Juniper Firewall 透過モード設定ガイド

Juniper Firewall
透過モード設定ガイド
- Screen OS 5.4.0 版 -
2007 年 1 月
ソフトバンク BB 株式会社
Juniper Firewall 透過モード設定ガイド
本書の目的
本書では Juniper Firewall 機器における基本的な透過モードの設定方法を解説します。また
機能の詳細を知りたい場合は Juniper 社のマニュアル(Concept & Example) や Web UI のヘル
プなどをご参照ください。
目次
1.
はじめに.............................................................................................................- 3 1-1 はじめに.................................................................................................................... - 3 1-2 透過モード機能概要................................................................................................. - 3 -
2.
透過モード基本設定 .........................................................................................- 4 2-1 はじめに.................................................................................................................... - 4 2-2 本ガイドでの設定例 .................................................................................................. - 4 2-3 透過モードインターフェイスの設定 ......................................................................... - 5 -
3.
透過モードでのトラフィックの転送 ................................................................ - 11 3-1 本ガイドでの設定例................................................................................................- 11 3-2 透過モードポリシーの作成 .................................................................................. - 12 -
4.
透過モード設定に関する FAQ .........................................................................- 15 4-1 FAQ ......................................................................................................................... - 15 -
-2-
Juniper Firewall 透過モード設定ガイド
1.
はじめに
1-1 はじめに
Juniper Firewall 機器では、透過モードの設定を行うことにより、既存のネットワークトポ
ロジに変更を加えないで Juniper Firewall 機器の Firewall 機能と VPN 機能をただちに配置す
ることが可能です。本ガイドでは、その具体的な設定方法を説明します。
1-2 透過モード機能概要
・
透過モード【 Transparent Mode 】
インターフェイスが透過モードである場合には、Juniper Firewall 機器を行き来す
るパケットを、IP パケットヘッダーのソースや宛先情報を一切変更せずにフィルター
します。そして Juniper Firewall 機器がレイヤ 2 スイッチやブリッジのように動作す
るので、同じネットワークの一部分であるかのように動作します。また透過モードでの
インターフェイスの IP アドレスは ”0.0.0.0” に設定され、Juniper Firewall 機器の存
在をユーザーに「不可視」、
または「透明」にします。すなわち、既存のネットワーク
環境を変更せずにセキュリティを導入することが可能です。
・
レイヤ-2 セキュリティゾーン
【 Layer 2 Security Zone 】
Juniper Firewall 機器には、V1-Trust、V1-DMZ、V1-Untrust の 3 つの定義済みレ
イヤ 2 ゾーンがあります。V1 ゾーンは、Juniper Firewall 機器で他のゾーンと共存で
きますが、存在する他のゾーンから切り離されています。
また、ユーザー定義の L2 ゾーンを作成できます。その際、L2 ゾーンの名前は”L2”で
始まる必要があります。
V1 ゾーンと L2 ゾーンは機能的に同じです。唯一の違いは、V1 ゾーンは定義済みの
L2 ゾーンであることです。
・
VLAN1 インターフェイス【 VLAN1 Interface 】
Juniper Firewall 機器が透過モードであるならば、その管理に VLAN1 インターフェ
イスを使用します。VLAN1 インターフェイスはどの透過ゾーンからもアクセスできる
論理インターフェイスです。VLAN1 インターフェイスは、VALN ゾーンに存在し、透
過ゾーンのインターフェイスを介してのみアクセスを可能とするため、V1 ゾーンに接
続された他のデバイスと同じサブネットにある IP アドレスを使って設定される必要が
あります。
また Manage-IP に対応しています。
-3-
Juniper Firewall 透過モード設定ガイド
2.
透過モード基本設定
2-1 はじめに
Juniper Firewall 機器では、CLI 及び Web UI を用いて透過モードの設定を容易に行うこと
ができます。本ガイドでは、基本的なインターフェイスの設定手順を CLI、管理サービス及び
ポリシーの設定手順を WebUI にて説明します。
2-2 本ガイドでの設定例
・
・
・
・
・
Juniper Firewall 機器の Trust 側 Zone 名
Juniper Firewall 機器の V1-Trust 側 IP アドレス
V1-Trust 側の管理サービスの設定（許可サービス）
管理者ユーザ名（= Admin Name）
管理者ユーザのパスワード（=Password）
Juniper Firewall 機器の Untrust 側 Zone 名
Juniper Firewall 機器の V1-Untrust 側 IP アドレス
動作モード
VLAN1 インターフェイス IP アドレス
VLAN1 インターフェイス Manage-IP アドレス
V1-Untrust 側の管理サービスの設定（許可サービス）
：
：
：
：
：
：
：
：
：
：
：
V1-Trust
0.0.0.0
WebUI、Ping
admin
password
V1-Untrust
0.0.0.0
transparet mode
192.198.1.100
192.168.1.101
Ping
注意！
．．．．．．．．．．．
※ 本ガイドでは、Juniper Firewall 機器の初期設定が完了していることを
前提に手順をご案内させていただきます。
※ VLAN1 インターフェイスの IP（Manage-IP も含む）アドレスは、 VALN
ゾーンに存在し、透過ゾーンのインターフェイスを介してのみアクセスを
．．．．．．．．．．．．．．．．．．．．．．．．．
可能とするため、V1 ゾーンに接続された他のデバイスと同じサブネットに
ある IP アドレスを使って設定される必要があります。
-4-
Juniper Firewall 透過モード設定ガイド
2-3 透過モードインターフェイスの設定
（1）Juniper Firewall 機器の後部（または前面）パネルにある「Console」ポートに「DB-9 ピン
・シリアルケーブル」を接続します。
（2）次に、Windows クライアント PC のシリアルポートに「DB-9 ピン・シリアルケーブル」
を接続します。
⇒※ 万一、クライアント PC にシリアルポートが無い機種の場合には、お手数ですが別途「USB シリアル変換アダプ
ター」等を最寄りの量販店等にてご購入ください。
（3）次に、Windows クライアント PC にて「ターミナル・エミュレーション・プログラム
（=ハイパーターミナル、Tera Term Pro 等）
」を起動し、
［ファイル］→［新しい接続］を
選択します。
⇒※ 今回の例では、「ターミナル・エミュレーション・プログラム」として”Tera Term Pro”を使用します。
（4）続いて、Windows クライアント PC と Juniper Firewall 機器と接続しているシリアルポート
番号を選択し、【OK】ボタンをクリックします。
⇒※ 今回の例では、使用しているシリアルポートを ”COM 2” とします。
⇒※ Windows クライアント PC と Juniper Firewall 機器と接続しているシリアルポート番号の確認は、「デバイス
マネージャ」にてご確認をお願いいたします。
-5-
Juniper Firewall 透過モード設定ガイド
（5）次に、「Tera Term Pro」のメインウィンドウが立ち上がったら、Enter キーを押下し、
Juniper Firewall 機器のログインプロンプトが表示されることを確認します。
Enter キーを押下し、ログインプロンプトが
表示されることを確認
（6）次に、ユーザ名、パスワードを入力しログインします。
⇒※ 今回の設定例では、「Admin Name」は ”admin” 、「Password」は ”password” となります。
（7）次に、“get interface”コマンドを入力し、現在のインターフェイスの設定状況を確認します。
⇒※ 今回の設定例では、「Trust 側 IP Address / Netmask」は ”192.168.1.1 / 24” 、「Untrust 側 IP Address /
Netmask」は ”25.20.193.8 / 32” 、となります。
⇒※ インターフェイスの設定状況確認のコマンドは下記の通りになります。
get interface
-6-
Juniper Firewall 透過モード設定ガイド
（8）次に、“get system”コマンドを入力し、現在の動作モードを確認します。
⇒※ 今回の設定例では、透過モード設定前の動作モードは ”NAT / route
⇒※ 動作モードの状況確認のコマンドは下記の通りになります。
mode” 、となります。
get system
各インターフェイスの IP
アドレスが削除されたこと
を確認
“NAT / route mode” であることを確認
（9）次に、 “unset interface ~” コマンドにて、現在設定されている各インターフェイスの
IP アドレスを削除します。また、削除されたことを “get interface” コマンドで確認します。
⇒※IP アドレス削除時のコマンドは下記の通りになります。
unset interface ＜インターフェイス名＞ ip
各インターフェイスの
IP アドレスが削除され
たことを確認
-7-
Juniper Firewall 透過モード設定ガイド
（10）次に、 “set interface ~” コマンドを入力し、現在設定されている各インターフェイスの
ゾーンを”透過モード用” のゾーンに変更します。
また、ゾーン変更後には “get interface” コマンドにて設定内容を確認します。
⇒※ 今回の設定例では、変更後の「Trust 側 zone」は ”v1-trust” 、「Untrust 側 zone」は ”v1-untrust” 、となります。
⇒※ zone 変更時のコマンドは下記の通りになります。
set interface ＜インターフェイス名＞ zone ＜ゾーン名＞
各インターフェイスの zone
が変更されたことを確認
（11）次に、“get system” コマンドを入力し、変更後の動作モードを確認します。
⇒※ 今回の設定例では、透過モード設定後の動作モードは ”transparent mode” 、となります。
transparent mode へ変更
されたことを確認
-8-
Juniper Firewall 透過モード設定ガイド
（12）次に、 “set interface ~ ”コマンドを入力し、vlan1 インターフェイス（※透過モード時の
Juniper Firewall 機器の管理用インターフェイス）の設定を行います。
また設定後には、 “get interface” コマンドにて設定内容を確認します。
⇒※ 今回の設定例では、vlan1 インターフェイスの「IP Address / Netmask」は ”192.168.1.100 / 24” 、「manage-IP」
は ”192.168.1.101” 、となります。また「Manage-IP」は WebUI、Ping、telnet などの宛先アドレスに使用します。
⇒※ VLAN1 インターフェイス設定時のコマンドは下記の通りになります。
set interface vlan1 ip ＜IP アドレス / サブネットマスク＞
set interface vlan1 manage-ip ＜IP アドレス＞
vlan1 インターフェイスが
設定されたことを確認
（13）次に、
「Juniper Firewall 機器の VLAN1 インターフェイスの manage-IP アドレス」へ
アクセスし、Juniper Firewall 機器へログインします。
⇒※ 今回の設定例では、URL は “http://192.168.1.101” となります。
⇒※ 今回の設定例では、「Admin Name」は ”admin” 、「Password」は ”password” となります。
-9-
Juniper Firewall 透過モード設定ガイド
（14）正常にログインできたら、
［Network］→［Interfaces］より、設定した"透過モード"の
インターフェイス設定内容を確認します。
⇒※ 以上で、「透過モードインターフェイスの設定」作業は完了となります。
注意！
※ V1-Untrust ゾーンは、デフォルトで管理サービスが全て” 無効“ となって
います。
※ 万一、V1-Untrust ゾーン側でも、WebUI や Ping 等の管理サービスを
”有効” にされたい場合には、
［Network］→［Zones］より管理サービス設定
を変更してください。
■V1-Untrust ゾーン側の管理サービス設定例
①“Ping”にチェックを入れ
ます
②【OK】ボタンをクリック
- 10 -
Juniper Firewall 透過モード設定ガイド
3.
透過モードでのトラフィックの転送
セキュリティデバイスをレイヤ 2 で動作させた場合、適切なポリシーを設定しない限りゾー
ン間でトラフィックが行き来することはありません。
ポリシーとは、Juniper Firewall 機器経由での通信の許可や拒否、または VPN のトンネリン
．．．．．．．．．．．．．．．．．．．．．．
グを定義します。また、明示的にゾーン間のポリシーが定義されていない場合には、通信は全
て ”Deny（=拒否）” されます。
注意！
※ 詳細なポリシーの設定方法に関しては、別紙『Juniper firewall 機器クイ
ックスタートアップガイド 2 章』を参照してください。
※ VL 今回の設定例では、「
From:V1-Trust To:V1-Untrust」の方向の
通信は全て” 許可” 、
「From:V1-Untrust To:V1-Trust」方向の通信は
全て” 拒否” とします。
3-1 本ガイドでの設定例
・ V1-Trust ゾーン → V1-Untrust ゾーンへの通信
V1-Untrust ゾーン → V1-Trust ゾーンへの通信
- 11 -
：すべて許可
：すべて拒否
Juniper Firewall 透過モード設定ガイド
3-2 透過モードポリシーの作成
（1）ブラウザの URL に、VLAN1 で設定した Manage-IP にアクセスし、ログインします。
⇒※ 今回の設定例では、URL は
“http://192.168.1.101” となります。
（2）次に、
［Policies］をクリックし、下記の画面が表示されたら、上部にあるプルダウン
メニューより「From:V1-Trust To:V1-Untrust」を選択し、【
New】ボタンをクリックします。
⇒※ 透過モードはデフォルトでのポリシーは作成されておりません。
①プルダウンメニューより
「From:V1-Trust To:V1-Untrust」を選択
②【OK】ボタンをクリック
．．．
（3）次に、下記の画面が表示されたら、任意のポリシー設定情報を設定し、【OK】ボタンを
クリックします。
．．．．．．．．．．．．．
⇒※ 今回の設定例では、全てのサービスを許可するので、ポリシー設定情報は、「Source Address」は ”Any” 、
「Destination Address」は ”Any” 、「Service」は”Any” 、「Action」は ”Permit” となります。
⇒※ 「Logging 」設定に関しましては、お客様のご利用環境に応じて、採取する／しないをご判断ください。
①”Any”を選択
②”Any”を選択
③”Any”を選択
④”Permit”を選択
⑤ログの採取（適宜）
⑥【OK】ボタンをクリック
- 12 -
Juniper Firewall 透過モード設定ガイド
（4）次に、作成したポリシー（= ID 1）内容を確認します。
．．．．．．．．．．．
⇒※ 設定内容を間違った場合には、［Edit］にて再度ポリシー設定を行ってください。
（5）次に、上部にあるプルダウンメニューより「From:V1-Untrust To:V1-Trust」を選択し、
【New】ボタンをクリックします。
①プルダウンメニューより
「From:V1-Untrust To:V1-Trust」を選択
②【OK】ボタンをクリック
．．．
（6）次に、下記の画面が表示されたら、任意のポリシー設定情報を設定し、【OK】ボタンを
クリックします。
．．．．．．．．．．．．．．
⇒※ 今回の設定例では、全てのサービスを拒否にするので、ポリシー設定情報は、「Source Address」は ”Any” 、
「Destination Address」は ”Any” 、「Service」は”Any” 、「Action」は ”Deny” となります。
．．．．．．．．．．
⇒※ 「Logging 」設定に関しましては、お客様のご利用環境に応じて、採取する／しないをご判断ください。
④”Deny”を選択
⑤ログの採取（適宜）
⑥【OK】ボタンをクリック
- 13 -
Juniper Firewall 透過モード設定ガイド
（7）次に、作成したポリシー（= ID 2）内容を確認します。
．．．．．．．．．．．
⇒※ 設定内容を間違った場合には、［Edit］にて再度ポリシー設定を行ってください。
（8）最後に、設定したポリシーの内容とおりにネットワーク疎通が行えるかを確認します。
⇒※ 以上で、「透過モードインターフェイスの設定」作業は完了となります。
- 14 -
Juniper Firewall 透過モード設定ガイド
4.
透過モード設定に関する FAQ
4-1 FAQ
【Q1】ブロードキャストやマルチキャストを通すことはできるのでしょうか？
［A1］はい、できます。Juniper Firewall 機器では透過モードの場合のみ、ブロードキャ
スト、およびマルチキャストを通すことが可能です。
【Q2】透過モードで冗長構成は可能でしょうか？
［A2］はい、可能です。ただし、Active-Passive 構成のみの対応となります。
【Q3】透過モードで VPN 通すことはできるのでしょうか？
［A3］はい、できます。その場合には vlan1 IP（= system-ip）に固定のグローバルアドレス
を割り当てる必要があります。
以上
= 本書に関するお問い合わせ先 =
ソフトバンク BB ジュニパーサポート
E-Mail:
[email protected]
※ 問い合わせの際には、事前にユーザ登録が必要となります。
あらかじめご了承ください。
本ガイドの著作権はソフトバンク BB 株式会社に帰属します。
また、掲載内容の無断転載は固くお断りいたします。
Copyright（C） SOFTBANK BB Corp. all rights reserved.
- 15 -

Download Report