Giới thiệu tường lửa Juniper SXR
Dòng tường lửa Juniper SRX nổi tiếng với việc cung cấp hiệu suất và bảo mật để bảo vệ biên mạng, trung tâm dữ liệu và ứng dụng đám mây của bạn. Tường lửa Juniper rất linh hoạt cung cấp bảo mật thế hệ tiếp theo, hỗ trợ SD-WAN và kết nối mạng cấp doanh nghiệp cho các doanh nghiệp vừa và nhỏ và các văn phòng chi nhánh lớn. Nó cung cấp khả năng bảo mật, kết nối mạng và SD‑WAN thế hệ tiếp theo để đáp ứng nhu cầu thay đổi của mạng doanh nghiệp dựa trên AI, hỗ trợ đám mây của bạn.
Chuẩn bị kết nối
Đầu tiên, chúng ta thực hiện bật thiết bị, kết nối dây console qua cổng COM của firewall và máy tính. Đầu USB của cáp bảng điều khiển được cắm vào máy tính xách tay và đầu RJ45 được cắm vào cổng bảng điều khiển của tường lửa.
Sau khi kết nối cáp console với các cổng tương ứng, chúng ta có thể truy cập tường lửa bằng phần mềm đầu cuối PUTTY.
Lưu ý: Cổng kết nối của bạn có thể khác
Đăng nhập tài khoản root
Ban đầu, mặc định không có mật khẩu cho root. Chúng ta cần thay đổi mật khẩu. Nhập tên người dùng là “root” và nhấn enter.
login: root
Password:
--- JUNOS 12.1x47-D20.7 built 2023-02-02 21:53:50 UTC
root@%Tường lửa Juniper có 2 chế độ. Chế độ hoạt động chỉ cho phép người dùng xem cài đặt hệ thống, thiết bị và thông tin khác. Để vào chế độ hoạt động, chúng ta nhập lệnh CLI.
root@% cli
root>Chế độ cấu hình dùng để thay đổi cài đặt cấu hình thiết bị. Để vào chế độ cấu hình, nhập lệnh Configure.
root> configure
Entering configuration mode
[edit]
root#Đổi mật khẩu root
Để thay đổi mật khẩu root các bạn gõ lệnh sau, mật khẩu sẽ không hiện để đảm bảo tính bảo mật, các bạn cứ nhập mật khẩu rồi Enter là được.
root# set system root-authentication plain-text-password
New password:
Retype new password:
[edit]Tạo người dùng mới
Người dùng khác nhau có thể được tạo cho các bộ phận và quản trị viên khác nhau để đảm bảo quyền truy cập được ủy quyền vào tường lửa hoặc các thiết bị mạng khác.
root# set system login user testuser class super-user authentication plain-text-password
New password:
Retype new password:
[edit]Cấu hình hostname
Tên máy chủ cung cấp một nhận dạng duy nhất cho thiết bị mạng hoặc tường lửa theo nhu cầu và tiêu chí của tổ chức.
root# set system host-name Juniper-FW
[edit]
root# commit
commit complete
[edit]
root@Juniper-FW#Lưu ý: commit được sử dụng trong các thiết bị bảo mật của Juniper để lưu và áp dụng các thay đổi được thực hiện trong thiết bị.
Cấu hình login banner
root@Juniper-FW# set system login message "Webcome to CRF Blogger"Cấu hình timezone
root@Juniper-FW# set system time-zone GMT+7Cấu hình DNS
Máy chủ tên miền (DNS) rất cần thiết cho mạng và có thể giúp phân giải tên máy chủ. Thay vì “8.8.8.8”, bạn có thể sử dụng địa chỉ IP máy chủ DNS nội bộ của mình.
root@Juniper-FW# set system name-server 8.8.8.8
root@Juniper-FW# set system name-server 8.8.4.4Kích hoạt SSH
Secure Shell (SSH) cho phép quản trị viên mạng quản lý và truy cập thiết bị từ xa.
root@Juniper-FW# set system services sshCấu hình security zone
Các vùng bảo mật cho phép quản trị viên phân đoạn mạng thành các vùng khác nhau và áp dụng các chính sách khác nhau.
set security zones security-zone EXTERNAL interfaces ge-0/0/1
set security zones security-zone INTERNAL interfaces ge-0/0/2ge-0/0/1 và ge-0/0/2 là tên interface, EXTERNAL và INTERNAL là tên vùng.
Cấu hình địa chỉ IP
set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.10/24
set interfaces ge-0/0/2 unit 0 family inet address 172.16.16.1/24Ở đây, ge-0/0/1 và ge-0/0/2 là các interface. inet dành cho địa chỉ IPv4 (đối với địa chỉ IPv6 sử dụng inet6).
Tạo chính sách bảo mật
Các chính sách bảo mật được sử dụng để kiểm soát lưu lượng truy cập vào và ra trong một tổ chức. Lưu lượng được kiểm soát dựa trên các tiêu chí như địa chỉ IP nguồn, địa chỉ IP đích, Cổng và ứng dụng.
edit security policies from-zone INTERNAL to-zone EXTERNAL policy INTERNET-RULE
set match source-address any
set match destination-address any
set match application any
set then permit
exit
commitCấu hình định tuyến tĩnh và định tuyến truy cập internet
Các tuyến đường được sử dụng để hiển thị chỉ đường của lưu lượng truy cập để nó có thể đến đích.
set routing-options static route 0.0.0.0/0 next-hop 192.168.1.250
set routing-options static route 172.16.16.0/24 next-hop 10.10.10.1
commitCấu hình SNat (nguồn)
NAT được sử dụng để dịch địa chỉ IP private thành địa chỉ IP public để chúng có thể được định tuyến trên internet.
set security nat source rule-set LAN-TO-WAN from zone INTERNAL
set security nat source rule-set LAN-TO-WAN to zone EXTERNAL
set security nat source rule-set LAN-TO-WAN rule RULE-SNAT match source-address 172.16.16.0/24
set security nat source rule-set LAN-TO-WAN rule RULE-SNAT then source-nat 0.0.0.0/0
set security nat source rule-set LAN-TO-WAN rule RULE-SNAT then source-nat interfaces ge-0/0/2Cấu hình DNAT (đích)
set security nat destination pool NAT-POOL address 172.16.16.250/32
set security nat destination rule-set WAN-TO-LAN from interfaces ge-0/0/1
set security nat destination rule-set WAN-TO-LAN rule RULE-DNAT match destination-address 192.168.1.10/32
set security nat destination rule-set WAN-TO-LAN rule RULE-DNAT then destination-nat pool NAT-POOLCấu hình DHCP LAN
set system services dhcp pool 10.10.1.0/24 address-range low 10.10.1.10 high 10.10.1.100
set system services dhcp pool 10.10.1.0/24 name-server 8.8.8.8
set system services dhcp pool 10.10.1.0/24 name-server 8.8.4.4
set system services dhcp pool 10.10.1.0/24 router 10.10.1.1Kích hoạt IPS (Intrusion prevention system)
set security policies from-zone INTERNAL to-zone EXTERNAL
policy IPS-POLICY then permit application-services security-intelligenceĐể xác minh xem IPS có chạy hay không
show security policies from-zone INTERNAL to-zone EXTERNAL policy IPS-POLICY