CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội


14 bước cấu hình cơ bản Firewall Juniper

Cấu hình tường lửa Juniper SRX: Hướng dẫn 14 bước

Cấu hình tường lửa Juniper SRX

Tối đa hóa bảo mật mạng của bạn với hướng dẫn của chúng tôi về cấu hình tường lửa Juniper SRX. Từ thiết lập đến các chính sách nâng cao, chúng tôi sẽ đề cập đến tất cả từng bước.

Dòng tường lửa Juniper SRX nổi tiếng với việc cung cấp hiệu suất và bảo mật để bảo vệ biên mạng, trung tâm dữ liệu và ứng dụng đám mây của bạn. Tường lửa Juniper rất linh hoạt cung cấp bảo mật thế hệ tiếp theo, hỗ trợ SD-WAN  và kết nối mạng cấp doanh nghiệp cho các doanh nghiệp vừa và nhỏ và các văn phòng chi nhánh lớn. Nó cung cấp khả năng bảo mật, kết nối mạng và SD‑WAN thế hệ tiếp theo để đáp ứng nhu cầu thay đổi của mạng doanh nghiệp dựa trên AI, hỗ trợ đám mây của bạn.

Trong bài viết này, chúng ta sẽ tìm hiểu cách định cấu hình tường lửa Juniper để kết nối nó với internet. Hướng dẫn cấu hình này sẽ hữu ích cho người mới bắt đầu và cho những người đã làm việc trên tường lửa Juniper. Chúng tôi sẽ thiết lập thiết bị SRX mới dựa trên cấu trúc liên kết mạng sau. Vì đây là hướng dẫn dành cho người mới bắt đầu nên chúng tôi sẽ đề cập đến những điều sau:

  •  Kết nối với cổng bảng điều khiển bằng cáp bảng điều khiển và phần mềm đầu cuối (Putty)
  •  Truy cập CLI để cấu hình.
  •  Thay đổi thông tin đăng nhập mặc định và tạo mật khẩu gốc mới.
  •  Tạo người dùng mới.
  •  Định cấu hình tên máy chủ.
  •  Kích hoạt SSH.
  •  Định cấu hình cài đặt DNS.
  •  Cấu hình múi giờ và NTP.
  •  Định cấu hình vùng bảo mật.
  •  Cấu hình địa chỉ IP cho giao diện.
  •  Tạo chính sách bảo mật.
  •  Cấu hình định tuyến tĩnh và định tuyến truy cập internet.
  •  Cấu hình NAT.
  •  Thực hiện nâng cấp chương trình cơ sở.
  • Cấu trúc liên kết mạng cho cấu hình tường lửa Juniper SRX

Phần mềm Putty: Hãy bắt đầu cấu hình.

 

Kết nối với cổng bảng điều khiển bằng cáp bảng điều khiển và phần mềm đầu cuối (Putty)

Bạn có thể sử dụng cáp bảng điều khiển đi kèm với hộp hoặc cáp mới được hỗ trợ. Đầu USB của cáp bảng điều khiển được cắm vào máy tính xách tay và đầu RJ45 được cắm vào cổng bảng điều khiển của tường lửa.

Sau khi kết nối cáp console với các cổng tương ứng, chúng ta có thể truy cập tường lửa bằng phần mềm đầu cuối PUTTY.

 phần mềm putty

 

Truy cập CLI để cấu hình.

 

Sau khi kết nối cáp bảng điều khiển, chúng ta có thể truy cập Giao diện dòng lệnh (CLI) của tường lửa bằng cổng và tốc độ truyền chính xác. Tất cả các cấu hình của tường lửa có thể được cấu hình thông qua CLI. Mặc dù CLI phức tạp hơn GUI một chút, nhưng hầu hết các Kỹ sư Mạng/Bảo mật thích nó hơn GUI.

 

  • Kiểu kết nối: Nối tiếp
  • Dòng nối tiếp: COM4
  • Tốc độ: 9600

 

Thực hiện các thay đổi trong tường lửa Juniper ở đâu?

Ban đầu, mặc định không có mật khẩu cho root. Chúng ta cần thay đổi mật khẩu. Nhập tên người dùng là "root" và nhấn enter.

 Chế độ cấu hình SRX

 

Đầu tiên chúng ta phải vào chế độ cấu hình để thay đổi cấu hình của thiết bị. Có hai chế độ trong tường lửa Juniper.

 

Chế độ hoạt động:  Ở chế độ này, chúng tôi không thể thay đổi tệp cấu hình và cài đặt của thiết bị. Nó chỉ cho phép người dùng xem cài đặt hệ thống, thiết bị và thông tin khác. Để vào chế độ hoạt động, chúng ta nhập lệnh  CLI.

Cấu hình tường lửa chế độ hoạt động

Chế độ cấu hình:  Tại đây, chúng ta có thể thay đổi cài đặt cấu hình thiết bị và lưu các thay đổi này. Để vào chế độ cấu hình, nhập  lệnh Configure  và nhấn enter.

Chế độ cấu hình tường lửa

Thay đổi thông tin đăng nhập Mặc định và tạo người dùng mới.

Bất kỳ truy cập trái phép nào vào tài khoản gốc đều có thể dẫn đến vi phạm bảo mật và đánh cắp dữ liệu. Nên thường xuyên thay đổi mật khẩu root vì tài khoản root có đầy đủ đặc quyền quản trị. 

Để thay đổi mật khẩu gốc:

Thay đổi mật khẩu root_Juniper SRX

Tạo người dùng mới

Mục đích chính để tạo người dùng mới là bảo mật. Người dùng khác nhau có thể được tạo cho các bộ phận và quản trị viên khác nhau để đảm bảo quyền truy cập được ủy quyền vào tường lửa hoặc các thiết bị mạng khác. Ngoài ra, việc tạo người dùng riêng biệt có thể giúp theo dõi tất cả các thay đổi do người dùng thực hiện, đây là một phương pháp bảo mật tốt. 

Tạo cấu hình tường lửa SRX người dùng mới

 Định cấu hình tên máy chủ

Tên máy chủ cung cấp một nhận dạng duy nhất cho thiết bị mạng hoặc tường lửa. Việc xác định thiết bị có thể hữu ích và bạn nên thay đổi tên máy chủ mặc định của tường lửa theo nhu cầu và tiêu chí của tổ chức.

 Định cấu hình tên máy chủ

 

 

Lưu ý: Cam kết  được sử dụng trong các thiết bị bảo mật của Juniper để lưu và áp dụng các thay đổi được thực hiện trong thiết bị. 

Kích hoạt SSH

Secure Shell (SSH) cho phép quản trị viên mạng quản lý và truy cập thiết bị từ xa. Vì SSH được mã hóa nên nó an toàn khi sử dụng. Kích hoạt SSH rất dễ dàng và có thể được thực hiện bằng cách thực hiện theo các bước bên dưới.

 

Định cấu hình cài đặt DNS

Máy chủ tên miền (DNS) rất cần thiết cho mạng và có thể giúp phân giải tên máy chủ. DNS phân giải tên máy chủ thành địa chỉ IP và nâng cao hiệu suất mạng bằng cách lưu vào bộ đệm thông tin cấp DNS. DNS có thể được cấu hình bởi

 Định cấu hình cài đặt DNS

Thay vì "8.8.8.8", chúng tôi có thể sử dụng địa chỉ IP máy chủ DNS nội bộ của mình.

Cấu hình múi giờ và NTP

Định cấu hình múi giờ và NTP là rất quan trọng trong một tổ chức vì nó đảm bảo tất cả các thiết bị mạng đều ở cùng một thời điểm chính xác. Điều quan trọng là ghi nhật ký, báo cáo và các tính năng khác.

 Định cấu hình múi giờ và NTP

Định cấu hình vùng bảo mật

 

Các vùng và giao diện bảo mật được nhóm lại để triển khai các chính sách và kiểm soát truy cập dựa trên vùng. Vùng bảo mật cho phép quản trị viên phân đoạn mạng của chúng tôi thành các vùng khác nhau và các chính sách khác nhau có thể được áp dụng cho các vùng khác nhau. Nó tăng cường hiệu suất của tường lửa, cung cấp bảo mật và ngăn chặn các chuyển động ngang từ những kẻ tấn công. Các bước tạo vùng bảo mật như sau:

ge-0/0/1  và  ge-0/0/2  là giao diện, và  EXTERNAL-ZONE  và  INTERNAL-ZONE  là tên vùng.

Cấu hình địa chỉ IP cho giao diện

Việc định cấu hình địa chỉ IP cho giao diện trên tường lửa Juniper có thể được thực hiện bằng lệnh bên dưới:

 

 Cấu hình địa chỉ IP cho giao diện

Ở đây,  ge-0/0/1  và  ge-0/0/2  là các giao diện.

inet dành cho địa chỉ IPv4 (đối với địa chỉ IPv6, chúng tôi sử dụng inet6).

Tạo chính sách bảo mật

Các chính sách bảo mật được sử dụng để kiểm soát lưu lượng truy cập vào và ra trong một tổ chức. Lưu lượng được kiểm soát dựa trên các tiêu chí như địa chỉ IP nguồn, địa chỉ IP đích, Cổng và ứng dụng. 

Những điều sau đây có thể được thực hiện để tạo chính sách bảo mật:

 Tạo chính sách bảo mật SRX

INTERNET-RULE  là tên chính sách của chúng tôi.

Cấu hình định tuyến tĩnh và định tuyến truy cập internet

Các tuyến đường được sử dụng để hiển thị chỉ đường của lưu lượng truy cập để nó có thể đến đích. Các tuyến tĩnh được thêm thủ công vào bảng định tuyến. Họ kiểm soát lưu lượng và gửi nó từ một cổng cụ thể. Tất cả lưu lượng truy cập khác đi qua cổng mặc định. Chúng ta có thể cấu hình định tuyến tĩnh bằng cách:
Định cấu hình các tuyến mặc định và tĩnh để truy cập internet

Chúng tôi có thể định cấu hình tuyến đường mặc định bằng cách:


tuyến đường mặc định

Định cấu hình SNAT nguồn

Dịch địa chỉ mạng (NAT) được sử dụng để dịch địa chỉ IP riêng thành địa chỉ IP công cộng để chúng có thể được định tuyến trên internet, đến đích được yêu cầu và quay lại với phản hồi. Để định cấu hình SNAT, trước tiên, hãy xác định vùng nguồn và vùng đích.

 Định cấu hình SNAT nguồn

INTERNAL ZONE & EXTERNAL ZONE  là tên khu vực của chúng tôi.

SOURCE-NAT-RULE  là tên bộ quy tắc của chúng tôi.

Xác định địa chỉ nguồn và đích cho hoạt động NAT.
Định cấu hình nguồn SNAT 2

 

RULE-NAT  là tên quy tắc của chúng tôi,  SOURCE-NAT-RULE  là tên bộ quy tắc của chúng tôi,  172.16.16.0/24  là địa chỉ nguồn của chúng tôi và 0.0.0.0/0 là địa chỉ đích.

 

 Định cấu hình nguồn SNAT 3

GE-0/0/2  là tên giao diện của chúng tôi,  SOURCE-NAT-RULE  là tên bộ quy tắc của chúng tôi và  RULE-NAT  là tên quy tắc của chúng tôi.

 

Định cấu hình NAT đích (DNAT)
Định cấu hình NAT đích (DNAT)

GE-0/0/2  là tên giao diện của chúng tôi,  RS1  là tên bộ quy tắc của chúng tôi và  R1  là tên quy tắc của chúng tôi.

Kích hoạt IPS trong Juniper Firewall
Kích hoạt IPS trong Juniper Firewall

Để xác minh xem IPS có chạy hay không, chúng ta có thể kiểm tra bằng cách:
kiểm tra IPS

EXTERNAL-ZONE  và  INTERNAL-ZONE  là tên vùng của chúng tôi và  ISP-POLICY  là tên chính sách của chúng tôi.

Kết luận

Chúng tôi hy vọng các bạn thấy hướng dẫn cấu hình Juniper SRX của chúng tôi hữu ích. Chúng tôi sẽ tiếp tục đề cập đến các chủ đề liên quan như cấu hình Juniper SRX HA, IPsec VPN và VPN SSL truy cập từ xa. Nếu có bắt kỳ thắc mắc hay cần hỗ trợ về sản phẩm hãy liên hệ với chúng tôi để được hỗ trợ sớm nhất

Xem thêm các sản phẩm của Juniper  TẠI ĐÂY

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
• Điện thoại: 02432012368
• Hotline: 098 115 6699
 Email: info@datech.vn
• Website: https://datech.vn