Juniper SRX JUNOS使用Firewall Filter來限制只有特定的IP才能管理設備

-

Juniper SRX (Junos OS)使用Firewall Filter來限制特定IP才能管理設備

通常我們可以透過ssh(加密的連線CLI)telnet(一般的連線CLI) http(一般連線網頁) https(加密連線網頁)四種方式來從遠端管理Juniper SRX防火牆,而telnet http兩種遠端管理方式因為資料乃明文傳送較不安全,所以一般建議停止其服務為上策,我們強烈建議只使用傳輸資料內容經過加密的sshhttps兩種遠端管理方式較佳。
我們這篇文章的目的,是要透過設定Firewall Filter來限制只有少數使用特定的IP或網段的人員,才能夠管理Juniper SRX網路設備,而這麼做就是為了要提高Juniper SRX防火牆的安全性,避免駭客透過網路來攻擊您的防火牆,進而入侵您公司的網路。
本例為限定只有特定的IP或網段(prefix-list mgmt-nets),才能管理Juniper SRX設備,而且限定只能使用ssh或是https服務;其他非prefix-list mgmt-nets之中所列的IP,凡是要接觸設備telnethttpsshhttps服務端口的流量一律拒絕。
在這裡我們會有個疑問,既然我們限定只能使用ssh或是https服務,為何還要開放http服務呢?這是因為不開放會導致https J-Web部分功能無法使用,會出現錯誤訊息,因此才在路由引擎中開放http服務,但是我們可以在system services之中刪除telnethttp服務來達到相同的效果。

下列為Firewall Filter的設定示範,為了說明Firewall Filter的使用及功能,我們設計了三個功能相同Firewall Filter,如下所示:

policy-options {
    prefix-list manager-ip {
        192.168.1.0/28;
        192.168.1.150/32;
        192.168.1.200/32;
        192.168.5.150/32;
        192.168.5.200/32;
        192.168.6.0/28;
        192.168.6.150/32;
        192.168.6.200/32;
        192.168.7.150/32;
        192.168.7.200/32;
    }
}
firewall {
    family inet {
        filter management-acl-1 {
            term management_access {
                from {
                    source-address {
                        192.168.1.0/28;
                        192.168.6.0/28;
                        192.168.1.150/32;
                        192.168.5.150/32;
                        192.168.6.150/32;
                        192.168.7.150/32;
                        192.168.1.200/32;
                        192.168.5.200/32;
                        192.168.6.200/32;
                        192.168.7.200/32;
                    }
                    protocol tcp;
                    port [ ssh http https ];
                }
                then accept;
            }
            term management_access_denied {
                from {
                    protocol tcp;
                    port [ ssh telnet http https];
                }
                then {
                    log;
                    reject;
                }
            }
            term default-term {
                then accept;
            }
        }
    }
    filter management-acl-2 {
        term allow-manager-networks {
            from {
                source-prefix-list {
                    manager-ip;
                }
            }
            then accept;
        }
        term deny-mgmt {
            from {
                destination-port [ ssh telnet http https ];
            }
            then {
                log;
                discard;
            }
        }
        term accept-all {
            then accept;
        }
    }
    filter management-acl-3 {
        term 1 {
            from {
                source-address {
                    192.168.1.0/28 except;
                    192.168.6.0/28 except;
                    192.168.1.200/32 except;
                    192.168.5.200/32 except;
                    192.168.6.200/32 except;
                    192.168.7.200/32 except;
                    192.168.1.150/32 except;
                    192.168.5.150/32 except;
                    192.168.6.150/32 except;
                    192.168.7.150/32 except;
                    0.0.0.0/0;
                }
                destination-port [ ssh telnet http https ];
            }
            then {
                log;
                discard;
            }
        }
        term 2 {
            then accept;
        }
    }
}
interfaces {
    lo0 {
        unit 0 {
            family inet {
                filter {
                    input management-acl-2;
                }
                address 127.0.0.1/32;
            }
        }
    }
}

下列為Firewall FilterCLI命令設定示範,三組功能相同Firewall Filter,不同的設定方式,分別如下所示:
## firewall filter management-acl-1
##此段乃依據原廠網站示範修改而成,有指定屬於family inet(IPv4)以及判斷條件protocol tcp,可明確條件範圍,乃正規標準之範例。
## term management_access邏輯說明:凡是符合(來源位址如表列 + 目的ports如表列 +  protocoltcp)的流量一律放行。
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.1.0/28
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.6.0/28
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.1.150/32
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.5.150/32
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.6.150/32
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.7.150/32
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.1.200/32
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.5.200/32
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.6.200/32
set firewall family inet filter management-acl-1 term management_access from source-address 192.168.7.200/32
set firewall family inet filter management-acl-1 term management_access from protocol tcp
set firewall family inet filter management-acl-1 term management_access from port ssh
set firewall family inet filter management-acl-1 term management_access from port http
set firewall family inet filter management-acl-1 term management_access from port https
set firewall family inet filter management-acl-1 term management_access then accept
## term management_access_denied邏輯說明:凡是符合(protocoltcp + 目的port如表列)的流量一律拒絕並記入系統日誌。
set firewall family inet filter management-acl-1 term management_access_denied from protocol tcp
set firewall family inet filter management-acl-1 term management_access_denied from port ssh
set firewall family inet filter management-acl-1 term management_access_denied from port telnet
set firewall family inet filter management-acl-1 term management_access_denied from port http
set firewall family inet filter management-acl-1 term management_access_denied from port https
set firewall family inet filter management-acl-1 term management_access_denied then log
set firewall family inet filter management-acl-1 term management_access_denied then reject
## term default-term邏輯說明:凡是不符上述條件的流量一律放行。
set firewall family inet filter management-acl-1 term default-term then accept


## firewall filter management-acl-2
##此段乃是將來源位址獨立出來,方便添加及修改,並且針對匹配條件邏輯加以簡化,減少了判斷條件,卻能達到相同的功能,還可以減少設備的負擔,是屬於有經驗的做法。
set policy-options prefix-list manager-ip 192.168.1.0/28
set policy-options prefix-list manager-ip 192.168.1.150/32
set policy-options prefix-list manager-ip 192.168.1.200/32
set policy-options prefix-list manager-ip 192.168.5.150/32
set policy-options prefix-list manager-ip 192.168.5.200/32
set policy-options prefix-list manager-ip 192.168.6.0/28
set policy-options prefix-list manager-ip 192.168.6.150/32
set policy-options prefix-list manager-ip 192.168.6.200/32
set policy-options prefix-list manager-ip 192.168.7.150/32
set policy-options prefix-list manager-ip 192.168.7.200/32
## term allow-manager-networks邏輯說明:凡是符合來源位址如表列的流量一律放行。
set firewall filter management-acl-2 term allow-manager-networks from source-prefix-list manager-ip
set firewall filter management-acl-2 term allow-manager-networks then accept
## term deny-mgmt邏輯說明:凡是符合目的ports如表列的流量一律拒絕並記入系統日誌。
set firewall filter management-acl-2 term deny-mgmt from destination-port ssh
set firewall filter management-acl-2 term deny-mgmt from destination-port telnet
set firewall filter management-acl-2 term deny-mgmt from destination-port http
set firewall filter management-acl-2 term deny-mgmt from destination-port https
set firewall filter management-acl-2 term deny-mgmt then log
set firewall filter management-acl-2 term deny-mgmt then discard
## term accept-all邏輯說明:凡是不符上述條件的流量一律放行。
set firewall filter management-acl-2 term accept-all then accept


## firewall filter management-acl-3
##本段-在來源位址之中加入了except(排除)選項,讓term縮短成兩段。
## term 1邏輯說明:凡是符合來源位址如表列(被排除的位址不包含在內)、目的port如表列的流量一律拒絕並記入系統日誌。
set firewall filter management-acl-3 term 1 from source-address 192.168.1.0/28 except
set firewall filter management-acl-3 term 1 from source-address 192.168.6.0/28 except
set firewall filter management-acl-3 term 1 from source-address 192.168.1.200/32 except
set firewall filter management-acl-3 term 1 from source-address 192.168.5.200/32 except
set firewall filter management-acl-3 term 1 from source-address 192.168.6.200/32 except
set firewall filter management-acl-3 term 1 from source-address 192.168.7.200/32 except
set firewall filter management-acl-3 term 1 from source-address 192.168.1.150/32 except
set firewall filter management-acl-3 term 1 from source-address 192.168.5.150/32 except
set firewall filter management-acl-3 term 1 from source-address 192.168.6.150/32 except
set firewall filter management-acl-3 term 1 from source-address 192.168.7.150/32 except
set firewall filter management-acl-3 term 1 from source-address 0.0.0.0/0
set firewall filter management-acl-3 term 1 from destination-port ssh
set firewall filter management-acl-3 term 1 from destination-port telnet
set firewall filter management-acl-3 term 1 from destination-port http
set firewall filter management-acl-3 term 1 from destination-port https
set firewall filter management-acl-3 term 1 then log
set firewall filter management-acl-3 term 1 then discard
## term 2邏輯說明:凡是不符上述條件的流量一律放行。若是後面還有其他的term要執行,或是屬於deny filter,就不適合使用本例,而要如同management-acl-1一般,明確指明要允許或禁止的目標條件才行。
set firewall filter management-acl-3 term 2 then accept

##我們再此將firewall filter management-acl-2套用在loopback介面(Interface) lo.0
##您也可以在lo.0上分別套用management-acl-1c management-acl-2,三者的達到的功能相同。
##為什麼我們要將firewall filter套用在loopback介面lo.0上呢?因為lo.0就代表了設備本身,您只需要單獨將firewall filter套用在loopback介面lo.0上即可,而不需要將其分別套用到每個介面之上。我們這篇firewall filter設定的目的,就是希望無論user是要從哪個介面來管理srx設備,都能受到firewall filter設定的規範,所以我們才將firewall filter設定直接套用在loopback介面(Interface) lo.0之上。
set interfaces lo0 unit 0 family inet filter input management-acl-2
set interfaces lo0 unit 0 family inet address 127.0.0.1/32


set firewall family inet filter management-acl-2 term deny-all from destination-port [ ssh telnet http https 11443 ]
上面這一行命令效果等同下面5行命令。
set firewall family inet filter management-acl-2 term deny-all from destination-port ssh
set firewall family inet filter management-acl-2 term deny-all from destination-port telnet
set firewall family inet filter management-acl-2 term deny-all from destination-port http
set firewall family inet filter management-acl-2 term deny-all from destination-port https
set firewall family inet filter management-acl-2 term deny-all from destination-port 11443


下列命令展示了firewall filter term allow-manager-networksfrom之後可以使用的匹配條件選項列表:
root@srx210# set firewall filter manager-ip-filter term allow-manager-networks from ?
Possible completions:
> address              Match IP source or destination address
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don't inherit configuration data from these groups
> destination-address  Match IP destination address
+ destination-port     Match TCP/UDP destination port
+ destination-port-except  Do not match TCP/UDP destination port
> destination-prefix-list  Match IP destination prefixes in named list
+ dscp                 Match Differentiated Services (DiffServ) code point
+ dscp-except          Do not match Differentiated Services (DiffServ) code point
+ esp-spi              Match IPSec ESP SPI value
+ esp-spi-except       Do not match IPSec ESP SPI value
  first-fragment       Match if packet is the first fragment
+ forwarding-class     Match forwarding class
+ forwarding-class-except  Do not match forwarding class
  fragment-flags       Match fragment flags (in symbolic or hex formats) - (Ingress only)
+ fragment-offset      Match fragment offset
+ fragment-offset-except  Do not match fragment offset
+ icmp-code            Match ICMP message code
+ icmp-code-except     Do not match ICMP message code
+ icmp-type            Match ICMP message type
+ icmp-type-except     Do not match ICMP message type
> interface            Match interface name
+ interface-group      Match interface group
+ interface-group-except  Do not match interface group
> interface-set        Match interface in set
+ ip-options           Match IP options
+ ip-options-except    Do not match IP options
  is-fragment          Match if packet is a fragment
+ packet-length        Match packet length
+ packet-length-except  Do not match packet length
+ port                 Match TCP/UDP source or destination port
+ port-except          Do not match TCP/UDP source or destination port
+ precedence           Match IP precedence value
+ precedence-except    Do not match IP precedence value
> prefix-list          Match IP source or destination prefixes in named list
+ protocol             Match IP protocol type
+ protocol-except      Do not match IP protocol type
  service-filter-hit   Match if service-filter-hit is set
> source-address       Match IP source address
+ source-port          Match TCP/UDP source port
+ source-port-except   Do not match TCP/UDP source port
> source-prefix-list   Match IP source prefixes in named list
  tcp-established      Match packet of an established TCP connection
  tcp-flags            Match TCP flags (in symbolic or hex formats)
  tcp-initial          Match initial packet of a TCP connection
[edit]
root@srx210#



Use Security Policy
Note: 在使用安全性原則時,必須記住該策略還涉及針對設備本身的流量。 這包括如下協議 OSPFBGPRIP 然後將必要的地址添加到前綴列表manager-ip中。
[edit security policies]
from-zone mgmt to-zone junos-host {
    policy allow-manager-ip {
        match {
            source-address manager-ip;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
    policy deny-all {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            deny;
        }
    }
}
default-policy {
    deny-all;
}
[edit security zones]
security-zone mgmt {
    address-book {
        address 10.0.0.0/8 10.0.0.0/8;
        address 192.168.0.0/16 192.168.0.0/16;
        address 172.16.0.0/12 172.16.0.0/12;
        address-set manager-ip {
            address 10.0.0.0/8;
            address 192.168.0.0/16;
            address 172.16.0.0/12;
        }
    }
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        lo0.0;
    }
}



這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

-
圖片
如何測試網路連線--網路斷線了怎麼辦? 如何測試網路連線 -- 網路不通了 DIY 自行檢測網路連線 當我們打開電腦,卻發現無法上網了,這時候我們該怎麼辦呢 ? 如果在公司的話,我們可以請電腦人員來處理,而若是在家裡,我們就必須 DIY 先自行檢查一遍,如果檢查後仍然不能上網的話,我們也只能請朋友或是廠商來維修了。 而我們又要如何 DIY 先自行檢查呢 ? 請您依照下列步驟來進行: 第一步:進入 DOS 命令列模式。 按 " 視窗鍵 +R 鍵 " ,開啟執行視窗並輸入 " cmd " 後按 enter 鍵來進入 DOS 命令列模式。 第二步:檢查 ip 是否正常。 請輸入 " ipconfig " 來 檢查有無取得正常 IP 或是 IP 設定是否正確。 若電腦要上網,則每台電腦 一 定都要配有一個 IP 位址才行,本例的 IP 位址為 192.168.1.11 。 而 IP 位址分成 公共 IP 與 私有 IP 兩種, 只有公共 IP 才能上網 ( 網際網路 ) ,私有 IP 是無法直接上網的,私有 IP 只能在區域網路中使用 。而因為公共 IP 太少,所以要搭配私有 IP 來上網才行,這樣就可以達到以 100 台電腦,或是以 10000 台電腦,使用私有 IP 經過網路設備的轉換而達成只需使用 1 個公共 IP 就能讓大家一起上網的目的了。 私有 IP 無法直接連接網際網路,需要使用 網絡地址轉換( Network Address Translator , NAT ) 或者 代理伺服器   ( proxy server ) 來實現。與公網 IP 相比,私有 IP 是免費的,同時節省了 IP 位址資源,適合在區域網使用。私有 IP 常被用於家庭,學校和企業的區域網。 私有 IP 的範圍: 192.168.XX. XX 172.16. XX.XX – - 172.31. XX.XX 10. XX.XX.XX 我們只要看到 IP 位址開頭為上述範圍的 IP ,就表示您的 IP 為私有 IP 。 還有一種 ip 位址為 169.254. X.X , 這種
閱讀完整內容

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

-
圖片
ASUS 筆記電腦更新 BIOS 失敗無法開機 —用 CH341A 編程 器重刷 BIOS 教學! 前一陣子買了一台新的筆記電腦 (∩_∩) ,因此讓跟了我多年的 ASUS A42JA 筆電因此就被束之高閣沒有再被使用了 ヽ (´ ー ` )┌ ,後來想說反正放著不用也是浪費,乾脆就整理一下拿到拍賣網站給便宜賣掉算了 (¬ ‿ ¬) ,於是便動手開始移除個人的資料, 把 WINDOWS 7 系統還原到出廠狀態,順便一起更新 BIOS 的版本 ,而更新的過程很順利,在寫入 100% 後便自行重開機,重開機後小弟發現電源燈與硬碟燈皆恆亮,且螢幕沒有畫面,但小弟當然得等著它繼續開機更新 BIOS ,可是 2 分鐘 .. , 5 分鐘過了 .. ,情況還是一樣,此時心中不禁起了疑惑   (• ิ _• ิ )? ,不會吧 ! 會不會更新失敗了 ? 難道這麼倒楣的事都讓小弟我給碰上了 ? 一直等到十分鐘過後,小弟我終於失去耐性了,便下定決心長按電源鍵來讓筆記電腦強行關機   ( ╯‵ □′) ╯ ︵ ╧═╧ ,然後再開機,結果依然還是沒有畫面,電源燈與硬碟燈都恆亮的情況,小弟仍不死心的又重試了幾次,問題最後終於明朗化了,他媽的 BIOS 真的更新失敗了,對小弟來說一直是傳說中的問題竟被我給遇上了 !!!   。゜゜ (´ O `) ゜゜。 因為這台 ASUS A42JA 筆電已購置多年,早就過保固了,因此小弟先上網 GOOGLE 下,發現這類問題 ASUS 原廠通常是換主機板(這是在論壇上討論的內容),且一片要價 $5000 元   ( ⊙ _ ⊙ ) ,所以送回原廠維修的方案小弟就不考慮了(超出了筆電的價值沒有維修的必要),小弟接著再努力的 GOOGLE 幾下,終於發現 BIOS 更新失敗後似乎可以自行使用燒錄器來重刷 BIOS  (¬_¬;) ,於是這便成為小弟唯一可行的解決方案了。 從網路上找到的刷 BIOS 案例中,發現大多是使用 ”CH341A 編程器 ( 燒錄器 ) ” 來進行燒錄作業,其基本作法是用烙鐵將主機板上的 BIOS 晶片( 芯片 ) 拆下,再用 CH341A 燒錄器將原廠下載的 BIOS 檔案燒入芯片中,最後再將 BIOS 芯片焊接回筆電主機板上。而因為小弟也是電子相關科系出身,也曾拿烙鐵來焊接電子零件,所以
閱讀完整內容

INTEL XTU使用教學以及對筆電應具備的XTU設定概念

-
圖片
INTEL XTU 使用教學以及對筆電應具備的 XTU 設定概念 這篇文章除了教您如何使用 Intel XTU 之外,還告訴您許多 XTU 設定上的觀念,以及如何使用 XTU 來優化您的筆電等,在文中還有新、舊版本的 Intel XTU 開機自啟動相關的設定方法提供給大家來參考看看。 本篇文章主要是從初學者的角度出發來撰寫的,所以內容較為初淺,且繁雜,尚請各位大大多多體諒 ! 內容多為網路上蒐集而來,由小弟加以整理並加入個人的看法,若有校稿不力或是觀念錯誤的地方,尚請各位大大不吝指正,小弟必盡速更正 ! 在此先萬分感謝各位大大的愛護與支持,感謝您 !   內文開始   Intel 原廠網站是這樣說明的: Intel® 極致調整公用程式( Intel ® Extreme Tuning Utility - Intel® XTU )是一種簡易的 Windows 效能調整應用程式,可讓新手和經驗豐富的愛好者超頻、監控和壓力系統。軟體介面有一系列強大的功能,在大部分玩家平臺中都很常見。這種介面在新的 Intel® 處理器和主機板上也有特殊功能。 PS:上面這段話的意思是 -- Intel XTU 是 Intel 所推出的 一種簡易的 Windows 效能調整應用程式,透過對 CPU 電壓與功耗限制等的調整,可讓新手和經驗豐富的愛好者來對 Intel CPU 進行 超頻 、 監控 和 做壓力測試 。以小弟的電腦來說, CPU 經過 XTU 適當的調教之後,可以憑空增加約 30% 左右的效能,這可是得多花好幾千塊錢買更好的電腦才辦的到的事哦 ! 適用於下列產品。     Intel® Core™ i3-7350K 處理器 ( 4M 快取記憶體, 4.20 GHz)     Intel® Core™ i3-8350K 處理器( 8M 快取記憶體, 4.00 GHz )     Intel® Core™ i3-9350K 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i3-9350KF 處理器( 8M 快取記憶體,最高 4.60 GHz )     Intel® Core™ i5-3570K 處理器 ( 6M 快取記憶體,最高 3.80 GHz)     I
閱讀完整內容