Upload
vandang
View
227
Download
1
Embed Size (px)
Citation preview
Juniper Firewall クイック スタートアップ ガイド
- 2 -
本書の目的本書では Juniper Firewall機器における基本的なセットアップ方法を解説します。また機能
の詳細を知りたい場合は Juniper社のマニュアル(Concept & Example) やWeb UIのヘルプなどをご参照ください。
目 次
1. Juniper Firewall 機器 初期設定 ウィザード ......................................................- 3 -1-1 本ガイドでの設定例 .................................................................................................. - 3 -
1-2 Juniper Firewall 機器 初期設定 ウィザード 設定手順 ............................................... - 4 -
2. Juniper Firewall 機器へのポリシー設定 ...........................................................- 13 -2-1 本ガイドでの設定例 ................................................................................................ - 13 -
2-2 Trustゾーン側 オブジェクトの作成手順 .................................................................. - 13 -
2-3 Trustゾーン側から Untrustゾーン側へのポリシー作成手順 ..................................... - 15 -
Juniper Firewall クイック スタートアップ ガイド
- 3 -
1. Juniper Firewall 機器 初期設定 ウィザード
Juniper Firewall 機器を使用するためには、使用する環境に合わせた基本設定が必要となります。本章では「初期設定ウィザード」を使用した基本設定方法を解説します。
1-1 本ガイドでの設定例
・ Juniper Firewall機器の Trustゾーン側 IPアドレス : 192.168.1.1Juniper Firewall機器の Trustゾーン側Managed IPアドレス : 192.168.1.1
・ Juniper Firewall機器の管理者ユーザ名(= Admin Name) : adminJuniper Firewall機器の管理者ユーザのパスワード(=Password) : password
・ Juniper Firewall機器の Port Mode : Trust-Untrust Mode・ Juniper Firewall機器の Untrustゾーン側 IPアドレス : 契約プロバイダより PPPoEにて取得契約プロバイダ PPPoE用ユーザ名(= Username) : test契約プロバイダ PPPoE用パスワード(=Password) : [email protected]
・ Juniper Firewall機器上での NAT機能 : 有効
Juniper Firewall機器上での DHCPサーバー機能 : 無効
Untrust ゾーン Trustゾーン
LAN側ネットワーク192.168.1.0/24
Trust ゾーン インターフェイス192.168.1.1/24
Untrust ゾーン インターフェイス※契約プロバイダよりPPPoEにて取得
PPPoE 設定情報・User Name : test・IKE identify : [email protected]
Port Mode 設定情報・User Name : Trust - Untrust Mode
その他 設定情報・NAT 機能 : 有効・DHCP サーバ機能 : 無効
Untrust ゾーン Trustゾーン
LAN側ネットワーク192.168.1.0/24
Trust ゾーン インターフェイス192.168.1.1/24
Untrust ゾーン インターフェイス※契約プロバイダよりPPPoEにて取得
PPPoE 設定情報・User Name : test・IKE identify : [email protected]
Port Mode 設定情報・User Name : Trust - Untrust Mode
その他 設定情報・NAT 機能 : 有効・DHCP サーバ機能 : 無効
Juniper Firewall クイック スタートアップ ガイド
- 4 -
1-2 Juniper Firewall 機器 初期設定 ウィザード 設定手順(1)Juniper Firewall 機器に電源を投入した後、Juniper Firewall 機器の LAN側(= Trustゾー
ン側)イーサネットポートとWindowsクライアントを LANケーブルで接続します。また、Juniper Firewall 機器のインターネット側(= Untrustゾーン側)イーサネットポートと ADSLモデム等のイーサーネットポートを LANケーブルで接続します。
(2)次に、Windows クライアント PCでブラウザを起動し、「Juniper Firewall機器 の Trustゾーン側ManageIP アドレス」へアクセスします。⇒※ 今回の設定例では、URLは “http://192.168.1.1” となります。
(3)下記の画面が表示されましたら、 “No,use the Initial Configuration Wizard instead.” にチェックを入れ、【Next】ボタンを押します。
表 1:Rapid Deployment Wizardの設定項目
項目名 説明
No,use the Initial Configuration Wizard instead 初期設定ウィザードを使用して基本設定を行う場合
には、こちらを選択します。
Yes, use the following Rapid Deployment Configlet file: NetScreen-Security Manage にて作成したコンフィグ ファイルを使用してリストアする場合には、こち
らを選択します。
No,skip the Wizard and go straight to the WebUI management session instead
初期設定ウィザードをスキップし、Web UIにて設定する場合には、こちらを選択します。
Juniper Firewall クイック スタートアップ ガイド
- 5 -
(4)次に、下記の画面が表示されましたら、【Next】ボタンをクリックします。
(5)次に、下記の画面が表示されたら、「Admin Name(=管理者ユーザ名)」と「Password(=管理者ユーザのパスワード)」を入力します。また、パスワードは設定確認のため、2回入力する必要があります。⇒※ 今回の設定例では、「Admin Name」は ”admin”、 「Password」は ”password” となります。⇒※ 「HTTP Redirect」に関しましては、お客様の使用環
.......境に応じて.....
チェックをつけてください。
尚、今回の設定例では、「HTTP Redirect」は使用しません。あらかじめご了承ください。
Juniper Firewall クイック スタートアップ ガイド
- 6 -
(6)次に、下記の画面が表示されたら、左上の “Enable NAT” にチェックを入れ、【Next】ボタンをクリックします。“Enable NAT” を選択することによって、プライベート IPアドレスがグローバル IPアドレスに変換され、インターネットへの接続が可能となります。
(7)次に、下記の画面が表示されたら、使用する Port Modeを選択し【Next】ボタンをクリックします。
⇒※ 「Port Mode」の設定項目は、NetScreen 5GT と SSG-5のみ出現します。
Juniper Firewall クイック スタートアップ ガイド
- 7 -
表 2:Port Modeの設定項目(NetScreen-5GT, SSG-5)
項目名 説明
Trust - Untrust Mode Untrust を 1ポート、Trust を 4ポートの通常ゾーン構成
Home - Work Mode: Untrust を 1ポート、Home を 2ポート、Work を 2ポートのゾーン構成
Dual - Untrust Mode Untrust を 2ポート、Trust を 3ポートのゾーン構成
Combined Mode Untrust を 2ポート、Home を 2ポート、Work を 1ポートのゾーン構成
Extended Mode Untrust を 1ポート、Trust を 2ポート、DMZを 2ポートのゾーン構成
DMZ - Dual Untrust Mode Untrust を 2ポート、Trust を 2ポート、DMZを 1ポートのゾーン構成
Dual – DMZ Mode Untrust を 2ポート、Trust を 1ポート、DMZを 2ポートのゾーン構成
(8)次に、下記画面が表示されたら、インターネット接続の設定を行います。下記の 3つの設定項目の中からお客様の環境に合わせてどれか 1つ選択し、【Next】ボタンをクリックします。
⇒※ 今回の設定例では、グローバル IPアドレスは、契約プロバイダより.........
PPPoE.....
にて取得....
しますので、”Dynamic IP via PPPoE“ とします。
【 Dynamic IP via DHCP を選択した場合 】Untrustゾーン側にDHCPサーバーをご用意されている等の場合には下図のよう “Dynamic IP via DHCP” を選択します。
Juniper Firewall クイック スタートアップ ガイド
- 8 -
【 Dynamic IP via PPPoE を選択した場合 】契約しているインターネット・サービス・プロバイダより提供されている接続タイプが
PPPoEの場合には、 “Dynamic IP via PPPoE“ を選択し、「Username」、「Password」を入力します。
【 Static IP を選択した場合 】契約しているインターネット・サービス・プロバイダより固定の
...グローバル IPアドレスを
取得されている際には、“Static IP” を選択し、「Untrust Zone Interface IP」、「Netmask」、「Gateway」を入力してください。
Juniper Firewall クイック スタートアップ ガイド
- 9 -
(9)次に、下記の画面が表示されたら、任意..の.
Trustゾーンの IPアドレスを設定し、【Next】ボタンをクリックします。
⇒※ 今回の設定例では、「Trust Zone Interface IP」 は”192.168.1.1”、 「Netmask」 は”255.255.255.0“となります。
(10)次に、下記の画面が表示されたら、 “No”を選択 し、【Next】ボタンをクリックします。⇒※ DHCP サーバーに関しましては、お客様の使用環境に応じて
............チェックをつけてください。
尚、今回の設定例では、DHCP サーバーは使用しません。あらかじめご了承ください。⇒※ 万一、DHCP
....サーバ...
ー.機能を有効にする際.........
には、「表 3:DHCPサーバー機能の設定項目」を設定します。
Juniper Firewall クイック スタートアップ ガイド
- 10 -
表 3:DHCPサーバー機能の設定項目
項目名 設定する内容
IP Address Range DHCP クライアントに割振る IPアドレス範囲 (開始)を設定します。
End DHCP クライアントに割振る IPアドレス範囲 (終了)を設定します。
DNS Server DHCP クライアントに割振る DNSサーバー情報を設定します。
(11)次に、下記の画面が表示されたら、(5)~(10)で設定した内容を確認し、【Next】ボタンをクリックします。
⇒※ 設定内容を間違った場合...........
には、【Previous】ボタンをクリックし、設定の修正を行ってください。
(12)次に、下記の画面(※こちらはスクロールした画面になります)が表示されたら、画面左下にある【Finish】ボタンをクリックします。
Juniper Firewall クイック スタートアップ ガイド
- 11 -
(13)次に、下記の画面が表示されましたら、【はい(Y)】ボタンをクリックします。
(14)続いて、Juniper Firewall機器へのログイン画面が表示されますので、(3)で設定した「Admin Name」、「Password」を入力してログインします。
Juniper Firewall クイック スタートアップ ガイド
- 12 -
(15)正常にログインでき、下記の画面が表示されたら、設定した内容を確認します。⇒※ 以上で「Juniper Firewall 機器 初期設定 ウィザード 設定」作業は完了となります。
⇒※ 続いて、「2. Juniper Firewall 機器へのポリシー設定」作業を行ってください。
Juniper Firewall クイック スタートアップ ガイド
- 13 -
2. Juniper Firewall 機器へのポリシー設定
ポリシーとは、Juniper Firewall 機器経由での通信の許可や拒否、または VPNのトンネリングを定義します。また、明示的に
....ゾーン間の.....
ポリシーが定義されていない場合...............
には、通信は全
て”Deny(=拒否)”されます。本章では基本的なポリシー設定方法を解説します。
2-1 本ガイドでの設定例
・ Juniper Firewall機器の Trustゾーン側 セグメント : 192.168.1.0/24・ Trustゾーン → Untrustゾーンへの通信 : HTTP(=80/ tcp)のみ許可
Untrustゾーン → Trustゾーンへの通信 : すべて拒否
2-2 Trustゾーン側 オブジェクトの作成手順(1)まず Trustゾーン側のオブジェクトの作成を行います。オブジェクトの作成は、左部
メニューの[Objects]→[Addresses]→[List]をクリックします。
(2)次に、下記の画面が表示されたら、上部にあるプルダウン メニューより “Trust” を選択し、【New】ボタンをクリックします。
Untrust ゾーン Trustゾーン
Untrust ゾーン インターフェイス25.20.193.8/16
Trust ゾーン インターフェイス192.168.1.1/24
LAN側ネットワ ーク192.168.1.0/24
HTTP(=80/ tcp)HTTP(=80 /tcp)
Untrust ゾーン Trustゾーン
Untrust ゾーン インターフェイス25.20.193.8/16
Trust ゾーン インターフェイス192.168.1.1/24
LAN側ネットワ ーク192.168.1.0/24
HTTP(=80/ tcp)HTTP(=80 /tcp)
Juniper Firewall クイック スタートアップ ガイド
- 14 -
(3)次に、下記の画面が表示されたら、任意の...
オブジェクト情報を入力し、【OK】ボタンをクリックします。
⇒※ 今回の設定例では、「Address Name」 は"LAN_192.168.1.0"、 「Comment」は”LAN側セグメント“、 「IP Address/ Netmask」は”192.168.1.0/24”、 「Zone」は”Trust” になります。
表 4:[Objects]→[Addresses]→[List]の設定項目
項目名 設定する内容
Address Name オブジェクト名を設定します。
Comment オブジェクトに付与するコメントを設定します。
IP Address / Netmask オブジェクトに割り当てる IP アドレス、サブネットマスクを設定します。
Zone オブジェクトが属するゾーンを設定します。
①[Objects]→[Addresses]→[List]をクリック
②プルダウン メニュー
より “Trust” を選択
③【New】ボタンをクリック
①[Address Name]、[Comment]、
[IP Address/Netmask]を入力
②プルダウンメニュ
ー③【OK】ボタンをクリック
Juniper Firewall クイック スタートアップ ガイド
- 15 -
(4)最後に、正常に任意の...
オブジェクトが作成されたことを確認します。
⇒※ 以上で「Trustゾーン側 オブジェクトの作成」作業は完了となります。
⇒※ 他のオブジェクトを作成する場合には、同様に(1)~(4)の作業を行ってください。
2-3 Trustゾーン側から Untrustゾーン側へのポリシー作成手順(1)オブジェクトの作成が完了したら、左部メニューにある[Policies]をクリックします。
(2)次に、下記の画面が表示されたら、「From:Trust To:Untrust」の方向を選択し、【New】ボタンをクリックします。
⇒※ 今回の設定例では、「From:Trust To:Untrust」の方向の通信は、”192.168.1.0/24” から”HTTP(=80/ tcp)”のみ通信のみを許可します。
① プルダウンメニューより、From を”Trust”To を”Untrust”に選択
②【New】ボタンをクリック
Juniper Firewall クイック スタートアップ ガイド
- 16 -
(2)次に、任意の...
ポリシー設定情報を設定し、【OK】ボタンをクリックします。⇒※ 今回の設定例では、通信
..を許可するサービス.........
が ”HTTP (=80/ tcp)” のみとなりますので、ポリシー設定情報は、「Source Address」は ”LAN_192.168.1.0”、 「Destination Address」は ”Any”、 「Service」は ”HTTP”、「Action」は ”Permit” となります。
⇒※ 「Logging 」設定に関しましては、お客様のご利..用環境...
に応じて、.....
採取する/しないをご判断ください。
表 5:主な Policiesの作成項目
項目名 設定する内容
Source Address ゾーン間で行う通信の「送信元アドレス」を設定します。
Destination Address ゾーン間で行う通信の「宛先アドレス」を設定します。
Service ゾーン間でやり取りする「サービス」を設定します。
Action ゾーン間で行う通信の”許可”や”拒否”、”トンネリング”を設定します。
Logging ログを採取します。
Position at Top 作成しましたポリシーの優先順位をトップにします。
⑤”Permit”を選択
⑥ログの採取(適宜)
⑦【Advanced】ボタンをクリック⑧【OK】ボタンをクリック
①”LAN_192.168.1.0”を選択
③”HTTP”を選択
②”Any”を選択
Juniper Firewall クイック スタートアップ ガイド
- 17 -
(3)次に、設定したポリシー(= ID 2)内容を確認します。⇒※ 設定内容を間違った場合
...........には、[Edit]にて再度ポリシー設定を行ってください。
(4)次に、初期設定完了後に自動的に作成されたポリシー(= ID 1)を[Remove]より削除します。
注 意 !
※ 初期設定完了後には、「From:Trust To:Untrust」方向に対して全てのサービスが”許可”されたポリシーが自動的に作成されます。
※ 任意の...
ポリシーを定義した際には、[Remove]より削除等を行ってください。
Juniper Firewall クイック スタートアップ ガイド
- 18 -
(10)最後に、疎通確認を行い、正常に通信ができることを確認します。⇒※ 「Options」欄のアイコンをクリックすると、設定したポリシーのログ内容が表示されます。⇒※ 以上で「Trustゾーン側から Untrust ゾーン側へのポリシー作成手順」作業は完了となります。
以上
本ガイドの著作権はソフトバンク BB株式会社に帰属します。また、掲載内容の無断転載は固くお断りいたします。
Copyright(C) SOFTBANK BB Corp. all rights reserved.
= 本書に関するお問い合わせ先 =
ソフトバンク BB ジュニパー サポート
E-Mail: [email protected]
※ 問い合わせの際には、事前にユーザ登録が必要となります。
あらかじめご了承ください。