Juniper Firewall

クイック スタートアップ ガイド

- Screen OS 5.4.0版 -

2007年 1月ソフトバンク BB 株式会社

Juniper Firewall クイック スタートアップ ガイド

- 2 -

本書の目的本書では Juniper Firewall機器における基本的なセットアップ方法を解説します。また機能

の詳細を知りたい場合は Juniper社のマニュアル(Concept & Example) やWeb UIのヘルプなどをご参照ください。

目 次

1. Juniper Firewall 機器 初期設定 ウィザード ......................................................- 3 -1-1 本ガイドでの設定例 .................................................................................................. - 3 -

1-2 Juniper Firewall 機器 初期設定 ウィザード 設定手順 ............................................... - 4 -

2. Juniper Firewall 機器へのポリシー設定 ...........................................................- 13 -2-1 本ガイドでの設定例 ................................................................................................ - 13 -

2-2 Trustゾーン側 オブジェクトの作成手順 .................................................................. - 13 -

2-3 Trustゾーン側から Untrustゾーン側へのポリシー作成手順 ..................................... - 15 -

Juniper Firewall クイック スタートアップ ガイド

- 3 -

1. Juniper Firewall 機器 初期設定 ウィザード

Juniper Firewall 機器を使用するためには、使用する環境に合わせた基本設定が必要となります。本章では「初期設定ウィザード」を使用した基本設定方法を解説します。

1-1 本ガイドでの設定例

・ Juniper Firewall機器の Trustゾーン側 IPアドレス ： 192.168.1.1Juniper Firewall機器の Trustゾーン側Managed IPアドレス ： 192.168.1.1

・ Juniper Firewall機器の管理者ユーザ名（= Admin Name） ： adminJuniper Firewall機器の管理者ユーザのパスワード（=Password） ： password

・ Juniper Firewall機器の Port Mode ： Trust-Untrust Mode・ Juniper Firewall機器の Untrustゾーン側 IPアドレス ： 契約プロバイダより PPPoEにて取得契約プロバイダ PPPoE用ユーザ名（= Username） ： test契約プロバイダ PPPoE用パスワード（=Password） ： test@test.ne.jp

・ Juniper Firewall機器上での NAT機能 ： 有効

Juniper Firewall機器上での DHCPサーバー機能 ： 無効

Untrust ゾーン Trustゾーン

LAN側ネットワーク192.168.1.0/24

Trust ゾーン インターフェイス192.168.1.1/24

Untrust ゾーン インターフェイス※契約プロバイダよりPPPoEにて取得

PPPoE 設定情報・User Name ： test・IKE identify ： test@test.ne.jp

Port Mode 設定情報・User Name ： Trust - Untrust Mode

その他 設定情報・NAT 機能 ： 有効・DHCP サーバ機能 ： 無効

Untrust ゾーン Trustゾーン

LAN側ネットワーク192.168.1.0/24

Trust ゾーン インターフェイス192.168.1.1/24

Untrust ゾーン インターフェイス※契約プロバイダよりPPPoEにて取得

PPPoE 設定情報・User Name ： test・IKE identify ： test@test.ne.jp

Port Mode 設定情報・User Name ： Trust - Untrust Mode

その他 設定情報・NAT 機能 ： 有効・DHCP サーバ機能 ： 無効

Juniper Firewall クイック スタートアップ ガイド

- 4 -

1-2 Juniper Firewall 機器 初期設定 ウィザード 設定手順（1）Juniper Firewall 機器に電源を投入した後、Juniper Firewall 機器の LAN側（= Trustゾー

ン側）イーサネットポートとWindowsクライアントを LANケーブルで接続します。また、Juniper Firewall 機器のインターネット側（= Untrustゾーン側）イーサネットポートと ADSLモデム等のイーサーネットポートを LANケーブルで接続します。

（2）次に、Windows クライアント PCでブラウザを起動し、「Juniper Firewall機器 の Trustゾーン側ManageIP アドレス」へアクセスします。⇒※ 今回の設定例では、URLは “http://192.168.1.1” となります。

（3）下記の画面が表示されましたら、 “No,use the Initial Configuration Wizard instead.” にチェックを入れ、【Next】ボタンを押します。

表 1：Rapid Deployment Wizardの設定項目

項目名 説明

No,use the Initial Configuration Wizard instead 初期設定ウィザードを使用して基本設定を行う場合

には、こちらを選択します。

Yes, use the following Rapid Deployment Configlet file: NetScreen-Security Manage にて作成したコンフィグ ファイルを使用してリストアする場合には、こち

らを選択します。

No,skip the Wizard and go straight to the WebUI management session instead

初期設定ウィザードをスキップし、Web UIにて設定する場合には、こちらを選択します。

Juniper Firewall クイック スタートアップ ガイド

- 5 -

（4）次に、下記の画面が表示されましたら、【Next】ボタンをクリックします。

（5）次に、下記の画面が表示されたら、「Admin Name（=管理者ユーザ名）」と「Password（=管理者ユーザのパスワード）」を入力します。また、パスワードは設定確認のため、2回入力する必要があります。⇒※ 今回の設定例では、「Admin Name」は ”admin”、 「Password」は ”password” となります。⇒※ 「HTTP Redirect」に関しましては、お客様の使用環

．．．．．．．境に応じて．．．．．

チェックをつけてください。

尚、今回の設定例では、「HTTP Redirect」は使用しません。あらかじめご了承ください。

Juniper Firewall クイック スタートアップ ガイド

- 6 -

（6）次に、下記の画面が表示されたら、左上の “Enable NAT” にチェックを入れ、【Next】ボタンをクリックします。“Enable NAT” を選択することによって、プライベート IPアドレスがグローバル IPアドレスに変換され、インターネットへの接続が可能となります。

（7）次に、下記の画面が表示されたら、使用する Port Modeを選択し【Next】ボタンをクリックします。

⇒※ 「Port Mode」の設定項目は、NetScreen 5GT と SSG-5のみ出現します。

Juniper Firewall クイック スタートアップ ガイド

- 7 -

表 2：Port Modeの設定項目（NetScreen-5GT, SSG-5）

項目名 説明

Trust - Untrust Mode Untrust を 1ポート、Trust を 4ポートの通常ゾーン構成

Home - Work Mode: Untrust を 1ポート、Home を 2ポート、Work を 2ポートのゾーン構成

Dual - Untrust Mode Untrust を 2ポート、Trust を 3ポートのゾーン構成

Combined Mode Untrust を 2ポート、Home を 2ポート、Work を 1ポートのゾーン構成

Extended Mode Untrust を 1ポート、Trust を 2ポート、DMZを 2ポートのゾーン構成

DMZ - Dual Untrust Mode Untrust を 2ポート、Trust を 2ポート、DMZを 1ポートのゾーン構成

Dual – DMZ Mode Untrust を 2ポート、Trust を 1ポート、DMZを 2ポートのゾーン構成

（8）次に、下記画面が表示されたら、インターネット接続の設定を行います。下記の 3つの設定項目の中からお客様の環境に合わせてどれか 1つ選択し、【Next】ボタンをクリックします。

⇒※ 今回の設定例では、グローバル IPアドレスは、契約プロバイダより．．．．．．．．．

PPPoE．．．．．

にて取得．．．．

しますので、”Dynamic IP via PPPoE“ とします。

【 Dynamic IP via DHCP を選択した場合 】Untrustゾーン側にDHCPサーバーをご用意されている等の場合には下図のよう “Dynamic IP via DHCP” を選択します。

Juniper Firewall クイック スタートアップ ガイド

- 8 -

【 Dynamic IP via PPPoE を選択した場合 】契約しているインターネット・サービス・プロバイダより提供されている接続タイプが

PPPoEの場合には、 “Dynamic IP via PPPoE“ を選択し、「Username」、「Password」を入力します。

【 Static IP を選択した場合 】契約しているインターネット・サービス・プロバイダより固定の

．．．グローバル IPアドレスを

取得されている際には、“Static IP” を選択し、「Untrust Zone Interface IP」、「Netmask」、「Gateway」を入力してください。

Juniper Firewall クイック スタートアップ ガイド

- 9 -

（9）次に、下記の画面が表示されたら、任意．．の．

Trustゾーンの IPアドレスを設定し、【Next】ボタンをクリックします。

⇒※ 今回の設定例では、「Trust Zone Interface IP」 は”192.168.1.1”、 「Netmask」 は”255.255.255.0“となります。

（10）次に、下記の画面が表示されたら、 “No”を選択 し、【Next】ボタンをクリックします。⇒※ DHCP サーバーに関しましては、お客様の使用環境に応じて

．．．．．．．．．．．．チェックをつけてください。

尚、今回の設定例では、DHCP サーバーは使用しません。あらかじめご了承ください。⇒※ 万一、DHCP

．．．．サーバ．．．

ー．機能を有効にする際．．．．．．．．．

には、「表 3：DHCPサーバー機能の設定項目」を設定します。

Juniper Firewall クイック スタートアップ ガイド

- 10 -

表 3：DHCPサーバー機能の設定項目

項目名 設定する内容

IP Address Range DHCP クライアントに割振る IPアドレス範囲 （開始）を設定します。

End DHCP クライアントに割振る IPアドレス範囲 （終了）を設定します。

DNS Server DHCP クライアントに割振る DNSサーバー情報を設定します。

（11）次に、下記の画面が表示されたら、（5）～（10）で設定した内容を確認し、【Next】ボタンをクリックします。

⇒※ 設定内容を間違った場合．．．．．．．．．．．

には、【Previous】ボタンをクリックし、設定の修正を行ってください。

（12）次に、下記の画面（※こちらはスクロールした画面になります）が表示されたら、画面左下にある【Finish】ボタンをクリックします。

Juniper Firewall クイック スタートアップ ガイド

- 11 -

（13）次に、下記の画面が表示されましたら、【はい（Y）】ボタンをクリックします。

（14）続いて、Juniper Firewall機器へのログイン画面が表示されますので、（3）で設定した「Admin Name」、「Password」を入力してログインします。

Juniper Firewall クイック スタートアップ ガイド

- 12 -

（15）正常にログインでき、下記の画面が表示されたら、設定した内容を確認します。⇒※ 以上で「Juniper Firewall 機器 初期設定 ウィザード 設定」作業は完了となります。

⇒※ 続いて、「2. Juniper Firewall 機器へのポリシー設定」作業を行ってください。

Juniper Firewall クイック スタートアップ ガイド

- 13 -

2. Juniper Firewall 機器へのポリシー設定

ポリシーとは、Juniper Firewall 機器経由での通信の許可や拒否、または VPNのトンネリングを定義します。また、明示的に

．．．．ゾーン間の．．．．．

ポリシーが定義されていない場合．．．．．．．．．．．．．．．

には、通信は全

て”Deny（=拒否）”されます。本章では基本的なポリシー設定方法を解説します。

2-1 本ガイドでの設定例

・ Juniper Firewall機器の Trustゾーン側 セグメント ： 192.168.1.0/24・ Trustゾーン → Untrustゾーンへの通信 ： HTTP（=80/ tcp）のみ許可

Untrustゾーン → Trustゾーンへの通信 ： すべて拒否

2-2 Trustゾーン側 オブジェクトの作成手順（1）まず Trustゾーン側のオブジェクトの作成を行います。オブジェクトの作成は、左部

メニューの［Objects］→［Addresses］→［List］をクリックします。

（2）次に、下記の画面が表示されたら、上部にあるプルダウン メニューより “Trust” を選択し、【New】ボタンをクリックします。

Untrust ゾーン Trustゾーン

Untrust ゾーン インターフェイス25.20.193.8/16

Trust ゾーン インターフェイス192.168.1.1/24

LAN側ネットワ ーク192.168.1.0/24

HTTP（=80/ tcp）HTTP（=80 /tcp）

Untrust ゾーン Trustゾーン

Untrust ゾーン インターフェイス25.20.193.8/16

Trust ゾーン インターフェイス192.168.1.1/24

LAN側ネットワ ーク192.168.1.0/24

HTTP（=80/ tcp）HTTP（=80 /tcp）

Juniper Firewall クイック スタートアップ ガイド

- 14 -

（3）次に、下記の画面が表示されたら、任意の．．．

オブジェクト情報を入力し、【OK】ボタンをクリックします。

⇒※ 今回の設定例では、「Address Name」 は"LAN_192.168.1.0"、 「Comment」は”LAN側セグメント“、 「IP Address/ Netmask」は”192.168.1.0/24”、 「Zone」は”Trust” になります。

表 4：［Objects］→［Addresses］→［List］の設定項目

項目名 設定する内容

Address Name オブジェクト名を設定します。

Comment オブジェクトに付与するコメントを設定します。

IP Address / Netmask オブジェクトに割り当てる IP アドレス、サブネットマスクを設定します。

Zone オブジェクトが属するゾーンを設定します。

①［Objects］→［Addresses］→［List］をクリック

②プルダウン メニュー

より “Trust” を選択

③【New】ボタンをクリック

①［Address Name］、［Comment］、

［IP Address/Netmask］を入力

②プルダウンメニュ

ー③【OK】ボタンをクリック

Juniper Firewall クイック スタートアップ ガイド

- 15 -

（4）最後に、正常に任意の．．．

オブジェクトが作成されたことを確認します。

⇒※ 以上で「Trustゾーン側 オブジェクトの作成」作業は完了となります。

⇒※ 他のオブジェクトを作成する場合には、同様に（1）～（4）の作業を行ってください。

2-3 Trustゾーン側から Untrustゾーン側へのポリシー作成手順（1）オブジェクトの作成が完了したら、左部メニューにある［Policies］をクリックします。

（2）次に、下記の画面が表示されたら、「From:Trust To:Untrust」の方向を選択し、【New】ボタンをクリックします。

⇒※ 今回の設定例では、「From:Trust To:Untrust」の方向の通信は、”192.168.1.0/24” から”HTTP（=80/ tcp）”のみ通信のみを許可します。

① プルダウンメニューより、From を”Trust”To を”Untrust”に選択

②【New】ボタンをクリック

Juniper Firewall クイック スタートアップ ガイド

- 16 -

（2）次に、任意の．．．

ポリシー設定情報を設定し、【OK】ボタンをクリックします。⇒※ 今回の設定例では、通信

．．を許可するサービス．．．．．．．．．

が ”HTTP (=80/ tcp)” のみとなりますので、ポリシー設定情報は、「Source Address」は ”LAN_192.168.1.0”、 「Destination Address」は ”Any”、 「Service」は ”HTTP”、「Action」は ”Permit” となります。

⇒※ 「Logging 」設定に関しましては、お客様のご利．．用環境．．．

に応じて、．．．．．

採取する／しないをご判断ください。

表 5：主な Policiesの作成項目

項目名 設定する内容

Source Address ゾーン間で行う通信の「送信元アドレス」を設定します。

Destination Address ゾーン間で行う通信の「宛先アドレス」を設定します。

Service ゾーン間でやり取りする「サービス」を設定します。

Action ゾーン間で行う通信の”許可”や”拒否”、”トンネリング”を設定します。

Logging ログを採取します。

Position at Top 作成しましたポリシーの優先順位をトップにします。

⑤”Permit”を選択

⑥ログの採取（適宜）

⑦【Advanced】ボタンをクリック⑧【OK】ボタンをクリック

①”LAN_192.168.1.0”を選択

③”HTTP”を選択

②”Any”を選択

Juniper Firewall クイック スタートアップ ガイド

- 17 -

（3）次に、設定したポリシー（= ID 2）内容を確認します。⇒※ 設定内容を間違った場合

．．．．．．．．．．．には、［Edit］にて再度ポリシー設定を行ってください。

（4）次に、初期設定完了後に自動的に作成されたポリシー（= ID 1）を［Remove］より削除します。

注 意 ！

※ 初期設定完了後には、「From:Trust To:Untrust」方向に対して全てのサービスが”許可”されたポリシーが自動的に作成されます。

※ 任意の．．．

ポリシーを定義した際には、［Remove］より削除等を行ってください。

Juniper Firewall クイック スタートアップ ガイド

- 18 -

（10）最後に、疎通確認を行い、正常に通信ができることを確認します。⇒※ 「Options」欄のアイコンをクリックすると、設定したポリシーのログ内容が表示されます。⇒※ 以上で「Trustゾーン側から Untrust ゾーン側へのポリシー作成手順」作業は完了となります。

以上

本ガイドの著作権はソフトバンク BB株式会社に帰属します。また、掲載内容の無断転載は固くお断りいたします。

Copyright（C） SOFTBANK BB Corp. all rights reserved.

= 本書に関するお問い合わせ先 =

ソフトバンク BB ジュニパー サポート

E-Mail: SBB-juniper@supportweb.jp

※ 問い合わせの際には、事前にユーザ登録が必要となります。

あらかじめご了承ください。