• SRX機器概要
• JUNOS概要…CLI, Operation Mode, Configuration Mode
• 導入機器設定説明…Interface設定, Zone, Security Policy, VPN, Chassis Cluster, AppSecure

セミナー環境：SRX100×8台、SRX1400×2台

• JUNOS最新版は12.1X46-D20.5 推奨は12.1X44-D35.5
• エンジンの分離

• Candidate Configurationを編集し、commitでActiveConfiguration
• フロント構成

　fe-0/0/0：上位につなげるためのポート
　fe-0/0/2：Trust zone　PCと直結する(Telnet,SSH,HTTP,HTTPSが可)
　●RESET CONFIG：つまようじなどで15秒以上長押しするとファクトリーリセット

• 出荷時（初期状態）root:パスなしでコンソール、Webにログイン可能

• Operation mode コマンド例とJ-Web表示例

• ソフトウェアアップグレード

1. request system software add <ファイル名> no-validate no-copy
2. Maintain > Software > Update Package
　File to UploadメニューでJunosイメージをアップロード
3. Maintain > Software > Install Package
　Package Locationメニューでアップロードしたファイルを選択し、Fetch and Install PackageボタンでJunos(OS)をアップグレード

• Alarm LEDの点灯

初期化時●⇒Rescue configurationとAuto recovery状態の保存で消える

> request system configuration rescue save
> request system autorecovery state save

Maintain > Config Management > Rescue を選択し、Set rescue configuration

• rootパスワードの設定

# set system root-authentication plain-text-password

Configure > System Properties > System Identity を選択し、Editボタンを選択

• 物理インタフェース設定

# set interfaces fe-0/0/0 link-mode full-duplex|half-duplex
# set interfaces fe-0/0/0 faster-options no-auto-negotiation

Configure > Interfaces > Ports を選択し、物理I/F fe-0/0/0 を選択してEdit

• 論理インタフェース設定

# set interfaces ge-0/0/0 unit 0 family inet address 192.168.100.50/24

Configure > Interfaces > Ports を選択し、論理I/F fe-0/0/0.0 を選択してEdit

〔Security Zoneのタイプ〕
・Functional Zone…マネージメント用。Zone間通信はすべてDrop
・Security Zone…通常はこれを選択
・Null Zone…他のゾーンに割り当てられないすべてのインタフェースが配置され、全トラフィックがReject

〔Zoneの設定手順〕
1. Security/Functional Zoneの定義

2. 論理インタフェースをZoneに配置

# set security zones security-zone <ゾーン名> interface <インタフェース名>

3. サービス/プロトコルをZoneに設定(オプション)
Zone⇒SRXのトラフィック…host-inbound-trafficで定義

# set security zones security-zone <ゾーン名> host-inbound-traffic system-services <使用するサービス>(sshなど)
# set security zones security-zone <ゾーン名> host-inbound-traffic protocols <使用するプロトコル>(ospfなど)

host-inbound-trafficはinterface配下でも設定可能…InterfaceとZoneの両方で設定した場合、Interfaceに対してはInterfaceに設定されているhost-inbound-trafficのみ有効

Configure > Security > Zone/Screens を選択し、「Internal」zoneを選択してEditボタン
Edit zoneウインドウの Host inbound traffic - Interface タブを選択し、I/F fe-0/0/2.0 を選択

4. アドレスブックの作成…各Zoneのアドレス（サーバーアドレス、アドレス範囲など）を設定

# set security zones security-zone <ゾーン名> address-book <アドレスブック名> 10.10.10.5/32 または 10.10.10.0/24

5. アプリケーション設定
アプリケーション「control」を作成

# set applications application control protocol tcp
# set applications application control source-port 9991
# set applications application control destination-port 9991

Configure > Security > Policy Elements > Applications を選択し、Addボタン
デフォルトのアプリケーションは以下で検索

> show groups junos-defaults applications | find <アプリケーション>

6. Security Policyの作成

# set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext match source-address <送信元アドレスブック名>
# set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext match destination-address <あて先アドレスブック名>
# set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext match application <アプリケーション>
# set security policies from-zone <送信元Zone> to-zone <あて先Zone> policy dmz-to-ext then permit

Configure > Security > Policy > Apply Policy を選択し、Add

・現在作成されているセッションテーブルの確認

> show security flow session

Configure > Security > Flow Session を選択し、Protocolを選択し、Searchボタン

〔Policyのオーダー(実行順)〕
・上から下に検索し、最初に一致したPolicyが適用
・一致するPolicyが無かった場合、デフォルトポリシー(Drop)が適用
・ポリシーの順番を変更する場合はinsertコマンド

# insert security policies from-zone internal to-zone external policy <ポリシー名> before｜after <ポリシー名>

・パケットフロー
　Destination NAT⇒Policy処理⇒Source NAT
　(global address book を使う場合は注意)

〔SRXのNATの種類〕
・Source NAT（ソース（送信元）の変換）
　├1 対 1（rule-set one-to-one）
　├アドレス範囲 対 アドレス範囲
　├PATなし（port no-transiation;）
　└アドレス範囲 対 インタフェース（rule-set interface-nat、source-nat{interface;}）
・Destination NAT（デスティネーション（送信先）の変換）
　変換後のあて先アドレスは異なるサブネットにあるため、ARPに応答するためにproxy-arpの設定が必要（デフォルトで無効）
　違うマスク長/16⇒/24の変換は通信できなくなる
・Static NAT（相互変換）
　プールじゃなく、IPを直接指定
　Destination NAT…Untrustから開始されたアクセスのみDestination NAT変換
　Static NAT…Trsut側のServerから開始されたUntrustへのアクセスもSourceNAT変換（双方向NAT）

〔Source NATのGUIウィザードによる設定〕
1. Configure > Tasks Configure NAT を選択し、Launch NAT Wizard ボタン
2. Source NAT を選択し、Startボタン
3. Addボタン
4. Rule Name：source_nat_r1
　From Zone：Internal
　To Zone：Internet
　Source Address：10.10.10.0/24
　Destination Address：0.0.0.0/0（すべてのアドレス）
　NAT To：Interface…Interface NAT／Address Range…アドレス範囲指定
5. Editを押してAddress Rangeウインドウでアドレス範囲を指定
　Addresses：1.1.1.2-1.1.1.4
6. 追加されていることを確認後、Commit

〔Proxy ARPの追加〕
1. Configure > NAT > Proxy を選択し、AddメニューのProxy ARPを選択
2. Proxy ARPするInterfaceを選択し、Address/Rangeに1.1.1.11を入力し、Addボタン

〔NAT設定確認〕

> show security nat

Configure > NAT > Source NATを選択し、Source NAT Rule Setを選択

〔設定項目〕

・ライセンスアップデート先URL設定

# set system license autoupdate url

request system license update でLicenseのアップデートが可能

・NTPサーバー設定

・Screen(DDoS攻撃対策)設定
1. Screen配下でScreenの定義を行う

# set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024

2. 作成した"untrust-screen"をInternet zoneに定義

# set security zones security-zone Internet screen untrust-screen

Configure > Security ? Zones/Screens でScreenを適用するZone"Internet"を選択し、Edit
定義済みの"untrust-screen"を選択
EditでApply to ZonesでZoneへの割り当て

〔ルートベースVPN設定項目〕
・IPsec(拠点間VPN)はルートベースVPNで十分。ヤマハともつながる
・VPNトンネル用インタフェースの設定

# set interfaces st0 unit 0 family address 10.1.1.1/29

・デフォルトルートの設定

# set routing-options static route <リモート側のローカルアドレス> next-hop st0.0

・Internet Zoneの設定(IKEプロトコルの許可)

# set security zones security-zone Internet host-inbound-traffic system-services ike

・VPN Zone(アドレスブック)の設定

# set security zones security-zone vpn address-book address addr_90_90_90_0_24 90.90.90.0/24

・個々のゾーンで許可するサービス・プロトコル及び使用するインタフェースを師弟

# set security zones security-zone vpn interfaces st0.0

・IKEの設定(Policy)

# set security ike policy ike_pol_vpn1 mode main
# set security ike policy ike_pol_vpn1 proposal-set standard
# set security ike policy ike_pol_vpn1 pre-shared-key ascii-text "juniper123"

・IKEの設定(gateway)

# set security ike gateway gw_vpn1 ike-policy ike_pol_vpn1
# set security ike gateway gw_vpn1 address 9.9.9.1
# set security ike gateway gw_vpn1 external-interface fe-0/0/0.0

・IPSecの設定(IPSec policy)

# set security ipsec policy ipsec_pol_vpn1 proposal-set standard
# set security ipsec policy ipsec_pol_vpn1 perfect-forward-secrecy keys group2

・IPSecの設定(policy、gateway、インタフェース)

# set security ipsec vpn vpn1 bind-interface st0.0
# set security ipsec vpn vpn1 ike gateway gw_vpn1
# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol_vpn1
# set security ipsec vpn vpn1 establish-tunnels immediately

・IPSecの設定(security policy)
Internal⇒VPN

# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match source-address addr_10_10_10_0_24
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match destination-address addr_90_90_90_0_24
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match application any
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match then permit

VPN⇒Internal

# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match source-address addr_90_90_90_0_24
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match destination-address addr_10_10_10_0_24
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match application any
# set security policies from-zone Internal to-zone vpn policy policy_out_vpn1 match then permit

・MSSの設定

# set security flow tcp-mss ipsec-vpn 1350

〔IKE・IPSecステータスの確認〕
・IKEステータス(フェーズ1)の確認

# show security ike security-associations

・IKEステータス(フェーズ1)の確認(詳細)

# show security ike security-associations index 1 detail

・IPSecステータス(フェーズ2)の確認

# show security ipsec security-associations

・IPSecステータス(フェーズ2)の確認(詳細)

# show security ipsec security-associations index 131073 detail

・IPSecステータス(フェーズ2)の確認(統計)

# show security ipsec statistics index 131073

〔Chassis Cluster（HA）〕
・コントロールプレーンソフトウェアはアクティブ／バックアップとして動作
・データプレーンソフトウェアはアクティブ／アクティブとして動作

・JUNOS 10.0以降のSRX100,210,220,240の工場出荷状態では、Layer 2 Ethernet switchingが有効→Chassis Clusterモードではサポートされないため、Chassis Clusterを有効にする前にEthernet switchingの設定を削除する必要がある

・Chassis Clusterのポート

reth0＝fe-0/0/0＋fe-1/0/0
reth1＝fe-0/0/1＋fe-1/0/1

〔障害検知パターン〕
1. インタフェースモニタリング
　・インタフェース障害（リンクダウン）時、閾値(255)−各インタフェースのWeigh値＝0でフェイルオーバー
2. IPモニタリング
　・インタフェースの接続先障害（リンクダウン）時、閾値(255)−各IPのWeigh値＝0でフェイルオーバー
3. Control link
　・Control link障害でSecondary側がDisable
　・復旧にはSecondaryの再起動が必要(control-link-recovery設定で自動的に再起動できる)
4. Fabric link
　・Fabric link障害でSecondary側がDisable
　・復旧にはSecondaryの再起動が必要(複数ポートをFabric linkに使用することでFabric linkを冗長化できる)
5. 機器障害
　検知した側(障害が生じていない)の機器がPrimaryとして動作
6. Control/Fabric link同時障害
　・同時障害を検知した場合、両機器がPrimaryとなるSprit brain状態になる
　・linkだけを見ているので、Control/Fabric link間にスイッチを入れているとこうなりやすい⇒Control/Fabric linkは直接結線する

〔Chassis Cluster設定手順〕(両ノード)
1. VLAN等不要設定の削除

# delete vlans
# delete interfaces
# delete security zones security-zone trust interfaces
# delete security zones security-zone untrust interfaces
# delete protocols
# delete autoinstallation

2. Chassis Clusterモードの設定

# set chassis cluster cluster-id 1 node 0(1)
> request system reboot

3. ホスト名と管理インタフェース(fxp0)の設定

# set groups node0 system host-name srx100node0←node0のホスト名
# set groups node1 system backup-router 8.8.8.254 destination 9.9.9.0/24←バックアップ側にルーティングテーブルが無くても通信できる

4. Fabric linkインタフェースの設定

# set interfaces fab0 fabric-option member-interfaces fe-0/0/5
# set interfaces fab1 fabric-option member-interfaces fe-1/0/5

5. RGの設定

# set chassis cluster redundancy-group 0 node 0 priority 1
# set chassis cluster redundancy-group 0 node 1 priority 100

通常は先に上がってきたほうがPrimaryになるが、preemptを付けると、priorityが高い方がPrimaryになる

# set chassis cluster redundancy-group 0 preempt

6. インタフェース・IPモニタリングの設定

# set chassis cluster redundancy-group 1 interface-monitor fe-0/0/0 weight 255
# set chassis cluster redundancy-group 1 ip-monitoring fe-0/0/0 global-weight 255

7. reth(冗長)インタフェース設定
・rethインタフェースの最大数を設定

# set chassis cluster reth-count 2

・rethインタフェースの設定

# set interfaces fe-0/0/0 fastether-options redundant-parent reth0
# set interfaces fe-1/0/0 fastether-options redundant-parent reth0
# set interfaces reth0 redundant-ether-options redundancy-group 1
# set interfaces reth0 unit 0 family inet address 1.1.1.1/24

# set interfaces fe-0/0/1 fastether-options redundant-parent reth1
# set interfaces fe-1/0/1 fastether-options redundant-parent reth1
# set interfaces reth1 redundant-ether-options redundancy-group 1
# set interfaces reth1 unit 0 family inet address 10.10.10.1/24

・rethインタフェースのZoneへの配置

# set security zones security-zone untrust interface reth0.0
# set security zones security-zone trust interface reth1.0

〔Chassis Cluster設定確認〕

> show chassis cluster status　　　フェイルオーバー状態を確認
> show chassis cluster interfaces　インタフェース状態を確認
> show chassis cluster statistics　サービスとインタフェースの情報を確認
> show chassis cluster control-plane statistics
> show chassis cluster data-plane statistics
> show chassis cluster status redundancy-group <グループ番号>

・Chassis Clusterモードの無効化

srx100node0# set chassis cluster disable reboot
srx100node1# set chassis cluster disable reboot

(参考)SRX - HA by Chassis Cluster（設定コマンド）

AppSecure：SRXシリーズ サービスゲートウェイ向けの次世代型セキュリティ機能群
・IDP：アプリケーションの攻撃シグネチャのスコープをデコーダなしで絞り込むことにより、パフォーマンスを向上
・AppTrack：デバイスを通過するアプリケーションを追跡及び報告
・AppFW：アプリケーショントラフィックのきめ細かなポリシーエンフォースメントを実現する
・AppQoS：アプリケーショントラフィックの優先度を設定して測定
・AppDoS：アプリケーションを標的とする最新型のボットネット攻撃に対して優れた制御機能を実現する

〔ライセンスとシグネチャ〕
・AppSecureを使用するには、ライセンスとシグネチャを機器にダウンロード・インストールする必要がある
・IDP機能を使用する場合⇒IDPのシグネチャでAppSecureの機能が使用できる
（AppSecureシグネチャのダウンロード・インストールは不要）
・IDP機能を使用しない場合⇒AppSecureのシグネチャでAppSecureの機能が使用できる

〔AppSecureシグネチャのダウンロード・インストール〕

> request services application-identification download　ダウンロード
> request services application-identification download status　ダウンロード状況の確認

> request services application-identification install　インストール
> request services application-identification install status　インストール状況の確認

> show services application-identification version　バージョンの確認

〔日本語資料〕
・DAY ONE シリーズ

• Day One:Junos CLIの探究
• Day One:JUNOSの基本設定
• 日本語版Day Oneブックレット一覧

・設定ガイド

• SRX GUI 設定ガイド

・データシート

• Junos OS セキュリティ設定ガイド Junos 11.4
• Junos OS for SRX Series: Release 12.1X44

• AppSecureライセンスとIDPライセンスは同額であり、IDPはAppSecureに含まれている。なのでライセンス買うなら絶対AppSecureライセンスのがお得
• 古いSRXだと昔ブートローダにバグがあり、その場合は確かにCLIでしかブートローダのバージョンアップ方法は無い
• POP3の辞書攻撃の話

・DMZに特化したテンプレートを使うと良い
・Policy > Definde でポリシーを定義する。しきい値はrecommendedにすればJuniper推奨の値にしてくれる