Introducing to SRX1400 Firewall
of 41
Transcript of Introducing to SRX1400 Firewall
-
7/26/2019 Introducing to SRX1400 Firewall
1/41
INTRODUCING TO SRX1400 FIREWALL
Indonesia Convention Exhibition
M Amal Ramadhan
PT Wahana Cipta Sinatria
Wisma Cormic Lt. 3
Jl. Suryopranoto No 1-9
GambirJakarta Pusat
-
7/26/2019 Introducing to SRX1400 Firewall
2/41
[This page intentionally left blank]
We hold all copyright and other intellectual property rights in all materials developed either before or during
the treaty process, including systems, methodologies, software and knowledge. We also retain all copyright
and other intellectual property rights in the report, advice or other written material provided by the
Implementation Team for you, although you will have the full right to use this material in your organization.
Any use of this material outside of your organization will require the permission of the Implementation Team.
-
7/26/2019 Introducing to SRX1400 Firewall
3/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
1 | P a g e
Daftar Isi
Daftar Isi ........................................................................................................................................................ 1
Chapter 1: Hardware Overview .................................................................................................................... 4
SRX1400 Services Gateway Description .................................................................................................... 4
SRX1400 Services Gateway Front Panel ................................................................................................ 4
SRX1400 Services Gateway Back Panel ................................................................................................. 5
SRX1400 Services Gateway Chassis Slots .............................................................................................. 5
Hardware Component Overview .............................................................................................................. 6
SRX1400 Services Gateway Backplane ...................................................................................................... 6
SRX1400 Services Gateway SYSIOCs ......................................................................................................... 7
Features and Functions ......................................................................................................................... 7
Power Button Functionality on the System I/O Card ............................................................................ 7
Led Indicator on the System I/O Card ................................................................................................... 8
Front Panel Ports and Connectors on the System I/O Card ................................................................ 11
SRX1400 Services Gateway Routing Engine ............................................................................................ 12
SRX1400 Services Gateway NSPC............................................................................................................ 13
SPCs for the SRX1400 Services Gateway ................................................................................................. 14
NPCs for the SRX1400 Services Gateway ................................................................................................ 14
Chapter 2: Zones ......................................................................................................................................... 15
Zone Definition ....................................................................................................................................... 15
Traffic Regulation Through a Junos Security Platform ............................................................................ 15
Review: Packet Flow ............................................................................................................................... 15
Zones and Interfaces ............................................................................................................................... 16
Zone Configuration Procedure ................................................................................................................ 16
Configure Zones .................................................................................................................................. 16
Adding Logical Interfaces to a Zone .................................................................................................... 17
Specifying Types of Traffic Permitted into the Device ........................................................................ 17
Monitoring Traffic Permitted into Interfaces ......................................................................................... 18
-
7/26/2019 Introducing to SRX1400 Firewall
4/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
2 | P a g e
Chapter 3: Security Policies......................................................................................................................... 19
What is a Security Policy ......................................................................................................................... 19
Security Policy Conceptual Example ....................................................................................................... 19
Security Policy Context ........................................................................................................................... 20
Policy Match Criteria ........................................................................................................................... 20
Creating Address Book Entries ................................................................................................................ 20
Configuration Example ............................................................................................................................ 21
Using CLI .............................................................................................................................................. 21
Using J-Web ........................................................................................................................................ 22
Monitoring Policy .................................................................................................................................... 23
Using CLI .............................................................................................................................................. 23
Using J-Web ........................................................................................................................................ 23
Chapter 4: Network Address Translation .................................................................................................... 24
Network Address Translation ................................................................................................................. 24
Three Basic Types of NAT ........................................................................................................................ 24
Source IP Address and Port Translation .............................................................................................. 25
Destination IP Address and Port Translation ...................................................................................... 25
Static NAT ............................................................................................................................................ 26
Configuration Example ............................................................................................................................ 26
Using CLI .............................................................................................................................................. 26
Using J-Web ........................................................................................................................................ 28
Monitoring NAT ...................................................................................................................................... 32
Using CLI .............................................................................................................................................. 32
Using J-Web ........................................................................................................................................ 33
Chapter 5: Protocol-Independent Routing ................................................................................................. 34
A Review of Static Routing ...................................................................................................................... 34
Configuring Static Routes ........................................................................................................................ 34
Using CLI .............................................................................................................................................. 35
Using J-Web ........................................................................................................................................ 35
Monitoring Static Routes ........................................................................................................................ 36
Using CLI .............................................................................................................................................. 36
Using J-Web ........................................................................................................................................ 36
-
7/26/2019 Introducing to SRX1400 Firewall
5/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
3 | P a g e
Chapter 6: High Availability Clustering ....................................................................................................... 37
High Availability Characteristics .............................................................................................................. 37
High Availability Using Chassis Clusters .................................................................................................. 37
Chassis Cluster Component .................................................................................................................... 38
Cluster-id Details ................................................................................................................................. 38
Node id Details .................................................................................................................................... 38
Chassis Cluster Interfacesfxp1 ......................................................................................................... 38
Chassis Cluster Interfaces fab .......................................................................................................... 38
Monitoring the Chassis Cluster ............................................................................................................... 39
Viewing Redundancy Groups .............................................................................................................. 39
Viewing Chassis Cluster Statistics ....................................................................................................... 39
-
7/26/2019 Introducing to SRX1400 Firewall
6/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
4 | P a g e
Chapter 1: Hardware Overview
SRX1400 Services Gateway DescriptionSRX1400 merupakan perangkat Security SRX SeriesNext-Generation Firewallyang mampu menyediakan
beberapa fitur seperti IP Security (IPSec), Virtual Private Network(VPN), dan juga inpseksi paket secara
mendalam seperti Intrusion Detection and Prevention (IDP). SRX1400 termasuk kelas rendah hinggamenengah untuk sebuah Data Center(DC), Enterprises, dan juga Service Provide.
SRX1400 berukuran 3U. Memiliki slot khusus untuk I/O card (SYSIOC), satu slot khusus untuk routing
engine, 2 Slot untukpower supplies, dan satu slot untukfan tray and air filter.
SRX1400 merupakan perangkat security yang menggunakan Junos OS. Anda dapat menggunakan Junos
CLI ataupun J-Web untuk melakukan konfigurasi, monitoring, ataupun troubleshoot pada perangkat
tersebut.
SRX1400 Services Gateway Front Panel
Pada gambar dibawah ini merupakan tampilan depan dari perangkat SRX1400.
Berikut ini list komponen berdasarkan nomor penunjuk pada gambar diatas.
Number Component
1 NSPC pada slot CFM 1 dan 3
2 Routing Engine pada slot RE
3 SYSIOC pada slot 0
4 Slot CFM 2 untuk IOC, NP-IOC, atau SPC
5 Power Supply pada slot P0
6 Power Supply pada slot P1
-
7/26/2019 Introducing to SRX1400 Firewall
7/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
5 | P a g e
SRX1400 Services Gateway Back Panel
Gambar dibawah ini merupakan tampilan belakang dari SRX1400
Berikut ini list komponen berdasarkan nomor penunjuk pada gambar diatas.
Number Component
1 Fan Tray
SRX1400 Services Gateway Chassis Slots
SRX1400 memiliki 7 slot panel yang memiliki fungsinya masing masing. Berikut ini gambar yang
menunjukkan fungsi masingmasing slot pada SRX1400.
-
7/26/2019 Introducing to SRX1400 Firewall
8/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
6 | P a g e
Hardware Component OverviewBerikut ini merupakan jumlah maksimum beberapa komponen yang dapat digunakan pada perangkat
SRX1400.
Hardware ComponentMinimum
Required
Maximum
Allowed
Slot
Routing Engine 1 1 RE0
Network and Services Processing Card (NSPC) 1 1 CFM Slot 1 and 3
I/O card (IOC) (Optional) 0 1 CFM Slot 2
Network Processing I/O card (NP-IOC) (Optional) 0 1 CFM Slot 2
Services Processing Card (SPC) (Optional) 0 1 CFM Slot 2
System I/O card (SYSIOC) 1 1 Slot 0
Power Supply 1 2 Slot P0 and P1
Fans 1 2 Rear panel slot
SRX1400 Services Gateway BackplaneBackplane pada SRX1400 terdapat di belakang perangkat yang berfungsi menghubungkan setiap modul
yang digunakan dan juga membagi sumber daya yang ada.
Berikut ini beberapa fungsi inti dari kegunaan backplane, diantaranya :
-
Data pathpertukaran data terjadi pada backplane antara I/O card (IOC) dengan Network and
Services Processing Card (NSPC) melalui System I/O Card (SYSIOC).
- Power distribution modul power supplies terhubung melalui backplane, yang mana
didistrubisikan kembali ke modul yang terpasang.
- Signal pathbackplane memiliki funsi sebagai jalur pengiriman sinyal menuju seluruh komponen
untuk melakukan monitoring dan juga pengontrolan sistem itu sendiri.
-
7/26/2019 Introducing to SRX1400 Firewall
9/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
7 | P a g e
SRX1400 Services Gateway SYSIOCsModul System I/O Card (SYSIOC)s merupakan modul yang digunakan pada SRX1400 base systemyang
menyediakan I/O port dan juga merupakan komponen penting sebagai salah satu elemen data plane.
Terdapat 2 tipe modul SYSIOC, diantaranya :
System I/O Card Model Numbers Card Type
SRX1K-SYSIO-GE 1-Gigabit Ethernet SYSIOC
SRX1K-SYSIO-XGE 10-Gigabit Ethernet SYSIOC
Features and Functions
Berikut ini beberapa fungsi modul SYSIOC :
-
Memiliki tombol power terpisah.
-
Memiliki 2 port yang dapat digunakan sebagai port chassis cluster (optional).
-
Memiliki port console dan port manajemen serta sistem LED.-
Memiliki 6 port copper 10/100/1000 Mbps dan 6x1 Gigabit Ethernet port SFP (untuk modul 1-
Gigabit Ethernet SYSIOC) atau 6 port copper 10/100/1000 Mbps dan 3x1 Gigabit Ethernet port
SFP serta 3x10 Gigabit ethernt port SFP+ (untuk modul 10-Gigabit Ethernet SYSIOC).
Power Button Functionality on the System I/O Card
Berikut ini karakteristik dari tombol power yang tersedia pada modul SYSIOC.
Condition Action Result
Device power off Tekan tombol 3-5 detik Berfungsi untuk menyalakan perangkat. LED PWR
akan berkedip sebagai indikator bootingRouting
Engine.
Device Powered
on
Tekan tombol 3-5 detik Melakukan graceful shutdown. LED PWR akan
berkedip sebagai indikator proses shutdown
perangkat.
-
7/26/2019 Introducing to SRX1400 Firewall
10/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
8 | P a g e
Tekan tombol 15 detik
atau lebih
Melakukanforced shutdown. Hindari penggunaan
fungsi tersebut sebisa mungkin. Kecuali sangat
dibutuhkan.
Led Indicator on the System I/O Card
Label Color Status Indicated Behavior
Alarm
Critical Red On Steadily Terdapat alarm criticalyang tejadi. Dikarenakan kerusakan
secara hardware ataupun software, atau status port
management down.
Unlit Off Tidak terdapat alarm critical pada sistem.
Non-Critical Yellow On Steadily Terdapat alarm non-critical pada sistem. Contohnya :
-
Penggunaan memori tinggi, menyisakan 10% dari total
memori.
-
Jumlah session mencapai maksimum yang bisa di handle.
-
Terdapat perubahan pada status chassis cluster.
-
Suhu perangkat terlalu panas.
Unlit Off Tidak terdapat alarm non-critical pada sistem.
System I/O Card
SIO Green On Steadily Modul SYSIOC berfungsi dengan baik.
Green Blinking Modul SYSIOC dalam proses booting.
-
7/26/2019 Introducing to SRX1400 Firewall
11/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
9 | P a g e
Amber On Steadily Modul SYSIOC berfungsi dengan baik, namun interfaces
Ethernettidak berfungsi secara normal.
Red On Steadily Modul SYSIOC mengalami kerusakan dan tidak berfungsi.
Label Color Status Indicated Behavior
Chassis Clustering
HA Green On Steadily Chassis cluster berfungsi normal. Seluruh koneksi antar
perangkat berfungsi.
Amber On Steadily Terdapat alarm pada koneksi antar perangkat. Seluruh
perangkat cluster berfungsi, namun terdapat koneksi antar
perangkat yang tidak berfungsi. Masih dapat berfungsi
normal, namun mengalami penurunan performa.
Red On Steadily Terdapat alarm critical pada sistem. Salah satu perangkat
cluster tidak berfungsi.
Unlit Off Fitur chassis cluster tidak digunakan pada perangkat tersebut.
Fan
FAN Green On Steadily Sistem pendingin perangkat berfungsi normal.
Red On Steadily Terdapat kerusakan pada sistem pendingin (satu atau lebih
fan tidak berfungsi).
Power
PWR (top) Green Blinking Menunjukkan salah satu status di bawah ini :
-
Menerimapower dan sedang dalam proses booting.
-
Sedang dalam proses shutdown.
On Steadily Perangkat menerimapower. Modul Routing Engine selesai
melakukan proses booting.
Amber On Steadily Salah satupower supplies tidak berfungsi, namun kebutuhan
power pada setiap komponen yang digunakan dapat
terpenuhi.
Red On Steadily Satu atau lebihpower supplies tidak berfungsi, dan juga
kebutuhanpower untuk setiap komponen yang digunakan
tidak dapat terpenuhi.
Unlit Off Perangkat sedang dalam kondisi mati.
-
7/26/2019 Introducing to SRX1400 Firewall
12/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
10 | P a g e
-
7/26/2019 Introducing to SRX1400 Firewall
13/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
11 | P a g e
Front Panel Ports and Connectors on the System I/O Card
Berikut ini penomoran dan nama port pada modul SYSIOC.
Berikut ini fungsi dari setiap port yang ada pada modul SYSIOC.
Panel Label Description
RE ETHERNET Port RJ-45 yang berfungsi sebagai port manajemen yang memiliki
kecepatan 10/100/1000 Mbps.
CONSOLE Port RJ-45 yang dapat menghubungkan menju Routing Engine.
Onboard Copper 6 port Ethernet 10/100/1000 Mbps. Port yang menggunakan konektor RJ-
45 dan penomorannya dari 0-5.
Onboard SFP and SFP+ 6 port SFP (port 6-11).
-
Pada modul 1-Gigabit Ethernet SYSIOC seluruh port dapat menggunakan
SFP transceivers.
-
Pada modul 10-Gigabit Ethernet SYSIOC, 3 port nomor 7-9 dapat
menggunakan SFP+ transceivers. Sisa port nya yaitu port 6, 10, 11 dapat
menggunakan SFP transceivers.
-
Port CHASSIS CLUSTER CONTROL 0 dan CHASSIS CLUSTER CONTROL 1
(nomor 10 dan 11) dapat digunakan untuk fitur chassis clustering. Port
SFP khusus ini digunakan untuk mengontrol Routing Engine setiap
perangkat.
-
7/26/2019 Introducing to SRX1400 Firewall
14/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
12 | P a g e
SRX1400 Services Gateway Routing EngineRouting Engine merupakan perangkat PowerPC yang menjalankan sistem operasi Junos OS. Software
menjalankan proses routing tables, serta manajemen protokol routing yang digunakan pada perangkat
tersebut, pengontrol interfaces pada perangkat, pengontrol beberapa komponen pada chassis, dan juga
sebagai fasilitator sistem manajemen pada perangkat.
Berikut ini gambaran dari modul Routing Engine pada perangkat juniper.
Routing Engine memiliki beberapa fungsi, seperti :
-
Central Packet Forwarding Engine Processing (CPP)Manajemen seluruh common form-factor
modules (CFM) cards.
-
System ControlSistem manajemen seperti melakukan pemantauan terhadap sistem pendingin
dan juga sistempower.
Untuk informasi detail mengenai Routing Engine dapat dilihat pada SRX1400, SRX3400, and SRX3600
Services Gateway Module Guidedi halamanwww.juniper.net/techpubs/.
http://www.juniper.net/techpubs/http://www.juniper.net/techpubs/http://www.juniper.net/techpubs/http://www.juniper.net/techpubs/ -
7/26/2019 Introducing to SRX1400 Firewall
15/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
13 | P a g e
SRX1400 Services Gateway NSPCModul Network and Services Processing Card (NSPC) merupakan modul common form-factor card (CFM)
yang berfungsi untuk menjalankan beberapa fitur pada SRX1400 seperti firewall, IP Security (IPSec), dan
Intrusion Detection and Prevention (IDP). NSPC terdiri dari Services Processing Unit (SPU) dan Network
Processing Unit (NPU). Seluruh paket data yang masuk pada perangkat SRX1400 akan terlebih dahulu
melalui proses pada modul NSPC.
Berikut ini gambaran modul NSPC pada perangkat SRX1400.
Pada modul NSPC terdapat beberapa sistem LED yang berfungsi sebagai indikator pada modul tersebut.
Berikut ini maksud secara rinci dari setiap kondisi sistem LED.
Label Color Status Description
SERVICE Green On Steadily NSPC berjalan dengan kapasitas yang memadai
Amber On Steadily Kapasitas proses pada NSPC overload.
Red On Steadily Tidak ada proses yang dijalankan oleh NSPC
Unlit Off NSPC tidak berjalan.
OK/FAIL Green On Steadily NSPC berfungsi dengan normal
Green Blinking NSPC mempersiapka untuk dilakukan penukaran modul.
Red On Steadily NSPC mengalami kerusakan dan tidak berfungsi secara normal.
Unlit Off NSPC dalam kondisi mati
-
7/26/2019 Introducing to SRX1400 Firewall
16/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
14 | P a g e
SPCs for the SRX1400 Services GatewayServices Processing Cards (SPCs) merupakan common form-factor module cards (CFM) yang berfungsi
untuk menjalankan proses firewall, IPSec, dan IDP. Seluruh paket data yang sesuai dengan konfigurasi
yang ditentukan diproses melalui SPC. Paket data didistribusikan dari NPC ke SPC untuk selanjutnya
diproses, termasuk proses session berdasarkan policies.
Berikut ini gambaran modul SPC yang terdapat pada SRX1400.
NPCs for the SRX1400 Services GatewayNPC merupakan common form-factor module (CFM) cards yang menerima secara langsung paket data
yang masuk dari I/O cards (IOCs) dan juga bertanggung jawab untuk melakukan transfer paket tersebut
menuju SPC untuk proses selanjutnya. Ketika proses pada SPC selesai, paket data dikirim kembali ke NPC
dan NPC melakukan transfer paket menuju IOC atau SYSIOC sesuai dengan tujuan dari paket tersebut.
Berikut ini gambaran modul NPC yang terdapat pada SRX1400.
Untuk informasi lebih rinci mengenai NPC dapat dilihat pada SRX1400, SRX3400, and SRX3600 Services
Gateway Module Guidedi halamanwww.juniper.net/techpubs/.
http://www.juniper.net/techpubs/http://www.juniper.net/techpubs/http://www.juniper.net/techpubs/http://www.juniper.net/techpubs/ -
7/26/2019 Introducing to SRX1400 Firewall
17/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
15 | P a g e
Chapter 2: Zones
Zone DefinitionZone merupakan suatu kumpulan jaringan yang memiliki identitas security. Untuk mengelompokkan
jaringan tersebut, anda perlu mendefinisikan satu atau lebih logical interfaceterhadap zone tersebut.
Traffic Regulation Through a Junos Security PlatformZone memiliki fungsi untuk memisahkan security pada sebuah jaringan. Security policies diterapkan
antar zone untuk menentukan proses komunikasi yang diperbolehkan melalui perangkat Junos. Secara
default, seluruh interface pada perangkat masuk kedalam null-zone. Yang mana seluruh komunikasi dari
atau menuju null-zone akan di drop. Interfaces khusus seperti fxp0, fabric interface, em0 tidak dapat
didefinisikan terhadap zone manapun.
Review: Packet Flow
Ketika suatu paket memasuki perangkat Junos Security, perangkat akan melihat apakah paket tersebut
merupakan salah satu sessionyang sudah terhubung. Untuk menentukan hal tersebut, Junos akan melihat
beberapa informasi yang dibutuhkansource IP, destination IP, sourceport, destinationport, protocol
number, dan session token.
-
7/26/2019 Introducing to SRX1400 Firewall
18/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
16 | P a g e
Zones and InterfacesAnda dapat mendefinisikan satu atau lebih logical interface terhadap zone. Namun anda tidak dapat
mendifinisikan satu logical interfaceterhadap beberapa zone.
[edit]
user@srx# commit check
[edit security zones security-zone trust]
'interfaces ge-0/0/2.0'
Interface ge-0/0/2.0 already assigned to another zone
error: configuration check-out failed
Zone Configuration ProcedureBerikut ini langkahlangkah dalam pembuatan Zone :
1.
Tentukan tipe zone;
2.
Definisikan logical interfacepada zone tersebut;
3.
(opsional) Definisikan beberapa parameter seperti services atauprotocol yang diperbolehkan
melalui zone tersebut yang tertuju kepada perangkat tersebut.
Configure Zones
Untuk dapat membuat sebuah zone, anda perlu masuk ke mode konfigurasi terlebih dahulu. Setelah itu
anda dapat membuat sebuah zone, terdapat 2 tipe zone diantaranya :
-
Security-zone
-
Functional-zone
-
7/26/2019 Introducing to SRX1400 Firewall
19/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
17 | P a g e
Adding Logical Interfaces to a Zone
Gambar diatas menujukkan 2 contoh dalam mendifinisikan logical interface pada sebuah zone. Contoh
pertama menunjukkan interface ge-0/0/1.0 yang didefinisikan pada HR security-zone. Contoh kedua
mununjukkan interface ge-0/0/1.100 yang didefinisikan pada managementfunctional-zone.
Specifying Types of Traffic Permitted into the Device
Tanpa konfigurasi tambahan, setiap paket yang ditunjukkan ke
perangkat tidak dibolehkan. Anda dapat mendefinisikan tipe
paket yang diperbolehkan menuju perangkat tersebut
menggunakan host-inbound-traffic pada hirarki zone atau hirarki
interface-zone.
[edit security zones]
user@srx# set security-zone HR host-inbound-traffic
system-services ?
Possible completions:all All system services
any-service Enable services on entire port range
dns DNS and DNS-proxy service
finger Finger service
ftp FTP
http Web management service using HTTP
[edit security zones]
user@srx# set security-zone HR host-inbound-traffic protocols ?
Possible completions:
all All protocols
bfd Bidirectional Forwarding Detection
bgp Border Gateway Protocol
dvmrp Distance Vector Multicast Routing Protocol
-
7/26/2019 Introducing to SRX1400 Firewall
20/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
18 | P a g e
Monitoring Traffic Permitted into Interfaces
-
7/26/2019 Introducing to SRX1400 Firewall
21/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
19 | P a g e
Chapter 3: Security Policies
What is a Security Policy
Policy merupakan sebuah fitur yang berfungsi mengontrol traffic dari sumber tertentu menuju destinasi
tertentu yang menggunakan service tertentu. Jika paket yang masuk sesuai dengan spesifikasi yang
ditentukan pada policy, maka akan dilakukan tindakan tertentu tergantung dari konfigurasi yang
diterapkan.
Security Policy Conceptual Example
Contohnya, SRX memiliki 3 zona -> private, external, public. Terdapat kebutuhan akses dari device B ke
device D menggunakan aplikasi SSH. Host B berada di zone private sedagkan Host D berada di zone
External. Untuk memenuhi kebutuhan tersebut, diharuskan membuat policy yang sesuai dengan ilustrasi
pada gambar diatas.
-
7/26/2019 Introducing to SRX1400 Firewall
22/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
20 | P a g e
Security Policy ContextKetika membuat sebuahpolicy, anda perlu mendefinisikan sumber zonesebuah paket. Dan juga perlu
medefinisikan tujuan zonedari sebuah paket.
Policy Match Criteria
Setiappolicyharus memiliki beberapa krieteria dibawah ini :
-
Source address
- Destination address
- Applications
Creating Address Book Entries
Gambar diatas merupakan contoh syntax yang perlu anda gunakan ketika membuat address book.Address
book yang ada pada zone bisa terdiri dari satu IP ataupun menjadi kelompok yang terdiri dari beberapa
IP.
-
7/26/2019 Introducing to SRX1400 Firewall
23/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
21 | P a g e
Configuration Example
Using CLI
-
7/26/2019 Introducing to SRX1400 Firewall
24/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
22 | P a g e
Using J-Web
Masuk ke mode konfigurasi->Security->Policy->Apply Policy(Add)
Isi parameter diatas
Policy name : (nama policy)
Policy context :
From Zone : (sumber traffic berasal)
To Zone : (destinasi traffic)
Source Address : (IP address Sumber)
Destination Address : (IP address destinasi)
Application : (services yang digunakan)
Policy Action : (hal yang dilakukan ketika paket sesuai dengan spesifikasi)
-
7/26/2019 Introducing to SRX1400 Firewall
25/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
23 | P a g e
Monitoring Policy
Using CLI
Using J-Web
Masuk ke mode monitor->Security->Policy->Activities(Pilih Policy yang di monitor)
-
7/26/2019 Introducing to SRX1400 Firewall
26/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
24 | P a g e
Chapter 4: Network Address Translation
Network Address Translation
Berdasarkan sejarah, teknologi NAT muncul karena berkurangnya alokasi IPv4 Public. Sehingga
kebanyakan organisasi mulai mengimplementasikan IPv4 Private.Berdasarkan standar RFC1918, IPv4
yang disarankan digunakan pada IPv4 diantaranya :
- 10.0.0.010.255.255.255 (10.0.0.0/8 prefix)
- 172.16.0.0172.31.255.255 (172.16.0.0/12 prefix)
- 192.168.0.0192.168.255.255 (192.168.0.0/16 prefix)
Rekomendasi tersebut dikarenakan hanya scope tersebut yang tidak tersedia pada IPv4, sehingga
perangkat FW/Router (edge) dapat menggunakan fitur NAT untuk mengubah IP private. Translasi ini dapatmengubah IP (NAT), nomor port (PAT), atau keduanya tergantung dari konfigurasi yang digunakan.
Three Basic Types of NAT
Secara umum, terdapat 3 macam yaitu source NAT, destination NAT, static NAT. Destination NAT
melakukan translasi berdasarkan IP tujuan sebuah paket. SourceNAT melakukan transalasi IP sumber
sebuah paket. Sedangkan staticNAT melakukan transalasi 2 arah, yang menjadikan fitur ini hanya bisa
mentranslasi 1 IP ke 1 IP.
-
7/26/2019 Introducing to SRX1400 Firewall
27/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
25 | P a g e
Source IP Address and Port Translation
Perangkat SRX mampu untuk melakukan translasi source IP menjadi IP yang berbeda, translasi source port
menjadi port yang berbeda, ataupun keduanya.
Pada source NAT dan translasi port sendiri terdapat 3 jenis, diantaranya :
a.
Interface-Based source NATmerupakan translasi sumber IP address menjadi IP address dari
interface yang digunakan sebagai pintu keluar traffic tersebut. Tipe NAT tersebut selalu disertai
PAT
b.
Standard pool-based source NAT merupakan translasi sumber IP address secara dynamic
menjadi kelompok IP address yang sudah ditentukan pada konfigurasi, PAT dapat digunakan
ataupun tidak.
c.
Source NAT with address shiftingmerupakan translasi sumber IP address secara berurutan dan
secara one-to-one mapping. Selalu tidak menggunakan PAT.
Destination IP Address and Port Translation
Destination IP address danport translation berfungsi untuk melakukan translasi IP destinasi menjadi IP
yang berbeda, dan nomor port destinasi menjadi nomor destinasi yang lain, atau keduanya.
Berikut ini jenisjenis destinationNAT danport translation, diantaranya :
a.
Pool-Based destination NAT with single addressmelakukan transalasi berdasarkan 1 destinasi
IP pada traffic menjadi 1 IP Private, tanpa menggunakan PAT.
b.
Pool-Based destination NAT with address pool melakukan translasi berdasrkan 1 destinasi IP
pada traffic menjadi beberapa IP Private, tanpa menggunakan PAT.
c.
Pool-Based destination NAT with PATmelakukan translasi berdarkan 1 destinasi IP disertai port
destinasi menjadi 1 IP private disertai nomor port, konfigurasi tersebut menggunakan PAT.
-
7/26/2019 Introducing to SRX1400 Firewall
28/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
26 | P a g e
Static NAT
Pada gambar diatas dapat dilihat contoh toplogy static NAT. Pada gambar tersebut staticNAT diaktifkan
untuk paket yang memiliki destinasi IP 1.1.70.6 masuk melalui zone Untrust, maka destinasi pada paket
tersebut ditranslasi menjadi IP 10.1.10.5.
Configuration Example
Using CLI
A.
Interface-Based source NAT
-
7/26/2019 Introducing to SRX1400 Firewall
29/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
27 | P a g e
B.
Pool-Based source NAT
C.
Pool-Based destination NAT with PAT
-
7/26/2019 Introducing to SRX1400 Firewall
30/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
28 | P a g e
Using J-Web
A.
Interface-Based source NAT
Masuk ke mode konfigurasi->NAT->Source NAT (Klik Add)
Isi paramater diatas
Rule Set Name : (nama rule source NAT)
From (Zone) : nama zone dari sumber traffic
To (Zone) : nama zone dari tujuan traffic
Setelah di isi tambahkan rules (klik add)
Isilah parameter diatas
Rule Name : (nama rule)
Match : Source Address = (sumber IP Address traffic)
Destination Address = (destinasi IP address traffic)
Destination Port = (any)
Action : pilih (Do Source Nat with Egress Interface Address)
-
7/26/2019 Introducing to SRX1400 Firewall
31/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
29 | P a g e
B.
Pool-Based Source NAT
Masuk ke mode konfigurasi -> NAT -> Source NAT, Buat pool source NAT terlebih dahulu dengan cara,
pilih tab ->source NAT pool (klik add).
Isilah parameter diatas
Pool Name : (Nama Pool)
Pool Address : (Range/fixed IP address hasil translasi)
Buat rule pada tab Source Rule Set (add)
Isilah parameter diatasRule Set Name: (Nama Rule)
From : (sumber traffic berasal)
To : (destinasi trafffic)
-
7/26/2019 Introducing to SRX1400 Firewall
32/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
30 | P a g e
Tambahkan rules dengan cara klik Add pada bagian Rules.
Isilah parameter diatas
Rule Name : (nama rule)
Match Source address : (IP address/Scope address yang akan ditranslasi)Action : pilih Do Source NAT With Pool pilih pool yang telah dibuat.
C.
Pool-Based destination NAT with PAT
Masuk ke mode konfigurasi -> NAT -> Destination NAT, Buatlah Pool terlebih dahulu dengan cara klik tab
Destination NAT Pool->klik Add
Isilah parameter diatas
Pool Name : (Nama Pool)
Pool Addreses and Port : (IP address hasil translasi) dan (Port Hasil Translasi)
-
7/26/2019 Introducing to SRX1400 Firewall
33/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
31 | P a g e
Kembali ke tab Destination Rule Set, klik Add.
Isi parameter diatasRule Set Name : (Nama rule)
From : (zone traffic berasal)
Tambahkan rules dengan cara klik add
Isilah parameter diatas
Rule Name : (nama rule)
Match : (destinasi IP address traffic dan nomor port)
Action : pilih do destination NAT with Pool, pilih Pool yang telah dibuat
-
7/26/2019 Introducing to SRX1400 Firewall
34/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
32 | P a g e
Monitoring NAT
Using CLI
A.
Source NAT
B.
Destination NAT
-
7/26/2019 Introducing to SRX1400 Firewall
35/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
33 | P a g e
Using J-Web
A.
Source NAT
Masuk ke mode Monitor->NAT->Source NAT
B.
Destination NAT
Masuk ke mode Monitor->NAT->Destination NAT
-
7/26/2019 Introducing to SRX1400 Firewall
36/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
34 | P a g e
Chapter 5: Protocol-Independent Routing
A Review of Static Routing
Static route digunakan untuk memenuhi beberapa kebutuhan networking, diantaranya default route
untuk autonomous system(AS) atau untuk kebutuhan menuju internet. Static route dikonfigurasi secara
manual, tidak seperti dynamic route yang secara otomatis bertukar informasi routing antar perangkat.
Configuring Static Routes
Seluruh parameter konfigurasi untuk static routes terdapat pada hirarki [edit routing-options].
Konfigurasi umum untuk static route terdiri dari prefix destinasi serta next-hop untuk destinasi tersebut.
Ketika tersedia 2 jalur menuju ke destinasi yang sama, anda dapat menggunakan perintah qualified
next-hop untuk mendukung redundancy pada destinasi tersebut. Berikut ini contoh penggunaannya :
[edit routing-options]
user@R1# show
static {
route 0.0.0.0/0 {
next-hop 172.30.25.1;
qualified-next-hop 172.30.25.5 {preference 7;
}
}
}
Pada konfigurasi tersebut, 172.30.25.1 merupakan default route karena memiliki nilai preference 5.
Sedangkan 172.30.25.5 merupakan route kedua karena memiliki nilai preference 7. Semakin kecil nilai
preference, semakin besar kemungkinan route digunakan ketika terdapat 2 jalur menuju destinasi yang
sama.
-
7/26/2019 Introducing to SRX1400 Firewall
37/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
35 | P a g e
Using CLI
Using J-Web
Masuk ke mode konfigurasi->Routing->Static Routing(add)
Isi parameter diatas
Static Route :
IP Address (IP destinasi traffic)
Subnet Mask (Netmask destinasi traffic)
Next-hop : (IP address jalur yang digunakan)
-
7/26/2019 Introducing to SRX1400 Firewall
38/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
36 | P a g e
Monitoring Static Routes
Using CLI
Using J-Web
Masuk ke mode Monitor->Routing->Route Information
Isi parameter yang diperlukan untuk melakukan filtering output
-
7/26/2019 Introducing to SRX1400 Firewall
39/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
37 | P a g e
Chapter 6: High Availability Clustering
High Availability Characteristics
Junos OS memiliki fitur High Availability (HA) untuk mendukung stateful session failover. Fitur HA tersebut
selain melakukan stateful session failoverjuga melakukan synchronizationkonfigurasi perangkat.
High Availability Using Chassis Clusters
Chassis cluster memberikan suatu fungsi redundancy dengan cara membentuk kelompok. 2 Perangkat
tersebut saling melakukan backup satu sama lain, salah satu perangkat tersebut berperan sebagaiprimary
dan salah satunya lagi berperan sebagai secondary.
-
7/26/2019 Introducing to SRX1400 Firewall
40/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
38 | P a g e
Chassis Cluster ComponentBerikut ini beberapa komponen pada chassis cluster :
- Cluster identification, termasuk cluster-iddan node-id;
-
Redundancy Group (RGs);
-
Chassis cluster interfaces :
-
fxp1 : Control plane interface;
-
fxp0 : OOB management interface;
-
fab : Data Plane interface;
-
swfab : switching data plane interface; dan
-
reth : redundant interfaces
Cluster-id Details
Chassis cluster dapat di implementasikan hingga 15 cluster pada sebuah environment. Cluster-id
merupakan identitas setiap cluster memiliki range dari 1-15. Perangkat Junos hanya bisa masuk kedalam
1 cluster.
Node id Details
Node id merupakan identitas unik sebuah perangkat yang membentuk cluster. Karena hanya terdapat 2
perangkat pada sebuah cluster, maka range node id dari 0-1.
Chassis Cluster Interfaces fxp1
fxp1merupakan interfaces yang terhubung diantara perangkat yang membentuk chassis cluster. Berikut
ini beberapa fungsi dari fxp1 :
-
Sebagai control link bagi chassis cluster.
-
Sebagai media sinkronisasi konfigurasi.
-
Sebagai jalur untuk sinyal heartbeat yang menentukan kondisi chassis cluster.
Chassis Cluster Interfaces fab
fab merupakan interfaces yang terhubung diantara perangkat yang membentuk chassis clustersama hal
nya seperti fxp1. Namun fab memiliki fungsi yang berbeda, berikut ini fungsi dari fab:
-
Sebagai media sinkronisasi session dan juga transit paket antara perangkat.
-
Sebagai media untuk saling bertukar informasi kondisi cluster.
-
Junos OS secara otomatis akan menonaktifkan salah satu cluster ketika fab terjadi fail.
-
7/26/2019 Introducing to SRX1400 Firewall
41/41
Introduction to SRX1400 Firewall
ICE Indonesia Convention Exhibition
Monitoring the Chassis Cluster
Viewing Redundancy Groups
Viewing Chassis Cluster Statistics
