Network/NetScreen

#amazon(4774135119)

用語 †

• セキュリティ ゾーン
  • デフォルト ゾーン（Trust、Untrust、DMZ）
  • ユーザー定義ゾーン
• インターフェース
  • 物理インターフェース（ethernetmodule/port）
  • 仮想サブ インターフェース（ethernetmodule/port.sub）
• コンテキスト レベル
  • ルート
  • コンテキスト
    • 仮想ルーター コンテキスト
    • ルーティング プロトコル コンテキスト
• 仮想ルーター
  • 定義済み仮想ルーター（trust-vr、untrust-vr）
  • カスタム仮想ルーター（NetScreen-500、1000、5200、5400）

<- zone "Trust" ->|<------------------- NetScreen -------------------->|<- zone "Untrust" ->
      [Host1]--+                                                          +--[Host4]
               |                                                          |
      [Host2]--+--[vrouter "trust-vr"]-[Firewall]-[vrouter "untrust-vr"]--+--[Host5]
               |                                                          |
      [Host3]--+                                                          +--[Host6]

仮想ルータの設定 †

• ゾーンに、仮想ルータを割り当てる。

  ns-> set zone src-zone vrouter vrouter
  

  ex）定義済み仮想ルータを利用する場合。

  ns-> set zone Trust vrouter trust-vr
  ns-> set zone Untrust vrouter untrust-vr
  

インターフェースの設定 †

• インターフェースに、ゾーンを割り当てる

  ns-> set interface if zone "zone"
  

  ex）trustにTrustゾーンを割り当てる場合

  ns-> set interface trust zone Trust
  

• インターフェースに、IPアドレスを割り当てる

  ns-> set interface i/f ip ip_addr[/netmask| netmask]
  

  ex）trustに192.168.1.1を割り当てる場合

  ns-> set interface trust ip 192.168.1.1/24
  

ファイアウォールの設定 †

アドレスの定義 †

• アドレスの定義

  ns-> set address zone addr-name ip-addr netmask [comment]
  

• ex）Trustゾーン側の192.168.2.0/24を定義する

  ns-> set address "Trust" "ADDR_Foo" 192.168.2.0 255.255.255.0 "Foo Network"
  

アドレスグループの定義 †

• アドレス グループの定義

  ns-> set group address zone addr_grp_name [comment "comment"]
  

• アドレス グループへのアドレス追加

  ns-> set group address zone addr_grp_name add addr_name
  

  ex）Trustゾーン側に、ADDR_GRP_Foo Barを定義する
  　　ADDR_GRP_Foo Barに、ADDR_FooとADDR_Barを追加する

  ns-> set group address Trust "ADDR_GRP_Foo Bar" comment "Foo Bar Network"
  ns-> set group address "Trust" "ADDR_GRP_Foo Bar" add "ADDR_Foo"
  ns-> set group address "Trust" "ADDR_GRP_Foo Bar" add "ADDR_Bar"
  

サービスの設定 †

• サービスの設定

  ns-> set service service protocol tcp|udp src-port port dst-port port[timeout time]
  

  • service
    • サービス名
  • port
    • ポート番号
    • レンジ指定も可能 (ex. 2000-2100)
  • time
    • タイムアウト値
    • 1~2160 (分)
    • 無制限は never

ex）特殊なサービスを定義

ns-> set service "SVC_HIGH" protocol tcp src-port 0-65535 dst-port 2048

ポリシーの設定 †

• ポリシーの設定

  ns-> set policy [name name] from src-zone to dst-zone src-addr dst_addr svc Permit|Deny
  

  ex) Trust から Untrust に対する HTTP 通信を許可する

  ns-> set policy id 0 name "HTTP Deny" from "Trust" to "Untrust" "ADDR_Foo"
   "ADDR_Bar" "HTTP" Permit
  

• ポリシーの移動

  set policy move move_id before|after id
  

  ex) 10 番のポリシーを5番の次に移動したい場合

  set policy move 10 after 5
  

ルーティングの設定 †

スタティック ルーティング †

ns-> set route network_addr interface i/f gateway rouet

ns-> set route 192.168.3.0/24 interface untrust gateway 192.168.2.1

ルート レベルでの設定 †

• OSPFを設定

  ns-> set vrouter trust-vr protocol ospf area 10 stub
  

• ゾーンを仮想ルーターに割り当て

  set zone zone vrouter vrouter
  

  ex）

  set zone trust vrouter trust-vr
  

コンテキストレベルでの設定 †

• 仮想ルーター コンテキストへ

  ns-> set vrouter vrouter
  

  ex）

  ns-> set vrouter trust-vr
  

• ルーティング コンテキストへ

  ns(trust-vr)-> set protocol {OSPF|BGP}
  

  ex）

  ns(trust-vr)-> set protocol ospf
  

• OSPFを設定

  ns(trust-vr/ospf)-> set area 10 stub
  

インターフェース ベース NAT †

ポリシー ベース NAT †

NAT-Src †

• 送信元アドレスの変換を行う
• 変換後のアドレスは、送信先インターフェースのアドレスか DIP [Dynamic IP] プールのアドレスになる
  • 送信先インターフェースのアドレスに NAT する場合はポート変換もされる
  • DIP [Dynamic IP] プールのアドレスに NAT する場合はポート変換の有無を選択できる
• 逆方向のセッションは NAT されない
• 使用例
  • Trust 側からのアクセスの際に、送信元 IP アドレスを Untrust 側の IP アドレスに NAT する
  • Untrust 側への VPN 接続の際に、送信元 IP アドレスを Trust 側の IP アドレスに NAT する

送信先インターフェースで NAT する場合 †

1. ポリシーの設定

   ns-> set policy from src-zone to dst-zone src-addr-name dst-addr-name service nat src permit
   

DIP プールのアドレスで NAT する場合 †

1. DIP プールの設定

   ns-> set interface if dip id start-ip-addr end-ip-addr [fix-port]
   

   • start-ip-addr
     • プールの開始アドレス
   • end-ip-addr
     • プールの終了アドレス
   • fix-port
     • ポート変換を行わない場合に指定
2. ポリシーの設定

   ns-> set policy from src-zone to dst-zone src-addr-name dst-addr-name service nat src dip-id id permit
   

   • id
     • 使用する DIP プールの ID

DIP プールのアドレスでスタティック NAT する場合 †

• DIP プールを使いつつ、送信元アドレスと NAT アドレスをスタティックに対応させる
• 送信元アドレスがアドレス グループで、中身はホスト毎に設定する必要がある

1. アドレス グループの作成

   ns-> set address trust host1 ip-addr1/32
   ns-> set address trust host2 ip-addr2/32
   ns-> set address trust host3 ip-addr3/32
   ns-> set group address src-zone src-addr-group add host1
   ns-> set group address src-zone src-addr-group add host2
   ns-> set group address src-zone src-addr-group add host3
   

2. DIP プールの設定

   ns-> set interface if dip id shift-from ip-addr1 to start-ip-addr end-ip-addr
   

   • ip-addr1
     • 送信元アドレスの先頭
   • start-ip-addr
     • プールの開始アドレス
   • end-ip-addr
     • プールの終了アドレス
   • fix-port
     • ポート変換を行わない場合に指定
3. ポリシーの設定

   ns-> set policy from src-zone to dst-zone src-addr-group dst-addr-name service nat src dip-id id permit
   

   • id
     • 使用する DIP プールの ID

NAT-Dst †

• 宛先 IP アドレスの変換を行う

VIP [Virtual IP] †

• 宛先 IP アドレスの変換を行う
• Untrust 側へのアクセスを、Trust 側の任意の IP アドレスに変換する
• ポート番号ごとに、フォワードする IP アドレスを設定できる
• Trust 側の複数のサーバを、Untrust 側に公開したい場合に使用

MIP [Mapped IP] †

• 宛先 IP アドレスの変換を行う
• 一対一のスタティック NAT を行う
• セッションの方向は関係なく NAT される

ns-> set interface "engress-if" mip mip-addr host ip-addr netmask netmask vr "vrouter"

• engress-if
  • 外側のインターフェース
• mip-addr
  • NAT アドレス
  • 外側のインターフェースと同一セグメントである必要がある
  • 別セグメントを使う場合は、Loopback を活用する必要がある
• ip-addr
  • 内側の実アドレス
• netmask
• vrouter

Web フィルタリング †

概要 †

1. 統合型 Web フィルタリング
   • URL カテゴリに分類し、カテゴリごとに Permit/Deny 処理を行う
   • URL カテゴリは SurfControl が定義したデフォルトのものと、カスタム カテゴリが使用できる
   • SurfControl の分類情報は CPA [Content Portal Authority] サーバからリアルタイムに取得する
   • URL のマッチング
     1. ホワイト リストにマッチするものは許可
     2. ブラック リストにマッチするものは拒否
     3. カスタム カテゴリにマッチするものは、定義された処理
     4. いずれにもマッチしないものは、デフォルト処理
2. 転送型 Web フィルタリング

設定 †

1. Web フィルタリング タイプ

   ns-> set url protocol type sc-cpa
   

2. 統合 Web フィルタリングの有効化

   ns-> set url protocol sc-cpa
   ns(url:sc-cpa)-> set enable
   

3. カスタム カテゴリを定義 (任意)

   ns(url:sc-cpa)-> set category category-name url url1
   ns(url:sc-cpa)-> set category category-name url url2
   

4. カスタム プロファイルを定義 (任意)

   ns(url:sc-cpa)-> set profile prof-name category-name black-list
   ns(url:sc-cpa)-> set profile prof-name category-name white-list
   ns(url:sc-cpa)-> set profile prof-name category-name [permit|block]
   ns(url:sc-cpa)-> set profile prof-name other [permit|block]
   ns(url:sc-cpa)-> exit
   

   • ns-profile というデフォルト プロファイルもある
5. ポリシーを作成

   ns-> set policy from zone to zone src dst svc permit url-filter
   ns-> set policy id n
   ns(policy:n)-> set url protocol sc-cpa profile prof-name
   ns(policy:n)->
   

確認 †

ns-> set url protocol type sc-cpa
ns(url:sc-cpa)-> get profile profile-name

NSRP [NetScreen Redundancy Protocol] †

概要 †

• 機器の冗長化を行うプロトコル

• NSRP Lite
  • RTO の同期を行わない
  • NS5GT Extended、NS25
• NSRP Active/Passive
  • RTO の同期を行う
  • NS50、SSG5 Extended、SSG 520
• NSRP Active/Active
  • RTO の同期を行う
  • NS204、SSG 550

• RTO [RunTime Object]
  • セッション情報
  • ARP テーブル
  • など

DNS の設定 †

設定 †

1. スケジュールの確認

   ns-> set dns host schedule
   

確認 †

1. DNS キャッシュ テーブルの状態

   ns-> get dns host cache
   

   • TTL が Expire する直前に、名前解決を行い更新される

1. DNS ルックアップ テーブルの状態

   ns-> get dns host report
   

   • アドレス オブジェクトを登録した際に、名前解決を行い登録される
   • set dns host schedule で設定したタイミングで、名前解決を行い更新される

SNMPの設定 †

ns-> set snmp ?
auth-trap            set SNMP AuthTrap
community            snmp community configuration
contact              set system contact
host                 snmp host configuration
location             set system location
name                 set system name
port                 set SNMP listen & trap port
vpn                  set SNMP VPN encryption

ログ †

トラフィック ログ †

設定 †

1. 新規ポリシーを設定する場合

   ns-> set policy [name name] from src-zone to dst-zone src-addr dst_addr svc Permit|Deny log
   

2. 既存ポリシーに追加する場合

   ns-> set policy id n
   ns(policy:n)-> set log [session-init]
   ns(policy:n)-> exit
   

   • session-init
     • セッション開始時にロギングする場合に指定 (デフォルトはセッション終了時のみ)

確認 †

ns-> get log traffic policy id
PID id, from zone to zone, src src, dst dst, service svc, action Permit
Total traffic entries matched under this policy = num
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2000-01-01 00:00:00    0:00:23 192.168.0.1      3000 10.0.0.1         80 HTTP       7123
Close - AGE OUT

トラフィック カウンタ †

設定 †

ns-> set policy [name name] from src-zone to dst-zone src-addr dst-addr svc Permit|Deny count

確認 †

• GUI から確認

その他の設定 †

ホスト名の変更 †

ns5xt-> get hostname
Hostname: ns5xt
nsNhoge-> set hostname ns
ns-> get hostname
Hostname: ns

ドメイン名の設定 †

ns-> set domain domain

コンソールの無通信切断 †

ns-> set console timeout 0

バナー †

• コンソール、Telnet両方で出るバナー

  ns-> set admin auth banner console login "NetScreen Management Console"
  ns-> save
  Save System Configuration  ...
  Done
  ns-> exit
  NetScreen Management Console
  login:
  

• Telnetだけで出るバナー

  ns-> set admin auth banner telnet login "NetScreen Remote Management Console"
  ///
  # telnet 192.168.1.1
  NetScreen Remote Management Console
  
  NetScreen Management Console
  login:
  

時刻関連 †

• NTPを利用する

  ns-> set clock ntp NTP有効化
  ns-> set clock timezone 9 UTCとの時差
  ns-> set ntp server ip_addr
  ns-> set ntp server backup1 ip_addr SOS5~
  ns-> set ntp server backup2 ip_addr
  ns-> set ntp interval min 更新間隔 デフォルト10分
  ns-> set ntp max-adjustment sec Stepする最大値 デフォルト3秒 SOS5~
  

設定の保存 †

ns-> save
Save System Configuration  ...
Done

バックアップ †

ns-> save config from flash to tftp ip-addr file

リストア †

ns-> save config from tftp ip-addr file

システム情報 †

ns-> get system

初期化 †

• シリアル番号でログインする

  login: Serial_Number
  password: Serial_Number
  !!! Lost Password Reset !!! You have initiated a command to reset the device to 
  factory defaults, clearing all current configuration and settings. Would you lik
  e to continue? y/[n] y
  !! Reconfirm Lost Password Reset !! If you continue, the entire configuration of
   the device will be erased. In addition, a permanent counter will be incremented
   to signify that this device has been reset. This is your last chance to cancel 
  this command. If you proceed, the device will return to factory default configur
  ation, which is: System IP: 192.168.1.1; username: netscreen, password: netscree
  n. Would you like to continue? y/[n] y
  In reset ...
  

• ログイン

  login: netscreen
  password: netscreen
  ns5xt->
  

Menu

+ Operating System
　- Linux
　- FreeBSD
　- Solaris
　- Windows
　- Macintosh
　- Virtualization
+ Middleware
　- High Availability
　- Web
　- Mail
　- Database
　- FileTransfer
　- Management
　- Other Software
　- Library
　- Tool
+ Application
+ Network
+ Storage
+ Cloud
+ Protocol
+ Program
+ Others

AND検索 OR検索  

#amazon(B01NBDY5L2)

最新の10件

#amazon(4774185787)

Advertisement

Counter

Today: 4
Yesterday: 3
Total: 104595

MenuEdit