Giới thiệu tường lửa Juniper SXR

Dòng tường lửa Juniper SRX nổi tiếng với việc cung cấp hiệu suất và bảo mật để bảo vệ biên mạng, trung tâm dữ liệu và ứng dụng đám mây của bạn. Tường lửa Juniper rất linh hoạt cung cấp bảo mật thế hệ tiếp theo, hỗ trợ SD-WAN  và kết nối mạng cấp doanh nghiệp cho các doanh nghiệp vừa và nhỏ và các văn phòng chi nhánh lớn. Nó cung cấp khả năng bảo mật, kết nối mạng và SD‑WAN thế hệ tiếp theo để đáp ứng nhu cầu thay đổi của mạng doanh nghiệp dựa trên AI, hỗ trợ đám mây của bạn.

Chuẩn bị kết nối

Đầu tiên, chúng ta thực hiện bật thiết bị, kết nối dây console qua cổng COM của firewall và máy tính. Đầu USB của cáp bảng điều khiển được cắm vào máy tính xách tay và đầu RJ45 được cắm vào cổng bảng điều khiển của tường lửa.

Sau khi kết nối cáp console với các cổng tương ứng, chúng ta có thể truy cập tường lửa bằng phần mềm đầu cuối PUTTY.

Lưu ý: Cổng kết nối của bạn có thể khác

Đăng nhập tài khoản root

Ban đầu, mặc định không có mật khẩu cho root. Chúng ta cần thay đổi mật khẩu. Nhập tên người dùng là “root” và nhấn enter.

login: root
Password:
--- JUNOS 12.1x47-D20.7 built 2023-02-02 21:53:50 UTC
root@%

Tường lửa Juniper có 2 chế độ. Chế độ hoạt động chỉ cho phép người dùng xem cài đặt hệ thống, thiết bị và thông tin khác. Để vào chế độ hoạt động, chúng ta nhập lệnh CLI.

root@% cli
root>

Chế độ cấu hình dùng để thay đổi cài đặt cấu hình thiết bị. Để vào chế độ cấu hình, nhập lệnh Configure.

root> configure
Entering configuration mode
[edit]
root#

Đổi mật khẩu root

Để thay đổi mật khẩu root các bạn gõ lệnh sau, mật khẩu sẽ không hiện để đảm bảo tính bảo mật, các bạn cứ nhập mật khẩu rồi Enter là được.

root# set system root-authentication plain-text-password
New password:
Retype new password:
[edit]

Tạo người dùng mới

Người dùng khác nhau có thể được tạo cho các bộ phận và quản trị viên khác nhau để đảm bảo quyền truy cập được ủy quyền vào tường lửa hoặc các thiết bị mạng khác.

root# set system login user testuser class super-user authentication plain-text-password
New password:
Retype new password:
[edit]

Cấu hình hostname

Tên máy chủ cung cấp một nhận dạng duy nhất cho thiết bị mạng hoặc tường lửa theo nhu cầu và tiêu chí của tổ chức.

root# set system host-name Juniper-FW
[edit]
root# commit
commit complete
[edit]
root@Juniper-FW#

Lưu ý: commit được sử dụng trong các thiết bị bảo mật của Juniper để lưu và áp dụng các thay đổi được thực hiện trong thiết bị.

Cấu hình login banner

root@Juniper-FW# set system login message "Webcome to CRF Blogger"

Cấu hình timezone

root@Juniper-FW# set system time-zone GMT+7

Cấu hình DNS

Máy chủ tên miền (DNS) rất cần thiết cho mạng và có thể giúp phân giải tên máy chủ. Thay vì “8.8.8.8”, bạn có thể sử dụng địa chỉ IP máy chủ DNS nội bộ của mình.

root@Juniper-FW# set system name-server 8.8.8.8
root@Juniper-FW# set system name-server 8.8.4.4

Kích hoạt SSH

Secure Shell (SSH) cho phép quản trị viên mạng quản lý và truy cập thiết bị từ xa.

root@Juniper-FW# set system services ssh

Cấu hình security zone

Các vùng bảo mật cho phép quản trị viên phân đoạn mạng thành các vùng khác nhau và áp dụng các chính sách khác nhau.

set security zones security-zone EXTERNAL interfaces ge-0/0/1
set security zones security-zone INTERNAL interfaces ge-0/0/2

ge-0/0/1 và ge-0/0/2 là tên interface, EXTERNAL và INTERNAL là tên vùng.

Cấu hình địa chỉ IP

set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.10/24
set interfaces ge-0/0/2 unit 0 family inet address 172.16.16.1/24

Ở đây, ge-0/0/1  ge-0/0/2 là các interface. inet dành cho địa chỉ IPv4 (đối với địa chỉ IPv6 sử dụng inet6).

Tạo chính sách bảo mật

Các chính sách bảo mật được sử dụng để kiểm soát lưu lượng truy cập vào và ra trong một tổ chức. Lưu lượng được kiểm soát dựa trên các tiêu chí như địa chỉ IP nguồn, địa chỉ IP đích, Cổng và ứng dụng. 

edit security policies from-zone INTERNAL to-zone EXTERNAL policy INTERNET-RULE
set match source-address any
set match destination-address any
set match application any
set then permit
exit
commit

Cấu hình định tuyến tĩnh và định tuyến truy cập internet

Các tuyến đường được sử dụng để hiển thị chỉ đường của lưu lượng truy cập để nó có thể đến đích.

set routing-options static route 0.0.0.0/0 next-hop 192.168.1.250
set routing-options static route 172.16.16.0/24 next-hop 10.10.10.1
commit

Cấu hình SNat (nguồn)

NAT được sử dụng để dịch địa chỉ IP private thành địa chỉ IP public để chúng có thể được định tuyến trên internet.

set security nat source rule-set LAN-TO-WAN from zone INTERNAL
set security nat source rule-set LAN-TO-WAN to zone EXTERNAL
set security nat source rule-set LAN-TO-WAN rule RULE-SNAT match source-address 172.16.16.0/24
set security nat source rule-set LAN-TO-WAN rule RULE-SNAT then source-nat 0.0.0.0/0
set security nat source rule-set LAN-TO-WAN rule RULE-SNAT then source-nat interfaces ge-0/0/2

Cấu hình DNAT (đích)

set security nat destination pool NAT-POOL address 172.16.16.250/32
set security nat destination rule-set WAN-TO-LAN from interfaces ge-0/0/1
set security nat destination rule-set WAN-TO-LAN rule RULE-DNAT match destination-address 192.168.1.10/32
set security nat destination rule-set WAN-TO-LAN rule RULE-DNAT then destination-nat pool NAT-POOL

 Cấu hình DHCP LAN

set system services dhcp pool 10.10.1.0/24 address-range low 10.10.1.10 high 10.10.1.100
set system services dhcp pool 10.10.1.0/24 name-server 8.8.8.8
set system services dhcp pool 10.10.1.0/24 name-server 8.8.4.4
set system services dhcp pool 10.10.1.0/24 router 10.10.1.1

Kích hoạt IPS (Intrusion prevention system)

set security policies from-zone INTERNAL to-zone EXTERNAL
policy IPS-POLICY then permit application-services security-intelligence

Để xác minh xem IPS có chạy hay không

show security policies from-zone INTERNAL to-zone EXTERNAL policy IPS-POLICY

Leave a Reply

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.
x  Powerful Protection for WordPress, from Shield Security
This Site Is Protected By
Shield Security