SRX1500でのJunos OSの設定 |ジュニパーネットワークス

SRX1500ファイアウォールソフトウェア設定の概要

SRX1500ファイアウォールは、Junos OSがプリインストールされた状態で出荷されており、サービスゲートウェイの電源がオンになるとすぐに設定できるようになります。サービス・ゲートウェイを初めてセットアップする場合は、コマンド・ライン・インターフェース(CLI)を使用して初期設定を実行します。

サービス・ゲートウェイを構成する前に、以下の情報を収集します:

ルート認証
管理インターフェイスの IP アドレス
既定のルート

ファイアウォールSRX1500工場出荷時のデフォルト設定について

お使いのSRX1500は工場出荷時のデフォルト設定で設定されています。既定の構成には、次のセキュリティ構成が含まれています。

信頼と信頼解除の 2 つのセキュリティゾーンが作成されます。
インターフェイス ge-0/0/0 と ge-0/0/15 は untrust ゾーンに、インターフェイス ge-0/0/1 から ge-0/0/3 は trust ゾーンにあります。
trustゾーンからuntrustゾーンへの送信トラフィックを許可するセキュリティポリシーが作成されます。
送信元ネットワークアドレス変換(NAT)がtrustゾーンに設定されている。

現在のアクティブな設定が失敗した場合、コマンドを使用して工場出荷時のデフォルト設定に戻すことができます load factory-default 。

SRX1500ファイアウォールの工場出荷時のデフォルト設定の表示

CLIを使用してサービスゲートウェイの工場出荷時のデフォルト設定を表示するには:

root ユーザーとしてログインし、資格情報を入力します。
デフォルトの設定ファイルのリストを表示します。
必要な既定の構成ファイルを表示します。

SRX1500サービスゲートウェイでのJ-Webへのアクセス

J-Webインターフェイスは、コマンドなしでサービスゲートウェイを操作できるWebベースのグラフィカルインターフェイスです。J-Webを使用してデバイスを設定する前に、CLIにアクセスして初期設定を実行する必要があります。

メモ：

J-Web インターフェイスにアクセスするには、管理デバイスに次のサポートされているブラウザのいずれかが必要です。

Microsoft Internet Explorer バージョン 8.0、9.0、または 10.0
Mozilla Firefox バージョン 23+
グーグルクロームバージョン28+

J-Webにアクセスするには:

管理デバイスで Web ブラウザーを開き、アドレスフィールドにデバイス管理 IP アドレスを入力します。
デフォルトのユーザー名を root に指定し、パスワードを入力します。

CLI からのルート認証と管理インターフェイスの設定

J-Webを使用してデバイスを設定する前に、CLIにアクセスして初期設定を実行する必要があります。

ルート認証と管理インターフェイスを設定するには、次の手順に従います。

root でログインします。パスワードはありません。
CLI を起動し、設定モードを開始します。
クリアテキストパスワード、暗号化されたパスワード、または SSH 公開キー文字列(DSA または RSA)を入力して、ルート認証パスワードを設定します。
設定をコミットして、デバイス上で有効にします。
デバイス上のイーサネット管理インターフェイスの IP アドレスとプレフィックス長を設定します。

デフォルトルートを構成します。

Webアクセスを有効にしてJ-Webを起動します。
設定変更をコミットします。

J-Webを使用したインターフェイス、ゾーン、ポリシーの設定

J-Webを使用して、ホスト名、インターフェイス、ゾーン、セキュリティポリシーを設定できます。

始める前に:

IPアドレス、ルート認証、およびデフォルトルートが設定されていることを確認します。
J-Webにアクセスするには、デバイスでHTTPを有効にします。

CLIからのルート認証と管理インターフェイスの設定を参照してください。

以下の手順で、J-Webを使用してデバイスを設定します。

ホスト名の設定
インターフェイスの設定
ゾーンの設定とインターフェイスの割り当て
セキュリティポリシーの設定

ホスト名の設定

ホスト名を設定するには:

管理デバイスから Web ブラウザーを起動します。
[URL アドレス] フィールドにデバイスの IP アドレスを入力します。
デフォルトのユーザー名を root に指定し、パスワードを入力します。 J-Webを使用したSRX1500ファイアウォールの設定を参照してください。
[ ログイン] をクリックします。J-Webダッシュボードページが表示されます。
構成>システムプロパティ>システム ID] の順に選択し、[編集] を選択します。「システム ID の編集」ダイアログボックスが表示されます。
ホスト名を入力し、[ OK] をクリックします。
[コミットオプション]>[コミット] を選択して、設定変更を適用します。

これで、システムのホスト名が正常に設定されました。

インターフェイスの設定

2つの物理インターフェイスを設定するには:

J-Webダッシュボードページで、構成>インターフェイスを選択し、構成する物理インターフェイスを選択します。
追加>論理インターフェイスを選択します。[インターフェイスの追加] ダイアログボックスが表示されます。
単位 = 0を設定します。
[IPv4 アドレス] のチェックボックスをオンにして、IPv4 アドレスを有効にします。
[追加] をクリックし、IPv4 アドレスを入力します。
OK をクリックします。

設定の変更が正常に検証されると、メッセージが表示されます。
OK をクリックします。
コミットオプション>コミットを選択して、設定変更を適用します。

設定の変更が正常に適用されると、メッセージが表示されます。
OK をクリックします。

物理インターフェイスが正常に設定されました。これらのステップを繰り返して、デバイスの2番目の物理インターフェイスを設定します。

ゾーンの設定とインターフェイスの割り当て

trustゾーンとuntrustゾーン内のインターフェイスを割り当てるには:

J-Webダッシュボードページで、構成>セキュリティ>ゾーン/画面を選択し、追加をクリックします。[ゾーンの追加] ダイアログボックスが表示されます。
[メイン] タブで、「ゾーン名」と入力し trust 、説明を入力します。
ゾーンの種類を [セキュリティ] に設定します。
[使用可能]の下に一覧表示されているインターフェイスを選択し、[選択済み]の下に移動します。
OK をクリックします。

設定の変更が正常に検証されると、メッセージが表示されます。
OK をクリックします。
コミットオプション>コミットを選択して、設定変更を適用します。

設定の変更が正常に適用されると、メッセージが表示されます。
OK をクリックします。
ステップ 1 からステップ 8 を繰り返し、untrust ゾーンに別のインターフェイスを割り当てます。

trustゾーンとuntrustゾーンのインターフェイスが正常に設定されました。

セキュリティポリシーの設定

セキュリティポリシーを設定するには、次の手順に従います。

J-Webダッシュボードページで、構成>セキュリティ>セキュリティポリシーを選択し、追加をクリックします。[ポリシーの追加] ダイアログボックスが表示されます。
[ポリシー] タブで、ポリシー名を入力し、ポリシーアクションを許可に設定します。次に、[ゾーン] を選択し、[開始ゾーン] を信頼に、[宛先ゾーン] を信頼解除に設定します。
[使用可能] の下に表示されているものを選択し、[選択済み] の下に移動して、送信元 IP アドレスを構成します。
[使用可能] の下に表示されているものを選択し、[選択済み] の下に移動して、宛先 IP アドレスを構成します。
[使用可能] の下に一覧表示されているものを選択し、[選択済み] の下に移動して、アプリケーションを構成します。
OK をクリックします。

設定の変更が正常に検証されると、メッセージが表示されます。
OK をクリックします。
コミットオプション>コミットを選択して、設定変更を適用します。

設定の変更が正常に適用されると、メッセージが表示されます。
OK をクリックします。

これで、セキュリティポリシーが正常に設定されました。

SRX1500ファイアウォールでのCLIへのアクセス

SRX1500ファイアウォールでCLIにアクセスするには、次の手順に従います。

イーサネットケーブルの一端をRJ-45からDB-9シリアルポートアダプタに差し込みます。
RJ-45 to DB-9 シリアルポートアダプターを管理デバイスのシリアルポートに差し込みます。
イーサネットケーブルのもう一方の端をサービスゲートウェイのシリアルコンソールポートに接続します。

メモ：
または、USBケーブルを使用して、サービス・ゲートウェイのmini-USBコンソール・ポートに接続することもできます。USB コンソールポートを使用するには、 Silicon Labs ページから管理デバイスに USB ドライバをダウンロードする必要があります。
メモ：
デバイスパッケージの一部としてコンソールケーブルを含めることはなくなりました。コンソールケーブルとアダプターがデバイスパッケージに含まれていない場合、または別の種類のアダプターが必要な場合は、次のものを別途注文できます。
- RJ-45 - DB-9 アダプタ(JNP-CBL-RJ45-DB9)
- RJ-45 ー USB-A アダプター(JNP-CBL-RJ45-USBA)
- RJ-45 - USB-C アダプタ(JNP-CBL-RJ45-USBC)
RJ-45 to USB-A または RJ-45 to USB-C アダプターを使用する場合は、PC に X64 (64 ビット) 仮想 COM ポート (VCP) ドライバーがインストールされている必要があります。ドライバをダウンロードするには、https://ftdichip.com/drivers/vcp-drivers/ を参照してください。
非同期端末エミュレーションアプリケーション (Microsoft Windows ハイパーターミナルなど) を起動し、使用する適切な COM ポート (COM1 など) を選択します。
シリアルポート設定を次の値で設定します。
- ボーレート—9600
- パリティ-N
- データビット—8
- ストップビット - 1
- フロー制御—なし
サービスゲートウェイの電源をオンにします。デバイスが起動した後、サービスゲートウェイでソフトウェアの初期構成の実行を開始できます。

CLI から SRX1500 ファイアウォールにリモートで接続する

アウトオブバンド管理のためにサービスゲートウェイをネットワークに接続するには、次の手順に従います。

RJ-45コネクタ付きのイーサネット・ケーブルの一端を、サービス・ゲートウェイのフロント・パネルにあるMGMTポートに差し込みます。
ケーブルのもう一方の端を管理デバイスに差し込みます。

CLI を使用したSRX1500ファイアウォールの設定

このサンプル手順では、CLI コマンドを使用して初期設定を作成し、SRX1500 ファイアウォールをネットワークに接続する方法を説明します。

デバイスの電源が入っていることを確認します。
root ユーザーとしてログインします。パスワードは入力しないでください。
CLI を起動します。
構成モードにします。
クリアテキストパスワード、暗号化されたパスワード、または SSH 公開キー文字列(DSA または RSA)を入力して、ルート認証パスワードを設定します。
デバイスに管理者アカウントを設定します。プロンプトが表示されたら、管理者アカウントのパスワードを入力します。
構成をコミットして、サービス・ゲートウェイでアクティブ化します。
ステップ 6 で設定した管理ユーザーとしてログインします。
サービスゲートウェイの名前を構成します。名前にスペースが含まれる場合は、名前を引用符(" ")で囲みます。
サービスゲートウェイのイーサネットインターフェイスの IP アドレスとプレフィックス長を設定します。
トラフィックインターフェイスを設定します。
メモ：
ge-0/0/0インターフェイスはLAN用で、ge-0/0/1インターフェイスはISP用です。

デフォルトルートを構成します。

基本的なセキュリティゾーンを設定し、トラフィックインターフェイスにバインドします。

基本的なセキュリティポリシーを設定します。

メモ：

ポリシーの実際の構成は、要件によって異なります。

設定の有効性を確認します。

構成をコミットして、サービス・ゲートウェイでアクティブ化します。

必要に応じて、設定を表示して、設定が正しいことを確認します。

メモ：

これは出力例です。実際の出力は、構成要件によって異なる場合があります。

構成をコミットして、サービス・ゲートウェイでアクティブ化します。
必要に応じて、必要な構成ステートメントを追加して、追加のプロパティーを構成します。次に、変更をコミットして、サービス・ゲートウェイでアクティブ化します。
サービスゲートウェイの構成が完了したら、構成モードを終了します。

メモ：

J-Webを使用して初めてデバイスにアクセスするには、CLIで設定モードに入り、コマンドを使用して set system services web-management http管理オプションを設定します。

管理デバイスからWebブラウザを起動し、デバイス管理IPアドレス http://<>URLを使用してサービス・ゲートウェイにアクセスします。J-Webログイン画面が表示されます。これは、初期設定が正常に完了し、SRX1500 ファイアウォールを使用する準備ができたことを示します。

このページの目次

SRX1500でのJunos OSの設定