# Setting up a Policy-Based VPN Tunnel

1. Bind interfaces to zones and assign them IP addresses:
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Set the addresses for the end entities beyond the two ends of the VPN tunnel:
set address trust host1 10.1.1.5/32
set address untrust host2 10.2.2.5/32
3. Define the IKE Phase 1 proposal and Phase 2 proposal. If you use the default proposals, you do not need to
define Phase 1 and Phase 2 proposals.
4. Define the remote gateway:
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare
netscreen proposal pre-g2-3des-sha
5. Define the VPN tunnel as AutoKey IKE:
set vpn vpn1 gateway gw1 proposal g2-esp-des-md5
6. Set a default route (both the Trust and Untrust zones are in the trust-vr routing domain):
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
7. Set outbound and inbound policies:
set policy from trust to untrust host1 host2 any tunnel vpn vpn1
set policy from untrust to trust host2 host1 any tunnel vpn vpn1
The procedure for setting up a VPN tunnel for a dialup user with IKE also constitutes up to seven steps.
1. Bind interfaces to zones and assign them IP addresses.
2. Define the protected address that you want the dialup user to be able to access through the tunnel. (See the
set address command.)
3. Define the user as an IKE user. (See the set user command.)
4. Define the IKE Phase 1 proposal, Phase 2 proposal, and remote gateway. (Note: If you use the default
proposals, you do not need to define a Phase 1 or Phase 2 proposal.)
5. Define the VPN tunnel as AutoKey IKE. (See the set vpn command.)
6. Set a default route (both the Trust and Untrust zones are in the trust-vr routing domain).
7. Define an incoming policy, with Dial-Up VPN as the source address and the VPN tunnel you configured in
step 5.

저작자 표시 비영리 변경 금지
신고


*ALG(Application Layer Gateway)란?

NetScreen에서 V5.0에서 특정한 프로토콜(SIP, FTP, H.323 등)을 지원하는 신규 기능으로 ALG는 특정한 트래픽을 분석하여 NetScreen 방화벽을 통과하여 서비스가 가능하도록 resource 할당, 유동적인 방화벽 정책(ex: dynamic port을 요청하는 경우 편리하게 지원가능)을 설정할 수 있도록 지원할 수 있는 기능으로 Protocol Convert 역할을 할 수 있음, 알려진 포트를 사용하는 경우 및 정책에서 지정하는 경우 ALG기능을 사용할 수 있으며 ALG는 해당 프로토콜의 Payload 내용을 감지 또는 변경할 수 있습니다.

[출처] ISG1000장비의 ALG기능 질문입니다.. (주니퍼 엔지니어 모임) |작성자 네오

ALG 관련 ISSUE가 한번 있었다.
본사와 지사간의 VPN G to G를 설치하기 위해 부산과 대전을 다녀온 적이 있다.
VPN 설정하고 통신 테스트 하고 전혀 문제가 되지 않았는데... 한곳에서 SIP 관련 ISSUE가 발생을 했다.
인터넷 전화를 사용하는 업체인데 전화가 걸려오는 전화를 받는 것은 문제가 없었는데,
다른 곳에서 울리는 전화를 땡겨받기를 할 경우 약 8-10초간 아무 소리도 안 들리다가 이후 통화가 가능한가 싶더니 15-17초 이후 전화 연결이 자동으로 끊어졌다.
통신에 필요한 프로토콜은 SIP 하나였는데 Rule 부분의 문제는 아니었다.
결론적으로 주니퍼 방화벽의 메뉴중 Security 탭의 ALG에서 SIP를 Disable 시켜서 원인 해결이 되었다.
위에서 언급했듯이 ALG 는 L7 기반의 Application Layer Gateway를 처리 하다 보니 우리가 알지 못했던 비 정상적인
패킷에 대해서 처리가 이루어지기 때문에 오동작으로 오해하기가 쉽다.
더 신중한 보안 및 Application 처리를 위해서 ALG를 사용하는 것은 맞지만 국내 현실에 맞지 않는 부분도 많은 것 같다.

저작자 표시 비영리 변경 금지
신고

set interface ethernet0/3 dhcp server service
set interface ethernet0/3 dhcp server enable
set interface ethernet0/3 dhcp server option lease 1440000
set interface ethernet0/3 dhcp server option gateway 172.17.1.1
set interface ethernet0/3 dhcp server option netmask 255.255.255.0
set interface ethernet0/3 dhcp server option dns1 168.126.63.1
set interface ethernet0/3 dhcp server ip 172.17.1.10 to 172.17.1.100
unset interface ethernet0/3 dhcp server config next-server-ip
저작자 표시 비영리 변경 금지
신고

정원엔시스템에서 2008년 버전의 메뉴얼입니다.


방화벽-VPN_UTM운영자메뉴얼.pdf

저작자 표시 비영리 변경 금지
신고

Juniper Firewall TroubleShooting Command

-. 주니퍼 방화벽 장비를 사용하는데 있어 사용되는 ScreenOS 명령어 입니다.
    문제 발생시에 사용되는 명령어로써 장비 정보확인을 하는데 있어 기본/유용한
    명령어 입니다.

---------------------------------------------------------------------------

Trouble Shooting Command for Juniper Firewalls (ScreenOS)

SCREENOS NOTES
Session & Interface counters  
get session  
get interface  
get counter stat  
get couter stat <interface>  
clear counter stat  
Debug & Snoop  
debug flow basic creates debugs in detail file name : /var/log/security-trace
more info-debug flow basic
set ff Packet-drop is a feature that will be added
get ff  
get debug  
get db stream monitor stop' stops real-time view , but debugs are still collected in log files
clear db Use 'file delete <filename> to actually delete file>
undebug <debug> (stops collecting debugs) Deactivate makes it easier to enable/disable.
Use activate traceoptions to activate.
undebug all  
debug ike detail creates debugs in default file name: kmd
snoop (packets THRU the JUNOS device) Not supported on SRX 3x00/5x00 yet
snoop (packets TO the JUNOS device) Only captures traffic destined for the RE of router itself.
Excludes PING .
Event Logs  
get event  
get event | include <string>
Note: There is not an equivalent command for 'get event include <string>'.
match displays only the lines that contains the string
find displays output starting from the first occurrence of the string
clear event  
Config & Software upgrade  
get config  
get license  
get chassis (serial numbers) show chas environment
show chas routing-engine
unset all more info-unset all
reset  
load config from tftp <tftp_server><configfile> TFTP is not supported. USE only FTP.HTTP or SCP
load software from tftp <tftp_server><screenosimage> to flash TFTP is not supported. USE only FTP.HTTP or SCP
Use 'request system software rollback' to rollback to previous s/w package
save  
reset  
Policy  
get policy  
get policy from <zone> to <zone>  
VPN  
get ike cookie  
get sa  
clear ike cookie  
clear sa  
NSRP  
get nsrp  
exec nsrp vsd <vsd> mode backup (on master) see KB5885  
DHCP  
get dhcp client  
exec dhcp client <int> renew  
Routing  
get route  
get route ip <ipaddress>  
get vr untrust-vr route  
get ospf nei  
set route 0.0.0.0/0 int <int> gateway <ip>  
NAT  
get vip  
get mip  
get dip  
Others  
get perf cpu  
get net-pak s  
get file  
get alg  
get service  
get tech  
set console page 0 
저작자 표시 비영리 변경 금지
신고

ISG Series Integrated Security Gateways.pdf

Product OverView
The ISG Series Integrated Security Gateways are ideally suited for securing enterprise, carrier, and data enter environments where advanced applications, such as VoIP and streaming media, demand consistent, scalable performance. The Juniper Networks ISG1000 and ISG2000 Integrated Security Gateways are purpose-built security solutions that leverage a fourth-generation security ASIC, along with high-speed microprocessors to deliver unmatched firewall and VPN performance.
Integrating best-in-class firewall, VPN, and optional Intrusion Detection and Prevention, the ISG1000 and ISG2000 enable secure, reliable connectivity along with network-and applicationlevel protection for critical, high-traffic network segments.

Product Description
The Juniper Networks® ISG1000 and ISG2000 Integrated Security Gateways are
fully integrated firewall/VPN systems that offer multi-gigabit performance, modular
architecture and rich virtualization capabilities. They are an ideal security solution for large
enterprise, data center and service provider networks.
The ISG Series Integrated Security Gateways are firewall/VPN-based systems that deliver
security features such as intrusion prevention system (IPS), antispam, Web filtering,
and Internet Content Adaptation Protocol (ICAP) antivirus redirection support. The
advanced system is further expandable with optionally integrated Intrusion Detection and
Prevention (IDP) or as a General Packet Radio Service (GPRS) firewall/VPN for mobile
network service provider environments.
The ISG Series modular architecture enables deployment with a wide variety of copper
and fiber interface options. Highly flexible segmentation and isolation of traffic belonging
to different trust levels can be achieved using advanced features such as virtual systems,
virtual LANs, and security zones. The ISG Series Integrated Security Gateways allow
multiple, separate firewall inspection or routing policies to simplify network design. This
enables the enforcement of security policies to traffic streams—even in highly complex
environments—without significant impact on the network itself.
The flexibility and efficiency offered by the ISG Series architecture provides state-ofthe-
art performance and best-in-class functionality as a firewall/VPN or integrated
firewall/VPN/IDP solution with optional security modules. The ISG1000 supports up to
two security modules, while the ISG2000 can support up to three security modules. The
security modules maintain their own dedicated processing and memory, and incorporate
technology designed to accelerate IDP packet processing. This reduces the number of
separate security devices and management applications, and simplifies deployment effort
and network complexity. The result is higher cost savings.
The ISG Series with IDP utilizes the same award-winning software found on Juniper
Networks IDP Series Intrusion Detection and Prevention Appliances. The IDP security
module supports multi-method detection, combining eight different detection
mechanisms—including stateful signatures and protocol anomaly detection. In addition
to helping businesses defend against security threats such as worms, trojans, malware,
저작자 표시 비영리 변경 금지
신고

주중에 이중화 테스트로 인한 야간 작업이 있었다.
L4의 FWLB로 이중화가 되어 있다.
한쪽라인의 파워를 다 내렸다. 방화벽 또한 내렸다.
서비스 이상 여부 테스트 이후 다시 올리는데 문제가 발생했다.
뒤의 전원 스위치를 Off로 해서 내렸는데 다시 ON 하는데 IOS가 올라 오지를 않는다.
Console로 접속했는데 아무 반응도 없다. 뭔가 에러 표시라도 해줘야 뭘 찾기라도 하는데
정말 아무런 반응 없이 커서만 껌뻑 거린다.
전원을 다시 내렸다 올려도 마찬가지다.
Front의 Reset Hole도 몇번을 눌러 봤지만 반응이 없다.
이 새벽에 이일을 어찌 한단 말인가...
전화로 해서 대체 장비 좀 수배 해 달라고 연락 후 고민 고민... 방법이 없다.
마지막으로 전기적 쇼크를 의도적으로 주고자 스위치 ON 상태에서 전원 케이블을 뺏다 꽂았다.
IOS가 올라온다.
참나...
엔지니어지만 이런 경우는 설명도 힘들고 이해하기도 힘들다.
잠시간이었지만 이런 황당한 사건으로 스트레스를 받은건 사실이다.
아 요즘 들어 왜 이리 장애가 빈번한걸까....
저작자 표시
신고

지난번 전원 작업으로 인해 내렸다 올렸을때 속을 썩이던 방화벽...
그래도 오늘은 기특하게 잘 올라와 줬다...
기다림의 연속이었던 작업...
피곤하다...
저작자 표시
신고