.

140527_침입차단시스템_Juniper 셋팅 방법

by 담배맛구마

인라인 방식

FW없어도 Client에서 Server로 직접 연결

FW가 있다면 IP와 PORT로 걸러내긴해

프록시 방식

FW가 없으면 연결 X

Application Proxy

Stateful Inspection(상태기반)

요즘의 대부분의 방화벽의 종류

Active TCP session table과 UDP session table을 사용함

UDP같은 경우는 가상의 세션 테이블

Hybrid

대부분의 방화벽 채택방식

###Default INPUT LOG rule

$IPTABLES -A INPUT ! -i lo -j LOG --log-preifx "DROP_INPUT" --log-ip-options -- log-tcp-options

모든 패킷 다잡는다 무조건 제일 및에 있어야 로그에 남는다.



==================================================================================================


NS 시리즈 방화벽(FW)

SSG 시리즈 UTM(통합 보안 장비; FW + IPS + WebFilter + mail + ...)


엔지니어가 네트워크의 상황에 따라서 Netscreen Mode를 정해야한다.

1. TP(Transparent) Mode

외부와 내부가 동일한 대역의 공인 IP

Down Time이 정말 짧다. 방화벽에 연결되어있는걸 바로 GW에 꽂으면 된다. 하지만 방화벽이 하던 패킷 필터링은 안된다.

2. NAT mode

외부는 공인 IP고 내부는 사설IP

3. Route mode

외부와 내부가 다른 대역의 공인 IP

서로다른 대역이기에 라우터가 필요하다.

※ Down Time : 서버가 죽었다가 살아나는데 걸리는 시간


==================================================================================================

Juniper

1. 공장초기화

리셋버튼 두 번 누르면된다. 한번 쭉 누르고 주황색변했다가 녹색으로 돌아오면 다시 뗐다가 한번 더눌러

2. Default Password로 로그인

netscreen / netscreen

실제로 배너그래빙으로 방화벽의 장비 이름을 캐낸다음에 디폴트패스워드 검색해서 접속하면 들어가져

3. 명령어를 몰라도 ? 치면 모든 명령어를 출력해준다. 시뮬레이터는 ?가 안먹힌다.

4. 각 Interface를 Zone에 Binding

set int interface ethernet0/0 zone untrust

set int interface eth0/1 zone trust

set int interface eth2 zone

5. 각 Interface에 IP할당

set int eth0 ip 49.1.218.118/26(Subnet을 Prefix로 준다.)

set int eth1 ip 192.168.0.1/24

※ dhcp :: 

6. Interface에 gw 설정

set int eth0 gateway 49.1.218.65

7. Interface Management 설정

인터페이스를 어떻게 관리할 것인가?? 설치해주고 나중에 외부에서도 관리가능하게 열어주면된다.

set int eth0 manage ping

set int eth0 manage ssh

set int eth0 manage telnet(잘 안열어)

set int eth0 manage web

8. Interface에 Mode 설정

set int eth0 nat

※ 설정 확인하려면 get int eth0, get route

9. 저장

save 

10. management로 web을 설정해놓으면 Web으로 접속해서 관리가 가능하다.


※ get conf 하면 설정 정보가 나오게 된다.

※ bgroup0 : 공장에서 이미 설정되어서 나오는 것

콘솔 케이블을 가져가지 않았을때 작업자가 작업가능하도록 미리 설정해놓은 것

set int bgroup0 port ethernet0/2

set int bgroup0 port ethernet0/3

set int bgroup0 port ethernet0/4

set int bgroup0 port ethernet0/5

set int bgroup0 port ethernet0/6

이런식으로 설정이 되어있는데 

※ 설정하는게 set이면 설정을 푸는건 unset 

반응형

블로그의 정보

정윤상이다.

담배맛구마

활동하기