータ/スイッチのSRX側のインタフェースアドレスと同じサブネットに設定されている必要があります。
WAN
ネットワークアドレス172.16.1.0サブネットマスク255.255.255.0
ルータまたはスイッチ
自宅またはオフィス
インターネット
172.16.1.0/24をSRXに手動で学習させる方法
インタフェースアドレス例:192.168.1.254
![Page 50: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/50.jpg)
ルーティングを設定する(1)-スタティックルートの設定
Network – Routing – DestinationでNewをクリックして、スタティックルートを設定します。
![Page 51: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/51.jpg)
ルーティングを設定する(2)-スタティックルートの設定
登録したいネットワークを設定
LAN側ルータ/スイッチのSRX側インタフェースアドレスを設定
![Page 52: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/52.jpg)
ルーティングを設定する(3)-スタティックルートの設定
登録したネットワークとゲートウェイを確認
間違っていた、または不要な場合にはRemoveで削除
![Page 53: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/53.jpg)
第3部:NAT機能を利用する
![Page 54: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/54.jpg)
• インターネットに接続された企業などで、一つのグローバルIPアドレスを複数のコンピュータで共有する技術です。組織内でのみ通用するIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)を透過的に相互変換することにより実現されます。グローバルIPアドレスを節約できますが、一部のアプリケーションソフトが正常に動作しなくなるなどの制約があります。
NAT(Network Address Translation)とは?
![Page 55: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/55.jpg)
NetScreen/SSGとSRXのNAT機能との対比
NetScreen/SSGが実装していたNATの機能は、SRXでも全て対応可能ですが、下記表のように名称が変更されています。
NetScreen/SSG SRX CW4S上の表記
DIP (Src-NAT) Source NAT using an
address Pool
srcNAT
Interface NAT Source NAT srcNAT
MIP Static NAT staticNAT
VIP Destination NAT dstNAT
DIP (Dst-NAT) Destination NAT 非サポート
![Page 56: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/56.jpg)
• ソースネットワークアドレス変換では、あるソースIPアドレスを別のアドレスに変換するという処理を行います。(下記の図を参照)変換後のアドレスは、動的IP(SrcNAT(DIP))プール、またはSRXデバイスの出力インタフェースから取得します。DIPプールから取得する場合、その具体的なアドレスは不定である場合と、予測がつく場合があります。すなわち、SrcNAT(DIP)プールに確保されている中からランダムに選ぶか、あるいは元のソースIPアドレスから所定の計算により求めることになります。出力インタフェースから変換後のアドレスを取得した場合は、すべてのパケットについて、ソースIPアドレスを当該インタフェースのIPアドレスに変換します。
ソースネットワークアドレス変換/SrcNAT(DIP)とは?
![Page 57: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/57.jpg)
• この例では、Untrustゾーンに向かうインタフェースであるge-0/0/2に、SrcNAT(DIP)プールを定義しています。このSrcNAT(DIP)プールにはIPアドレスが1.1.1.30 だけしかないため、自動的にPATが有効になります。ここで、SRXデバイスが次のような処理をするよう、ポリシーを設定します。• Trustゾーンのすべてのアドレスから、UntrustゾーンのすべてのアドレスへのHTTPトラフィックを許可。• IPパケット中のソースIPアドレスは、DIPプールに唯一存在する1.1.1.30に変換。• ソースIPアドレスおよびポート番号を変換したHTTPトラフィックを、ge-0/0/2経由でUntrustゾーンに
転送。
ge-0/0/1
10.1.1.1/24
ソースネットワークアドレス変換/SrcNAT(DIP)適用例
ge-0/0/2
1.1.1.1/24
![Page 58: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/58.jpg)
NATを利用する (1) -ソースネットワークアドレス変換設定
Network -> Interfaces-> Listをクリック
Newをクリック
![Page 59: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/59.jpg)
NATを利用する (2) -ソースネットワークアドレス変換設定
OKをクリック
インタフェースを選択
ゾーンを選択
IPアドレス及びサブネットを設定
![Page 60: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/60.jpg)
NATを利用する (3) -ソースネットワークアドレス変換設定
作成したインタフェースのEditをクリック
![Page 61: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/61.jpg)
NATを利用する (4) -ソースネットワークアドレス変換設定
srcNAT(DIP)をクリック Newをクリック
![Page 62: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/62.jpg)
NATを利用する (5) -ソースネットワークアドレス変換設定
OKをクリック
アドレス変換するアドレスを入力(1.1.1.30)
Set Proxy Arpを選択
![Page 63: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/63.jpg)
NATを利用する (6) -ソースネットワークアドレス変換設定
trustを選択
Policy -> Policiesをクリック
untrustを選択
Newをクリック
![Page 64: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/64.jpg)
NATを利用する (7) -ソースネットワークアドレス変換設定
ポリシー名を入力
any-ipv4を選択
any-ipv4を選択
junos-httpを選択
Permitを選択
OKをクリック
![Page 65: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/65.jpg)
NATを利用する (8) -ソースネットワークアドレス変換設定
Advancedをクリック
![Page 66: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/66.jpg)
NATを利用する (9) -ソースネットワークアドレス変換設定
Source Translationを選択 srcNAT(DIP)で設定した内容を選択
OKをクリック
設定を反映させるため、Commitをクリック
![Page 67: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/67.jpg)
Static NAT(MIP)とは?
• Static NAT(マップ IP/MIP)とは、ある IP アドレスから別の IP アドレスに、1 対 1 で直接対応づけるマッピングのことです。SRXは、宛先が MIP であるトラフィックを受け取ると、その Static NAT(MIP)に対応するアドレスのホストに転送します。
• Static NAT(MIP)は実際には、静的な宛先アドレス変換、すなわち、IP パケットヘッダー中の宛先 IP アドレスを別の IP アドレスに、固定的に対応づける変換です。逆に MIP ホストがアウトバウンドトラフィックを発信した場合、SRXはソース IP アドレスの方を MIP アドレスに変換します。このように、対称性を持つ両方向の変換である点で、ソースアドレス変換 (Src-NAT) や宛先アドレス変換 (Dst-NAT) とは動作が異なります
ココにアドレス変換の絵を入れる
![Page 68: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/68.jpg)
Static NAT(MIP)適用例
• ge-0/0/0 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。• ge-0/0/1を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。• Untrust ゾーンに属する 1.1.1.5 向けの HTTP トラフィックを、Trust ゾーンの 10.1.1.5 が割り当てられた
Web サーバーに向ける MIP/Static NAT を設定します。
• Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する MIP/Static NAT (したがって MIP が指すアドレスを持つホスト) への HTTP トラフィックを許可するポリシーを定義します。セキュリティゾーンはすべてtrust-vr ルーティングドメインにあります。
ココにアドレス変換の絵を入れる
① 宛先が 1.1.1.5 であるトラフィックが ethernet2 に到達
② SRXは ethernet2 上で MIPのルートを検索し、1.1.1.5から 10.1.1.5 に変換
③ 10.1.1.5 に向かうルートを検索し、ethernet1 にトラフィックを転送
②③
ge-0/0/1
ge-0/0/0
![Page 69: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/69.jpg)
NATを利用する – StaticNAT(MIP) 設定
Untrustゾーンを選択
IPアドレス及びサブネットマスクを設定
Network -> Interface -> Listをクリック
設定が終わったらOKボタンを押す
![Page 70: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/70.jpg)
NATを利用する – StaticNAT(MIP) 設定
Static NAT(MIP)をクリック
Network -> Interface -> Listをクリック
![Page 71: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/71.jpg)
NATを利用する – StaticNAT(MIP) 設定
StaticNAT(MIP)を行うアドレスと転送するホストのアドレス及びサブネットマスクを設定
Proxy Arpを選択
設定が終わったらOKボタンを押す
![Page 72: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/72.jpg)
NATを利用する – StaticNAT(MIP) 設定
Policy -> Policiesをクリック
ポリシー名を設定
anyを選択
MIPを選択
HTTPを選択
Permitを選択
設定が終わったらOKボタンを押す
![Page 73: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/73.jpg)
NATを利用する – StaticNAT(MIP) 設定
設定を反映させるため、Commitをクリック
![Page 74: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/74.jpg)
DstNAT(VIP)とは?
• DstNAT(VIP)とは、ある(公開用)IPアドレスと宛先サービスポート番号(TCPやUDP)の組み合わせと(ローカル)IPアドレスと待ち受けサービスポート番号をマッピングするアドレス変換機能です。
• SRXがDstNATサービス宛ての通信を受信すると、登録されているポートに対応したホストへトラフィックを転送します。
• StaticNAT(MIP)と異なる点としては、1対Nのアドレス変換機能である点です。これは、同一のIPアドレス宛ての通信であっても、サービスポート番号が異なれば、別のホストへアドレス変換が可能です。
ge-0/0/2, ge-0/0/1,
![Page 75: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/75.jpg)
DstNAT(VIP)適用例• ge-0/0/1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。• ge-0/0/2 を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。• Untrust ゾーンに属する 1.1.1.3 向けの HTTP トラフィック(TCP:80)を、Trust ゾーンの
10.1.1.10:80 が割り当てられた Web サーバーに向ける DstNAT(VIP)を設定します。• Untrust ゾーンに属する 1.1.1.3 向けの FTP トラフィック(TCP:21)を、Trust ゾーンの
10.1.1.20:21 が割り当てられた FTP サーバーに向ける DstNAT(VIP) を設定します。• Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する VIP (したがって VIP が指すアドレス
を持つホスト) への HTTP およびFTPトラフィックを許可するポリシーを定義します。
ge-0/0/2, ge-0/0/1,
![Page 76: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/76.jpg)
DstNAT(VIP)適用例
設定したインタフェースの“Edit”をクリック
Interfaces -> Listをクリック
![Page 77: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/77.jpg)
DstNAT(VIP)適用例
dstNAT(VIP)をクリックする
![Page 78: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/78.jpg)
DstNAT(VIP)適用例
“New VIP Service”をクリックする
![Page 79: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/79.jpg)
DstNAT(VIP)適用例
公開用IP(VIP)アドレスを指定
VIPの待ち受けポート番号を指定
マッピングするポート番号を指定
マッピングするホストのIPを指定
設定が完了したら”OK”をクリック
Proxy Arpを選択
![Page 80: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/80.jpg)
DstNAT(VIP)適用例
公開用IP(VIP)アドレスを指定
VIPの待ち受けポート番号を指定
マッピングするポート番号を指定
マッピングするホストのIPを指定
設定が完了したら”OK”をクリック
Proxy Arpを選択
![Page 81: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/81.jpg)
DstNAT(VIP)適用例
設定内容を確認する
![Page 82: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/82.jpg)
DstNAT(VIP)適用例
通信を許可するZoneを選択
Policiesをクリック
Newをクリック
![Page 83: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/83.jpg)
DstNAT(VIP)適用例
ポリシー名を設定
anyを選択
VIPを選択
HTTPを選択
Permitを選択
設定が終わったらOKボタンを押す
![Page 84: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/84.jpg)
DstNAT(VIP)適用例
ポリシー名を設定
anyを選択
VIPを選択
HTTPを選択
Permitを選択
設定が終わったらOKボタンを押す
![Page 85: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/85.jpg)
DstNAT(VIP)適用例
設定内容を確認する
設定を反映させるためCommitをクリックする
![Page 86: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/86.jpg)
第4部:VPN機能を利用する
![Page 87: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/87.jpg)
LAN1
VPN接続形態
• SRXシリーズがサポートするIPSec VPN接続形態は、大きく分けて以下の3つ方法があります。
• CW4Sバージョン1.0では、これらの内、サイト間(LAN間)VPNの設定をサポートします。
LAN2
LAN1
Internet
サイト間VPN
LAN1
Internet
リモートアクセスVPN
LAN2
ハブ&スポークVPN
LAN3 LAN4
Internet
![Page 88: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/88.jpg)
サイト間VPNについて
• サイト間VPNは対向のゲートウェイのIPアドレスタイプによって設定が一部異なります。• 対向のゲートウェイのグローバルIPアドレスが分かっている
• 対向のゲートウェイのIPアドレスは動的であるため特定できない
• SRXシリーズではポリシーベースVPNとルートベースVPNの2通りのVPN設定方法が可能ですが、CW4SはルートベースVPNの設定のみサポートしています。
![Page 89: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/89.jpg)
IPSec VPN構築例
• 10.10.10.0/24 (Sunnyvale) から192.168.168.0/24 (Chicago) へのIPSec VPNトンネルを構築します。
リモートサイト
ローカルサイト(Trustゾーン)
Internet(Untrustゾーン)
ge-0/0/1.0 10.10.10.1
10.10.10.10
ge-0/0/3.0 1.1.1.2/30
st0.010.11.11.10/24VPN-Chicagoゾーン
2.2.2.2/30
192.168.168.1
192.168.168.10
10.10.10.0/24
192.168.168.0/24
Sunnyvale
Chicago
![Page 90: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/90.jpg)
サイト間VPN設定手順
1. Untrustゾーン、Trustゾーン、VPN-Chicagoゾーンを作成します。• Network > Zones
2. 各セキュリティゾーンにインタフェースを作成します。• Network > Interfaces > List
3. リモートサイト向けのルーティングを設定します。• Network > Routing > Destination
4. [オプション] IKEフェーズ1プロポーザルを作成します。• VPNs > AutoKey Advanced > P1 Proposal
5. IKEフェーズ1(IKEポリシーおよびIKEゲートウェイ)を設定します。• VPNs > AutoKey Advanced > Gateway
6. [オプション] IKEフェーズ2プロポーザルを作成します。• VPNs > AutoKey Advanced > P2 Proposal
7. IKEフェーズ2(IPSecポリシーおよびIPSec VPN)を設定します。• VPNs > AutoKey IKE
8. Trustゾーン~VPN-Chicagoゾーン間にサイト間VPN通信を許可するためのセキュリティポリシーを設定します。• Policy > Policy Elements > Addresses > Lists• Policy > Policies
![Page 91: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/91.jpg)
VPN機能を設定する (1) – セキュリティゾーンの作成
• Untrust / Trust / VPN-Chicagoの各セキュリティゾーンを作成する
セキュリティゾーン: “Untrust”, “Trust”, “VPN-Chicago”作成方法は第2部を参照のこと
Network > Zones
設定内容を確認できたらCommitをクリック
![Page 92: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/92.jpg)
VPN機能を設定する(2) – インタフェースの作成
• ローカル側インタフェース(Trustゾーン)、インターネット側インタフェース(Untrustゾーン)を作成する
Interfaces > List をクリック
Sub-IFを選択し、Newをクリック
![Page 93: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/93.jpg)
VPN機能を設定する(3) – インタフェースの作成
• ローカル側インタフェース(Trustゾーン)を作成する
TrustゾーンのインタフェースとIPアドレスを入力
入力がおわったらOKボタンを押す
![Page 94: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/94.jpg)
VPN機能を設定する(4) – インタフェースの作成
• インターネット側インタフェース(Untrustゾーン)を作成する
Trustゾーンと同様にUntrustゾーンのインタフェースとIPアドレスを入力
Untrustゾーンのインタフェースでは”ike”にチェックを入れること
入力がおわったらOKボタンを押す
![Page 95: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/95.jpg)
VPN機能を設定する(5) – インタフェースの作成
• トンネルインタフェース(VPN-Chicagoゾーン)を作成する
Tunnel IFを選択し、Newをクリック
Interfaces > List
![Page 96: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/96.jpg)
VPN機能を設定する(6) – インタフェースの作成
• トンネルインタフェース(VPN-Chicagoゾーン)を作成する
トンネルインタフェースの論理ユニット番号: “0”
トンネルインタフェースのIPアドレス:“10.11.11.10/24”
※ Unnumbered(IPアドレス無し)として設定することも可能
入力がおわったらOKボタンを押す
トンネルインタフェースのセキュリティゾーン:“VPN-Chicago”
![Page 97: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/97.jpg)
VPN機能を設定する(7) – インタフェースの作成
• インタフェースを作成する
VPNに関連するインタフェースが正しく登録されていることを確認
Interfaces > List
設定内容を確認できたらCommitをクリック
![Page 98: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/98.jpg)
VPN機能を設定する(8) – ルーティングの追加
• インターネット宛てのルーティングを追加する
Routing > Destination
以下のアドレスオブジェクトを作成※作成方法は第2部参照のことIP/Netmask: 0.0.0.0/0, Gateway: 1.1.1.1
![Page 99: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/99.jpg)
VPN機能を設定する(9) – ルーティングの追加
• リモートサイト宛てのルーティングを追加する
Routing > Destinationをクリック
Newをクリック
![Page 100: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/100.jpg)
VPN機能を設定する(10) – ルーティングの追加
• リモートサイト宛てのルーティングを追加する
リモートサイトのIPアドレスプレフィックス:“192.168.168.0/24”
入力がおわったらOKボタンを押す
ネクストホップインタフェース:“st0.0”(トンネルインタフェース)
![Page 101: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/101.jpg)
VPN機能を設定する(11) – ルーティングの追加
• リモートサイト宛てのルーティングを追加する
入力したスタティックルートが正しく登録されていることを確認
設定内容を確認できたらCommitをクリック
Routing > Destination
![Page 102: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/102.jpg)
VPN機能を設定する(12) – IKEフェーズ1の設定
• IKE フェーズ1プロポーザルを作成する(Predefined プロポーザルセットを使用する場合は作成不要)
VPNs > AutoKeyAdavanced > P1 Proposal をクリック
Newをクリック
![Page 103: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/103.jpg)
VPN機能を設定する(13) – IKEフェーズ1の設定
• IKE フェーズ1プロポーザルを作成する
IKEフェーズ1プロポーザル名:“ike-phase1-proposal”
認証メソッド:“Preshare” (pre-shared-keyを使用)
DHグループ: “Group-14”※ CW4S 1.0ではJunos 12.1X45-D10以降で追加された group19 / group20 / group24 をサポートしていません。CLIから設定してください。
暗号化アルゴリズム:“AES-CBC (128bits)” (aes-128-cbc)
認証アルゴリズム: “SHA2_256” (sha-256)※ CW4S 1.0ではJunos 12.1X45-D10で追加された sha-384をサポートしていません。CLIから設定してください。
ライフタイム: “28800”
入力がおわったらOKボタンを押す
![Page 104: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/104.jpg)
VPN機能を設定する(14) – IKEフェーズ1の設定
• IKE フェーズ1プロポーザルを作成する
VPNs> AutoKey Adavanced> P1 Proposal
IKE フェーズ1プロポーザルが追加されていることを確認
![Page 105: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/105.jpg)
VPN機能を設定する(15) – IKEフェーズ1の設定
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する
VPNs > AutoKeyAdavanced > Gateway をクリック
Newをクリック
![Page 106: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/106.jpg)
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する
VPN機能を設定する(16) – IKEフェーズ1の設定
ゲートウェイ名: “gw-chicago”
IKEバージョン: ”v1”
リモートゲートウェイのIPアドレス:”2.2.2.2”
preshared key: ”395psksecr3t”
リモートサイトへのVPN通信が出ていくインタフェース:” ge-0/0/3.0”
IKEフェーズ1プロポーザルセット:”Custom policy.proposal_set”,“ike-phase1-proposal”
![Page 107: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/107.jpg)
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)を設定する(つづき)
VPN機能を設定する(17) – IKEフェーズ1の設定
動作モード: “Main”
入力がおわったらOKボタンを押す
![Page 108: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/108.jpg)
• IKEフェーズ1(IKEポリシーとIKEゲートウェイ)設定を確認する
VPN機能を設定する(18) – IKEフェーズ1の設定
VPNs> AutoKey Adavanced> Gateway
IKE フェーズ1設定が追加されていることを確認
設定内容を確認できたらCommitをクリック
![Page 109: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/109.jpg)
VPN機能を設定する(19) – IKEフェーズ2の設定
• IKE フェーズ2プロポーザルを作成する(Predefinedを使用する場合は作成不要)
VPNs > AutoKeyAdavanced > P2 Proposal をクリック
Newをクリック
![Page 110: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/110.jpg)
VPN機能を設定する(20) – IKEフェーズ2の設定
• IKE フェーズ2プロポーザルを作成する
IKEフェーズ2プロポーザル名:”ipsec-phase2-propsal”
プロトコル: “esp”
暗号化アルゴリズム: “AES-CBC(128 Bits)”※ CW4S 1.0ではJunos 12.1X45-D10で追加された aes-128-gcm / aes-192-gcm / aes-256-gcmをサポートしていません。CLIから設定してください。
認証アルゴリズム:“SHA2_256(128 Bits)” (hmac-sha-256-128)
入力がおわったらOKボタンを押す
![Page 111: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/111.jpg)
VPN機能を設定する(21) – IKEフェーズ2の設定
• IKE フェーズ2プロポーザルを作成する
IKE フェーズ2プロポーザルセットが追加されていることを確認
VPNs> AutoKey Adavanced> P2 Proposal
![Page 112: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/112.jpg)
VPN機能を設定する(22) – IKEフェーズ2の設定
• IKEフェーズ2(IPSecポリシーとIPSec VPN)を設定する
VPNs > AutoKey IKEをクリック
Newをクリック
![Page 113: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/113.jpg)
VPN機能を設定する(23) – IKEフェーズ2の設定
入力がおわったらOKボタンを押す
IPSec VPN名:”ike-vpn-Chicago”
リモートゲートウェイ:”gw-chicago” (フェーズ1で作成したゲートウェイ)
バインドインタフェース:”st0.0” (トンネルインタフェース)
IKEフェーズ2プロポーザルセット:”Custom policy.proposal_set”,“ipsec-phase2-proposal”
Perfect Forward Secrecy:”DH Group 14” (group14)
![Page 114: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/114.jpg)
VPN機能を設定する(24) – IKEフェーズ2の設定
VPNs > AutoKey IKE
IKE フェーズ2設定が追加されていることを確認
設定内容を確認できたらCommitをクリック
![Page 115: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/115.jpg)
VPN機能を設定する(25) – セキュリティポリシーの設定
• アドレスブックを作成する
Policy > Policy Elements > Addresses > List
以下のアドレスオブジェクトを作成※作成方法は第2部参照のことsunnyvale: 10.10.10.0/24 (Trustゾーン)chicago: 192.168.168.0/24 (VPN-Chicagoゾーン)
![Page 116: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/116.jpg)
VPN機能を設定する(26) – セキュリティポリシーの設定
• Trustゾーン~VPN-Chicagoゾーン間の通信許可ポリシーを作成する
Policy > Policies
以下の2つのセキュリティポリシーを作成※作成方法は第2部参照のことFrom Trust to VPN-Chicago
vpn-tr-chi: Src/sunnyvale, Dest/Chicago, Svc/any, Act/PermitFrom VPN-Chicago to Trust
vpn-chi-tr: Src/chicago, Dest/Sunnyvale, Svc/any, Act/Permit
設定内容を確認できたらCommitをクリック
![Page 117: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/117.jpg)
第5部:管理機能を利用する
![Page 118: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/118.jpg)
管理設定 – 時刻設定時差を設定(日本であれば、Asisa/Tokyo)
設定を反映させるためCommitをクリックする
Configuration -> Date/Timeをクリック NTPを取得するIF
のIPを設定(任意)
NTPサーバのIP/FQDNを指定
![Page 119: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/119.jpg)
管理設定 – 管理ユーザ
既存管理ユーザを変更する場合は、Editをクリック
設定を反映させるためCommitをクリックする
Configuration -> Admin -> Administratorsをクリック
管理ユーザを追加する場合には、Newをクリック
![Page 120: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/120.jpg)
管理設定 – 管理ユーザの追加
新しい管理ユーザ名を入力
新しい管理ユーザに、管理者権限を付与するためにsuper-userをクリック
OKをクリック
新しい管理ユーザ用のパスワードを入力
確認のため、再度パスワードを入力
![Page 121: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/121.jpg)
管理設定 – 管理ユーザの追加
設定内容を確認
設定を反映させるためCommitをクリックする
![Page 122: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/122.jpg)
管理設定 – 管理ユーザの削除
削除したいユーザに対して、Removeをクリック
設定を反映させるためCommitをクリックする
![Page 123: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/123.jpg)
管理設定 – SNMPの設定
SNMPレポートの設定(任意)
設定を反映させるためCommitをクリックする
SNMPレポートの入力した場合、Applyをクリック
SNMPコミュニティ・トラップの新規作成する場合は、New communityをクリック
Configuration -> Report setting ->SNMPをクリック
![Page 124: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/124.jpg)
管理設定 – SNMPの設定
コミュニティ名を入力
OKをクリック
アクセス許可を指定
SNMPバージョンを指定(V1,V2c,Any)
![Page 125: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/125.jpg)
管理設定 – SNMPの設定
SNMPトラップの設定をしない場合は、Commitをクリック
SNMPトラップのホストを指定する場合は、Editをクリック
![Page 126: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/126.jpg)
管理設定 – SNMPの設定
SNMPトラップのホストIPを入力
ホストIP入力後、Addをクリック
ホストIPが追加されたのを確認
ホストIPが追加確認後、OKをクリック
![Page 127: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/127.jpg)
管理設定 – SNMPの設定
設定内容を確認
設定を反映させるためCommitをクリックする
![Page 128: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/128.jpg)
管理設定 – SNMPの設定
Syslogサーバを入力
設定を反映させるためCommitをクリックする
Applyをクリック
Configuration -> Report setting ->Syslogをクリック
ファシリティレベルを選択
Syslogで取得する重要度を選択
Syslogを出力するIPを入力
![Page 129: CW4Sの手引き - Juniper SRX GUI設定支援ツール](https://reader033.fdocuments.net/reader033/viewer/2022052121/586fcd751a28aba24c8b74c3/html5/thumbnails/129.jpg)