Juniper SRX ハンズオンセミナー Lab 1(Setup Wizard)
〔Setup Wizard〕
- PCをDHCP有効にして、SRXのfe-0/0/2ポートにLANケーブルをつなげる
- ブラウザから http://192.168.1.1 Setup Wizardが起動
- Guided Setupを選択してNext
- Enable basic optionsを選択してNext
- [デバイス名とログインパスワード] Device Name: SRX100_X、Root Password:juniperxxx と入力してNext
- [NTPサーバー設定] IP入力し、Time Zone:プルダウンメニューからJST Japan Standard Time GMT+9:00を選択してNext
- 設定内容を確認し、Next
- セットアップを行うメッセージが表示されるので、Next
- [インターネット接続構成] 左側を選択したままNext
- [PPPoE設定] Not Applicable(PPPoE設定を行わない)を選択してNext
- [Internet zone設定] Port 0を選択後、◎Staticダイアログを選択し、Add IPボタン
- Network Address、Network Mask、Gateway、Preferred DNS Serverを入力し、Done
- 内容を確認し、□Respond to ping on Interface? をチェックし、Next
- [DMZ zone設定] Noを選択
- [Internal zone設定] 左上(Internal zoneを1つ作成する構成)を選択し、Next
- Port 2を選択後、Zone Name:Internal、Network Address:にInternal zoneのIPを入力。CIDR:欄を24に変更し、□Respond to ping on Interface?、□Enable DHCP server をチェックし、Next
- [DHCP設定] DHCP Client Pool Range:に10及び99を入力し、Done
- 設定内容を確認し、Next
- セットアップを行うメッセージが表示されるので、Next
- [License設定] Next
- [Policy設定] 既存のポリシーを選択し、Remove
- [Policy設定(Ping通信の許可)] Addボタンを押し、Policy Name:Internal_to_Internet_pingと入力し、Add
- [Policy設定(Ping通信の許可)] Protocol Name:からPINGを選択し、Done
- [Policy設定(Ping通信の許可)] 内容を確認し、Done
- [Policy設定(Ping通信の許可)] 内容を確認し、Add
- [Policy設定(HTTP通信の許可)] Policy Name:Internal_to_Internet_httpと入力し、Add
- [Policy設定(HTTP通信の許可)] Protocol Name:からHTTPを選択し、Ports 80をチェックし、Done
- [Policy設定(HTTP通信の許可)] 内容を確認し、Done
- [Policy設定(HTTP通信の許可)] 内容を確認し、Add
- [管理zone設定] Management ZonesにInternal Zoneがあること、Enable management protocols for Internal Zone:に □HTTP □SSH □HTTPS □Telnet がチェックされていることを確認し、Next
- [Dynamic VPN設定] No
- 内容を確認し、Next
- NATのセットアップを行うメッセージが表示されるので、Next
- [Source NAT設定] □Internalチェックボックスを選択し、Next
- [Source NAT設定] Source NAT:にInternalが表示されていることを確認し、Next
- Setup Wizardの完了画面が表示されるので、Next
- Apply Settingsを選択、設定をSRXに適用
〔確認〕
- [LAN接続] Applying configurationのポップアップが表示されるので、1分ほど経ったらPCのLANポートを抜き差しし、DHCPで新たにIPを取得する
- [J-Webへのアクセス] ブラウザで http://SRXのInternalのIP を入力し、ログイン画面が表示されることを確認
- [ping] SRXの向こう側の対向PCにpingし、ping(icmp)のセッションテーブルを確認
> show security flow session|no-more
- [Console/SSH接続] シリアルコンソールケーブルをSRXのコンソールポートに接続する(Console接続)か、fe-0/0/2のIPへssh接続(LAN接続)する
- [Active configurationの表示] 通常形式とSET形式で表示したconfigurationをテキストエディタ等で保存
> show configuration | no-more > show configuration | display set | no-more
Juniper SRX ハンズオンセミナー Lab 2(VPN Wizard)
〔VPN Zoneの作成〕
- Configure > Security > Zones/Screens メニューより AddボタンでZoneを追加
- Zone name:vpn、Zone type:で◎securityを選択し、OK
- vpn ZoneがType securityで追加されていることを確認
- Actions のプルダウンメニューから Commitを選択して設定を機器に適用
〔VPN Wizard〕
- Configure > Tasks > Configure VPNメニュー選択後に表示されるLanch VPN Wizardを押して開始
- ◎Site-to-Site VPN(Route based)を選択し、Startボタンを選択
- VPN Name:vpn1、Zone:Internal、Network(s):にInternal側のIP範囲を入力し、Add
- Interface:0、Interface Zone:vpn、Interface type:◎Numberedを選択し、トンネルI/F(st0.0)のIPアドレスを入力
- Public NetworkでInterface:fe-0/0/0.0、Interface type:Staticを選択し、Next
- Remote Gateway Public IP:9.9.9.1、Remote Private Network:対向側の90.90.90.0/24を入力してAdd
- 内容を確認してNext
- IKE Security Level:で◎Standardを選択、IKE Mode:◎Main、IKE Preshared Key(ASCII):juniper123
- IPSec Security Level:で◎Standardを選択、IPSec Perfect Forward Secrecy:◎group2、Dead Peer Detection □を選択し、Next
- □ Private to Public(Outgoing)、□ Public to Private(Incoming)が選択されていて、個々のApplication(s):にanyが選択されていることを確認し、Next
- 設定した内容が表示されていることを確認し、Commit
- 追加のVPN設定の有無はNo
〔Host-inbound-trafficの追加〕
- Configure > Security > Zones/Screens を選択
- Internet Zoneを選択し、Edit
- Host inbound traffic - Interfaceタブを選択し、fe-0/0/0.0インタフェースを選択し、Interface servicesからikeを選択し、→ボタン
- ikeがSelectedに表示されていることを確認し、OK
- ActionsのプルダウンメニューからCommitを選択し、設定を機器に適用
〔VPN接続の確認〕
- Monitor > IPSec VPN > Phase Iを選択し、Remote AddressへのIKE StateがUPになっていることを確認
- Monitor > IPSec VPN > Phase IIを選択し、Remote AddressへのIPSecセッション(双方向)が表示されることを確認
- LAN接続PCから対向PCにping
- Ping(icmp)のセッションテーブルを確認
> show security flow session|no-more
進化し続けるJuniper SRX ハンズオンセミナー memo
- SRX機器概要
- JUNOS概要…CLI, Operation Mode, Configuration Mode
- 導入機器設定説明…Interface設定, Zone, Security Policy, VPN, Chassis Cluster, AppSecure
セミナー環境:SRX100×8台、SRX1400×2台
- JUNOS最新版は12.1X46-D20.5 推奨は12.1X44-D35.5
- エンジンの分離
Control Plane | Routing Engine | システムオペレーション、コンフィギュレーション (ルーティング、フォワーディングテーブルの管理など) |
L3? |
Forwarding Plane | Packet Forwarding Engine | フォワーディングテーブル、ファイアウォールフィルタリング、CoSなど パケット入力→→パケット出力 |
L2? |
- Candidate Configurationを編集し、commitでActiveConfiguration
- フロント構成
fe-0/0/0:上位につなげるためのポート
fe-0/0/2:Trust zone PCと直結する(Telnet,SSH,HTTP,HTTPSが可)
●RESET CONFIG:つまようじなどで15秒以上長押しするとファクトリーリセット
- 出荷時(初期状態)root:パスなしでコンソール、Webにログイン可能
- Operation mode コマンド例とJ-Web表示例
操作 | CUI | GUI |
インタフェース | show interfaces terse show interfaces show interfaces terse detail show interfaces terse extensive |
Monitor > Interfaces 物理インタフェースを選択してDetailsボタン |
Active(Running)を表示 | show configuration | Maintain > Config Management >History |
アラームの確認 | show system alarms | Monitor > Events and Alarms > View Alarms |
ライセンスの確認 | show system license | Maintain > Licenses |
ライセンス投入 | request system license add <ファイル名> | Maintain > Licensesを選択し、Addボタンを選択してライセンスを投入 |
リブート、電源オフ | request system reboot/power-off | Maintain > Reboot |
システムステータス情報 | request support information|save <ファイル名> request support information|no-more |
該当なし |
- ソフトウェアアップグレード
1. request system software add <ファイル名> no-validate no-copy
2. Maintain > Software > Update Package
File to UploadメニューでJunosイメージをアップロード
3. Maintain > Software > Install Package
Package Locationメニューでアップロードしたファイルを選択し、Fetch and Install PackageボタンでJunos(OS)をアップグレード
- Alarm LEDの点灯
初期化時●⇒Rescue configurationとAuto recovery状態の保存で消える
> request system configuration rescue save > request system autorecovery state save
Maintain > Config Management > Rescue を選択し、Set rescue configuration
- rootパスワードの設定
# set system root-authentication plain-text-password
Configure > System Properties > System Identity を選択し、Editボタンを選択
- 物理インタフェース設定
# set interfaces fe-0/0/0 link-mode full-duplex|half-duplex # set interfaces fe-0/0/0 faster-options no-auto-negotiation
Configure > Interfaces > Ports を選択し、物理I/F fe-0/0/0 を選択してEdit
- 論理インタフェース設定
# set interfaces ge-0/0/0 unit 0 family inet address 192.168.100.50/24
Configure > Interfaces > Ports を選択し、論理I/F fe-0/0/0.0 を選択してEdit
〔Security Zoneのタイプ〕
・Functional Zone…マネージメント用。Zone間通信はすべてDrop
・Security Zone…通常はこれを選択
・Null Zone…他のゾーンに割り当てられないすべてのインタフェースが配置され、全トラフィックがReject
〔Zoneの設定手順〕
1. Security/Functional Zoneの定義
2. 論理インタフェースをZoneに配置
# set security zones security-zone <ゾーン名> interface <インタフェース名>
3. サービス/プロトコルをZoneに設定(オプション)
Zone⇒SRXのトラフィック…host-inbound-trafficで定義
# set security zones security-zone <ゾーン名> host-inbound-traffic system-services <使用するサービス>(sshなど) # set security zones security-zone <ゾーン名> host-inbound-traffic protocols <使用するプロトコル>(ospfなど)
host-inbound-trafficはinterface配下でも設定可能…InterfaceとZoneの両方で設定した場合、Interfaceに対してはInterfaceに設定されているhost-inbound-trafficのみ有効
Configure > Security > Zone/Screens を選択し、「Internal」zoneを選択してEditボタン
Edit zoneウインドウの Host inbound traffic - Interface タブを選択し、I/F fe-0/0/2.0 を選択
4. アドレスブックの作成…各Zoneのアドレス(サーバーアドレス、アドレス範囲など)を設定
# set security zones security-zone <ゾーン名> address-book <アドレスブック名> 10.10.10.5/32 または 10.10.10.0/24
5. アプリケーション設定
アプリケーション「control」を作成
# set applications application control protocol tcp # set applications application control source-port 9991 # set applications application control destination-port 9991
Configure > Security > Policy Elements > Applications を選択し、Addボタン
デフォルトのアプリケーションは以下で検索
> show groups junos-defaults applications | find <アプリケーション>
6. Security Policyの作成
# set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext match source-address <送信元アドレスブック名> # set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext match destination-address <あて先アドレスブック名> # set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext match application <アプリケーション> # set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext then permit
Configure > Security > Policy > Apply Policy を選択し、Add
・現在作成されているセッションテーブルの確認
> show security flow session
Configure > Security > Flow Session を選択し、Protocolを選択し、Searchボタン
〔Policyのオーダー(実行順)〕
・上から下に検索し、最初に一致したPolicyが適用
・一致するPolicyが無かった場合、デフォルトポリシー(Drop)が適用
・ポリシーの順番を変更する場合はinsertコマンド
# insert security policies from-zone internal to-zone external policy <ポリシー名> before|after <ポリシー名>
・パケットフロー
Destination NAT⇒Policy処理⇒Source NAT
(global address book を使う場合は注意)
〔SRXのNATの種類〕
・Source NAT(ソース(送信元)の変換)
├1 対 1(rule-set one-to-one)
├アドレス範囲 対 アドレス範囲
├PATなし(port no-transiation;)
└アドレス範囲 対 インタフェース(rule-set interface-nat、source-nat{interface;})
・Destination NAT(デスティネーション(送信先)の変換)
変換後のあて先アドレスは異なるサブネットにあるため、ARPに応答するためにproxy-arpの設定が必要(デフォルトで無効)
違うマスク長/16⇒/24の変換は通信できなくなる
・Static NAT(相互変換)
プールじゃなく、IPを直接指定
Destination NAT…Untrustから開始されたアクセスのみDestination NAT変換
Static NAT…Trsut側のServerから開始されたUntrustへのアクセスもSourceNAT変換(双方向NAT)
〔Source NATのGUIウィザードによる設定〕
1. Configure > Tasks Configure NAT を選択し、Launch NAT Wizard ボタン
2. Source NAT を選択し、Startボタン
3. Addボタン
4. Rule Name:source_nat_r1
From Zone:Internal
To Zone:Internet
Source Address:10.10.10.0/24
Destination Address:0.0.0.0/0(すべてのアドレス)
NAT To:Interface…Interface NAT/Address Range…アドレス範囲指定
5. Editを押してAddress Rangeウインドウでアドレス範囲を指定
Addresses:1.1.1.2-1.1.1.4
6. 追加されていることを確認後、Commit
〔Proxy ARPの追加〕
1. Configure > NAT > Proxy を選択し、AddメニューのProxy ARPを選択
2. Proxy ARPするInterfaceを選択し、Address/Rangeに1.1.1.11を入力し、Addボタン
〔NAT設定確認〕
> show security nat
Configure > NAT > Source NATを選択し、Source NAT Rule Setを選択
〔設定項目〕
設定項目 | CUI | GUI |
ユーザーアカウントの設定 | # set system login user kanri1 class super-user | Configure > System Properties > System Identityを選択 |
ホスト名の設定 | # set system host-name srx1 | Host名 |
タイムゾーン | # set system time-zone GMT+9 # set system time-zone Asia/Tokyo |
|
DNSサーバー設定 | # set system name-server 1.1.1.254 | DNS Server |
サービス設定 | # set system services ssh # set system services web-management http interface fe-0/0/2.0 # set system services web-management https system-generated-certificate |
Configure > System Properties > Management Access を選択 Service タブ |
DHCP | # set system services dhcp pool 10.10.10.0/24 address-range high 〜 | Configure > Services > DHCP > DHCP Service で DHCP Pools タブを選択し、10.10.10.0/24を選択 |
・ライセンスアップデート先URL設定
# set system license autoupdate url
request system license update でLicenseのアップデートが可能
・NTPサーバー設定
設定 | CUI | GUI |
参照先IPを設定 | set system ntp server |
Configure > System Properties > Date Time を選択 Editボタン |
タイムゾーン設定 | set system time-zone Asia/Tokyo set system time-zone GMT+9 |
|
同期状態確認 | show ntp associations | |
システム時刻の確認 | show system uptime |
・Screen(DDoS攻撃対策)設定
1. Screen配下でScreenの定義を行う
# set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024
2. 作成した"untrust-screen"をInternet zoneに定義
# set security zones security-zone Internet screen untrust-screen
Configure > Security ? Zones/Screens でScreenを適用するZone"Internet"を選択し、Edit
定義済みの"untrust-screen"を選択
EditでApply to ZonesでZoneへの割り当て
〔ルートベースVPN設定項目〕
・IPsec(拠点間VPN)はルートベースVPNで十分。ヤマハともつながる
・VPNトンネル用インタフェースの設定
# set interfaces st0 unit 0 family address 10.1.1.1/29
・デフォルトルートの設定
# set routing-options static route <リモート側のローカルアドレス> next-hop st0.0
・Internet Zoneの設定(IKEプロトコルの許可)
# set security zones security-zone Internet host-inbound-traffic system-services ike
・VPN Zone(アドレスブック)の設定
# set security zones security-zone vpn address-book address addr_90_90_90_0_24 90.90.90.0/24
・個々のゾーンで許可するサービス・プロトコル及び使用するインタフェースを師弟
# set security zones security-zone vpn interfaces st0.0
・IKEの設定(Policy)
# set security ike policy ike_pol_vpn1 mode main # set security ike policy ike_pol_vpn1 proposal-set standard # set security ike policy ike_pol_vpn1 pre-shared-key ascii-text "juniper123"
・IKEの設定(gateway)
# set security ike gateway gw_vpn1 ike-policy ike_pol_vpn1 # set security ike gateway gw_vpn1 address 9.9.9.1 # set security ike gateway gw_vpn1 external-interface fe-0/0/0.0
# set security ipsec policy ipsec_pol_vpn1 proposal-set standard # set security ipsec policy ipsec_pol_vpn1 perfect-forward-secrecy keys group2
・IPSecの設定(policy、gateway、インタフェース)
# set security ipsec vpn vpn1 bind-interface st0.0 # set security ipsec vpn vpn1 ike gateway gw_vpn1 # set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol_vpn1 # set security ipsec vpn vpn1 establish-tunnels immediately
・IPSecの設定(security policy)
Internal⇒VPN
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match source-address addr_10_10_10_0_24 # set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match destination-address addr_90_90_90_0_24 # set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match application any # set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match then permit
VPN⇒Internal
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match source-address addr_90_90_90_0_24 # set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match destination-address addr_10_10_10_0_24 # set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match application any # set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match then permit
・MSSの設定
# set security flow tcp-mss ipsec-vpn 1350
〔IKE・IPSecステータスの確認〕
・IKEステータス(フェーズ1)の確認
# show security ike security-associations
・IKEステータス(フェーズ1)の確認(詳細)
# show security ike security-associations index 1 detail
・IPSecステータス(フェーズ2)の確認
# show security ipsec security-associations
・IPSecステータス(フェーズ2)の確認(詳細)
# show security ipsec security-associations index 131073 detail
・IPSecステータス(フェーズ2)の確認(統計)
# show security ipsec statistics index 131073
〔Chassis Cluster(HA)〕
・コントロールプレーンソフトウェアはアクティブ/バックアップとして動作
・データプレーンソフトウェアはアクティブ/アクティブとして動作
Plane | node0 | Link | node1 |
Control Plane | アクティブ | -Control Link- | バックアップ |
Data Plane | アクティブ | -Fabric Link- | アクティブ |
・JUNOS 10.0以降のSRX100,210,220,240の工場出荷状態では、Layer 2 Ethernet switchingが有効→Chassis Clusterモードではサポートされないため、Chassis Clusterを有効にする前にEthernet switchingの設定を削除する必要がある
・Chassis Clusterのポート
ノード | reth(冗長)ポート | fabric link | 管理ポート | control link |
node0 | fe-0/0/0,fe-0/0/1 | fe-0/0/5 | fe-0/0/6 | fe-0/0/7 |
node1 | fe-1/0/0,fe-1/0/1 | fe-1/0/5 | fe-1/0/6 | fe-1/0/7 |
reth0=fe-0/0/0+fe-1/0/0
reth1=fe-0/0/1+fe-1/0/1
〔障害検知パターン〕
1. インタフェースモニタリング
・インタフェース障害(リンクダウン)時、閾値(255)−各インタフェースのWeigh値=0でフェイルオーバー
2. IPモニタリング
・インタフェースの接続先障害(リンクダウン)時、閾値(255)−各IPのWeigh値=0でフェイルオーバー
3. Control link
・Control link障害でSecondary側がDisable
・復旧にはSecondaryの再起動が必要(control-link-recovery設定で自動的に再起動できる)
4. Fabric link
・Fabric link障害でSecondary側がDisable
・復旧にはSecondaryの再起動が必要(複数ポートをFabric linkに使用することでFabric linkを冗長化できる)
5. 機器障害
検知した側(障害が生じていない)の機器がPrimaryとして動作
6. Control/Fabric link同時障害
・同時障害を検知した場合、両機器がPrimaryとなるSprit brain状態になる
・linkだけを見ているので、Control/Fabric link間にスイッチを入れているとこうなりやすい⇒Control/Fabric linkは直接結線する
〔Chassis Cluster設定手順〕(両ノード)
1. VLAN等不要設定の削除
# delete vlans # delete interfaces # delete security zones security-zone trust interfaces # delete security zones security-zone untrust interfaces # delete protocols # delete autoinstallation
2. Chassis Clusterモードの設定
# set chassis cluster cluster-id 1 node 0(1) > request system reboot
3. ホスト名と管理インタフェース(fxp0)の設定
# set groups node0 system host-name srx100node0←node0のホスト名 # set groups node1 system backup-router 8.8.8.254 destination 9.9.9.0/24←バックアップ側にルーティングテーブルが無くても通信できる
4. Fabric linkインタフェースの設定
# set interfaces fab0 fabric-option member-interfaces fe-0/0/5 # set interfaces fab1 fabric-option member-interfaces fe-1/0/5
5. RGの設定
# set chassis cluster redundancy-group 0 node 0 priority 1 # set chassis cluster redundancy-group 0 node 1 priority 100
通常は先に上がってきたほうがPrimaryになるが、preemptを付けると、priorityが高い方がPrimaryになる
# set chassis cluster redundancy-group 0 preempt
6. インタフェース・IPモニタリングの設定
# set chassis cluster redundancy-group 1 interface-monitor fe-0/0/0 weight 255 # set chassis cluster redundancy-group 1 ip-monitoring fe-0/0/0 global-weight 255
7. reth(冗長)インタフェース設定
・rethインタフェースの最大数を設定
# set chassis cluster reth-count 2
・rethインタフェースの設定
# set interfaces fe-0/0/0 fastether-options redundant-parent reth0 # set interfaces fe-1/0/0 fastether-options redundant-parent reth0 # set interfaces reth0 redundant-ether-options redundancy-group 1 # set interfaces reth0 unit 0 family inet address 1.1.1.1/24 # set interfaces fe-0/0/1 fastether-options redundant-parent reth1 # set interfaces fe-1/0/1 fastether-options redundant-parent reth1 # set interfaces reth1 redundant-ether-options redundancy-group 1 # set interfaces reth1 unit 0 family inet address 10.10.10.1/24
・rethインタフェースのZoneへの配置
# set security zones security-zone untrust interface reth0.0 # set security zones security-zone trust interface reth1.0
〔Chassis Cluster設定確認〕
> show chassis cluster status フェイルオーバー状態を確認 > show chassis cluster interfaces インタフェース状態を確認 > show chassis cluster statistics サービスとインタフェースの情報を確認 > show chassis cluster control-plane statistics > show chassis cluster data-plane statistics > show chassis cluster status redundancy-group <グループ番号>
・Chassis Clusterモードの無効化
srx100node0# set chassis cluster disable reboot srx100node1# set chassis cluster disable reboot
(参考)SRX - HA by Chassis Cluster(設定コマンド)
AppSecure:SRXシリーズ サービスゲートウェイ向けの次世代型セキュリティ機能群
・IDP:アプリケーションの攻撃シグネチャのスコープをデコーダなしで絞り込むことにより、パフォーマンスを向上
・AppTrack:デバイスを通過するアプリケーションを追跡及び報告
・AppFW:アプリケーショントラフィックのきめ細かなポリシーエンフォースメントを実現する
・AppQoS:アプリケーショントラフィックの優先度を設定して測定
・AppDoS:アプリケーションを標的とする最新型のボットネット攻撃に対して優れた制御機能を実現する
〔ライセンスとシグネチャ〕
・AppSecureを使用するには、ライセンスとシグネチャを機器にダウンロード・インストールする必要がある
・IDP機能を使用する場合⇒IDPのシグネチャでAppSecureの機能が使用できる
(AppSecureシグネチャのダウンロード・インストールは不要)
・IDP機能を使用しない場合⇒AppSecureのシグネチャでAppSecureの機能が使用できる
〔AppSecureシグネチャのダウンロード・インストール〕
> request services application-identification download ダウンロード > request services application-identification download status ダウンロード状況の確認 > request services application-identification install インストール > request services application-identification install status インストール状況の確認 > show services application-identification version バージョンの確認
〔日本語資料〕
・DAY ONE シリーズ
・設定ガイド
・データシート
- AppSecureライセンスとIDPライセンスは同額であり、IDPはAppSecureに含まれている。なのでライセンス買うなら絶対AppSecureライセンスのがお得
- 古いSRXだと昔ブートローダにバグがあり、その場合は確かにCLIでしかブートローダのバージョンアップ方法は無い
- POP3の辞書攻撃の話
・DMZに特化したテンプレートを使うと良い
・Policy > Definde でポリシーを定義する。しきい値はrecommendedにすればJuniper推奨の値にしてくれる