SRX clusters in Juniper Security Director

kennislevel 1 kennislevel 2 kennislevel 2 Technisch niveau Waddinxveen, 28 augustus 2016 Waddinxveen, 28 augustus 2017 Security Security

Security Director is de applicatie, die binnen Juniper Space geladen kan worden en waarmee SRX firewalls beheerd kunnen worden.

In dit artikel uitleg wat de handigste manier is om firewalls en clusters toe te voegen aan Security Director.

Hoe ga je te werk?

Wanneer je een SRX firewall aan Security Director wilt toevoegen, dan wordt het aangeraden om gebruik te maken van de fxp0 interface. Dit zijn specifieke interfaces voor out-of-band beheer van de losse nodes. Afhankelijk van het model, zijn dit écht aparte management interfaces, of een van de normale interfaces. In deze link is terug te vinden welke poorten dat zijn.

Voor de configuratie van het cluster is het van belang dat de communicatie van de firewalls naar de Space server en de log-collector worden geforceerd over het netwerk van de fxp0 interface. Er zullen speciale aanpassingen in de configuratie nodig zijn om te voorkomen dat de actieve cluster-node het verkeer via de normale interface naar de Space server stuurt.

Stel even de volgende netwerksituatie voor zoals weergegeven in het diagram:
SRX clusters in Juniper Security Director Hieronder volgen enkele fragmenten van de configuratie: groups { node0 { system { host-name FWNODE-0;
backup-router 192.168.200.1 destination [ 192.168.1.50/32 192.168.1.51/32 ];
services { syslog { host 192.168.1.51 { source-address 192.168.200.10; } } }
}
security { log { source-address 192.168.200.10; } }
interfaces { fxp0 { unit 0 { family inet { address 192.168.200.10/24 } } } }
}
node1 { system { host-name FWNODE-1;
backup-router 192.168.200.1 destination [ 192.168.1.50/32 192.168.1.51/32 ];
services { syslog { host 192.168.1.51 { source-address 192.168.200.11; } } }
}
security { log { source-address 192.168.200.11; } }
interfaces { fxp0 { unit 0 { family inet { address 192.168.200.11/24 } } } }
}
}
apply-groups ${node};
security { log { mode stream;
format sd-syslog;
stream LOGCOLLECTOR { severity info;
format sd-syslog;
host { 192.168.1.51; port 514; }
}
}
}
routing-options { static { route 0.0.0.0/0 next-hop 194.194.194.1;
route 192.168.0.0/16 next-hop 192.168.0.254;
route 192.168.1.50/32 next-hop 192.168.200.1;
route 192.168.1.51/32 next-hop 192.168.200.1;
}
}
De twee laatste statische routes, in combinatie met de backup-router instelling bij de groups, zorgt ervoor dat het beheerverkeer via het management VLAN bij de Space server en Log Collector komt. Verder is te zien dat de syslog en security logging naar de log-collector, ook via die route verloopt.

Met deze configuratie in het cluster, kan vervolgens binnen Security Director het cluster worden toegevoegd. Ga hiervoor naar Devices / Device Discovery. Maak een discovery-profile aan en kies bij target-type een IP range. Geef in de range als start-ip het fxp0 adres van de node 0 firewall (192.168.200.10 in dit voorbeeld) en als end-ip het adres van de node 1 (192.168.200.11). Vul aan met de juiste login gegevens voor ssh toegang naar het cluster, en start de job. Als het goed is, zal het cluster worden gedetecteerd en worden toegevoegd aan Security Directory.

Bij Devices staat het cluster dat verder opengeklapt kan worden, zodat beide nodes te zien zijn. Selecteer het cluster en met de rechtermuisknop kan er voor import worden gekozen. Security director zal dan de security policy van het cluster importeren.

Wilt u hulp van een Juniper Networks expert?

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98