2. This statement of direction sets forth Juniper
Networks’ current intention and is subject to
change at any time without notice. No
purchases are contingent upon Juniper
Networks delivering any feature or
functionality depicted in this presentation
Legal Statement
5. JUNIPER PORTFOLIO FOR HYBRID CLOUD
パブリッククラウド・IaaS
• vSRX/cSRX 仮想/コンテナセキュリティ
• vMX 仮想ルータ
• Contrail Networking SDN
• AppFormix スマートマネージメントプラットフォーム
For building public or XaaS clouds
PUBLIC CLOUD PORTFOLIO
オンプレミス・コロケーション・ホスティングデータセンタ
• SRX 次世代ファイアウォール/ルーティング・Security Director
• MX ルーティング
• QFX スイッチファブリック・Network Director
• Contrail Networking SDN
• AppFormix スマートマネージメントプラットフォーム
For virtual private cloud or virtual hosted infrastructure:
PRIVATE CLOUD PORTFOLIO
8. Unified Security
Wherever the Network Goes
シンプル & オートメーション
Point-and-Click GUI: Procure, Deploy, and Protect
統合セキュリティ
Portable Security: Defends Public Cloud Environment
フレキシブルプライス
BYOL & PAYG: Provides Agility for Changing Needs
9. Juniper vSRX on AWS Marketplace
Fastest Virtual Firewall Meets
Industry Leading Public Cloud
VPNやAdvanced Securityも含めた
オールインワン
統合管理と可視化
Powered by Security Director
柔軟でシンプルなライセンスモデル
60日間 または 30日間のフリートライアルライセンス
最速の仮想ファイアウォール
10G パフォーマンス in AWS
14. ユースケース1.ハイブリッドクラウド – セキュアコネクティビティ
Public
Access Subnet vSRX
インターネット
Client
Site C
Site AWeb ServerApp ServerWeb Server
App Server
App Server Web Server
Web ServerApp ServerWeb Server
Site B
SRX
VPC
Internet
Gateway
Security
Director
vSRX
- オンプレとパブリックともにSRXを利用してVPN接続
• VPC あたりの VPN接続数制限(10)を超える拠点と接続可能
• オンプレミスとおなじ操作感でVPN, policyの管理が可能
複数SRXを
一元管理
51. 4.vSRX設定
4-1. NATサンプル設定
ge-0/0/1からge-0/0/0の通信の送信元アドレスをインタフェースアドレスに変換。
1.vSRXのデータインタフェースに対してIPアドレスを設定
#set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.197/24
#set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.1/24
2.untrust security zoneの設定
#set security zone untrust host-inbound-traffic system-services https
#set security zone untrust host-inbound-traffic system-services ssh
#set security security-zone untrust interfaces ge-0/0/0.0
3.trust security zoneの設定
#set security zone trust host-inbound-traffic system-services https
#set security zone trust host-inbound-traffic system-services ssh
#set security zone trust host-inbound-traffic system-services ping
#set security security-zone trust interfaces ge-0/0/1.0
送受信を許可する
サービスを指定
送受信を許可する
サービスを指定
52. 4.vSRX設定
4-1. NATサンプル設定
4. セキュリティポリシーの設定 (all permit)
# set security policies from-zone trust to-zone untrust policy test match source-address any
# set security policies from-zone trust to-zone untrust policy test match destination-address any
# set security policies from-zone trust to-zone untrust policy test match application any
# set security policies from-zone trust to-zone untrust policy test then permit
5. NATの設定(sourse NAT)
# set security nat source rule-set SNAT_RuleSet from zone trust
# set security nat source rule-set SNAT_RuleSet to zone untrust
# set security nat source rule-set SNAT_RuleSet match source-address 0.0.0.0/0
# set security nat source rule-set SNAT_RuleSet then source-nat interface
# commit
53. 4.vSRX設定
4-2. IPsec VPNサンプル設定
ルートベースVPNとしてルーティングにマッチするトラフィックにVPNを適用。
対向のゲートウェイと
1.vSRXのデータインタフェースに対してIPアドレスを設定
#set interfaces ge-0/0/0 unit 0 family inet address 10.0.1.10/24
#set interfaces ge-0/0/1 unit 0 family inet address 10.0.2.10/24
#set interfaces st0 unit 1 family inet address 10.0.250.20/24(トンネルインタフェース設定)
2.untrust security zoneの設定
# set security zones security-zone untrust screen untrust-screen
# set security zone trust host-inbound-traffic system-services https
# set security zone trust host-inbound-traffic system-services ssh
# set security security-zone trust interfaces ge-0/0/0.0
# set security security-zone trust interfaces
送受信を許可する
サービスを指定
54. 4.vSRX設定
4-2. IPsec VPNサンプル設定
3. Trust security zoneの設定
# set security zone untrust host-inbound-traffic system-services https
# set security zone untrust host-inbound-traffic system-services ssh
# set security zone untrust host-inbound-traffic system-services ping
# set security security-zone untrust interfaces ge-0/0/1.0
4.IKEの設定 (セキュリティ属性定義、ポリシー、対向のアドレス等)
# set security ike proposal AWS_IKE_Proposal authentication-method pre-shared-keys
# set security ike proposal AWS_IKE_Proposal dh-group group2
# set security ike proposal AWS_IKE_Proposal authentication-algorithm sha-256
# set security ike proposal AWS_IKE_Proposal encryption-algorithm aes-256-cbc
# set security ike proposal AWS_IKE_Proposal lifetime-seconds 1800
# set security ike policy AWS-R mode aggressive
# set security ike policy AWS-R proposals AWS_IKE_Proposal
# set security ike policy AWS-R pre-shared-key ascii-text preshared-key
# set security ike gateway AWS-R ike-policy AWS-R
# set security ike gateway AWS-R address 203.0.113.10(対向アドレス)
# set security ike gateway AWS-R local-identity user-at-hostname "dest@example.net"
# set security ike gateway AWS-R remote-identity user-at-hostname "source@example.net"
# set security ike gateway AWS-R external-interface ge-0/0/0
送受信を許可する
サービスを指定
55. 4.vSRX設定
4-2. IPsec VPNサンプル設定
5. IPsecの設定 (セキュリティ属性定義、ポリシー、トンネルインタフェース指定等)
# set security ipsec proposal AWS_IPSEC protocol esp
# set security ipsec proposal AWS_IPSEC authentication-algorithm hmac-sha1-96
# set security ipsec proposal AWS_IPSEC encryption-algorithm aes-256-cbc
# set security ipsec policy AWS_IPSEC_POL proposals AWS_IPSEC
# set security ipsec vpn aws-aws bind-interface st0.1
# set security ipsec vpn aws-aws ike gateway AWS-R
# set security ipsec vpn aws-aws ike ipsec-policy AWS_IPSEC_POL
# set security ipsec vpn aws-aws establish-tunnels immediately
6. Routingの設定
# set routing-instances aws instance-type virtual-router
# set routing-instances aws interface ge-0/0/0.0
# set routing-instances aws interface ge-0/0/1.0
# set routing-instances aws interface st0.1
# set routing-instances aws routing-options static route 0.0.0.0/0 next-hop 10.0.1.1
# set routing-instances aws routing-options static route 2.2.0.0/24 next-hop st0.1 (対向の経路を指定)
# commit