Tải bản đầy đủ

Tài liệu cài đặt và cấu hình firewall Juniper SRX

CẤU HÌNH CÁC TÍNH NĂNG JUNIPER SRX


Mục Lục
1. Vào web gui của tường lửa
2. Backup-Restore cấu hình
3. Check version software/ Upgrade software
4. Cấu hình NAT đi internet
5. Mở port FTP server
6. Chống tấn công DoS
7. Lọc website có hại
8. Chặn file theo yêu cầu
9. Khóa application của PC/Mobile (cần license, chưa lab được)
10. VPN giữa 2 SRX
11. Cấu hình dự phòng wan internet
12. Cấu hình IPS (chưa có license, chưa lab được, nhưng có link hướng dẫn
cụ thể)

1.

Vào web gui của tường lửa



set system root-authentication plain-text-password
set system services ssh
set system services web-management http interface ge-0/0/1.0
set security zones security-zone trust interfaces ge-0/0/1.0 hostinbound-traffic system-services ftp
set security zones security-zone trust interfaces ge-0/0/1.0 hostinbound-traffic system-services ping
set security zones security-zone trust interfaces ge-0/0/1.0 hostinbound-traffic system-services http

Vào địa chỉ http://192.168.2.1


2.
2.1

Backup-Restore
Backup vào file lưu trên SRX

root@HAINM# save config_30_7
root@HAINM> file list
/cf/root/:
.cshrc
.login
.profile
config_30_7
-

Copy file ra PC

root@% ftp 192.168.1.10 (địa chỉ PC, có cài filezilla Server)
ftp> put config_30_7
local: config_30_7 remote: config_30_7
200 Port command successful
150 Opening data channel for file upload to server of "/config_30_7"


100% |**************************************************|
--:-- ETA
226 Successfully transferred "/config_30_7"
4464 bytes sent in 0.02 seconds (191.71 KB/s)


ftp>
-

4464

Nếu backup ra màn hình, rồi copy lại ra text

root@HAINM# save terminal
2.2
Restore cấu hình
root@HAINM# load override config_30_7
load complete
[edit]
root@HAINM# commit
commit complete

3.

Xem version firmware và nâng cấp firmware
3.1 Version

root@HAINM> show version
Hostname: HAINM
Model: firefly-perimeter
JUNOS Software Release [12.1X47-D20.7]

3.2 Nâng cấp firmware
Xem link này
https://www.juniper.net/documentation/en_US/junos/topics/example/security-junos-os-upgrade-srxseries-device-installing.html


4.

Cấu hình NAT đi internet

Note: By default, interfaces are in the null zone. The interfaces will not pass
traffic until they have been assigned to a zone.

Gồm các bước (áp dụng cho đa số các loại firewall)
-

Đặt static route default qua isp device (modem here)
Tạo zone trust và untrust và gán các interface vào 2 zone trên (LAN
vào trust, WAN vào untrust)
Nat từ trust sang untrust. Sau đó test thử ping tới google từ PC (cần đặt
policy nữa , nhưng mặc định SRX có sẵn rồi)

Đặt static route
set routing-options static route 0.0.0.0/0 next-hop 10.2.3.1

Tạo zone và gán interface vào zone(kèm theo enable 1 số dịch vụ)
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services ping
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services http
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services https
set security zones security-zone untrust interfaces ge-0/0/2.0 host-inbound-traffic system-services ftp
set security zones security-zone untrust interfaces ge-0/0/2.0 host-inbound-traffic system-services https
set security zones security-zone untrust interfaces ge-0/0/2.0 host-inbound-traffic system-services http
set security zones security-zone untrust interfaces ge-0/0/2.0 host-inbound-traffic system-services ping

NAT đi internet


set security nat source rule-set NAT1 from zone trust
set security nat source rule-set NAT1 to zone untrust
set security nat source rule-set NAT1 rule r1 match source-address 192.168.2.0/24
set security nat source rule-set NAT1 rule r1 match destination-address 0.0.0.0/0
set security nat source rule-set NAT1 rule r1 then source-nat interface
commit

Ping thử google:

5.

Mở port FTP server


Yêu cầu: FTP client gửi request đến 10.1.2.1 (FW)-port21, FW
translate thành FTP SERVER (192.168.2.10:21)
Thực hiện:
- Chỉ ra IP của FTP server
set security address-book global address FTP_SERVER 192.168.2.10/32
-

Tạo NAT rule: gói tin từ ngoài tới (10.1.2.1, port 21) thì sẽ biến đổi
thành IP của (FTP SERVER, port21)

set security nat destination pool TEST_FTP address 192.168.2.10/32
set security nat destination pool TEST_FTP address port 21
##TẠO NAT RULE####
set security nat destination rule-set DNAT1 from zone untrust
set security nat destination rule-set DNAT1 rule r1 match destination-address 10.1.2.1/32
set security nat destination rule-set DNAT1 rule r1 match destination-port 21
set security nat destination rule-set DNAT1 rule r1 then destination-nat pool TEST_FTP
- Tạo security policy
set security policies from-zone untrust to-zone trust policy POLIMEN1 match source-address any
set security policies from-zone untrust to-zone trust policy POLIMEN1 match destination-address FTP_SERVER
set security policies from-zone untrust to-zone trust policy POLIMEN1 match application junos-ftp
set security policies from-zone untrust to-zone trust policy POLIMEN1 then permit destination-address drop-untranslated
set security policies from-zone untrust to-zone trust policy POLIMEN1 then log session-init


Sau khi khai báo xong thì bật Filazilla Server và FileZilla Client lên. Tuy
nhiên bị không kết nối được
Check xem NAT đã có tác dụng chưa? (NAT trước rồi mới Policy)
root@HAINM> show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1
Rule-set: DNAT1
Rule-Id
:1
Rule position
:1
From zone
: untrust
Destination addresses : 10.1.2.1
- 10.1.2.1
Destination port
: 21
- 21
Action
: TEST_FTP
Translation hits
: 16  OK, NAT hoạt động tốt
Successful sessions : 0
Failed sessions
: 16

Check xem Policy có tác dụng chưa?
show security policies hit-count from-zone untrust to-zone trust
Logical system: root-logical-system
Index From zone
To zone
Name
Policy count
1
untrust
trust
default-deny 16
2
untrust
trust
POLIMEN1
0  Chưa có hit nào

Check thứ tự policy thì thấy default-deny nằm trước POLIMEN1 nên sẽ deny
all sessions
 Cần sắp xếp lại thứ tự POLIMEN1 nằm trên default-deny
insert security policies from-zone untrust to-zone trust policy POLIMEN1 before policy default-deny

Check lại:
root@HAINM> show security policies hit-count from-zone untrust to-zone trust
Logical system: root-logical-system
Index From zone
To zone
Name
Policy count
1
untrust
trust
POLIMEN1
1
2
untrust
trust
default-deny 16
Number of policy: 2
FTP OK


6.

Chống tấn công DoS

https://www.fir3net.com/Firewalls/Juniper/srx-screen.html
SYN packet: là gói tin của client gửi server khi khởi tạo 1 phiên TCP
-

Chống sweep ICMP/UDP/SYN từ một IP:hacker ping nhiều host xem host nào
reply
Giới hạn 1s có 10 ICMP/UDP/SYN từ single IP được gửi tới
Chưa test đc (nhận xét: nếu các server behind firewall thì không sợ)

set security screen ids-option untrusted-screen icmp ip-sweep threshold 1000000
set security screen ids-option untrusted-screen tcp tcp-sweep threshold 1000000
set security screen ids-option untrusted-screen udp udp-sweep threshold 1000000
-

Chống scan các port trên 1 máy chủ (PORT SCAN)
Giới hạn chỉ cho scan 10port 1s (Dùng nmap để test, không thấy fw báo động,
có thể do vẫn trong ngưỡng 10port/1s)

set security screen ids-option untrust-screen tcp port-scan threshold 1000000
-

Chống giả mạo IP : dùng RPF để check gói tin đến đúng interface ko

set security screen ids-option untrust-screen ip spoofing
-

Chống gói tin TCP giả mạo (Chưa tạo được gói tin TCP giả)

set security screen ids-option untrust-screen tcp tcp-no-flag
set security screen ids-option untrust-screen tcp syn-fin
set security screen ids-option untrust-screen tcp syn-frag

-

Chống flood TCP/SYN/UDP connections
Embryonic Timeouts:Trong 10s không hoàn thành bắt tay 3 bước, gây delay

set security screen ids-option untrust-screen tcp syn-flood timeout 10

SYN Limit: hạn mức số SYN gửi mỗi giây
set security screen ids-option untrust-screen tcp syn-flood attack-threshold 1500


Test OK
Dùng lệnh hping trên ubuntu

Đặt hạn mức SYN về 2, Show trên fw:
root@HAINM> show security screen statistics zone untrust | find "TCP SYN"
TCP SYN flood

63320tổng số lần gửi syn, và đã bị block

SYN-Flood per source
Theo lệnh show trên thì output chung vs TCP SYN flood
set security screen ids-option untrust-screen tcp syn-flood source-threshold 200

SYN-Flood per des
Theo lệnh show trên thì output chung vs TCP SYN flood
set security screen ids-option untrust-screen tcp syn-flood destination-threshold 200

UDP flood
set security screen ids-option untrust-screen udp flood threshold 50000

Result

7.

Lọc website có hại

NOTE
The guideline to use a URL pattern wildcard is as follows: Use \*\.[]\?* and precede all wildcard URLs
with http://. You can use “*” only if it is at the beginning of the URL and is followed by “.”. You can use
“?” only at the end of the URL.

The following wildcard syntaxes are supported: http://*.example.net, http://www.example.ne?,
http://www.example.n??. The following wildcard syntaxes are not supported: *.example.???,
http://*example.net, http://?.


7.1

-

Lọc theo URL HTTP
Tham khảo http://rtodto.net/srx-utm-web-wiltering/
Bước 1: Tạo custom-object URL-pattern

set security utm custom-objects url-pattern hainm-block value http://vietnamnet.vn
(có thể thay/thêm tên website thành IP)

- Bước 2: Tạo category và nhét pattern ở trên vào
set security utm custom-objects custom-url-category hainm-bad-site value
hainm-block
- Bước 3: Nhét category này vào blacklist của Junos SRX
set security utm feature-profile web-filtering url-blacklist hainm-bad-site
-

Bước 4: Tạo profile để khóa các site trên

set security utm feature-profile web-filtering type juniper-local
set security utm feature-profile web-filtering juniper-local profile hainm-profile customblock-message "Deny this page"
set security utm feature-profile web-filtering juniper-local profile hainm-profile
fallback-settings default log-and-permit
set security utm feature-profile web-filtering juniper-local profile hainm-profile
fallback-settings server-connectivity block
set security utm feature-profile web-filtering juniper-local profile hainm-profile
fallback-settings timeout block
set security utm feature-profile web-filtering juniper-local profile hainm-profile
fallback-settings too-many-requests block
set security utm utm-policy hai-policy web-filtering http-profile hainm-profile

-

Bước 5: Apply profile trên vào policy đi internet (nhớ policy này phải
nằm trước policy default-permit; dùng lệnh insert nếu cần)

security {
address-book {
global {
address LAN_to_WEB 192.168.2.0/24; (dải LAN)
}
}
set security policies from-zone
LAN_to_WEB
set security policies from-zone
address any
set security policies from-zone
junos-http
set security policies from-zone
application-services utm-policy

-

trust to-zone untrust policy block_web match source-address
trust to-zone untrust policy block_web match destinationtrust to-zone untrust policy block_web match application
trust to-zone untrust policy block_web then permit
hai-policy

Bước 6: Verify lại

root@HAINM> show security utm web-filtering status
UTM web-filtering status:
Server status: Juniper local URL filtering
root@HAINM> show security utm web-filtering statistics
UTM web-filtering statistics:
Total requests:
49
white list hit:
0
Black list hit:
15
Web-filtering sessions in total:
64000


Web-filtering sessions in use:
Fallback:
Default
Timeout
Connectivity
Too-many-requests

0
log-and-permit

block
0
0
0
0

0
0
0
0

Note: từ SRX15 có sẵn các category trong firmware, ta block theo danh mục
được
http://rtodto.net/srx-utm-web-wiltering/
7.2

Lọc theo URL HTTPS (enhanced web filtering-cần có license)
Xem link
https://kb.juniper.net/InfoCenter/index?page=content&id=KB30867

[edit security utm]
root@HAINM# show
custom-objects {
blacklist {
value https://www.facebook.com;
}
}
custom-url-category {
hainm-bad-site {
value hainm-block;
}
hainm-facebook {
value blacklist;
}
}
}
feature-profile {
web-filtering {
url-blacklist hainm-bad-site;
##
## Warning: requires 'wf_key_websense_ewf' license
##
type juniper-enhanced;


juniper-enhanced {
server {
host rp.cloud.threatseeker.com;
port 80;
}
}
}
}
utm-policy hainm-https-block {
web-filtering {
http-profile junos-wf-enhanced-default;
}
}
set system name-server 8.8.8.8
Debug
monitor start messages | match block

8.

Chặn file theo yêu cầu

https://www.juniper.net/documentation/en_US/release-independent/nce/topics/concept/nce-139-srxseries-security-features-overview.html ((Link trên đối với SRX-NG)
8.1
Chặn file exe trong HTTP/FTP/SNMP
Bước 1: Tạo customer object
set security utm custom-objects filename-extension extlist2 value [zip exe js vbs] #Block theo đuôi file
Bước 2: Tạo feature-profile
set security utm feature-profile content-filtering profile hainm-file-extension block-extension extlist2
set security utm feature-profile content-filtering profile hainm-file-extension block-content-type activex
set security utm feature-profile content-filtering profile hainm-file-extension block-content-type java-applet
set security utm feature-profile content-filtering profile hainm-file-extension block-content-type exe
set security utm feature-profile content-filtering profile hainm-file-extension block-content-type zip
set security utm feature-profile content-filtering profile hainm-file-extension block-content-type http-cookie
Bước 3: Tạo utm policy
set security utm utm-policy hai-block-extension content-filtering http-profile hainm-file-extension
set security utm utm-policy hai-block-extension content-filtering smtp-profile hainm-file-extension
set security utm utm-policy hai-block-extension content-filtering pop3-profile hainm-file-extension
Bước 4: gán vào policy đi internet
set security policies from-zone trust to-zone untrust policy hai-block-file match source-address any
set security policies from-zone trust to-zone untrust policy hai-block-file match destination-address any
set security policies from-zone trust to-zone untrust policy hai-block-file match application any
set security policies from-zone trust to-zone untrust policy hai-block-file then permit application-services utmpolicy hai-block-extension
Kết quả: download thử file exe


root@HAINM> monitor start messages | match block
*** messages ***
Aug 8 09:31:41 HAINM RT_UTM: CONTENT_FILTERING_BLOCKED_MT: Content Filtering: http
traffic (http) from 192.168.2.10 is blocked due to file extension block list username N/A roles N/A

8.2
Chặn lệnh trong FTP
set security utm custom-objects protocol-command fpt-command value PWD
set security utm custom-objects protocol-command fpt-command value pwd
set security utm feature-profile content-filtering profile hai-ftp-block block-command fpt-command
set security utm utm-policy hai-fpt-policy content-filtering ftp upload-profile hai-ftp-block
set security utm utm-policy hai-fpt-policy content-filtering ftp download-profile hai-ftp-block
set security policies from-zone untrust to-zone trust policy HAI_FTP_FILTER match source-address any
set security policies from-zone untrust to-zone trust policy HAI_FTP_FILTER match destination-address any
set security policies from-zone untrust to-zone trust policy HAI_FTP_FILTER match application any
set security policies from-zone untrust to-zone trust policy HAI_FTP_FILTER then permit application-services
utm-policy hai-fpt-policy
CHECK POLICY above default

8.3
Chặn file nghi là virus (test bằng EICAR file)
- Có 3 loại scan virus: Express Junos, Sophos, Kasperskype Profile nhưng cần license mới test được

9.

Khóa application của PC/Mobile
-web-based (chát video facebook,…): cần có license AppFW nên chưa
test được
- Application truyền thống (như teamviewer- anydesk): cần license IDP,
chưa test được

10.

VPN IPsec giữa 2 SRX
SRX: root/minhhai123


Trên vSRX1
Bước 1: Tạo interface st0 và zone VPN
set interfaces st0 unit 0 family inet
set security zones security-zone VPN interfaces st0.0

Bước 2: Cấu hình address-book lưu địa chỉ LAN của 2 bên
set security address-book global address local 192.168.50.0/24
set security address-book global address remote 192.168.60.0/24

Bước 3: Định tuyến từ LAN đi sang LAN remote qua interface st0 ở trên
set routing-options static route 192.168.60.0/24 next-hop st0.0

Bước 4: Cấu hình IKE
set security ike proposal IKE-PROP authentication-method pre-shared-keys
set security ike proposal IKE-PROP dh-group group5
set security ike proposal IKE-PROP authentication-algorithm sha1
set security ike proposal IKE-PROP encryption-algorithm aes-128-cbc
set security ike proposal IKE-PROP lifetime-seconds 3600
set security ike policy IKE-POL mode main
set security ike policy IKE-POL proposals IKE-PROP
set security ike policy IKE-POL pre-shared-key ascii-text Juniper
set security ike gateway IKE-GW ike-policy IKE-POL
set security ike gateway IKE-GW address 10.1.2.2 (IP wan của SRX2)
set security ike gateway IKE-GW external-interface ge-0/0/0.0

Bước 5: Cấu hình IPSEC


set security ipsec proposal IPSEC-PROP protocol esp
set security ipsec proposal IPSEC-PROP authentication-algorithm hmac-sha1-96
set security ipsec proposal IPSEC-PROP encryption-algorithm aes-128-cbc
set security ipsec proposal IPSEC-PROP lifetime-seconds 3600
set security ipsec policy IPSEC-POL perfect-forward-secrecy keys group5
set security ipsec policy IPSEC-POL proposals IPSEC-PROP
set security ipsec vpn IPSEC-VPN bind-interface st0.0
set security ipsec vpn IPSEC-VPN vpn-monitor
set security ipsec vpn IPSEC-VPN ike gateway IKE-GW
set security ipsec vpn IPSEC-VPN ike ipsec-policy IPSEC-POL
set security ipsec vpn IPSEC-VPN establish-tunnels immediately

Bước 6: Cho traffic đi vào zone VPN
set security zones security-zone untrust host-inbound-traffic system-services ike
set security policies from-zone trust to-zone VPN policy trust-to-vpn match source-address local
set security policies from-zone trust to-zone VPN policy trust-to-vpn match destination-address remote
set security policies from-zone trust to-zone VPN policy trust-to-vpn match application any
set security policies from-zone trust to-zone VPN policy trust-to-vpn then permit
set security policies from-zone VPN to-zone trust policy vpn-to-trust match source-address remote
set security policies from-zone VPN to-zone trust policy vpn-to-trust match destination-address local
set security policies from-zone VPN to-zone trust policy vpn-to-trust match application any
set security policies from-zone VPN to-zone trust policy vpn-to-trust then permit

Bước 7: Verify
root> show security ike active-peer

root> show security ike security-associations

root> show security ipsec security-associations

Ping LAN local to remote
R3>ping 192.168.60.2
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/7/15 ms
R4#ping 192.168.50.2


Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/6 ms
Các gói tin ping giữa 2 bên LAN đã bị mã hóa, không còn thấy source và đích đâu nữa, chỉ thấy địa chỉ
WAN của 2 firewall

Bước 8: Troubleshoot
Show ike và ipsec ở trên không thấy gì => kiểm tra lại cấu hinfh
Show ike thấy neighbor bị down
->Ping thử địa chỉ vật lí 2 bên
-> Check lại policy

11.

Cấu hình WAN dự phòng

Mô hình

Yêu cầu: Cho 1 firewall và 2 đường WAN qua R2 và R3. Hãy phân chia lưu
lượng sao cho lưu lượng đến R4 (8.8.8.8) với source là 7.7.7.7/32 thì đi theo
đường qua R3, với source là 9.9.9.9/32 thì đi qua R2
https://kb.juniper.net/InfoCenter/index?page=content&id=KB17223


Cấu hình
-

Đặt IP và áp 1 bộ filter hainm-filter1 vào interface LAN của firewall

set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.1/24
set interfaces ge-0/0/2 unit 0 family inet filter input hainm-filter1
- Tạo ra 2 bảng routing để forwarding gói
set routing-options interface-routes rib-group inet hai-group

tin theo source

set routing-options rib-groups hai-group import-rib inet.0
set routing-options rib-groups hai-group import-rib wan1.inet.0
set routing-options rib-groups hai-group import-rib wan2.inet.0

- Định nghĩa các wan1 và wan2
set routing-instances wan1 instance-type forwarding
set routing-instances wan1 routing-options static route 0.0.0.0/0 next-hop 10.1.2.2
set routing-instances wan1 routing-options static route 0.0.0.0/0 qualified-next-hop 10.1.3.3 preference
100
set routing-instances wan2 instance-type forwarding
set routing-instances wan2 routing-options static route 0.0.0.0/0 next-hop 10.1.3.3
set routing-instances wan2 routing-options static route 0.0.0.0/0 qualified-next-hop 10.1.2.2 preference
100

- Apply các wan ở trên vào bộ filter đã tạo
set firewall family inet filter hainm-filter1 term hai-t1 from source-address 7.7.7.7/32
set firewall family inet filter hainm-filter1 term hai-t1 then routing-instance wan2
set firewall family inet filter hainm-filter1 term hai-t2 from source-address 9.9.9.9/32
set firewall family inet filter hainm-filter1 term hai-t2 then routing-instance wan1
- Đặt static route đến dải LAN
set routing-options static route 7.7.7.7/32 next-hop 192.168.1.100
set routing-options static route 9.9.9.9/32 next-hop 192.168.1.100

Trên PC ta đặt defaut route qua 192.168.1.1
Trên R2-R3-R4 chạy giao thức OSPF bình thường


Kết quả:
Ping từ PC đến 8.8.8.8 với source 7.7.7.7 OK

Khi này, gói tin qua cổng ge-0/0/0 của SRX

Ping từ PC đến 8.8.8.8 với source 9.9.9.9 OK

Khi này gói tin đi qua cổng ge-0/0/1 của SRX



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×