juniper firewall 운영 방법

  1. FW 접근 방법
    1.  Web을 통한 접근
  • 웹(http, https) 접속 시 화면

현재 운용중인 Juniper 방화벽의 Management IP 로 Web Browser 를 이용하여 접속 한 후,
ID 와 Password를 입력한다. 
    1.  SSH를 통합 접근

SSH/Telnet 클라이언트 이용 시 동일하게 방화벽 IP 및 User ID와 Password를 입력 후 접근한다.
  1. Juniper의 기본 구성
    1. 기본 화면

① 좌측 메뉴 : Netscreen FW 기능을 설정
② 방화벽의 펌웨어 버전 및 메모리, Serial Number 를 확인
③ Interface 및 VPN 상태 모니터링
④ 현재까지 발생된 event, alarm 로그가 표시. More를 누르면 detail 하게 볼 수 있음.
⑤ 시스템 상태 및 접속 정보 등에 관한 로그가 표시. More를 누르면 detail 하게 볼 수 있음
⑥ Resources Status : CPU와 Memory 사용량과 현재 세션량, 보안정책 개수 등 표시. 해당 Resource에        Mouse를 올려 놓으면, 현재 Resource 사용량을 알 수 있다
    1. 현재 설정 확인(SSH 접속 Command)

  • get system : Serial Number 및 ScreenOS 버전 및 총 Device Reset 및 접속자 정보를
알 수 있다. 또한 Interface 정보도 확인 할 수 있다.
FW System 전반적인 사항을 확인 할 수 있다.
  1. CONFIGURATION
    1. Date/Time
  • 날짜/시간 설정 화면으로 방화벽 시간 설정 오류 시 오른쪽 상단의 Sync Clock With Client
버틀을 클릭한다.
  • Client PC의 Clock과 Sync 하여 동일하게 설정 됨.

    1. Config File
  • 방화벽에 현재 적용된 Config를 txt 파일로 받아 볼 수 있다.

 
    1. Admin
  • 관리자를 위한 설정 부분으로 방화벽 운영에 필요한 manage IP 설정 및 ID/PW 설정 메뉴
  1. Administrators
- 시스템을 관리하기 위한 ID와 Password를 지정할 수 있으며, 지정한 ID와 관련하여
Read/Write 권한과 Read Only 권한을 줄 수 있다.
- 오른쪽 상단 “NEW” 버튼 클릭하여 새로운 계정 추가

[new 버튼 클릭시 화면]

  • Administrator Name : New ID 입력
  • New Password : 신규 패스워드 입력
  • Confirm New Password : 현재 사용중인 Password 입력
  • Privileges : 새로운 계정 Permission 설정
  1. Permitted IP’s
- 시스템을 관리 할 수 있는 Management Clien IP를 지정 할 수 있다.
- IP 또는 시스템을 관리할 수 있는 Management Client IP를 지정할 수 있다
IP 또는 Network 으로 입력 가능하며 일반적으로 최대 6개까지 Permitted IP List 를 만들 수 있으며, 장비 model 에 따라 등록할 수 있는 IP의 개수는 차이가 있다.

    1. Report Setting
- Juniper FW/VPN방화벽에서는 Email, SNMP, Syslog, NSM, Web Trends별로 Reporting이 가능하며 각 Reporting 방법 별로 Severity Level를 지정하여 보고 싶은 log만 취합 가능 하다
- 해당 부분의 설정이 바르게 되어있지 않으면 NMS 에서 해당 장비의 가용성 상태 및 로그유입 등의 확인이 불가하다. 

[Log Setting]

  1. SNMP
- SNMP란 Simple Network Management Protocol의 약자로 TCP/IP 기반의 네트워크에서
네트워크 상의 각 호스트에서 정기적으로 여러 가지 정보를 자동적으로 수집하여 네트
워크 관리를 하기 위한 프로토콜

- SNMP V1 및 V2 모두 지원

- Default Listen, Trap Port는 각각 161,162 사용하며 변경 가능

[New Community 버튼 클릭 화면]

그림에서 보이는 것처럼 중간에 보이는 “New Community” 버튼을 클릭하여 신규 설정
SNMP Server ip 및 Trap Version , Netmask 입력(Community name의 경우 community string 값을 입력하며 기본적으로 infosec_snmp 로 입력)

  1. Syslog
- Event log 및 Traffic log 모두 받을 수 있다. 또한 TCP를 Check하면 방화벽과 Syslog Server를 TCP로 통신한다
- Default는 UDP 514이다

 
  1. Network
    1. Interfaces
- Interface Configulation 과 Status가 Up/Down 인지 확인한다. 또한 Edit를 Click하면
   각 Interface의 상세 정보를 확인 할 수 있다.

- 또한 이 화면을 통해 방화벽의 동작 mode1도 확인 할 수 있다.
- L3 Mode ( NAT , Route ) 일 때에는 Trust , DMZ , Untrust Zone 을 사용하며 L2 Mode
( Transparent ) 일 때에는 V1-Trust , V1-DMZ , V1-Trust Zone 을 사용한다
- Zone은 필요 시 사용자 임의로 Define 할 수도 있다.

<<세부설정>>
Network -> Interfaces -> Edit

          1. Interface ip 설정
          2.  Interface에 대해 manage 할 수 있는 IP를 따로 설정
          3.  Interface Mode를 NAT or Route Mode로 할 것인지 선택한다.
          4.  Management Service 에 SSH, WebUI, Telnet, SNMP, SSL 이 선택되어
있지 않을 경우 해당 서비스를 사용할 수 없다.
*** Service option 부분에 체크 된 사항은 필히 체크 할 것!!!
 
    1. DHCP
- dynamic host configuration protocol의 약어로 근거리망(LAN)에 접속하는 컴퓨터에 IP 주소를 할당하는 기술. 컴퓨터가 네트워크에 접속하면 DHCP 서버가 자신의 목록에서 IP 주소를 선택하여 할당 해준다.

Configure에 REPORT 버튼 클릭하면 DHCP 목록을 볼 수 있다.

Release 를 클릭하면 할당된 DHCP IP를 반환한다.
 
    1. Routing
- 네트워크상에서 주소를 이용하여 목적지까지 메시지를 전달하는 방법을 체계적으로 결정하는 경로선택 과정.
 이 과정을 능동적으로 수행하는 장치를 라우터라고 하며 경로선택을 위한 데이터베이스(목록)을 라우팅테이블이라고 한다. 
라우팅 테이블은 목적지 네트워크 주소와 라우터의 출구 포트 정보, 최적 경로 산출을 위한 metrics등의 정보를 포함한다. 
즉, 라우팅은 경로 산출에 필요한 라우팅 테이블을 작성하기 위한 일련의 동작을 모두 포함하여 의미함. 
라우팅이란 데이터그램을 위한 경로를 찾는 과정이다. 즉, 패킷이 전달되기 위한 Next-hop을 결정하는 과정으로
 이 과정에서 라우터는 라우팅 테이블을 참조한다.

‘*’ 표시가 되어 있는 것이 활성화된 Routing Table 이다. 아래의 옵션값을 보면 어떠한 라우팅 설정인지 확인 할 수 있으며, 간략한 정보는 아래와 같다.
  • Dynamic : 다이나믹 라우팅 프로토콜은 운영자가 일일이 경로를 지정하지 않아도     
라우터가 알아서 길을 찾아가는 프로토콜로 RIP, OSPF 등이 있다.
  • OSPF(Open Shortest Path First) :  Link state Protocol 로서 network의 변화가 있을 
때만 Multicast로 Link State Update를 하기 때문에 대역폭 사용이 작다.
  • RIP : 목적지를 찾아가는 최적의 경로를 “네트워크를 몇 번 거쳐가는가
(홉 카운트 수)”로 판단하여 결정
  • BGP : 서로다른 AS(autonomous system) 사이에서 사용되는 라우팅 프로토콜.
  • IGP(RIP, EIGRP, OSPF 등)는 각 라우팅 프로토콜이 사용하는 메트릭에 따라 가장 빠른 경로를 최적 경로로 선택하지만 BGP는 관리자가 라우팅 최적경로보다는 조직간에 계약된 정책에 따라 최적 경로를 선택한다.


'정보보안 > 방화벽' 카테고리의 다른 글

Cyberoam NAT Policy  (0) 2019.04.15
Cyberoam Virtual Host 설정하기  (0) 2019.04.10
juniper firewall 운영 방법  (0) 2019.04.08
[포티게이트]Fortigate IPS 설정  (0) 2019.04.07
Fortigate Anti-Virus 설정하기  (0) 2019.04.05
Secui 장비운영  (0) 2019.04.04

댓글(0)

Designed by JB FACTORY