Juniper Networks SRX Series 攻撃防御 / IPS / UTM機能 Q&A

1TrustゾーンからTrustゾーンへ通信する際にポリシーは必要ですか?
はい。
SRXシリーズはデフォルトで同一間ゾーンの通信は許可されていません。SSGシリーズはTrustゾーンからTrustゾーンへのポリシーはデフォルトでは不要ですが、SRXシリーズは明示的に設定する必要があります。
2セキュリティポリシーをまったく書かない場合通信は許可されますか?
いいえ。
SRXのデフォルトの設定では暗黙のdenyポリシーが設定されているため、セキュリティポリシーを記述しない限り通信は許可されません。コンフィグレーションモードから下記設定を行うことにより、暗黙のpermitに変更することも可能です。
root@srx# set security policies default-policy permit-all
root@srx# commit
3インタフェースを設定する時のunit番号にはどんな意味がありますか?
unit番号は、インタフェースを設定する際に必ず指定しなければならない論理番号です。番号に特に意味はありませんが、物理インタフェースには0を使用するのが通例です。
VLANインタフェースを使用する際は、unit番号をVLAN-IDと合わせて設定すると管理しやすいかもしれません。
4NTPサーバの設定方法は?
SRXシリーズはNTPクライアントの設定を行った段階でNTPサーバとして動作します。NTPリクエストを許可するか否かは、ゾーン設定のsystem-servicesで設定してください。

例)trustゾーンのfe-0/0/1でntpリクエストを許可する設定
root@srx# set security zones security-zone trust interfaces fe-0/0/1 host-inbound-traffic system-services ntp

root@srx# commit
5Junos OS CLI操作の基礎を覚えるのによい資料はありますか?
はい。
Juniper Networks社が提供している “DAY ONE : JUNOS CLIの探求” という資料が日本語で提供されています。下記URIからダウンロード可能です。

Juniper ソフトウェア基本シリーズ: JUNOS CLI の探求
6インタフェースのSpeedとDuplexを100Mbps Full Duplexに固定する方法は?
コンフィグレーションモードから下記設定を行うことでSpeedとDuplexを100Mbps Full Duplexに固定可能です。

例 : fe-0/0/0を100Mbps Full Duplexに固定する場合

root@srx# set interfaces fe-0/0/0 speed 100m link-mode full-duplex
root@srx# commit

例 : ge-0/0/0を100Mbps Full Duplexに固定する場合

root@srx# set interfaces ge-0/0/0 speed 100m link-mode full-duplex
root@srx# set interfaces ge-0/0/0 gigether-options no-auto-negotiation
root@srx# commit
7ICMP Redirectを有効/無効にする方法は?
下記設定を行うことでICMP Redirectを無効にすることが可能です。ICMP Redirectはデフォルトで有効になっていますが、ICMP Redirectを動作させる前提として、最初のパケットを転送するための同一ゾーン間ポリシーが必要になります。また、VLANが設定されているインタ フェースはICMP Redirectを有効にすることはできません。

root@srx# set system no-redirects
root@srx# commit
8ALGを無効にする方法は?
下記方法でALGを無効にすることが可能です。
オペレーショナルモードから有効になっているALGを確認。
root@srx> show security alg status
ALG Status :
DNS : Enabled
FTP : Enabled
H323 : Disabled
MGCP : Disabled
MSRPC : Enabled
PPTP : Enabled
RSH : Enabled
RTSP : Enabled
SCCP : Disabled
SIP : Disabled
SQL : Enabled SUNRPC : Enabled
TALK : Enabled
TFTP : Enabled

コンフィグレーションモードから該当ALGを無効に設定。
root@srx# set security alg dns disable
root@srx# commit
9アプリケーションのタイムアウトを伸ばす方法は?
デフォルトのアプリケーショのタイムアウト値は下記設定により変更可能です。
例 : junos-httpのアプリケーションタイムアウト値を1時間に変更する設定

root@srx# set applications application junos-http inactivity-timeout 3600
root@srx# commit
10PPPoE環境で特定のWebサイトが表示されない場合があります。対策は?
PPPoE環境で特定のWebサイトが閲覧できない原因の一つとして、パケットのフラグメントが挙げられます。フラグメント対策としてMTU、MSS値が適切に設定されることで現象が改善される場合があります。

例 : Bフレッツ環境での設定例

root@srx# set interfaces pp0 unit 0 family inet mtu 1454
root@srx# set security flow tcp-mss all-tcp mss 1304
root@srx# commit
11VRRPの設定をしましたが仮想IPにPINGが通りません。対策は?
VRRPの仮想IPからPING等の管理トラフィックを許可するには下記設定が必要です。 例 : root@srx# set interfaces fe-0/0/0 unit 0 family inet address 192.168.100.254/24 vrrp-group 100 accept-data root@srx# commit
12同一VLAN内の通信をポリシーで制限することは可能ですか?
いいえ。
同一VLAN内の通信はセキュリティポリシーにマッチすることができません。また、ファイアーウォールフィルターを使用した場合も同様にマッチすることができません。
13工場出荷時のファイアウォールポリシーの設定は?
SRX3000ライン / SRX5000ラインとSRXブランチラインで設定が異なります。 SRX3000ライン / SRX5000ライン 全ての通信を不許可 (ゾーン、ポリシー未設定) SRXブランチライン Trustゾーン to Untrustゾーン : 全ての通信を許可 Untrustゾーン to Trustゾーン : 全ての通信を不許可
14デフォルトで定義されているアプリケーションを確認するコマンドはありますか?
はい。
オペレーショナルモードから、下記のコマンドを入力することで確認できます。

root@srx> show configuration groups junos-defaults applications
15工場出荷時のコンフィグにある”autoinstallation”の意味は?
“set system autoinstallation ~”の設定は、起動時にDHCPでIPを取得し、TFTPでコンフィグを自動的にダウンロード、設定するために存在します。SRXを手動で設定する場合は必要ありませんので削除して下さい。

また、delete-upon-commitオプションが入っていれば、commitしたタイミングでautoinstallation以下の設定が削除されます。
16複数のNTPサーバと同期する設定を行った場合、一番上に設定したサーバが優先されますか?
いいえ。

NTPサーバは最も同期状況のよいサーバが選択して使用されます。コンフィグ上で一番上に設定したサーバが優先されるわけではありません。また、preferオプションを使用して特定のサーバを優先的使用するように指定することも可能です。
17各アプリケーションのデフォルトタイムアウト値は?
特に指定が無い場合、各アプリケーションのタイムアウト値は下記の値になっています。

■TCP : 30分
■UDP : 1分
■ICMP : 1分
■OSPF : 1分
■Other : 30分v