事業者が設定するコンフィグレーションの説明¶
ここでは、ファイアウォール(vSRX) メニュー提供のために事業者が設定する各種コンフィグレーションとその内容を説明します。 詳細情報の制約事項に記載の通り、サービス提供に必要となるものであるため、改ざんや消去した場合サービスを停止する可能性がありますのでご留意ください。
| 動作確認バージョン: | vSRX Version22.4R1 |
|---|
<ファイアウォール(vSRX)作成時に事業者が設定したコンフィグレーション> ※その他は製品の初期コンフィグレーションです。
set system login user provider-admin uid 2000
set system login user provider-admin class ******
set system login user provider-admin authentication encrypted-password "***********"
set system login user provider-ctrl uid 2001
set system login user provider-ctrl class ******
set system login user provider-ctrl authentication encrypted-password "***********"
set system login user provider-ctrl-ro uid 2002
set system login user provider-ctrl-ro class ******
set system login user provider-ctrl-ro authentication encrypted-password "***********"
set system login user provider-ope uid 2003
set system login user provider-ope class ******
set system login user provider-ope authentication encrypted-password "***********"
set system login user provider-ope-ctrl uid 2004
set system login user provider-ope-ctrl class ******
set system login user provider-ope-ctrl authentication encrypted-password "***********"
set system login user provider-ope-ro uid 2005
set system login user provider-ope-ro class ******
set system login user provider-ope-ro authentication encrypted-password "***********"
set system services ssh
set system services rest http port 3000
set system services rest control connection-limit 100
set system services web-management http interface fxp0.0
set interfaces ge-0/0/* unit 0 family inet address ***.***.***.***/**
set interfaces ge-0/0/X disable
set interfaces fxp0 unit 0 family inet address 100.***.***.***/24
set snmp community ************ authorization read-only
set routing-options static route 100.***.0.0/16 next-hop 100.***.***.1
set routing-options static route 0.0.0.0/0 next-hop ***.***.***.***
set security flow power-mode-disable
以下にて、設定内容について説明します。
<事業者が設定しており、削除を禁止しているコンフィグレーション一覧>
| コマンド | 詳細情報制約事項掲載箇所 | 掲載内容 |
| set system login user provider- * | アカウント関連 | 名称が「provider-」で始まるアカウントは事業者用のアカウントのため、お客さまにて編集、パスワードリセット、削除等を実施しないでください。前述の行為が確認された場合、当社にてサービス停止等の対応を行います。 |
| set system services ssh | 管理通信関連 | 事業者が必要だと判断した場合、トラブルシューティング等のためログインして調査を実施 |
| set system services rest * | 管理通信関連 | カスタマーポータルからの、ファイアウォール(Juniper vSRX)の作成、情報参照、編集、削除、Action操作 |
| set system services web-management http interface fxp0.0 | 管理通信関連 | 事業者が必要だと判断した場合、トラブルシューティング等のためログインして調査を実施 |
| set interfaces fxp0 unit 0 family inet address ** | 管理通信関連 | 上記通信を実現するためのStatic Route、fxp0へのIPアドレス付与 |
| set routing-options static route 100.***.0.0/16 next-hop 100.***.***.1 | 管理通信関連 | 上記通信を実現するためのStatic Route、fxp0へのIPアドレス付与 |
| set snmp community ******** authorization read-only | 管理通信関連 | Monitoringサービス提供のためのsnmpによるメトリクス取得 |
| set interfaces ge-0/0/X disable | インターフェイス関連 | ロジカルネットワークに接続されていないインターフェイスは無効化されております。無効化の解除を実施しないでください。 |
<事業者が設定しているが、お客さまの設計に合わせて削除可能なコンフィグレーション一覧>
| コンフィグレーション | 詳細情報制約事項掲載箇所 | 掲載内容 |
| set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh | ファイアウォール(vSRX) の作成 | 作成時インターフェイス(ge-0/0/0.0)はTrustゾーンに設定されております。作成後はお客さまの設計に合わせてJuniper vSRXポータル/API/CLI経由設定を変更ください。 |
| set interfaces ge-0/0/* unit 0 family inet address ..***.***/** | ファイアウォール(vSRX) の作成 | ge-0/0/0.*のIPアドレスは作成時にのみ設定を行います。 |
| set routing-options static route 0.0.0.0/0 next-hop *.*.***.*** | ファイアウォール(vSRX) の作成 | デフォルトゲートウェイは作成時にのみ設定を行います。デフォルトゲートウェイの変更/削除はJuniper vSRXのポータル/API/CLIにて実施してください。 |
| set system syslog file messages match "!(VCPU Scales(292) require a license|CHASSISD_VCPU_SCALE_LICENSE_ERROR)" | ファイアウォール(vSRX) の作成 | (vSRX22.4 R1のみ)ライセンスの仕様で出力される不要なログをフィルタリングします。 |
| set security flow power-mode-disable | - | (vSRX22.4 R1のみ)過去バージョンと動作を合わせるため、当該設定を追加しています。本設定を削除すると、一部構成でIPSecが正常に動作しないことを確認しております。 |
<お客さまにてAPIを使えるようにしている場合に必要な事業者コンフィグレーション一覧>
| コマンド | チュートリアル制約事項掲載箇所 | 掲載内容 |
| set system services rest http addresses "IF fxp0.0のIPアドレス" | vSRXの基本機能 - vSRXのAPI有効化 | インターフェイス fxp0.0のIPアドレスの追加設定は、弊社コントローラからお客さまのvSRXへのAPIによるログイン監視に必要な設定となります。本設定がない場合、ログインステータスが「MONITORING UNAVAILABLE」となり、一部の変更機能がSDPFのカスタマーポータルから実行できなくなりますのでご留意ください。インターフェイス fxp0.0のIPアドレスは、show interfaces fxp0.0 terse を実行して得られる100.xx.xx.xxのIPアドレスを記載ください。 |
注釈
- その他作成時に存在する製品の初期コンフィグレーションについては、お客さまの設計に合わせて変更・削除可能です。