Perguntas do Juniper Firewall SRX210

1

Total de novato na Juniper.

Ok, eu estou mexendo com a interface da web em um Firewall SRX210 por algumas horas e parecendo precisar de ajuda específica agora.

Portanto, a arquitetura geral é que eu tenho um roteador conectando um escritório remoto ao escritório local. Eu quero que o FW esteja entre o roteador local e o switch LAN e faça a filtragem de IP somente quando o tráfego estiver entrando / saindo da LAN do escritório local. O ÚNICO tráfego que deve estar atingindo o link remoto deve ser o tráfego destinado à rede remota e vice-versa. O FW está lá apenas se de alguma forma as máquinas remotas forem hackeadas. Improvável, mas apenas no caso de o firewall precisar ser instalado.

Eu configurei algumas políticas sob as configurações de segurança para permitir que zonas confiáveis e não confiáveis conversem entre si com base nas redes listadas no catálogo de endereços do FW.

Eu tenho um Confiável para qualquer não confiável a qualquer permissão Unrusted to Trusted [rede remota] para Local Permit [Ed: removido] Não confiável para Confiável Qualquer em Qualquer Negação

Configurei duas portas no FW f / 02 e f / 03 para serem configuradas como Ethernet Mode Access e nenhuma VLan com f / 02 como Trusted e f / 03 como Untrusted.

Eu acho que qualquer coisa que entra ou sai dessas portas deve ser filtrada com base nos filtros de política.

Não está acontecendo. Eu tenho dois laptops configurados conectados a cada porta e eu defino os IPs para uma rede diferente das redes permitidas e eles ainda podem pingar para frente e para trás.

Como não tenho experiência com o Juniper FW ou com outros firewalls que não sejam o material doméstico ruim, vocês têm algumas ideias do que eu senti falta?

Obrigado.

[Edit: Ok, eu redefinir para os padrões de fábrica e segui junto em um dos guias de configuração do Juniper, mas ainda não funciona. Aqui está o arquivo de configuração abaixo. Eu estou fazendo a configuração através da interface web, então se algum feedback puder referir que ao invés da CLI isso me ajudaria mais ... uma coisa a menos que eu preciso aprender para que isso funcione.]

## Last changed: 2013-04-18 15:36:25 PDT
version 11.2R4.3;
system {
host-name Office;
time-zone *************;
root-authentication {
    encrypted-password "*********************";
}
name-server {
    208.67.222.222;
    208.67.220.220;
}
services {
    ssh;
    telnet;
    xnm-clear-text;
    web-management {
        http {
            interface vlan.0;
        }
        https {
            system-generated-certificate;
            interface vlan.0;
        }
    }
    dhcp {
        router {
            192.168.1.1;
        }
        pool 192.168.1.0/24 {
            address-range low 192.168.1.2 high 192.168.1.254;
        }
        propagate-settings ge-0/0/0.0;
    }
}
syslog {
    archive size 100k files 3;
    user * {
        any emergency;
    }
    file messages {
        any critical;
        authorization info;
    }
    file interactive-commands {
        interactive-commands error;
    }
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
    autoupdate {
        url https://ae1.juniper.net/junos/key_retrieval;
    }
}
}
interfaces {
ge-0/0/0 {
    unit 0 {
        family inet {
            dhcp;
        }
    }
}
ge-0/0/1 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/2 {
    unit 0 {
        description Remote_Side;
        family ethernet-switching {
            port-mode access;
        }
    }
}
fe-0/0/3 {
    unit 0 {
        description Local_Side;
        family ethernet-switching {
            port-mode access;
        }
    }
}
fe-0/0/4 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/5 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/6 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
fe-0/0/7 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan-trust;
            }
        }
    }
}
vlan {
    unit 0 {
        family inet {
            address 192.168.1.1/24;
        }
    }
}
}
routing-options {
static {
    route 0.0.0.0/0 next-hop 10.1.0.254;
}
}
protocols {
stp;
}
security {
screen {
    ids-option untrust-screen {
        icmp {
            ping-death;
        }
        ip {
            source-route-option;
            tear-drop;
        }
        tcp {
            syn-flood {
                alarm-threshold 1024;
                attack-threshold 200;
                source-threshold 1024;
                destination-threshold 2048;
                timeout 20;
            }
            land;
        }
    }
}
nat {
    source {
        rule-set trust-to-untrust {
            from zone trust;
            to zone untrust;
            rule source-nat-rule {
                match {
                    source-address 0.0.0.0/0;
                }
                then {
                    source-nat {
                        interface;
                    }
                }
            }
        }
    }
}
policies {
    from-zone trust to-zone untrust {
        policy trust-to-untrust {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
    from-zone untrust to-zone trust {
        policy InBound {
            match {
                source-address Remote;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
}
zones {
    security-zone trust {
        host-inbound-traffic {
            system-services {
                all;
            }
            protocols {
                all;
            }
        }
        interfaces {
            vlan.0;
            fe-0/0/3.0;
        }
    }
    security-zone untrust {
        address-book {
            address Remote 175.17.1.0/24;
        }
        screen untrust-screen;
        interfaces {
            ge-0/0/0.0 {
                host-inbound-traffic {
                    system-services {
                        dhcp;
                        tftp;
                    }
                }
            }
            fe-0/0/2.0;
        }
    }
}
}
vlans {
vlan-trust {
    vlan-id 3;
    l3-interface vlan.0;
}
}
    
por Chef Flambe 17.04.2013 / 21:32

1 resposta

2

Você não atribuiu uma VLAN para fe-0/0/2 ou fe-0/0/3, portanto ambos estão na VLAN padrão e devem simplesmente passar tráfego entre eles sem intervenção do SRX.

Você precisa realmente fazer o SRX o roteador IP para que ele faça o seu trabalho. O SRX tem um "modo transparente", mas eu não recomendaria isso.

Se você precisar apenas de uma única porta em cada lado, poderá evitar as VLANs e configurar as portas manualmente. Seja qual for a rota que você vá, não esqueça de adicionar as portas a uma zona de segurança.

    
por 12.05.2013 / 15:49