Edited at

Juniper vSRX Virtual FirewallをOracle Cloudにインストールしてみてみた


■目的

Juniper SRXは次世代の脅威防御型ファイアウォールです。

ファイアウォールやIPSec VPN機能に加えて、IPS、アンチウィルス、アンチスパム、URLフィルタリング、コンテンツフィルタリングなど多彩なUTM機能やアプリケーションの可視化、アプリケーションアクセスコントロール、SSLプロキシなど、最新の次世代ファイアウォール機能を提供

ということで、Juniper仮想セキュリティ アプライアンスであるvSRX Virchl FirewallをOracle Cloud Infrastructure(OCI)へデプロイしてみてみました。


■構成


■手順概要

1. VCN設定

2. OCI用vSRXカスタムイメージ作成
3. vSRXインスタンス作成
4. vSRXインスタンス設定
4. 接続確認


■vSRXダウンロード

vSRX の 60 日間の無料トライアルよりqcow2のvSRX KVM Applianceをダウンロード


■VCN設定

構成図のようにVCNを設定します。


●vSRX用Subnet作成:

1. Public Subnet (10.0.0.0/24) : Management Interface用 

2. Public Subnet (10.0.2.0/24) : Public Access Interface用
3. Private Subnet(10.0.3.0/24) : Private Access Interface用


■vSRXカスタムイメージ作成


●Upload Object Storage

・vSRXのqcow2ファイルをObject StorageへUpload


●UploadしたファイルのPAR(Pre-Authenticated Requests)作成

① Uploadしたファイルを選択し、Pre-Authenticated Requestsをクリック

②下記のようにデフォルト設定で[Create Pre-Authenticated Request]をクリック

③作成されたPRE-AUTHETICATED REQUEST URLをコピー


●Import Image

[Compute] > [Customer Omages]画面の[Import Image]をクリックし、下記の様に設定し、[Create]をクリックして作成

・POERATING SYSTEM:Linuxを選択

・OBJECT STORAGE URL:PAR作成でコピーしたURLを記入
・IMAGE TYPE:QCOW2を選択
・LAUNCH MODE:PARAVIRTUAL MODEを選択


●vSRXインスタンス作成

[Compute] > [Customer Images] 画面でImportされたImageの[Create instance]をクリックし以下のように設定して[Create]をクリック

・Choose instance shape : vNICを3つ以上付与できるVM.Standard2.4以上を選択

・Subnet : Management Intarfese用Subnetを選択
・Network > Private IP address: Management Intarfese用IPを設定
・Assign public IP adress


●vNIC追加

①ge-0/0/0用 VNIC追加

作成したvSRXインスタンス画面にある「Attached VNICs」をクリックし以下の様に設定

・VIRTUAL CLOUD NETWORK:ge-0/0/0用VCNを選択

・SUBNET:ge-0/0/0用Subnetを選択
・Skip Source/Destination Check: ge-0/0/1へIPが通るようにチェック
・PRIVATE IP ADDRESS:設定するIPアドレスを記入

②ge-0/0/1用 VNIC追加

・VIRTUAL CLOUD NETWORK:ge-0/0/1用VCNを選択

・SUBNET:ge-0/0/1用Subnetを選択

・Skip Source/Destination Check: ge-0/0/0へIPが通るようにチェック

・PRIVATE IP ADDRESS:設定するIPアドレスを記入

③vNIC追加後、インスタンスを再起動

追加したvNICを認識させるためにインスタンス再起動します


■vSRXログイン


●Console Connection作成

vSRXへコンソール接続するための設定を実施

①作成下インスタンス画面にある「Console Connections」画面へ遷移し、[Create Console Connection]をクリックし、下記の様に設定し、

 以下画面のようPLATFORMをLinuxを選択して、出力された CONNECTSION STRINGをコピー


●vSRXへログイン

①Create Console Connection修正

コピーした文字列に設定したRSA鍵を使う様に2箇所あるssh部分に以下のように "-i id_rsa(ssh接続用RSA鍵)"を 追加

・修正前

ssh -o ProxyCommand='ssh -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.ca-tokyo-1.ab2i6klqq@instance-console.ca-tokyo-1.oraclecloud.com' ocid1.instance.oc1.ca-tokyo-1.ab2

・修正後

ssh -i id_rsa -o ProxyCommand='ssh -i id_rsa -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.ca-tokyo-1.ab2i6klqq@instance-console.ca-tokyo-1.oraclecloud.com' ocid1.instance.oc1.ca-tokyo-1.ab2

②コンソールログイン

[opc@inst1 ~]$ ssh -i id_rsa -o ProxyCommand='ssh -i id_rsa -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.ca-tokyo-1.ab2i6klqq@instance-console.ca-tokyo-1.oraclecloud.com' ocid1.instance.oc1.ca-tokyo-1.ab2

The authenticity of host 'ocid1.instanceconsoleconnection.oc1.phx.ab (<no hostip for proxy command>)' can't be established.
RSA key fingerprint is SHA256:4o1qFeFi8FZ5A.
RSA key fingerprint is MD5:ab:dc:e9::16:12:9.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'ocid1.instanceconsoleconnection.oc1.phx.abyhqljrpad42' (RSA) to the list of known hosts.

Amnesiac (ttyd0)

login: root

--- JUNOS 15.1X49-D140.3 built 2018-09-15 19:43:52 UTC

root@%


●管理者モードへ移行

root@% cli

root> configure exclusive
warning: uncommitted changes will be discarded on exit
Entering configuration mode

[edit]
root#


●rootパスワード設定

root# set system root-authentication plain-text-password

New password:
Retype new password:


●タイムゾーン「JST」設定

[edit]

root# set system time-zone Asia/Tokyo


■interface設定


●management interface設定

set interfaces fxp0 unit 0 family inet address 10.0.0.254/24

set routing-options static route 0.0.0.0/0 next-hop 10.0.0.1
activate interfaces fxp0


●Public Intarface:ge-0/0/0設定

set interfaces ge-0/0/0 unit 0 family inet address 10.0.2.254/24

set routing-options static route 0.0.0.0/0 next-hop 10.0.0.1
activate interfaces ge-0/0/0


●Private Intarface:ge-0/0/1設定

set interfaces ge-0/0/1 unit 0 family inet address 10.0.10.254/24

set routing-options static route 0.0.0.0/0 next-hop 10.0.2.254
activate interfaces ge-0/0/1


●Virtual Router設定

Manegement用にfxp0.0、VR01 Network用にge-0/0/0.0,ge-0/0/1.0,st0.1,st0.2を設定

set routing-instances VR01 instance-type virtual-router

set routing-instances VR01 interface ge-0/0/0.0
set routing-instances VR01 interface ge-0/0/1.0
set routing-instances VR01 interface st0.1
set routing-instances VR01 interface st0.2
set routing-instances VR01 routing-options static route 0.0.0.0/0 next-hop 10.0.2.1


●interface設定確認

root> show interfaces terse

Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 10.0.2.254/24
gr-0/0/0 up up
ip-0/0/0 up up
lsq-0/0/0 up up
lt-0/0/0 up up
mt-0/0/0 up up
sp-0/0/0 up up
sp-0/0/0.0 up up inet
inet6
sp-0/0/0.16383 up up inet
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.0.10.254/24
・・・
fxp0 up up
fxp0.0 up up inet 10.0.0.254/24
gre up up
ipip up up
irb up up
lo0 up up
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 10.0.0.1 --> 0/0
10.0.0.16 --> 0/0
128.0.0.1 --> 0/0
128.0.0.4 --> 0/0
128.0.1.16 --> 0/0
・・・


●ssh有効化

[edit]

root# set system services ssh
root# set system root-authentication ssh-rsa "ssh-rsa AAAA"


●Webコンソール設定

[edit]

root# set system services web-management http interface fxp0


●保存

[edit]

root# commit
commit complete


■ライセンス登録


●ライセンス取得

ここではvSRX の 60 日間の無料トライアルよりライセンスを取得します


●ライセンス登録

root> request system license add terminal

[Type ^D at a new line to end input,
enter blank line between each license key]
==> ライセンスを記入して Conrol+D
DEMO123890 testdesu apaeor bqihmu arwhqb impacr ygk4sf
embrgu ozqyb 4altdy 2slawu u5lonf i6bmed
ydgmbz

DEMO123890: successfully added
add license complete (no errors)


●ライセンス登録確認

root> show system license

License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
anti_spam_key_sbl 0 1 0 30 days
idp-sig 0 1 0 30 days
appid-sig 0 1 0 30 days
av_key_sophos_engine 0 1 0 30 days
wf_key_websense_ewf 0 1 0 30 days
Virtual Appliance 1 1 0 58 days
remote-access-ipsec-vpn-client 0 2 0 permanent

Licenses installed:
License identifier: DEMO123890
License version: 4
Software Serial Number: 20150309
Customer ID: vSRX-JuniperEval
Features:
idp-sig - IDP Signature
count-down, Original validity: 30 days
wf_key_websense_ewf - Web Filtering EWF
count-down, Original validity: 30 days
anti_spam_key_sbl - Anti-Spam
count-down, Original validity: 30 days
appid-sig - APPID Signature
count-down, Original validity: 30 days
av_key_sophos_engine - Anti Virus with Sophos Engine
count-down, Original validity: 30 days

License identifier: DEMO123890
License version: 4
Software Serial Number: 20150625
Customer ID: vSRX-JuniperEval
Features:
Virtual Appliance - Virtual Appliance
count-down, Original validity: 60 days


■vSRXアクセス確認


●ssh接続確認

OnP-inst01:~ user$ ssh root@100.100.100.101

The authenticity of host '100.100.100.101 (100.100.100.101)' can't be established.
ECDSA key fingerprint is SHA256:ABzx/RxtEmcWWZw6XZ89.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '100.100.100.101' (ECDSA) to the list of known hosts.
Password:
Last login: Fri Jun 14 23:43:21 2019
--- JUNOS 15.1X49-D140.3 built 2018-09-15 19:43:52 UTC

root@%


●Webアクセス確認

① VCNの設定で80ポートアクセスできるようにして,vSRXインスタンスのパブリックIPでアクセス

http://100.100.100.101/login

② rootユーザーでアクセスできることを確認


■参考

vSRX Deployment Guide for KVM

vSRX Documentation