...

SRX ライセンス導入手順 - 日立ソリューションズのJuniper Networks

by user

on
Category: Documents
90

views

Report

Comments

Transcript

SRX ライセンス導入手順 - 日立ソリューションズのJuniper Networks
SRX ライセンス導入手順
株式会社 日立ソリューションズ
ネットワークビジネス部セキュリティグループ
リビジョン
初版
最新版
5.1
2010/05/30
2014/04/01
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
Contents
1. ライセンスキーの種別
P.2
2. ライセンスキーの手動インポート(ライセンスキー必須)
3. ライセンスキーの自動インポート(インターネット接続必須)
P.3
4. IDPシグネチャの導入(インターネット接続必須)
P.5
P.11
5. AVパターンファイルの更新(インターネット接続必須)
P.14
【重要】
Junos 11.4以前のOSをご使用の場合、ライセンスキーをインポートする前に、SRX(Junos)に
インストールされているソフトウェアライセンス用の証明書をインストールする必要がございます。
詳細は弊社サポートサイトをご確認頂けますようお願い致します。
※ログインするにはユーザID/パスワードが必要です。
<弊社サポートサイトURL>
https://enugi.hitachi-solutions.co.jp/juniper/index.html
-Juniper製品サポートトップ > SRX > 重要なお知らせ > SRXシリーズ 証明書インストールのお願い
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
1
1-1 ライセンスキーの種別
機能ライセンス等のライセンスキーには大別して3種類あります。
利用期間や導入方法等に違いがありますので、注意してください。
■サブスクリプションライセンス(トライアル版)
利用期間:取得日から30日間
導 入 :手動インストール/自動インストールの両方に対応しております。
更 新 :正規ライセンスへの手動更新が可能です。
そ の 他 :トライアルライセンスの延長処理はできません。
あくまでも、導入前検証等に利用してください。
■サブスクリプションライセンス(正規版)
利用期間:納入日から1年間単位
導 入 :手動インストール/自動インストールの両方に対応しております。
更 新 :デフォルトで失効日の60日前から毎日ライセンスの自動更新を試みます。
そ の 他 :自動更新の確認はライセンス有効期間がExpireするまで続きます。
また、トライアルライセンスから手動で更新する事が可能です。
■パーマネントライセンス
利用期間:納入日から永続
導 入 :導入方法は手動インストールに限定されます。
更 新 :更新の必要はありません。
そ の 他 :一度導入すれば更新無しで永続利用可能なライセンスです。
代表的なものとしてはDynamicVPNライセンス等があります。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
2
2-1 ライセンスキーの手動インポート(ライセンスキー必須)
機能ライセンス等ライセンスキーを事前に入手している場合、手動でライセンスキーをインポート
することでインターネットへの接続環境を用意することなくライセンスキーのインポートが可能です。
※導入手順は、
サブスクリプションライセンスと
パーマネントライセンスで
違いはありません。
■ ライセンスの確認
root> show system license
License usage:
◆例: 事前に下記ライセンスキーを入手している場合 (テキストファイルにて提供)
JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
※ ライセンスキーは機器のシリアル番号およびライセンス型名ごとに異なります。
(事前に現在のライセンスインストール状況を確認します。)
Licenses
Licenses
Licenses
Expiry
Feature name
used
installed
needed
dynamic-vpn
0
2
0
permanent
ax411-wlan-ap
0
2
0
permanent
(ブランチモデルのデフォルトでは 2つ分のdynamic-vpnライセンスと、
Licenses installed: none
ax411-wlan-apライセンスが最初から導入されております。
これらのデフォルトで導入されているライセンスは、
パーマネントライセンスであり、更新の必要はありません。)
■オペレーションモードからライセンスキーをインポート
root> request system license add terminal
(ライセンスキーをターミナルより貼り付けるモードへ遷移します。)
[Type ^D at a new line to end input,
enter blank line between each license key]
JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
([Ctrl]+[D]キーを押下し貼り付けたライセンスキーをシステムに読み込ませます。)
JUNOS236909: successfully added
add license complete (no errors)
(ライセンスキーに問題がない場合は no errors と出力されます。)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
3
2-2 ライセンスキーの手動インポート(ライセンスキー必須)
■ ライセンスの再確認
root> show system license
License usage:
Feature name
idp-sig
dynamic-vpn
ax411-wlan-ap
(ライセンスが新たに追加されていることを確認してください。)
Licenses
used
0
0
0
Licenses
installed
1
2
2
Licenses
needed
0
0
0
Expiry
2013-08-24 09:00:00 JST
permanent
permanent
Licenses installed:
License identifier: <ライセンスID>
License version: 2
Valid for device: <装置シリアルナンバー>
Features:
idp-sig
- IDP Signature
(ライセンス有効期間が表示されます。)
date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST
root> show system license keys
(インポートされたライセンスキーが表示されます。)
JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
■機器の再起動
root> request system reboot
(ライセンス有効期間がExpireしたものを再導入した場合や、
新規にライセンスを導入した場合は、 必ず再起動を行ってください。)
以上でライセンスキーの手動インポートは完了です。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
4
3-1 ライセンスキーの自動インポート(事前準備編)
サブスクリプション (UTMライセンス等の有効期限付きライセンス) における
ライセンスキー取得には、SRXをインターネットへ直接接続するための
環境が必要となります。 (プロキシ経由不可)
■ ライセンスの確認
root> show system license
License usage:
Feature name
dynamic-vpn
ax411-wlan-ap
(現在インポートされているライセンスを確認可能です。)
Licenses
used
0
0
Licenses
installed
2
2
Licenses
needed
0
0
Expiry
permanent
permanent
Licenses installed: none
■ コンフィグレーションモードへ移行
root> configure
■ 既存設定の削除
(工場出荷時のコンフィグが設定されている場合等、
root# delete
装置の再設定が必要な場合のみ実施してください。)
This will delete the entire configuration
Delete everything under this level? [yes,no] (no) yes
■インターネットへの接続設定
(接続環境に合わせて、以降の設定を実施してください。
既にインターネットへの接続環境がある場合は、
3-2.の設定を新たに投入する必要はありません。)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
5
3-2
Internetへの接続設定例①(固定IPアドレス)
OpenDNS 1: 208.67.222.222
OpenDNS 2: 208.67.220.220
Internet
ge-0/0/0.0
192.168.1.10 / 24
UNTRUST
DNS
Router
SRX240
0 1 2 3
Global-IP
200.200.200.10
4 5 6 7
8 9 10 11 12 13 14 15
192.168.1.1 / 24
ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。
ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。
したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。
■固定IPアドレス, DNSサーバ, Default Gateway設定例
root#
set system time-zone Asia/Tokyo
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.10/24
set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1
set security zones security-zone UNTRUST interfaces ge-0/0/0.0
※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
6
3-2
Internetへの接続設定例②(DHCPクライアント)
OpenDNS 1: 208.67.222.222
OpenDNS 2: 208.67.220.220
Internet
ge-0/0/0.0
DHCP Client
UNTRUST
DNS
DHCP Server
SRX210
0 1 2 3 4 5 6 7
Global-IP
200.200.200.10
192.168.1.1 / 24
ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。
ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。
したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。
■DHCPクライアントIPアドレス取得, DNSサーバ設定例
root#
set system time-zone Asia/Tokyo
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set interfaces ge-0/0/0 unit 0 family inet dhcp
set security zones security-zone UNTRUST interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp
※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
7
3-2
Internetへの接続設定例③(PPPoEクライアント)
OpenDNS 1: 208.67.222.222
OpenDNS 2: 208.67.220.220
Internet
fe-0/0/0.0
PPPoE Client
◆例: PPPoE設定
UserID:
[email protected]
Password: Juniper
UNTRUST
DNS
SRX100 0 1 2 3 4 5 6 7
Global-IP
■PPPoEクライアントIPアドレス取得, DNSサーバ設定例
■PAP/CHAP認証設定
root#
PAP認証またはCHAP認証のどちらを使用しているかが
set system time-zone Asia/Tokyo
事前に判明している場合はいずれか片方の設定のみで
set system name-server 208.67.222.222
PPPoE接続可能です。
set system name-server 208.67.220.220
set interfaces fe-0/0/0 unit 0 encapsulation ppp-over-ether
set interfaces pp0 unit 0 ppp-options chap default-chap-secret "Juniper"
(Passwordはハッシュされます。)
set interfaces pp0 unit 0 ppp-options chap local-name "[email protected]"
set interfaces pp0 unit 0 ppp-options chap passive
set interfaces pp0 unit 0 ppp-options pap local-name "[email protected]"
set interfaces pp0 unit 0 ppp-options pap local-password "Juniper"
(Passwordはハッシュされます。)
set interfaces pp0 unit 0 ppp-options pap passive
set interfaces pp0 unit 0 pppoe-options underlying-interface fe-0/0/0.0
set interfaces pp0 unit 0 pppoe-options auto-reconnect 10
set interfaces pp0 unit 0 pppoe-options client
set interfaces pp0 unit 0 family inet mtu 1454
set interfaces pp0 unit 0 family inet negotiate-address
set routing-options static route 0.0.0.0/0 next-hop pp0.0
set security zones security-zone UNTRUST interfaces pp0.0
set security flow tcp-mss all-tcp mss 1414
※ SRX100以外の場合、10/100/1000 MbpsのInterfaceを実装しているため、Interface名は ge-0/0/0 となります。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
8
3-3 ライセンスキーの自動インポート(設定確認/インストール編)
サブスクリプション (UTMライセンス等の有効期限付きライセンス) における
ライセンスキー取得には、SRXをインターネットへ直接接続するための
環境が必要となります。 (プロキシ経由不可)
■root権限のパスワード設定
root# set system root-authentication plain-text-password (commitするために必要です。)
New password: *****
<rootログインパスワード>
Retype new password: *****
<rootログインパスワード(確認用)>
■設定の反映
root# commit
■オペレーションモードへ移行
root# exit
■InterfaceのIPアドレス確認, Default Gateway確認
root> show interfaces terse | no-more
root> show route terse | no-more
(付与もしくは取得したIPアドレスが適切なことを確認してください。)
(0.0.0.0/0 エントリの Next hop が Default Gateway となります。)
トライアル版のライセンスが必要な場合のみ、
■ライセンスキーの取得
trialオプションを設定してください。
root> request system license update trial
Request to automatically update license keys from https://ae1.juniper.net has been sent,
use 'show system license' to check status.
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
9
3-3 ライセンスキーの自動インポート(インストール確認/適用編)
■ ライセンスの再確認
root> show system license
License usage:
Feature name
idp-sig
dynamic-vpn
ax411-wlan-ap
(ライセンスが新たに追加されていることを確認してください。)
Licenses
used
0
0
0
Licenses
installed
1
2
2
Licenses
needed
0
0
0
Expiry
2013-08-24 09:00:00 JST
permanent
permanent
Licenses installed:
License identifier: <ライセンスID>
License version: 2
Valid for device: <装置シリアルナンバー>
Features:
idp-sig
- IDP Signature
(ライセンス有効期間が表示されます。)
date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST
root> show system license keys
(インポートされたライセンスキーが表示されます。)
JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc
zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw
pjzmnm wnhear bl5wli pvtckj 6q2fff i
■機器の再起動
root> request system reboot
(ライセンス有効期間がExpireしたものを再導入した場合や、
新規にライセンスを導入した場合は、 必ず再起動を行ってください。)
以上でライセンスキーの自動インポートは完了です。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
10
4-1 IDPシグネチャの導入(ダウンロード編) (インターネット接続必須)
IDPシグネチャ導入のため、Internet上にあるシグネチャの
ダウンロードサーバへSRXを接続する必要がございます。
以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。
■シグネチャのダウンロード
パッケージのダウンロードコマンド:
root> request security idp security-package download full-update
初回導入時のみ、
full-updateオプションを設定してください。
2回目以降(アップデート時や再導入時) ならば、
本オプションを設定する必要はありません。
ダウンロード状況の確認コマンド:
root> request security idp security-package download status
"Done;Successfully downloaded"と表示されれば
ダウンロード完了です。
(出力例)
Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi)
and synchronized to backup.
Version info:2011(Mon Oct 17 15:13:06 2011, Detector=11.6.140110920)
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
11
4-2 IDPシグネチャの導入(インストール編)
シグネチャのインストール時に装置負荷が上昇します。
比較的装置負荷の少ない深夜帯等の時間帯にインストールする事を推奨致します。
■セキュリティパッケージのインストール
下記コマンドを実行して、セキュリティパッケージのインストールを行います。
インストールはバックグラウンドで進行するので、インストール状況の確認はコマンドの実行が必要です。
パッケージのインストールコマンド:
root> request security idp security-package install
インストール状況の確認コマンド:
root> request security idp security-package install status
コマンド実行からインストール完了まで、
10分程度の時間がかかります。
"Done;Attack DB update : successful“
と表示されればインストール完了ですので、
状況を確認しつつお待ちください。
(出力例)
Done;Attack DB update : successful - [UpdateNumber=1985,
ExportDate=Fri Sep 2 10:14:29 2011,Detector=11.6.160110809]
Updating control-plane with new detector : successful
Updating data-plane with new attack or detector : not performed
due to no existing running policy found.
■インストールされたシグネチャバージョンの確認
root> show security idp security-package-version
Attack database version:1985(Fri Sep 2 10:14:29 2011)
Detector version :11.6.160110809
Policy template version :N/A
以上でシグネチャの導入作業は完了です。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
12
4-3 IDPシグネチャの導入(自動更新編)
(インターネット接続必須)
IDPシグネチャ更新のため、Internet上にあるシグネチャの
ダウンロードサーバへSRXを接続する必要がございます。
以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。
本設定を有効化する事で、
IDPシグネチャのダウンロードとインストール(更新)が自動化されます。
尚、IDPシグネチャの更新は平均して週に2~3回程度ですので、
お客様の運用形態に沿った更新間隔をご設定頂けますようお願い致します。
■シグネチャの自動更新設定
root#set security idp security-package automatic interval 48 start-time 08-02.23:00
サンプルは2日に一度の更新設定です。
(48時間のインターバル)
自動更新の開始時刻です。
(サンプルは8/2のPM23時に開始します。)
■シグネチャ自動更新の有効化
root# set security idp security-package automatic enable
■シグネチャ更新設定完了
root# commit
以上でシグネチャの自動更新設定は完了です。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
13
5-1 AVパターンファイルの更新
(インターネット接続必須)
Anti-Virusライセンスの導入後は、パターンファイル更新の為に、
Internet上にあるJuniper社のサーバへSRXを接続する必要がございます。
以降の解説はJuniper社のサーバへの通信が可能であるという前提で記載致します。
■パターンファイル自動更新の設定
root# set security utm feature-profile anti-virus kaspersky-lab-engine pattern-update interval 120
(サンプルは120分毎に1回のパターンファイル更新の設定です。
デフォルトでは、60分毎に1回のパターンファイル更新が行われます。
■パターンファイル設定完了
AVパターンファイルのアップデートは、平均して1日に1回程度ですが、
root# commit
お客様の運用形態に沿った更新間隔の設定をお願い致します。
この際、短すぎる時間を指定すると、
■Anti-Virusライセンスの状態確認
root> show security utm anti-virus status サーバと装置に極端な負荷がかかりますので、その点をご注意ください。)
UTM anti-virus status:
Anti-virus key expire date: 2012-12-30 09:00:00 (ライセンス有効期限が記載されています。)
Update server: http://update.juniper-updates.net/AV/SRX550/
Interval: 120 minutes
(設定された更新間隔が記載されています。)
Pattern update status: next update in 30 minutes (次回更新タイミングが記載されています。)
Last result: already have latest database
Anti-virus signature version: 09/02/2013 00:41 GMT, virus records: 567926
Anti-virus signature compiler version: N/A
Scan engine type: kaspersky-lab-engine
Scan engine information: last action result: No error(0x00000000)
■パターンファイルの手動更新
root> request security utm anti-virus kaspersky-lab-engine pattern-update
(初回導入時等、任意のタイミングでパターンファイルの更新を行いたい場合はこちらのコマンドを実行してください。)
以上でAVパターンファイルの設定は完了です。
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
14
END
SRX ライセンス導入手順
・本資料中の会社名、商品名は各社の商標及び登録商標です。
・本文中および図中では、TMマーク、(R)マークは表記しておりません。
株式会社 日立ソリューションズ
ネットワークビジネス部 セキュリティグループ
E-mail: [email protected]
© Hitachi Solutions, Ltd. 2010-2014. All rights reserved.
Fly UP