cw4sの手引き - juniper srx gui設定支援ツール

CW4Sの手引きJuniper SRX GUI設定支援ツール

2016年2月

ジュニパーネットワークス株式会社

CW4S目次

• 第1部：はじめに

• 第2部：ファイヤウォール機能を利用する

• 第3部：NAT機能を利用する

• 第4部：VPN機能を利用する

• 第5部：管理機能を利用する

• 初版：2015年11月11日

第１部：はじめに

CW4Sとは？

• Classic Web-interface for SRX

• NetScreen/SSGと同じ感覚で操作できるWeb UIで、SRXを設定することが可能です。

• CW4Sは オープンソース・ソフトウェアベースのフリーウェアです。（制作；RCA&LEFT様 ＆ 協力；Juniper）

– ダウンロードサイト：http://cw4s.org/

CW4Sでできること

CW4Sでは、以下のような項目の設定が可能です。

初期セットアップ

基本設定 (管理者ユーザ, SNMP, Syslog, DNS, DHCP)

インタフェース関連 (IP Address, VLAN)

スタティック・ルーティング

ファイアウォール関連

(Zone, Policy, Address Book, Applications, Screen)

NAT

VPN

PPPoE

コミット / ロールバック, 設定の比較

初期設定のシャーシクラスタ

未対応機能

UTM / IDP / AppSecure

Logging

CW4Sのメニュー一覧

CW4S - 動作概要

Netconf(over SSH)

SRX Series(JUNOS:11.4+)

PC(Win/MAC/Linux)

Java:1.7+

CW4S ブラウザ

http

• CW4Sはブラウザ経由で動作するアプリケーションです。

• CW4Sで作成した設定は、Netconfを使ってSRXに適用されます。

• 工場出荷時のSRXは、Netconfの通信を許可していないため、最低限の初期設定だけCLIから実施します。初期設定configは、CW4Sから作成できます。作成した初期設定を、SRXにコピー&ペーストするだけでCW4Sを使用できます。

CW4S - インストールから利用開始まで

1. CW4SのWebサイト(http://cw4s.org/) からファイルをダウンロードして解凍します。

2. 解凍して出来たフォルダのCW4Sのアイコンをダブルクリックし、アプリを起動します。タスクトレイにCW4Sアイコンが表示されます。

3. タスクトレイのCW4Sアイコンを右クリックして”Open”を選択すると、ブラウザが起動します。(http://localhost:9000/setup/device)

CW4S - Web UIのスタート画面

はじめて起動した画面では、以下の2つのボタンのみ表示されています。

・Initial Setup – CW4SからアクセスするためのSRXの初期設定configを作成

・Register your device – CW4Sで設定したいSRXの情報を登録

初期状態のSRXは、Netconfを許可していないためCW4Sからアクセスすることができません。

まずは初期設定configを作成するため、Initial Setupボタンをクリックします。

SRX初期設定の前に – CLIの準備

CW4S用の設定を追加するため、パソコンからコンソールケーブルを使ってSRXのコンソールポートに接続します。

Terminalソフトを立ち上げ、SRXのCLIにアクセスします。

Terminalから、rootユーザーでログインします(初期状態ではパスワードなし)。

プロンプトが表示されたら、cliと入力すると、>に表示がかわります。

この状態で設定準備は完了です。CW4Sで初期設定configの作成に進みます。

Amnesiac (ttyu0)

login: root

--- JUNOS 12.1X46-D10.2 built 2013-12-18 02:03:20 UTC

root@%

root@% cli

root>

root>

SRX初期設定 (1) – CW4S初期設定configの作成

Initial setupの画面から、初期設定を作成します。

1. Platformから、設定を行うSRXをプラットフォームを選択します。

2. ルートパスワードを設定します。

3. SRXのホスト名を設定します。

4. Security Zoneを作成します。初期設定時はデフォルトから変更不要です。

5. インタフェースの設定を追加します。Addをクリックし、設定するインタフェースを選択します。

6. (オプション) VLANを作成し、L3スイッチとして動作させる設定作成も可能です。

SRX初期設定 (2) – CW4S初期設定configの作成

PCを接続するインタフェースを選択 IPアドレスを手動で設定するか、DHCPで取得するかを設定

Security Zoneはtrustを選択

VLAN名とVLAN IDを設定 VLAN間ルーティングをさせるL3インタフェースの設定

VLANに参加するアクセスポートを設定

SRX初期設定 (3) – CW4S初期設定configの適用

7. Generate Configurationボタンをクリックすると、SRXの初期設定configが作成されます。※設定をやり直したい場合はClearボタンをクリックすると、設定がクリアされます

8. 作成したconfigをSRXにコピー&ペーストします。(出荷時・設定済configは上書きされます)設定が保存され、CW4Sからアクセス可能になります。

CW4Sを動作させるパソコンのネットワーク設定

パソコンとSRXをイーサネットケーブル(LANケーブル)で、初期設定したTrustポートに接続します。ストレートケーブルでもクロスケーブルでも構いません。

TCP/IP設定でIPアドレスを設定し、SRXと疎通がとれることを確認します。SRXとパソコンがネットワークレベルで正しく接続されているかを確認するには、 初期設定時に設定したIPアドレスに対してpingで応答が返ってくるのをチェックします。

たとえばge-0/0/1に192.168.1.1を設定した場合は、ping 192.168.1.1と実行します。

イーサネットケーブル

左からge-0/0/0 ～ ge-0/0/7SRX220の場合

コンソールポート

CW4S初期設定 (1) – SRXの登録

スタート画面に戻り、Register your deviceボタンをクリックし、SRXを登録します。

登録したいSRXの基本情報を入力し、Registボタンをクリックします。

・name – CW4S上でのデバイス名

・hostname/ip address – IPアドレス、またはホスト名(DNSによる名前解決が必要）

・username –ユーザー名 (root)

・password – パスワード (root password)

CW4S初期設定 (2) – SRXの登録

登録が完了すると、登録済みデバイスの一覧が表示されます。

設定したいSRXのHomeリンクをクリックし、GUIの画面を表示します。

もしアクセスに失敗した場合は、以下の点を確認してください。

・PCからSRXのIPアドレスに疎通がとれているか

・作成した初期設定が正しく反映されているか

CW4S初期設定 (3) – SRXの登録

正常にアクセスができると、メニュー画面が表示されます。

SRX設定時の注意 - commitについて

Netscreen/SSGのScreenOSと異なり、SRXはJunosで稼動しています。

Junosでは設定変更は即時反映されません。変更を確定する処理として‘commit’が必要です。

CW4Sでは、画面右上にcommit用のメニューが用意されています。

・Rollback – CW4S上での設定変更をいったんクリアし、もとの状態に戻します。

・Sync – 現在稼働中のSRXのconfigをCW4Sにコピーし、状態を同期します。

・Commit – commitを実行します。commit完了後に設定が有効化されます。

設定変更後はcommitを実行し忘れないように注意しましょう。

※以降のページではcommitの説明は省略しています

Running ConfigCandidate Config Change

CHECK !

COMMIT !!

Candidate Config

基本設定 – 管理者ID/パスワード設定Configuration > Admin > Administrators

SRXの管理者IDとパスワードを設定します。

Newボタンから、root以外のユーザーを新規に作成することが可能です。

新規ユーザーを作成

パスワード・特権レベルの変更

ユーザー名を設定

パスワードを設定

同じパスワードを再入力

ユーザーに設定する特権レベルを選択

基本設定 – インタフェース設定Network > Interfaces (List)

IPアドレス等、各インタフェースの詳細設定を行います。Newボタンで新規に設定を追加します。

インタフェース設定を変更する

新規設定を追加

基本設定 – 新規インタフェース設定Network > Interfaces (List) > Configuration

設定したいインタフェース名とunit番号(通常は0)を選択

アサインしたいSecurity Zoneを選択

IPアドレスとサブネットマスクを設定

VLAN tagの設定

Check Allでサービスを全許可もし許可したくないサービスがあれば個別にチェックを外す

基本設定 – インタフェース設定変更Network > Interfaces > Edit

Security Zoneの変更

IPアドレスの取得方法を選択

MTUサイズの変更

PPPoE用の設定を作成します

基本設定 – PPPoEインタフェース設定Network > PPPoE > Edit

PPPoE方式でISPに接続する場合は、PPPoE Profileを作成し、インタフェースとひもづけます。Unit番号を選択します(0から)

ひもづける物理インタフェースを指定します

ISPからの情報にあわせて、ユーザー名・パスワード・認証方式を設定します

ひもづけたインタフェースはpp0.xとして表示されます

基本設定 – DHCPクライアント設定Network > Interfaces > Edit

DHCPサーバからIPアドレスを取得したい場合は、インタフェース設定でEditをクリックし、

‘Obtain IP using DHCP’を選択します。

基本設定 – ユーザLANネットワークDHCP設定Network > DHCP (List)

LANネットワーク向けに、SRXをDHCPサーバとして動作させるかどうか設定します。

DHCPサーバを有効化したいインタフェースのEditリンクをクリックします。

基本設定 – インタフェース設定確認Network > DHCP > Edit

DHCPサーバを有効にします

配布するアドレスレンジを入力

リース期間を入力します無期限の場合はUnlimitedを選択します

デフォルトゲートウェイのアドレス

DNSサーバのIPアドレス

必要な設定を入力し、OKをクリックします。

有効化されると、NoneからServerにステータスがかわります。

基本設定 – 設定確認Config

Commitする前に、CW4Sで設定した内容と、configとの差分をXML形式で確認できます。

Candidate Config – 編集前のconfig Editing Config – CW4Sで編集中のconfig

差分チェック

差分のある箇所は自動的にハイライト（commitすると差分はなくなります）

第2部:ファイアウォール機能を利用する

ファイアウォール処理による転送動作

• SRXは用途によってパケットの転送方法をデバイス単位で選択する事が出来ます。

• フローモード ： ステートフルインスペクションファイアウォールとして動作

• パケットモード ： ルータ/スイッチとして動作

• SRXをファイアウォール/VPN機器として利用する場合には、フローモードを選択します。

• デフォルトではフローモードで設定されています。

• パケットモードはトランスペアレントモード時でも対応。

フローモード パケットモード

SRX100/210/220/240/550/650 対応（デフォルト） 対応

SRX1400/3000/5000シリーズ 対応 未対応

【 参考: SRX製品毎の転送モード対応状況(12.3X48) 】

* ScreenOSはフローモードのみに対応

ゾーン、インタフェースの考え方 – SCREENOSとの違い

• 複数のフォワーディングモードを持つことから、SRXでは論理的な設定対象の考え方がScreenOSと異なり、フォワーディング関連の設定対象とセキュリティ系の設定対象が分離されています。

バーチャルルータ

ゾーン

インタフェース

IPアドレス

ScreenOS ルーティングインスタンス

インタフェース

IPアドレス

JUNOS

ゾーン

インタ

フェース

JUNOSではルーティングインスタンスがゾーンから分離

ルーティングインスタンスとは

• ScreenOSのバーチャルルータは、JUNOSではルーティングインスタンスと呼ばれます。

• JUNOSでは、前述の通り、ルーティングインスタンスがゾーンから分離さているため、デフォルトではマスターのルーティングインスタンス(ipv4ではinet.0)のみが存在します。

• 全てのインタフェースは、デフォルトでマスターのルーティングインスタンスに含まれています。ルーティングテーブルを分ける必要ある場合には、新規にルーティングインスタンスを作成します。

セキュリティゾーンとは?

• セキュリティゾーンとは、インタフェースに割り当てる仮想的なグループです。

• SRXでは主にセキュリティゾーンを使ってトラフィックを制御します。トラフィック制御に用いるポリシー(後述)でチェックするのは入力ゾーンから違うゾーンへの通信、もしくは入力ゾーンと同じゾーンの通信です。

• セキュリティゾーンは、下記の二つの種類が存在します。

• ファンクショナルゾーン(Functional zone)主にマネージメントの為のゾーンで、このゾーンで受信したトラフィックが転送されることはありません。SRXでは、ScreenOSと異なり、多くの機器に専用の管理インタフェースとなるfxp0が供されていることもあり、ほとんどの場合でFunctional zoneを意識する必要はありません。

• セキュリティゾーン(Security zone)ファイアウォールを通過するトラフックに対して制御するためのゾーン。通常ゾーンといった場合には、このセキュリティゾーンを示します。ファイアウォールポリシーは、セキュリティゾーン間で設定されることになります。工場出荷時の設定では、以下のセキュリティーゾーンが定義されています。

• untrust ： インターネット(外部)との接続用

• trust ： 内部接続用

ファイアウォール機能（１）ー初期設定

• SRXでの初期インタフェース設定は以下の通りです。

• f(g)e-0/0/0.0初期設定ではuntrustゾーンに設定されています。

• vlan.0初期設定ではインタフェースfe-0/0/1～fe-0/0/7がバインドされており、同一vlanに所属する物理インタフェース間はスイッチのようにブリッジ転送されます。vlanに所属させる物理インタフェースは任意に設定可能です。

ファイアウォール機能（2）－VLANの設定

Editをクリック

ファイアウォール機能（3）－VLANの設定

Bind Portをクリック

ファイアウォール機能（4）－VLANの設定

vlanに参加/除外させたいポートを選択する

設定をしたらOKをクリック

ファイアウォール機能（5）－IPアドレスを設定

IPアドレスを設定

ゾーンを設定

ファイアウォール機能（6）－IPアドレスの確認

設定しIPアドレスである事を確認

ファイアウォール機能（7）－セキュリティポリシー

SRXではゾーン間をまたぐ、または同一ゾーン内のトラフィックを制御します。

初期設定ではtrustからuntrust方向への全てのトラフィックを許可する設定となっています。

ファイアウォール機能（8）－セキュリティポリシーの考え方

• ポリシーのルールに従ってトラフィックを許可します。

• Source – Address BookまたはAddress Group• Destination - Address BookまたはAddress Group• Service – Pre-defined Service, Custom ServiceまたはCustom ServiceGroup

Src IP10.1.10.5

Dest IP1.1.70.250

Protocol06

Src Port36033

Dest Port80

Data#@$%D

ファイアウォール機能（9）－セキュリティポリシー設定

送信元ゾーンを設定 送信先ゾーンを設定 Newをクリック

ファイアウォール機能（9）－セキュリティポリシー設定

ポリシー名を設定

送受信アドレス、サービス(ポート番号)を設定

上記で設定したトラフィックに対するActionを設定

ファイアウォール機能（10）－オブジェクトとは

• オブジェクト(アドレスグループ、サービスグループ)を作成すると、グループ内の各アドレス、サービスに対して個々に内部ポリシーを作成します。

• オブジェクトを使用する事で、作成するポリシーを少なくすることが可能です。

オブジェクトを設定

ファイアウォール機能（11）－アドレスブックの作成

Policy – Policy Elements – Addresses – ListでNewをクリックして、アドレスブックを作成します。

ファイアウォール機能（12）－アドレスグループの作成

Policy – Policy Elements – Addresses – GroupsでNewをクリックして、アドレスグループを作成します。

アドレスグループ名を設定

アドレスグループに参加させたいオブジェクトを左のボックスに移動

ファイアウォール機能（13）－カスタムサービス

SRXでは定義済みサービス以外で新規にサービスを作成する事が可能です。Policy – Policy Elements – Services – CustomでNewをクリックして、カスタムサービスを作成します。

定義済みサービスは、 Policy – Policy Elements – Services – Predefinedで確認が可能です。

ファイアウォール機能（14）－サービスグループの作成

Policy – Policy Elements – Services – GroupsでNewをクリックして、サービスグループを作成します。

サービスグループに参加させたいオブジェクトを左のボックスに移動

サービスグループ名を設定

スタティックルートの設定

ネットワークの設定

上図のようにルータやスイッチを介して、別のIPネットワークが存在する場合、これをSRXに学習させる方法は以下の2通りがあります。

• スタティックルートを設定する。

• ダイナミックルーティングを設定する。(本書では触れません)

WAN

ネットワークアドレス172.16.1.0サブネットマスク255.255.255.0

ルータまたはスイッチ

自宅またはオフィス

インターネット

ネットワークの設定：設定例

必要な情報

• SRXに学習させたい全てのネットワークアドレスとそのサブネットマスク

• 例：172.16.1.0/24

• LAN側ルータ/スイッチのSRX側のインタフェースアドレス

• 例：192.168.1.254この時、SRXのLAN側のインタフェースアドレスはルータ/スイッチのSRX側のインタフェースアドレスと同じサブネットに設定されている必要があります。

WAN

ネットワークアドレス172.16.1.0サブネットマスク255.255.255.0

ルータまたはスイッチ

自宅またはオフィス

インターネット

172.16.1.0/24をSRXに手動で学習させる方法

インタフェースアドレス例：192.168.1.254

ルーティングを設定する（1）－スタティックルートの設定

Network – Routing – DestinationでNewをクリックして、スタティックルートを設定します。

ルーティングを設定する（2）－スタティックルートの設定

登録したいネットワークを設定

LAN側ルータ/スイッチのSRX側インタフェースアドレスを設定

ルーティングを設定する（3）－スタティックルートの設定

登録したネットワークとゲートウェイを確認

間違っていた、または不要な場合にはRemoveで削除

第3部:NAT機能を利用する

• インターネットに接続された企業などで、一つのグローバルIPアドレスを複数のコンピュータで共有する技術です。組織内でのみ通用するIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)を透過的に相互変換することにより実現されます。グローバルIPアドレスを節約できますが、一部のアプリケーションソフトが正常に動作しなくなるなどの制約があります。

NAT(Network Address Translation)とは？

NetScreen/SSGとSRXのNAT機能との対比

NetScreen/SSGが実装していたNATの機能は、SRXでも全て対応可能ですが、下記表のように名称が変更されています。

NetScreen/SSG SRX CW4S上の表記

DIP (Src-NAT) Source NAT using an

address Pool

srcNAT

Interface NAT Source NAT srcNAT

MIP Static NAT staticNAT

VIP Destination NAT dstNAT

DIP (Dst-NAT) Destination NAT 非サポート

• ソースネットワークアドレス変換では、あるソースIPアドレスを別のアドレスに変換するという処理を行います。(下記の図を参照)変換後のアドレスは、動的IP(SrcNAT(DIP))プール、またはSRXデバイスの出力インタフェースから取得します。DIPプールから取得する場合、その具体的なアドレスは不定である場合と、予測がつく場合があります。すなわち、SrcNAT(DIP)プールに確保されている中からランダムに選ぶか、あるいは元のソースIPアドレスから所定の計算により求めることになります。出力インタフェースから変換後のアドレスを取得した場合は、すべてのパケットについて、ソースIPアドレスを当該インタフェースのIPアドレスに変換します。

ソースネットワークアドレス変換/SrcNAT(DIP)とは？

• この例では、Untrustゾーンに向かうインタフェースであるge-0/0/2に、SrcNAT(DIP)プールを定義しています。このSrcNAT(DIP)プールにはIPアドレスが1.1.1.30 だけしかないため、自動的にPATが有効になります。ここで、SRXデバイスが次のような処理をするよう、ポリシーを設定します。• Trustゾーンのすべてのアドレスから、UntrustゾーンのすべてのアドレスへのHTTPトラフィックを許可。• IPパケット中のソースIPアドレスは、DIPプールに唯一存在する1.1.1.30に変換。• ソースIPアドレスおよびポート番号を変換したHTTPトラフィックを、ge-0/0/2経由でUntrustゾーンに

転送。

ge-0/0/1

10.1.1.1/24

ソースネットワークアドレス変換/SrcNAT(DIP)適用例

ge-0/0/2

1.1.1.1/24

NATを利用する (1) －ソースネットワークアドレス変換設定

Network -> Interfaces-> Listをクリック

Newをクリック

NATを利用する (2) －ソースネットワークアドレス変換設定

OKをクリック

インタフェースを選択

ゾーンを選択

IPアドレス及びサブネットを設定

NATを利用する (3) －ソースネットワークアドレス変換設定

作成したインタフェースのEditをクリック

NATを利用する (4) －ソースネットワークアドレス変換設定

srcNAT(DIP)をクリック Newをクリック

NATを利用する (5) －ソースネットワークアドレス変換設定

OKをクリック

アドレス変換するアドレスを入力(1.1.1.30)

Set Proxy Arpを選択

NATを利用する (6) －ソースネットワークアドレス変換設定

trustを選択

Policy -> Policiesをクリック

untrustを選択

Newをクリック

NATを利用する (7) －ソースネットワークアドレス変換設定

ポリシー名を入力

any-ipv4を選択

any-ipv4を選択

junos-httpを選択

Permitを選択

OKをクリック

NATを利用する (8) －ソースネットワークアドレス変換設定

Advancedをクリック

NATを利用する (9) －ソースネットワークアドレス変換設定

Source Translationを選択 srcNAT(DIP)で設定した内容を選択

OKをクリック

設定を反映させるため、Commitをクリック

Static NAT(MIP)とは？

• Static NAT(マップ IP/MIP)とは、ある IP アドレスから別の IP アドレスに、1 対 1 で直接対応づけるマッピングのことです。SRXは、宛先が MIP であるトラフィックを受け取ると、その Static NAT(MIP)に対応するアドレスのホストに転送します。

• Static NAT(MIP)は実際には、静的な宛先アドレス変換、すなわち、IP パケットヘッダー中の宛先 IP アドレスを別の IP アドレスに、固定的に対応づける変換です。逆に MIP ホストがアウトバウンドトラフィックを発信した場合、SRXはソース IP アドレスの方を MIP アドレスに変換します。このように、対称性を持つ両方向の変換である点で、ソースアドレス変換 (Src-NAT) や宛先アドレス変換 (Dst-NAT) とは動作が異なります

ココにアドレス変換の絵を入れる

Static NAT(MIP)適用例

• ge-0/0/0 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。• ge-0/0/1を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。• Untrust ゾーンに属する 1.1.1.5 向けの HTTP トラフィックを、Trust ゾーンの 10.1.1.5 が割り当てられた

Web サーバーに向ける MIP/Static NAT を設定します。

• Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する MIP/Static NAT (したがって MIP が指すアドレスを持つホスト) への HTTP トラフィックを許可するポリシーを定義します。セキュリティゾーンはすべてtrust-vr ルーティングドメインにあります。

ココにアドレス変換の絵を入れる

① 宛先が 1.1.1.5 であるトラフィックが ethernet2 に到達

② SRXは ethernet2 上で MIPのルートを検索し、1.1.1.5から 10.1.1.5 に変換

③ 10.1.1.5 に向かうルートを検索し、ethernet1 にトラフィックを転送

②③

ge-0/0/1

ge-0/0/0

NATを利用する – StaticNAT(MIP) 設定

Untrustゾーンを選択

IPアドレス及びサブネットマスクを設定

Network -> Interface -> Listをクリック

設定が終わったらOKボタンを押す

NATを利用する – StaticNAT(MIP) 設定

Static NAT(MIP)をクリック

Network -> Interface -> Listをクリック

NATを利用する – StaticNAT(MIP) 設定

StaticNAT(MIP)を行うアドレスと転送するホストのアドレス及びサブネットマスクを設定

Proxy Arpを選択

設定が終わったらOKボタンを押す

NATを利用する – StaticNAT(MIP) 設定

Policy -> Policiesをクリック

ポリシー名を設定

anyを選択

MIPを選択

HTTPを選択

Permitを選択

設定が終わったらOKボタンを押す

NATを利用する – StaticNAT(MIP) 設定

設定を反映させるため、Commitをクリック

DstNAT(VIP)とは？

• DstNAT(VIP)とは、ある（公開用）IPアドレスと宛先サービスポート番号（TCPやUDP）の組み合わせと（ローカル）IPアドレスと待ち受けサービスポート番号をマッピングするアドレス変換機能です。

• SRXがDstNATサービス宛ての通信を受信すると、登録されているポートに対応したホストへトラフィックを転送します。

• StaticNAT(MIP)と異なる点としては、1対Nのアドレス変換機能である点です。これは、同一のIPアドレス宛ての通信であっても、サービスポート番号が異なれば、別のホストへアドレス変換が可能です。

ge-0/0/2, ge-0/0/1,

DstNAT(VIP)適用例• ge-0/0/1 を Trust ゾーンにバインドし、IP アドレスとして 10.1.1.1/24 を割り当てます。• ge-0/0/2 を Untrust ゾーンにバインドし、1.1.1.1/24 という IP アドレスを割り当てます。• Untrust ゾーンに属する 1.1.1.3 向けの HTTP トラフィック(TCP:80)を、Trust ゾーンの

10.1.1.10:80 が割り当てられた Web サーバーに向ける DstNAT（VIP）を設定します。• Untrust ゾーンに属する 1.1.1.3 向けの FTP トラフィック(TCP:21)を、Trust ゾーンの

10.1.1.20:21 が割り当てられた FTP サーバーに向ける DstNAT(VIP) を設定します。• Untrust ゾーンの任意のアドレスから、Trust ゾーンに属する VIP (したがって VIP が指すアドレス

を持つホスト) への HTTP およびFTPトラフィックを許可するポリシーを定義します。

ge-0/0/2, ge-0/0/1,

DstNAT(VIP)適用例

設定したインタフェースの“Edit”をクリック

Interfaces -> Listをクリック

DstNAT(VIP)適用例

dstNAT(VIP)をクリックする

DstNAT(VIP)適用例

“New VIP Service”をクリックする

DstNAT(VIP)適用例

公開用IP(VIP)アドレスを指定

VIPの待ち受けポート番号を指定

マッピングするポート番号を指定

マッピングするホストのIPを指定

設定が完了したら”OK”をクリック

Proxy Arpを選択

DstNAT(VIP)適用例

公開用IP(VIP)アドレスを指定

VIPの待ち受けポート番号を指定

マッピングするポート番号を指定

マッピングするホストのIPを指定

設定が完了したら”OK”をクリック

Proxy Arpを選択

DstNAT(VIP)適用例

設定内容を確認する

DstNAT(VIP)適用例

通信を許可するZoneを選択

Policiesをクリック

Newをクリック

DstNAT(VIP)適用例

ポリシー名を設定

anyを選択

VIPを選択

HTTPを選択

Permitを選択

設定が終わったらOKボタンを押す

DstNAT(VIP)適用例

ポリシー名を設定

anyを選択

VIPを選択

HTTPを選択

Permitを選択

設定が終わったらOKボタンを押す

DstNAT(VIP)適用例

設定内容を確認する

設定を反映させるためCommitをクリックする

第4部:VPN機能を利用する

LAN1

VPN接続形態

• SRXシリーズがサポートするIPSec VPN接続形態は、大きく分けて以下の3つ方法があります。

• CW4Sバージョン1.0では、これらの内、サイト間（LAN間）VPNの設定をサポートします。

LAN2

LAN1

Internet

サイト間VPN

LAN1

Internet

リモートアクセスVPN

LAN2

ハブ&スポークVPN

LAN3 LAN4

Internet

サイト間VPNについて

• サイト間VPNは対向のゲートウェイのIPアドレスタイプによって設定が一部異なります。• 対向のゲートウェイのグローバルIPアドレスが分かっている

• 対向のゲートウェイのIPアドレスは動的であるため特定できない

• SRXシリーズではポリシーベースVPNとルートベースVPNの2通りのVPN設定方法が可能ですが、CW4SはルートベースVPNの設定のみサポートしています。

IPSec VPN構築例

• 10.10.10.0/24 (Sunnyvale) から192.168.168.0/24 (Chicago) へのIPSec VPNトンネルを構築します。

リモートサイト

ローカルサイト(Trustゾーン)

Internet(Untrustゾーン)

ge-0/0/1.0 10.10.10.1

10.10.10.10

ge-0/0/3.0 1.1.1.2/30

st0.010.11.11.10/24VPN-Chicagoゾーン

2.2.2.2/30

192.168.168.1

192.168.168.10

10.10.10.0/24

192.168.168.0/24

Sunnyvale

Chicago

サイト間VPN設定手順

1. Untrustゾーン、Trustゾーン、VPN-Chicagoゾーンを作成します。• Network > Zones

2. 各セキュリティゾーンにインタフェースを作成します。• Network > Interfaces > List

3. リモートサイト向けのルーティングを設定します。• Network > Routing > Destination

4. [オプション] IKEフェーズ1プロポーザルを作成します。• VPNs > AutoKey Advanced > P1 Proposal

5. IKEフェーズ1（IKEポリシーおよびIKEゲートウェイ）を設定します。• VPNs > AutoKey Advanced > Gateway

6. [オプション] IKEフェーズ2プロポーザルを作成します。• VPNs > AutoKey Advanced > P2 Proposal

7. IKEフェーズ2（IPSecポリシーおよびIPSec VPN）を設定します。• VPNs > AutoKey IKE

8. Trustゾーン～VPN-Chicagoゾーン間にサイト間VPN通信を許可するためのセキュリティポリシーを設定します。• Policy > Policy Elements > Addresses > Lists• Policy > Policies

VPN機能を設定する (1) – セキュリティゾーンの作成

• Untrust / Trust / VPN-Chicagoの各セキュリティゾーンを作成する

セキュリティゾーン: “Untrust”, “Trust”, “VPN-Chicago”作成方法は第2部を参照のこと

Network > Zones

設定内容を確認できたらCommitをクリック

VPN機能を設定する(2) – インタフェースの作成

• ローカル側インタフェース（Trustゾーン）、インターネット側インタフェース（Untrustゾーン）を作成する

Interfaces > List をクリック

Sub-IFを選択し、Newをクリック

VPN機能を設定する(3) – インタフェースの作成

• ローカル側インタフェース（Trustゾーン）を作成する

TrustゾーンのインタフェースとIPアドレスを入力

入力がおわったらOKボタンを押す

VPN機能を設定する(4) – インタフェースの作成

• インターネット側インタフェース（Untrustゾーン）を作成する

Trustゾーンと同様にUntrustゾーンのインタフェースとIPアドレスを入力

Untrustゾーンのインタフェースでは”ike”にチェックを入れること

入力がおわったらOKボタンを押す

VPN機能を設定する(5) – インタフェースの作成

• トンネルインタフェース（VPN-Chicagoゾーン）を作成する

Tunnel IFを選択し、Newをクリック

Interfaces > List

VPN機能を設定する(6) – インタフェースの作成

• トンネルインタフェース（VPN-Chicagoゾーン）を作成する

トンネルインタフェースの論理ユニット番号: “0”

トンネルインタフェースのIPアドレス:“10.11.11.10/24”

※ Unnumbered（IPアドレス無し）として設定することも可能

入力がおわったらOKボタンを押す

トンネルインタフェースのセキュリティゾーン:“VPN-Chicago”

VPN機能を設定する(7) – インタフェースの作成

• インタフェースを作成する

VPNに関連するインタフェースが正しく登録されていることを確認

Interfaces > List

設定内容を確認できたらCommitをクリック

VPN機能を設定する(8) – ルーティングの追加

• インターネット宛てのルーティングを追加する

Routing > Destination

以下のアドレスオブジェクトを作成※作成方法は第2部参照のことIP/Netmask: 0.0.0.0/0, Gateway: 1.1.1.1

VPN機能を設定する(9) – ルーティングの追加

• リモートサイト宛てのルーティングを追加する

Routing > Destinationをクリック

Newをクリック

VPN機能を設定する(10) – ルーティングの追加

• リモートサイト宛てのルーティングを追加する

リモートサイトのIPアドレスプレフィックス:“192.168.168.0/24”

入力がおわったらOKボタンを押す

ネクストホップインタフェース:“st0.0”（トンネルインタフェース）

VPN機能を設定する(11) – ルーティングの追加

• リモートサイト宛てのルーティングを追加する

入力したスタティックルートが正しく登録されていることを確認

設定内容を確認できたらCommitをクリック

Routing > Destination

VPN機能を設定する(12) – IKEフェーズ1の設定

• IKE フェーズ1プロポーザルを作成する（Predefined プロポーザルセットを使用する場合は作成不要）

VPNs > AutoKeyAdavanced > P1 Proposal をクリック

Newをクリック

VPN機能を設定する(13) – IKEフェーズ1の設定

• IKE フェーズ1プロポーザルを作成する

IKEフェーズ1プロポーザル名:“ike-phase1-proposal”

認証メソッド:“Preshare” （pre-shared-keyを使用）

DHグループ: “Group-14”※ CW4S 1.0ではJunos 12.1X45-D10以降で追加された group19 / group20 / group24 をサポートしていません。CLIから設定してください。

暗号化アルゴリズム:“AES-CBC (128bits)” (aes-128-cbc)

認証アルゴリズム: “SHA2_256” (sha-256）※ CW4S 1.0ではJunos 12.1X45-D10で追加された sha-384をサポートしていません。CLIから設定してください。

ライフタイム: “28800”

入力がおわったらOKボタンを押す

VPN機能を設定する(14) – IKEフェーズ1の設定

• IKE フェーズ1プロポーザルを作成する

VPNs> AutoKey Adavanced> P1 Proposal

IKE フェーズ1プロポーザルが追加されていることを確認

VPN機能を設定する(15) – IKEフェーズ1の設定

• IKEフェーズ1（IKEポリシーとIKEゲートウェイ）を設定する

VPNs > AutoKeyAdavanced > Gateway をクリック

Newをクリック

• IKEフェーズ1（IKEポリシーとIKEゲートウェイ）を設定する

VPN機能を設定する(16) – IKEフェーズ1の設定

ゲートウェイ名: “gw-chicago”

IKEバージョン: ”v1”

リモートゲートウェイのIPアドレス:”2.2.2.2”

preshared key: ”395psksecr3t”

リモートサイトへのVPN通信が出ていくインタフェース:” ge-0/0/3.0”

IKEフェーズ1プロポーザルセット:”Custom policy.proposal_set”,“ike-phase1-proposal”

• IKEフェーズ1（IKEポリシーとIKEゲートウェイ）を設定する（つづき）

VPN機能を設定する(17) – IKEフェーズ1の設定

動作モード: “Main”

入力がおわったらOKボタンを押す

• IKEフェーズ1（IKEポリシーとIKEゲートウェイ）設定を確認する

VPN機能を設定する(18) – IKEフェーズ1の設定

VPNs> AutoKey Adavanced> Gateway

IKE フェーズ1設定が追加されていることを確認

設定内容を確認できたらCommitをクリック

VPN機能を設定する(19) – IKEフェーズ2の設定

• IKE フェーズ2プロポーザルを作成する（Predefinedを使用する場合は作成不要）

VPNs > AutoKeyAdavanced > P2 Proposal をクリック

Newをクリック

VPN機能を設定する(20) – IKEフェーズ2の設定

• IKE フェーズ2プロポーザルを作成する

IKEフェーズ2プロポーザル名:”ipsec-phase2-propsal”

プロトコル: “esp”

暗号化アルゴリズム: “AES-CBC(128 Bits)”※ CW4S 1.0ではJunos 12.1X45-D10で追加された aes-128-gcm / aes-192-gcm / aes-256-gcmをサポートしていません。CLIから設定してください。

認証アルゴリズム:“SHA2_256(128 Bits)” (hmac-sha-256-128)

入力がおわったらOKボタンを押す

VPN機能を設定する(21) – IKEフェーズ2の設定

• IKE フェーズ2プロポーザルを作成する

IKE フェーズ2プロポーザルセットが追加されていることを確認

VPNs> AutoKey Adavanced> P2 Proposal

VPN機能を設定する(22) – IKEフェーズ2の設定

• IKEフェーズ2（IPSecポリシーとIPSec VPN）を設定する

VPNs > AutoKey IKEをクリック

Newをクリック

VPN機能を設定する(23) – IKEフェーズ2の設定

入力がおわったらOKボタンを押す

IPSec VPN名:”ike-vpn-Chicago”

リモートゲートウェイ:”gw-chicago” （フェーズ1で作成したゲートウェイ）

バインドインタフェース:”st0.0” （トンネルインタフェース）

IKEフェーズ2プロポーザルセット:”Custom policy.proposal_set”,“ipsec-phase2-proposal”

Perfect Forward Secrecy:”DH Group 14” （group14）

VPN機能を設定する(24) – IKEフェーズ2の設定

VPNs > AutoKey IKE

IKE フェーズ2設定が追加されていることを確認

設定内容を確認できたらCommitをクリック

VPN機能を設定する(25) – セキュリティポリシーの設定

• アドレスブックを作成する

Policy > Policy Elements > Addresses > List

以下のアドレスオブジェクトを作成※作成方法は第2部参照のことsunnyvale: 10.10.10.0/24 (Trustゾーン）chicago: 192.168.168.0/24 （VPN-Chicagoゾーン）

VPN機能を設定する(26) – セキュリティポリシーの設定

• Trustゾーン～VPN-Chicagoゾーン間の通信許可ポリシーを作成する

Policy > Policies

以下の2つのセキュリティポリシーを作成※作成方法は第2部参照のことFrom Trust to VPN-Chicago

vpn-tr-chi: Src/sunnyvale, Dest/Chicago, Svc/any, Act/PermitFrom VPN-Chicago to Trust

vpn-chi-tr: Src/chicago, Dest/Sunnyvale, Svc/any, Act/Permit

設定内容を確認できたらCommitをクリック

第5部:管理機能を利用する

管理設定 – 時刻設定時差を設定(日本であれば、Asisa/Tokyo)

設定を反映させるためCommitをクリックする

Configuration -> Date/Timeをクリック NTPを取得するIF

のIPを設定(任意)

NTPサーバのIP/FQDNを指定

管理設定 – 管理ユーザ

既存管理ユーザを変更する場合は、Editをクリック

設定を反映させるためCommitをクリックする

Configuration -> Admin -> Administratorsをクリック

管理ユーザを追加する場合には、Newをクリック

管理設定 – 管理ユーザの追加

新しい管理ユーザ名を入力

新しい管理ユーザに、管理者権限を付与するためにsuper-userをクリック

OKをクリック

新しい管理ユーザ用のパスワードを入力

確認のため、再度パスワードを入力

管理設定 – 管理ユーザの追加

設定内容を確認

設定を反映させるためCommitをクリックする

管理設定 – 管理ユーザの削除

削除したいユーザに対して、Removeをクリック

設定を反映させるためCommitをクリックする

管理設定 – SNMPの設定

SNMPレポートの設定(任意)

設定を反映させるためCommitをクリックする

SNMPレポートの入力した場合、Applyをクリック

SNMPコミュニティ・トラップの新規作成する場合は、New communityをクリック

Configuration -> Report setting ->SNMPをクリック

管理設定 – SNMPの設定

コミュニティ名を入力

OKをクリック

アクセス許可を指定

SNMPバージョンを指定(V1,V2c,Any)

管理設定 – SNMPの設定

SNMPトラップの設定をしない場合は、Commitをクリック

SNMPトラップのホストを指定する場合は、Editをクリック

管理設定 – SNMPの設定

SNMPトラップのホストIPを入力

ホストIP入力後、Addをクリック

ホストIPが追加されたのを確認

ホストIPが追加確認後、OKをクリック

管理設定 – SNMPの設定

設定内容を確認

設定を反映させるためCommitをクリックする

管理設定 – SNMPの設定

Syslogサーバを入力

設定を反映させるためCommitをクリックする

Applyをクリック

Configuration -> Report setting ->Syslogをクリック

ファシリティレベルを選択

Syslogで取得する重要度を選択

Syslogを出力するIPを入力