Comments
Transcript
SRX ライセンス導入手順 - 日立ソリューションズのJuniper Networks
SRX ライセンス導入手順 株式会社 日立ソリューションズ ネットワークビジネス部セキュリティグループ リビジョン 初版 最新版 5.1 2010/05/30 2014/04/01 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. Contents 1. ライセンスキーの種別 P.2 2. ライセンスキーの手動インポート(ライセンスキー必須) 3. ライセンスキーの自動インポート(インターネット接続必須) P.3 4. IDPシグネチャの導入(インターネット接続必須) P.5 P.11 5. AVパターンファイルの更新(インターネット接続必須) P.14 【重要】 Junos 11.4以前のOSをご使用の場合、ライセンスキーをインポートする前に、SRX(Junos)に インストールされているソフトウェアライセンス用の証明書をインストールする必要がございます。 詳細は弊社サポートサイトをご確認頂けますようお願い致します。 ※ログインするにはユーザID/パスワードが必要です。 <弊社サポートサイトURL> https://enugi.hitachi-solutions.co.jp/juniper/index.html -Juniper製品サポートトップ > SRX > 重要なお知らせ > SRXシリーズ 証明書インストールのお願い © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 1 1-1 ライセンスキーの種別 機能ライセンス等のライセンスキーには大別して3種類あります。 利用期間や導入方法等に違いがありますので、注意してください。 ■サブスクリプションライセンス(トライアル版) 利用期間:取得日から30日間 導 入 :手動インストール/自動インストールの両方に対応しております。 更 新 :正規ライセンスへの手動更新が可能です。 そ の 他 :トライアルライセンスの延長処理はできません。 あくまでも、導入前検証等に利用してください。 ■サブスクリプションライセンス(正規版) 利用期間:納入日から1年間単位 導 入 :手動インストール/自動インストールの両方に対応しております。 更 新 :デフォルトで失効日の60日前から毎日ライセンスの自動更新を試みます。 そ の 他 :自動更新の確認はライセンス有効期間がExpireするまで続きます。 また、トライアルライセンスから手動で更新する事が可能です。 ■パーマネントライセンス 利用期間:納入日から永続 導 入 :導入方法は手動インストールに限定されます。 更 新 :更新の必要はありません。 そ の 他 :一度導入すれば更新無しで永続利用可能なライセンスです。 代表的なものとしてはDynamicVPNライセンス等があります。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 2 2-1 ライセンスキーの手動インポート(ライセンスキー必須) 機能ライセンス等ライセンスキーを事前に入手している場合、手動でライセンスキーをインポート することでインターネットへの接続環境を用意することなくライセンスキーのインポートが可能です。 ※導入手順は、 サブスクリプションライセンスと パーマネントライセンスで 違いはありません。 ■ ライセンスの確認 root> show system license License usage: ◆例: 事前に下記ライセンスキーを入手している場合 (テキストファイルにて提供) JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw pjzmnm wnhear bl5wli pvtckj 6q2fff i ※ ライセンスキーは機器のシリアル番号およびライセンス型名ごとに異なります。 (事前に現在のライセンスインストール状況を確認します。) Licenses Licenses Licenses Expiry Feature name used installed needed dynamic-vpn 0 2 0 permanent ax411-wlan-ap 0 2 0 permanent (ブランチモデルのデフォルトでは 2つ分のdynamic-vpnライセンスと、 Licenses installed: none ax411-wlan-apライセンスが最初から導入されております。 これらのデフォルトで導入されているライセンスは、 パーマネントライセンスであり、更新の必要はありません。) ■オペレーションモードからライセンスキーをインポート root> request system license add terminal (ライセンスキーをターミナルより貼り付けるモードへ遷移します。) [Type ^D at a new line to end input, enter blank line between each license key] JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw pjzmnm wnhear bl5wli pvtckj 6q2fff i ([Ctrl]+[D]キーを押下し貼り付けたライセンスキーをシステムに読み込ませます。) JUNOS236909: successfully added add license complete (no errors) (ライセンスキーに問題がない場合は no errors と出力されます。) © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 3 2-2 ライセンスキーの手動インポート(ライセンスキー必須) ■ ライセンスの再確認 root> show system license License usage: Feature name idp-sig dynamic-vpn ax411-wlan-ap (ライセンスが新たに追加されていることを確認してください。) Licenses used 0 0 0 Licenses installed 1 2 2 Licenses needed 0 0 0 Expiry 2013-08-24 09:00:00 JST permanent permanent Licenses installed: License identifier: <ライセンスID> License version: 2 Valid for device: <装置シリアルナンバー> Features: idp-sig - IDP Signature (ライセンス有効期間が表示されます。) date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST root> show system license keys (インポートされたライセンスキーが表示されます。) JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw pjzmnm wnhear bl5wli pvtckj 6q2fff i ■機器の再起動 root> request system reboot (ライセンス有効期間がExpireしたものを再導入した場合や、 新規にライセンスを導入した場合は、 必ず再起動を行ってください。) 以上でライセンスキーの手動インポートは完了です。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 4 3-1 ライセンスキーの自動インポート(事前準備編) サブスクリプション (UTMライセンス等の有効期限付きライセンス) における ライセンスキー取得には、SRXをインターネットへ直接接続するための 環境が必要となります。 (プロキシ経由不可) ■ ライセンスの確認 root> show system license License usage: Feature name dynamic-vpn ax411-wlan-ap (現在インポートされているライセンスを確認可能です。) Licenses used 0 0 Licenses installed 2 2 Licenses needed 0 0 Expiry permanent permanent Licenses installed: none ■ コンフィグレーションモードへ移行 root> configure ■ 既存設定の削除 (工場出荷時のコンフィグが設定されている場合等、 root# delete 装置の再設定が必要な場合のみ実施してください。) This will delete the entire configuration Delete everything under this level? [yes,no] (no) yes ■インターネットへの接続設定 (接続環境に合わせて、以降の設定を実施してください。 既にインターネットへの接続環境がある場合は、 3-2.の設定を新たに投入する必要はありません。) © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 5 3-2 Internetへの接続設定例①(固定IPアドレス) OpenDNS 1: 208.67.222.222 OpenDNS 2: 208.67.220.220 Internet ge-0/0/0.0 192.168.1.10 / 24 UNTRUST DNS Router SRX240 0 1 2 3 Global-IP 200.200.200.10 4 5 6 7 8 9 10 11 12 13 14 15 192.168.1.1 / 24 ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。 ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。 したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。 ■固定IPアドレス, DNSサーバ, Default Gateway設定例 root# set system time-zone Asia/Tokyo set system name-server 208.67.222.222 set system name-server 208.67.220.220 set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.10/24 set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1 set security zones security-zone UNTRUST interfaces ge-0/0/0.0 ※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 6 3-2 Internetへの接続設定例②(DHCPクライアント) OpenDNS 1: 208.67.222.222 OpenDNS 2: 208.67.220.220 Internet ge-0/0/0.0 DHCP Client UNTRUST DNS DHCP Server SRX210 0 1 2 3 4 5 6 7 Global-IP 200.200.200.10 192.168.1.1 / 24 ライセンスキー取得のため、Internet上にあるJuniper社のライセンスサーバへSRXを接続する必要があります。 ライセンスキー取得には、DNS(UDP:53) および https(TCP:443) 通信が行われます。 したがって、これらの通信が上位Router / FWにて許可されていることを確認してください。 ■DHCPクライアントIPアドレス取得, DNSサーバ設定例 root# set system time-zone Asia/Tokyo set system name-server 208.67.222.222 set system name-server 208.67.220.220 set interfaces ge-0/0/0 unit 0 family inet dhcp set security zones security-zone UNTRUST interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp ※ SRX100の場合、10/100 MbpsのInterfaceのみを実装しているため、Interface名は fe-0/0/0 となります。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 7 3-2 Internetへの接続設定例③(PPPoEクライアント) OpenDNS 1: 208.67.222.222 OpenDNS 2: 208.67.220.220 Internet fe-0/0/0.0 PPPoE Client ◆例: PPPoE設定 UserID: [email protected] Password: Juniper UNTRUST DNS SRX100 0 1 2 3 4 5 6 7 Global-IP ■PPPoEクライアントIPアドレス取得, DNSサーバ設定例 ■PAP/CHAP認証設定 root# PAP認証またはCHAP認証のどちらを使用しているかが set system time-zone Asia/Tokyo 事前に判明している場合はいずれか片方の設定のみで set system name-server 208.67.222.222 PPPoE接続可能です。 set system name-server 208.67.220.220 set interfaces fe-0/0/0 unit 0 encapsulation ppp-over-ether set interfaces pp0 unit 0 ppp-options chap default-chap-secret "Juniper" (Passwordはハッシュされます。) set interfaces pp0 unit 0 ppp-options chap local-name "[email protected]" set interfaces pp0 unit 0 ppp-options chap passive set interfaces pp0 unit 0 ppp-options pap local-name "[email protected]" set interfaces pp0 unit 0 ppp-options pap local-password "Juniper" (Passwordはハッシュされます。) set interfaces pp0 unit 0 ppp-options pap passive set interfaces pp0 unit 0 pppoe-options underlying-interface fe-0/0/0.0 set interfaces pp0 unit 0 pppoe-options auto-reconnect 10 set interfaces pp0 unit 0 pppoe-options client set interfaces pp0 unit 0 family inet mtu 1454 set interfaces pp0 unit 0 family inet negotiate-address set routing-options static route 0.0.0.0/0 next-hop pp0.0 set security zones security-zone UNTRUST interfaces pp0.0 set security flow tcp-mss all-tcp mss 1414 ※ SRX100以外の場合、10/100/1000 MbpsのInterfaceを実装しているため、Interface名は ge-0/0/0 となります。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 8 3-3 ライセンスキーの自動インポート(設定確認/インストール編) サブスクリプション (UTMライセンス等の有効期限付きライセンス) における ライセンスキー取得には、SRXをインターネットへ直接接続するための 環境が必要となります。 (プロキシ経由不可) ■root権限のパスワード設定 root# set system root-authentication plain-text-password (commitするために必要です。) New password: ***** <rootログインパスワード> Retype new password: ***** <rootログインパスワード(確認用)> ■設定の反映 root# commit ■オペレーションモードへ移行 root# exit ■InterfaceのIPアドレス確認, Default Gateway確認 root> show interfaces terse | no-more root> show route terse | no-more (付与もしくは取得したIPアドレスが適切なことを確認してください。) (0.0.0.0/0 エントリの Next hop が Default Gateway となります。) トライアル版のライセンスが必要な場合のみ、 ■ライセンスキーの取得 trialオプションを設定してください。 root> request system license update trial Request to automatically update license keys from https://ae1.juniper.net has been sent, use 'show system license' to check status. © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 9 3-3 ライセンスキーの自動インポート(インストール確認/適用編) ■ ライセンスの再確認 root> show system license License usage: Feature name idp-sig dynamic-vpn ax411-wlan-ap (ライセンスが新たに追加されていることを確認してください。) Licenses used 0 0 0 Licenses installed 1 2 2 Licenses needed 0 0 0 Expiry 2013-08-24 09:00:00 JST permanent permanent Licenses installed: License identifier: <ライセンスID> License version: 2 Valid for device: <装置シリアルナンバー> Features: idp-sig - IDP Signature (ライセンス有効期間が表示されます。) date-based, 2013-07-25 09:00:00 JST - 2013-08-24 09:00:00 JST root> show system license keys (インポートされたライセンスキーが表示されます。) JUNOS236909 aeaqea qmifkt imrqhf aummjt g4zqma j4a4uc zgeja3 ytzo5o xxnucg mj722n mn6ih5 wvpzdw pjzmnm wnhear bl5wli pvtckj 6q2fff i ■機器の再起動 root> request system reboot (ライセンス有効期間がExpireしたものを再導入した場合や、 新規にライセンスを導入した場合は、 必ず再起動を行ってください。) 以上でライセンスキーの自動インポートは完了です。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 10 4-1 IDPシグネチャの導入(ダウンロード編) (インターネット接続必須) IDPシグネチャ導入のため、Internet上にあるシグネチャの ダウンロードサーバへSRXを接続する必要がございます。 以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。 ■シグネチャのダウンロード パッケージのダウンロードコマンド: root> request security idp security-package download full-update 初回導入時のみ、 full-updateオプションを設定してください。 2回目以降(アップデート時や再導入時) ならば、 本オプションを設定する必要はありません。 ダウンロード状況の確認コマンド: root> request security idp security-package download status "Done;Successfully downloaded"と表示されれば ダウンロード完了です。 (出力例) Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi) and synchronized to backup. Version info:2011(Mon Oct 17 15:13:06 2011, Detector=11.6.140110920) © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 11 4-2 IDPシグネチャの導入(インストール編) シグネチャのインストール時に装置負荷が上昇します。 比較的装置負荷の少ない深夜帯等の時間帯にインストールする事を推奨致します。 ■セキュリティパッケージのインストール 下記コマンドを実行して、セキュリティパッケージのインストールを行います。 インストールはバックグラウンドで進行するので、インストール状況の確認はコマンドの実行が必要です。 パッケージのインストールコマンド: root> request security idp security-package install インストール状況の確認コマンド: root> request security idp security-package install status コマンド実行からインストール完了まで、 10分程度の時間がかかります。 "Done;Attack DB update : successful“ と表示されればインストール完了ですので、 状況を確認しつつお待ちください。 (出力例) Done;Attack DB update : successful - [UpdateNumber=1985, ExportDate=Fri Sep 2 10:14:29 2011,Detector=11.6.160110809] Updating control-plane with new detector : successful Updating data-plane with new attack or detector : not performed due to no existing running policy found. ■インストールされたシグネチャバージョンの確認 root> show security idp security-package-version Attack database version:1985(Fri Sep 2 10:14:29 2011) Detector version :11.6.160110809 Policy template version :N/A 以上でシグネチャの導入作業は完了です。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 12 4-3 IDPシグネチャの導入(自動更新編) (インターネット接続必須) IDPシグネチャ更新のため、Internet上にあるシグネチャの ダウンロードサーバへSRXを接続する必要がございます。 以降の解説はライセンスサーバへの通信が可能であるという前提で記載致します。 本設定を有効化する事で、 IDPシグネチャのダウンロードとインストール(更新)が自動化されます。 尚、IDPシグネチャの更新は平均して週に2~3回程度ですので、 お客様の運用形態に沿った更新間隔をご設定頂けますようお願い致します。 ■シグネチャの自動更新設定 root#set security idp security-package automatic interval 48 start-time 08-02.23:00 サンプルは2日に一度の更新設定です。 (48時間のインターバル) 自動更新の開始時刻です。 (サンプルは8/2のPM23時に開始します。) ■シグネチャ自動更新の有効化 root# set security idp security-package automatic enable ■シグネチャ更新設定完了 root# commit 以上でシグネチャの自動更新設定は完了です。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 13 5-1 AVパターンファイルの更新 (インターネット接続必須) Anti-Virusライセンスの導入後は、パターンファイル更新の為に、 Internet上にあるJuniper社のサーバへSRXを接続する必要がございます。 以降の解説はJuniper社のサーバへの通信が可能であるという前提で記載致します。 ■パターンファイル自動更新の設定 root# set security utm feature-profile anti-virus kaspersky-lab-engine pattern-update interval 120 (サンプルは120分毎に1回のパターンファイル更新の設定です。 デフォルトでは、60分毎に1回のパターンファイル更新が行われます。 ■パターンファイル設定完了 AVパターンファイルのアップデートは、平均して1日に1回程度ですが、 root# commit お客様の運用形態に沿った更新間隔の設定をお願い致します。 この際、短すぎる時間を指定すると、 ■Anti-Virusライセンスの状態確認 root> show security utm anti-virus status サーバと装置に極端な負荷がかかりますので、その点をご注意ください。) UTM anti-virus status: Anti-virus key expire date: 2012-12-30 09:00:00 (ライセンス有効期限が記載されています。) Update server: http://update.juniper-updates.net/AV/SRX550/ Interval: 120 minutes (設定された更新間隔が記載されています。) Pattern update status: next update in 30 minutes (次回更新タイミングが記載されています。) Last result: already have latest database Anti-virus signature version: 09/02/2013 00:41 GMT, virus records: 567926 Anti-virus signature compiler version: N/A Scan engine type: kaspersky-lab-engine Scan engine information: last action result: No error(0x00000000) ■パターンファイルの手動更新 root> request security utm anti-virus kaspersky-lab-engine pattern-update (初回導入時等、任意のタイミングでパターンファイルの更新を行いたい場合はこちらのコマンドを実行してください。) 以上でAVパターンファイルの設定は完了です。 © Hitachi Solutions, Ltd. 2010-2014. All rights reserved. 14 END SRX ライセンス導入手順 ・本資料中の会社名、商品名は各社の商標及び登録商標です。 ・本文中および図中では、TMマーク、(R)マークは表記しておりません。 株式会社 日立ソリューションズ ネットワークビジネス部 セキュリティグループ E-mail: [email protected] © Hitachi Solutions, Ltd. 2010-2014. All rights reserved.