JunOS İşletim Sistemi Interface ve Zone Konfigürasyonu (SRX Firewall)
JunOS işletim sistemini, CLI mimarisini, Cluster mimarisini ve temel konfigürasyonunu incelediğimiz ilk üç makalenin ardından şimdi de Interface ve Zone konfigürasyonlarını inceleyeceğimiz bu dördüncü makalemizle devam ediyoruz.
Çalışmalarımızı, cluster çalışacak şekilde yapılandırdığımız iki SRX 3400 Firewall üzerinde gerçekleştireceğiz.
Bir önceki makalemizde,
Node 0 olan birinci Firewall(Semerkand-Fw1) için management IP’si olarak 192.168.0.1’i
Node 1 olan ikinci Firewall(Semerkand-Fw2) için management IP’si olarak 192.168.0.2’yi atamıştık.
Ayrıca Sekiz tane 1 gigabit interface’imizden sekizincisini Data Plane senkronizasyonu için fabric port olarak yapılandırmıştık.
Kalan yedi tane 1 gigabit interface’imizden beş tanesini ve iki tane 10 gigabit interface’imizden de bir tanesini reth olarak konfigüre etmiştik. Yaptığımız interface konfigürasyonunu şu şekilde özetleyebiliriz:
CLI Mimarisinde Interface ve Zone
Bir Zone, güvenlik gereksinimleri aynı olan bir ya da daha fazla network segmentinin bir arada bulunduğu alandır. Network segmentlerini bir zone içerisinde barındırabilmek için de logical interface’leri(sub-interface’leri) bu zone’lara üye etmek gerekir. Bu alanlar arasındaki trafiğin kontrolünü de policy’ler sağlar.
İki tip zone vardır ki sadece bir tanesi konfigüre edilebilir o da User-defined olan zone’lardır. User-defined zone’lar da ikiye ayrılır; Security Zone’lar ve Functional Zone’lar.
Functional Zone’lardan trafik geçmez, bu zone sadece management zone’u olarak kullanılır. Bu zone’un da üyesi management portudur(fxp0). Biz de çalışmalarımızı fxp0 portuna ssh üzerinden erişerek gerçekleştirmekteyiz.
Bazı SRX serisi firewall’larda management portu(fxp0) bulunmaz. Bu durumda da diğer interface’lerden bir tanesi Functional Zone’a üye edilir ve fxp0 gibi kullanılır. Biz High End serisi SRX 3400 kullanıyor ve sadece management için tahsis edilmiş bir port(fxp0) bulunmaktadır ki bu interface de Functional Zone’a atanmış durumdadır.
Management portundan erişebilmeyi sağlamaktan başka, Functional Zone ile ilgili bir konfigürasyonumuz bulunmamaktadır.
Yani bizim işimiz Security Zone’lar üzerinde gerçekleşecektir.
ScreenOS işletim sistemli Juniper Firewall’larda,
interface’ler zone’larla ve zone’lar da Virtual Router’larla ilişkilendirilirdi.
ScreenOS sonrasında geliştirilen yeni nesil JunOS işletim sistemli Juniper Firewall’larda ise,
interface’ler, hem zone’larla hem de Virtual Router’larla(Routing Instance) ilişkilendirilir.
JunOS işletim sistemli bir SRX 3400 firewall’da her bir fiziksel interface, bir veya daha fazla Logical interface(sub-interface) içerebilir.
Bu makaledeki hedefimiz, Fiziksel Interface’leri ve bu interfacelerin üyesi olacak Logical interface’leri tanımlamak, sonrasında da bu logical interface’leri oluşturacağımız zone’lara üye etmek olacaktır. Zira Network segmentlerini bir zone içerisinde barındırabilmek için logical interface’leri(sub-interface’leri) zone’lara üye etmek gerekir.
ScreenOS’teki Virtual Router ve JunOS’taki yeni adı ile Routing Instance’ları tanımlamak mecburiyet değildir. Ancak ağınız farklı routing instance’lar oluşturmanızı gerektirecek bir yapıya sahip olabilir. Bu sebeple sonraki makalelerde Routing Instance içeren konfigürasyonlar da yapacağız.
Interface konfigürasyonu, INTERFACES menüsünden
Zone konfigürasyonu, SECURITY altında ZONES menüsünden
Routing instance konfigürasyonu, ROUTING-INSTANCE menüsünden
Policy konfigürasyonu, SECURITY altında POLICIES menüsünden
Nat konfigürasyonu, SECURITY altında NAT menüsünden gerçekleştirilir.
Address konfigürasyonu, SECURITY altında ZONES altında ADDRESS-BOOK menüsünden gerçekleştirilir.
Şimdi örnek bir topoloji üzerinden interface ve zone yapılandırmasının nasıl gerçekleştirileceğini görelim.
Web, uygulama, veritabanı ve SFTP sunucularımız olsun ve bu sunucuları ayrı VLAN’larda(zone’larda) bulundurmak isteyelim. Bu VLAN’ların(interface’lerin) herbirini ayrı zone’lara atayacağız.
Konfigüre edeceğimiz bu yapı,
SRX 3400 üzerinde, aşağıdaki gibi bir port kullanımını gerektirecektir:
Konfigürasyon farklılıklarını görebilesiniz diye, hem tag’lı hem de tag’sız trafik için interface tanımlamalarını ve bu interface’lerin zone’lara nasıl atanacaklarını göreceğiz. (Bir paketin tag’lı olması, o paketin etiketli olması anlamına gelir ki örneğin tag’ı 1 olan VLAN-1’e ait paketlerin tag’ı 2 olan VLAN-2’ye ait paketlerden farkını gösterir. Doğal olarak, paket, bir network/güvenlik cihazına ulaştığında da tag’ına göre işlenir.)
Ayrıca fiziksel interface’lerimizden bir tanesi altında, iki tane logical-interface konfigürasyonu yapacağız ki konu tam manasıyla anlaşılabilir olsun.
CLI üzerinde yapılacak konfigürasyonlarda sıklıkla kullanılan üç komut vardır ki bunlar, show, set ve delete komutlarıdır.
show komutu ile mevcut konfigürasyonun tamamı ya da istenilen bölümü incelenebilir.
root@Semerkand-Fw1# show security zone security-zone ……. (Security à Zones à Security-Zone à …)
set komutu ile mevcut konfigürasyona ilave tanımlamalar eklenir.
Bir interface’i konfigüre etmek, yeni bir zone oluşturmak ya da interface’lerin zone’lara atanması hep bu komutla gerçekleştirilir.
root@Semerkand-Fw1# set interfaces …….
delete komutu ile mevcut konfigürasyonda belirli tanımlamalar silinebilir.
Bir interface ya da zone’u silmek, bu komutla gerçekleştirilir.
root@Semerkand-Fw1# delete security zones security-zone …….
Şu ana kadar konfigürasyonlarımızı hep root kullanıcısı ile yaptık. Şimdi farklı bir kullanıcı tanımlayacağız ve bu kullanıcı ile konfigürasyonlarımızı gerçekleştireceğiz.
Yeni bir kullanıcı tanımlamak için Firewall’da konfigürasyon moduna geçilir. Tanımlayacağımız kullanıcı için bir class seçilmelidir. Biz, class olarak super-user ‘ı seçiyoruz. Seçenekleri görmek için ? kullanılır.
root@Semerkand-Fw1# set system login user sensoy class ?
Possible completions:
<class> Login class
AdminClass
operator permissions [ clear network reset trace view ]
read-only permissions [ view ]
super-user permissions [ all ]
unauthorized permissions [ none ]
root@Semerkand-Fw1# set system login user sensoy class super-user full-name “Sensoy Sahin” authentication plain-text-password
New password:
Retype new password:
Şifre iki kez girildikten sonra yine konfigürasyon modunda commit komutu kullanılarak tanımladığımız sensoy isimli kullanıcı aktifleştirilir.
Interface ve Zone Konfigürasyonu:
Interface’leri konfigüre ederken yapılacak işlemlerin neredeyse tamamı logical-interface’lerle ilgilidir.
Bu logical-interface’ler için de, tag’lı trafiği karşılayacaksa, interface’in, tag’lı trafiği karşılayacak şekilde çalışacağının ve tag değerinin(vlan-id) tanımlanması gerekir.
İkinci adım unit değerlerinin tanımlanmasıdır ki, bu unit değeri,
tag’lı paketleri karşılayacak interface’lerde tag değeri olarak,
tag’sız paketleri karşılayacak interface’lerde 0 olarak tanımlanmalıdır.
Bu değer sayesinde logical interface’in ismi de belirlenmiş olacaktır. Örneğin,
reth0 interface’ini konfigüre edeceğimiz zaman, oluşturacağımız logical-interface için, unit değeri 0 atanırsa,
bu sub-interface, reth0.0 olarak isimlendirilmiş olur.
reth2 interface’ini konfigüre edeceğimiz zaman, oluşturacağımız sub-interface için, unit değeri 3 atanırsa,
bu sub-interface reth2.3 olarak isimlendirilmiş olur.
Sonraki adım logical-interface için IP atanmasıdır.
Bir sonraki adımda da yeni bir security zone oluşturulmalıdır.
Son olarak ta oluşturduğumuz logical-interface ve zone ilişkilendirilecektir. (logical-interface, zone’a üye edilecektir.)
Şimdi, aşağıda oluşturduğum tabloya göre interface’leri ve zone’ları tanımlayıp interface’leri zone’lara atayalım. Tüm konfigürasyonu node 0 üzerinde gerçekleştireceğiz çünkü yapılan tüm konfigürasyon değişiklikleri otomatik olarak node 1 ile senkronize olacaktır.
Reth0 konfigürasyonu:
{primary:node0}[edit]
sensoy@Semerkand-Fw1# set interfaces reth0 description Port-0
sensoy@Semerkand-Fw1# set interfaces reth0 unit 0 description WEB-Interface
sensoy@Semerkand-Fw1# set interfaces reth0 unit 0 family inet address 192.168.2.254/24
sensoy@Semerkand-Fw1# set security zones security-zone WEB
sensoy@Semerkand-Fw1# set security zones security-zone WEB interfaces reth0.0
Birinci satırda reth0 için bir açıklama girildi.
İkinci satırda, reth0.0 için bir açıklama girildi. (Tag’sız olacağı için de unit değeri olarak 0 yazdık.)
Üçüncü satırda reth0.0 için IP girildi.
Dördüncü satırda WEB isimli bir security-zone oluşturuldu.
Beşinci satırda reth0.0 isimli interface’imiz WEB isimli zone ile ilişkilendirildi.
Reth1 konfigürasyonu:
sensoy@Semerkand-Fw1# set interfaces reth1 description Port-1
sensoy@Semerkand-Fw1# set interfaces reth1 unit 0 description UNTRUST-Interface
sensoy@Semerkand-Fw1# set interfaces reth1 unit 0 family inet address 5.10.15.254/24
sensoy@Semerkand-Fw1# set security zones security-zone UNTRUST
sensoy@Semerkand-Fw1# set security zones security-zone UNTRUST interfaces reth1.0
Reth2 konfigürasyonu:
sensoy@Semerkand-Fw1# set interfaces reth2 description Port-2
sensoy@Semerkand-Fw1# set interfaces reth2 vlan-tagging
sensoy@Semerkand-Fw1# set interfaces reth2 unit 3 description APP-Interface
sensoy@Semerkand-Fw1# set interfaces reth2 unit 3 vlan-id 3
sensoy@Semerkand-Fw1# set interfaces reth2 unit 3 family inet address 192.168.3.254/24
sensoy@Semerkand-Fw1# set security zones security-zone APP
sensoy@Semerkand-Fw1# set security zones security-zone APP interfaces reth2.3
Birinci satırda reth2 için bir açıklama girildi.
İkinci satırda, reth2’nin tag’lı trafiğe hizmet edeceği bilgisi girilir.
Üçüncü satırda, reth2.3 için bir açıklama girildi. (Tag’lı olacağı için de unit değeri olarak 3 yazdık.)
Dördüncü satırda, reth2.3 için, tag değerinin 3 olacağı bilgisi girilir.
Beşinci satırda, reth2.3 için IP girildi.
Altıncı satırda APP isimli bir security-zone oluşturuldu.
Yedinci satırda reth2.3 isimli interface’imiz APP isimli zone ile ilişkilendirildi.
Reth3 konfigürasyonu:
sensoy@Semerkand-Fw1# set interfaces reth3 description Port-3
sensoy@Semerkand-Fw1# set interfaces reth3 vlan-tagging
sensoy@Semerkand-Fw1# set interfaces reth3 unit 4 description DB-Interface
sensoy@Semerkand-Fw1# set interfaces reth3 unit 4 vlan-id 4
sensoy@Semerkand-Fw1# set interfaces reth3 unit 4 family inet address 192.168.4.254/24
sensoy@Semerkand-Fw1# set security zones security-zone DB
sensoy@Semerkand-Fw1# set security zones security-zone DB interfaces reth3.4
Reth4 konfigürasyonu:
sensoy@Semerkand-Fw1# set interfaces reth4 description Port-4
sensoy@Semerkand-Fw1# set interfaces reth4 vlan-tagging
sensoy@Semerkand-Fw1# set interfaces reth4 unit 5 description SFTP-Interface
sensoy@Semerkand-Fw1# set interfaces reth4 unit 5 vlan-id 5
sensoy@Semerkand-Fw1# set interfaces reth4 unit 5 family inet address 192.168.5.254/24
sensoy@Semerkand-Fw1# set security zones security-zone SFTP
sensoy@Semerkand-Fw1# set security zones security-zone SFTP interfaces reth4.5
Reth8 konfigürasyonu:
sensoy@Semerkand-Fw1# set interfaces reth8 description 10G-Port-1
sensoy@Semerkand-Fw1# set interfaces reth8 vlan-tagging
sensoy@Semerkand-Fw1# set interfaces reth8 unit 1 description TRUST-Interface-1
sensoy@Semerkand-Fw1# set interfaces reth8 unit 1 vlan-id 1
sensoy@Semerkand-Fw1# set interfaces reth8 unit 1 family inet address 192.168.1.254/24
sensoy@Semerkand-Fw1# set security zones security-zone TRUST
sensoy@Semerkand-Fw1# set security zones security-zone TRUST interfaces reth8.1
sensoy@Semerkand-Fw1# set interfaces reth8 unit 6 description TRUST-Interface-2
sensoy@Semerkand-Fw1# set interfaces reth8 unit 6 vlan-id 6
sensoy@Semerkand-Fw1# set interfaces reth8 unit 6 family inet address 192.168.6.254/24
sensoy@Semerkand-Fw1# set security zones security-zone TRUST interfaces reth8.6
Birinci satırda reth8 için bir açıklama girildi.
İkinci satırda, reth8’in tag’lı trafiğe hizmet edeceği bilgisi girilir.
Üçüncü satırda, reth8.1 için bir açıklama girildi. (Tag’lı olacağı için de unit değeri olarak 1 yazdık.)
Dördüncü satırda, reth8.1 için, tag değerinin 1 olacağı bilgisi girilir.
Beşinci satırda, reth8.1 için IP girildi.
Altıncı satırda TRUST isimli bir security-zone oluşturuldu.
Yedinci satırda reth8.1 isimli interface’imiz TRUST isimli zone ile ilişkilendirildi.
Sekizinci satırda, reth8.6 için bir açıklama girildi. (Tag’lı olacağı için de unit değeri olarak 6 yazdık.)
Dokuzuncu satırda, reth8.6 için, tag değerinin 6 olacağı bilgisi girilir.
Onuncu satırda, reth8.6 için IP girildi.
On birinci satırda reth8.6 isimli interface’imiz altıncı satırda oluşturulan TRUST isimli zone ile ilişkilendirildi.
reth8 interface’i ve TRUST zone’u için yapılan konfigürasyonun, diğer interface’lerin ve ilişkilendirildikleri zone’ların konfigürasyonundan farkı, reth8 interface’i için iki tane sub-interface tanımlanıp(reth8.1 ve reth8.6) ikisininde TRUST zone’uyla ilişkilendirilmesidir.
Bu örnekte de görüldüğü üzere, birden fazla interface, tek bir zone ile ilişkilendirilebilmektedir.
Yaptığımız interface ve zone konfigürasyonlarını show komutuyla görebiliriz. Show komutu “show | display set“ şeklinde kullanılırsa, ekrandaki konfigürasyon, set’li olarak konfigürasyon modunda görüntülenir.
Örneğin,
{primary:node0}[edit]
sensoy@Semerkand-Fw1# show interfaces reth8
description 10G-Port-1;
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
unit 1 {
description TRUST-Interface-1;
vlan-id 1;
family inet {
address 192.168.1.254/24;
}
}
unit 6 {
description TRUST-Interface-2;
vlan-id 6;
family inet {
address 192.168.6.254/24;
}
}
{primary:node0}[edit]
sensoy@Semerkand-Fw1# show interfaces reth8 | display set
set interfaces reth8 description 10G-Port-1
set interfaces reth8 vlan-tagging
set interfaces reth8 redundant-ether-options redundancy-group 1
set interfaces reth8 unit 1 description TRUST-Interface-1
set interfaces reth8 unit 1 vlan-id 1
set interfaces reth8 unit 1 family inet address 192.168.1.254/24
set interfaces reth8 unit 6 description TRUST-Interface-2
set interfaces reth8 unit 6 vlan-id 6
set interfaces reth8 unit 6 family inet address 192.168.6.254/24
show komutu yerine show | display set komutu kullanıldığında görüntülenen konfigürasyon, daha sonra yapacak olduğunuz konfigürasyonlar için örnek teşkil edeceğinden büyük kolaylık sağlamaktadır.
Hoşçakalın.
