Конфигурация Juniper SRX как межсетевой экран и IPSec VPN концентратора.

NAT juniper, pat juniper, VPN juniper, межсетевой экран Juniper



Полезная ссылка: О нас и наших клиентах

 

Превоначальная настройка межсетевого экрана Juniper SRX (модели SRX100, SRX210, SRX240, SRX650 и другие модели)

 

В этом примере конфигурации Juniper SRX как интернет шлюз; настройка EBGP сессии с ISP (в данном случает маршрутизатор не нужен); выступает в качестве межсетевого экрана Juniper для внутреннего почтового сервера; настройка NAT/PAT для внутренних пользователей в Trust Zone. и выступает в качестве Internet IPSec VPN Concentrator Juniper для удаленных пользователей через Untrust зоны (в данном случае, интернет).

 

Внутренняя сеть LAN  172.16.2.0/24 (Trust Zone), где  1.1.1.0/24 публичная подсеть IP используется ISP  firewall SSH адрес управления and NAT/PAT IP адрес. Заметьте, 1.1.1.1 используется как  NAT IP для сервера почты, 1.1.1.253 PAT IP адрес для внутренних пользователей для выхода в интернет, а адрес 1.1.1.254 SSH IP адрес управления межсетевым экраном Juniper SRX.

 

Удаленные пользователи могут использовать любой персональный компьютер или сервер под управлением любой операционной системы. Предполагается использования  Juniper-approved удаленного IPSec VPN клиентского программного обеспечения, такого как Junos Pulse для подключения к межсетевым экрану Juniper SRX.

Как только удаленным пользователям устанавливать IPSec VPN туннелей для брандмауэра, удаленный ПК присваивается IP-адрес в диапазоне 192.168.0.0/24

 

Существует разбиение туннеля, что это означает, что трафик от и до 192.168.0.0/24 будет проходить через туннель в то время как остальной трафик (т.е. интернет-трафик с удаленного компьютера) будут выходить  через outside туннель. В этом примере конфигурации, обе подсети LAN (172.16.2.0/24) и удаленной сети VPN (192.168.0.0/24) можно добраться только через туннель, в то время как трафик на другие сети будет идти через outside туннель . Вы можете просто добавить больше LAN подсетей, что бы они были доступны через туннель, указав этих подсетей в remote-protected-resources команде в то время  весь остальной трафик, проходящий за пределами туннеля указана  remote-exception  командой для настройки и активации распределения трафика. Когда удаленный компьютер работающий на Windows, вы можете проверить такое состояние распределения трафика через  туннель, набрав в командной строке cmd команду NetStat-г, чтобы увидеть таблицу маршрутизации компьютера.

Полезная ссылка: Консультация по настройке оборудования Juniper

Вы можете заметить, что используется правило permit any any для входящего трафика от Untrust зоны (интернет) в Trust зону (LAN), которые рассматриваться как зашифрованный туннель. Хотя это правило может показаться, что возможен риск для безопасности внутренней сети, но данное правило применяется только для трафика IPSec VPN на межсетевом экране Juniper SRX. Когда есть входящие незашифрованный трафик, межсетевой экран дропает(запрещает) трафик, так как трафик не соответствует политике безопасности  IPSec VPN.

 

Простая конфигурация Juniper SRX  (SRX100, SRX210, SRX240, SRX650 и другие модели)


## Last commit: 2012-07-27 11:06:31 EDT by admin

version 11.2R4.3;

system {

    host-name InternetFirewall;

    time-zone America/New_York;

    root-authentication {

        encrypted-password "********"; ## SECRET-DATA

    }

    name-server {

        208.67.222.222;

        208.67.220.220;

    }

    login {

        user admin {

            uid 2000;

            class super-user;

            authentication {

                encrypted-password "*******"; ## SECRET-DATA

            }

        }

    }

    services { !!настройка протокола SSH на оборудовании Juniper SRX

        ssh;

        xnm-clear-text;

        web-management {

            http {

                interface ge-0/0/2.0;

            }

            https {

                system-generated-certificate;

                interface ge-0/0/2.0;

            }

        }

        dhcp {   !!настройка протокола DHCP на оборудовании Juniper SRX

            pool 172.16.2.0/24 {

                address-range low 172.16.2.250 high 172.16.2.254;

                domain-name diablo.com;

                name-server {

                    4.2.2.2;

                    8.8.8.8;

                }

                router {

                    172.16.2.1;

                }

                propagate-settings vlan.2;

            }

        }

    }

    syslog {

        archive size 100k files 3;

        user * {

            any emergency;

        }

        file messages {

            any critical;

            authorization info;

        }

        file interactive-commands {

            interactive-commands error;

        }

    }

    max-configurations-on-flash 5;

    max-configuration-rollbacks 5;

    license {

        autoupdate {

            url https://ae1.juniper.net/junos/key_retrieval;

        }

    }

    processes {

        general-authentication-service {

            traceoptions {

                file jtac size 1m files 10 world-readable;

                flag all;

            }

        }

    }

    ntp {

        server 64.90.182.55;

        server 96.47.67.105 prefer;

    }

}

interfaces {

    ge-0/0/0 {

        unit 0;

    }

    ge-0/0/1 {

        unit 0 {

            family inet {

                address 10.0.1.6/30;

            }

        }

    }

    ge-0/0/2 {

        unit 0 {

            family inet {

                address 1.1.0.2/30;

            }

        }

    }

    ge-0/0/3 {

        unit 0 {

            family ethernet-switching {

                port-mode access;

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/4 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/5 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/6 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/7 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/8 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/9 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/10 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/11 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/12 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/13 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/14 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    ge-0/0/15 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-DMZ01;

                }

            }

        }

    }

    lo0 {

        unit 0 {

            family inet {

                address 1.1.1.254/32;

            }

        }

    }

    vlan {

        unit 2 {

            family inet {

                address 172.16.2.1/24;

            }

        }

    }

}

routing-options {

    aggregate {

        route 1.1.1.0/24 discard;

    }

    router-id 10.0.1.125;

}

protocols { !!настройка протокола BGP на Juniper SRX

    bgp {

        group eBGP-ISP {

            description "Internet";

            preference 20;

            local-address 1.1.0.2;

            export 1.1.1.0/24;

            peer-as 4078;

            local-as 14079;

            neighbor 1.1.0.1 {

                graceful-restart;

            }

        }

    }

    ospf {   !!настройка протокола OSPF на Juniper SRX

        preference 110;

        external-preference 110;

        area 0.0.0.255 {

            interface ge-0/0/2.0 {

                passive;

                metric 10;

            }

            interface lo0.0 {

                metric 10;

            }

            interface vlan.2 {

                passive;

                metric 10;

            }

        }

    }

    stp;

}

policy-options { !!настройка протокола eBGP на Juniper SRX

    policy-statement 1.1.1.0/24 {

        term eBGP {

            from {

                protocol aggregate;

                route-filter 1.1.1.0/24 exact;

            }

            then accept;

        }

    }

}

security {

    ike {

        traceoptions {

            file iketrace size 1m files 10 world-readable;

            flag all;

        }

        policy ike-dyn-vpn-policy {

            mode aggressive;

            proposal-set standard;

            pre-shared-key ascii-text "*******"; ## SECRET-DATA

        }

        gateway dyn-vpn-local-gw {

            ike-policy ike-dyn-vpn-policy;

            dynamic {

                hostname NY4vpn;

                connections-limit 2;

                ike-user-type group-ike-id;

            }

            external-interface ge-0/0/2.0;

            xauth access-profile dyn-vpn-access-profile;

        }

    }

    ipsec {

        policy ipsec-dyn-vpn-policy {

            proposal-set standard;

        }

        vpn dyn-vpn {

            ike {

                gateway dyn-vpn-local-gw;

                ipsec-policy ipsec-dyn-vpn-policy;

            }

        }

    }

    dynamic-vpn { !!настройка протокола dynamic vpn на Juniper SRX

        access-profile dyn-vpn-access-profile;

        clients {

            IT_Support {

                remote-protected-resources {

                    192.168.0.0/24;

                    172.16.2.0/24;

                }

                remote-exceptions {

                    0.0.0.0/0;

                }

                ipsec-vpn dyn-vpn;

                user {

                    user01;

                }

            }

        }

    }

    flow {

        traceoptions {

            file jtac size 1m files 10 world-readable;

            flag basic-datapath;

            flag packet-drops;

            packet-filter pf1 {

                destination-prefix 1.1.0.2/32;

            }

            packet-filter pf2 {

                source-prefix 192.168.0.0/24;

            }

        }

    }

    screen {

        ids-option untrust-screen {

            icmp {

                ping-death;

            }

            ip {

                source-route-option;

                tear-drop;

            }

            tcp {

                syn-flood {

                    alarm-threshold 1024;

                    attack-threshold 200;

                    source-threshold 1024;

                    destination-threshold 2048;

                    timeout 20;

                }

                land;

            }

        }

    }

    nat { !!настройка протокола NAT на оборудовании Juniper SRX

        source {

            pool source-nat_pool {

                address {

                    1.1.1.253/32;

                }

            }

            rule-set trust-to-untrust {

                from zone trust;

                to zone untrust;

                rule nonat-rule-01 {

                    match {

                        source-address 172.16.2.0/24;

                        destination-address 1.1.1.252/32;

                    }

                    then {

                        source-nat {

                            off;

                        }

                    }

                }

                rule nonat-rule-02 {

                    match {

                        source-address 0.0.0.0/0;

                        destination-address 192.168.0./24;

                    }

                    then {

                        source-nat {

                            off;

                        }

                    }

                }

                rule source-nat-rule {

                    match {

                        source-address 0.0.0.0/0;

                    }

                    then {

                        source-nat {

                            pool {

                                source-nat_pool;

                            }

                        }

                    }

                }

            }

        }

        destination {

            pool Mail_Server01 {

                address 172.16.2.4/32;

            }

            rule-set untrust-to-trust {

                from zone untrust;

                rule Mail {

                    match {

                        destination-address 1.1.1.1/32;

                    }

                    then {

                        destination-nat pool Mail_Server01;

                    }

                }

            }

        }

        proxy-arp {

            interface ge-0/0/2.0 {

                address {

                    1.1.1.253/32;

                }

            }

        }

    }

    policies {  !!настройка политик безопасности на SRX

        from-zone trust to-zone untrust {

            policy default-permit {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }

        }

        from-zone trust to-zone trust {

            policy default-permit {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }

        }

        from-zone untrust to-zone untrust {

            policy default-permit {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }

        }

        from-zone untrust to-zone trust {

            policy Mail {

                match {

                    source-address any;

                    destination-address Mail;

                    application junos-mail;

                }

                then {

                    permit;

                }

            }

            policy dyn-vpn-policy {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit {

                        tunnel {

                            ipsec-vpn dyn-vpn;

                        }

                    }

                }

            }

        }

        from-zone trust to-zone Management {

            policy default-permit {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }

        }

        from-zone untrust to-zone Management {

            policy Remote_Management {

                match {

                    source-address any;

                    destination-address 1.1.1.254/32;

                    application junos-ssh;

                }

                then {

                    permit;

                }

            }

        }

    }

    zones { !!настройка зон безопосноти на Juniper SRX

        security-zone trust {

            address-book {

                address 172.16.2.0/24 172.16.2.0/24;

                address 172.16.2.4/32 172.16.2.4/32;

                address-set Mail {

                    address 172.16.2.4/32;

                }

            }

            host-inbound-traffic {

                system-services {

                    all;

                }

                protocols {

                    all;

                }

            }

            interfaces {

                vlan.2;

            }

        }

        security-zone untrust { !!настройка зон безопасноти на  SRX

            address-book {

                address 192.168.0.0/24 192.168.0.0/24;

            }

            screen untrust-screen;

            interfaces {

                ge-0/0/0.0;

                ge-0/0/2.0 {

                    host-inbound-traffic {

                        system-services {

                            ike;

                            https;

                        }

                        protocols {

                            bgp;

                            ospf;

                        }

                    }

                }

            }

        }

        security-zone Management {

            address-book {

                address 1.1.1.254/32 1.1.1.254/32;

            }

            interfaces {

                lo0.0 {

                    host-inbound-traffic {

                        system-services {

                            ssh;

                        }

                        protocols {

                            ospf;

                        }

                    }

                }

            }

        }

    }

}

access {

    profile dyn-vpn-access-profile {

        client user01 {

            firewall-user {

                password "********"; ## SECRET-DATA

            }

        }

        address-assignment {

            pool dyn-vpn-address-pool;

        }

    }

    address-assignment {

        pool dyn-vpn-address-pool {

            family inet {

                network 192.168.0.0/24;

                xauth-attributes {

                    primary-dns 4.2.2.2/32;

                }

            }

        }

    }

    firewall-authentication {

        web-authentication {

            default-profile dyn-vpn-access-profile;

        }

    }

}

vlans {

    vlan-DMZ01 {

        vlan-id 2;

        l3-interface vlan.2;

    }

}

 

Полезные ссылки:

Консультация и настройка оборудования Mikrotik

Консультация и настройка оборудования Cisco

Консультация и настройка оборудования Juniper



Обновлен 12 июл 2014. Создан 08 апр 2013



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика