Juniper SRX SSH/TELNET/Web サーバの設定

ファイアウォール(UTM)

作業環境

  • 型番:SRX100H2
  • バージョン:12.1X44-D45

SSH/TELNET サーバの有効化

SSH/TELNET で管理アクセスできるようにするためには以下の設定を行います。

  • set system services ssh
  • set system services telnet
[edit]
root@SRX# set system services ssh

[edit]
root@SRX# set system services telnet

デフォルトでは SSH/TELNET サーバともに有効化されています。

SSH バージョンの設定

デフォルトではバージョン 2 です。

  • set system services ssh protocol-version v1
  • set system services ssh protocol-version v2

root での SSH/TELNET ログインを拒否する

以下設定を行うと root でのSSH/TELNET ログインを拒否することができます。

  • set system services ssh root-login deny
[edit]
root# set system services ssh root-login deny

Web サーバの設定

Web の GUI へ管理アクセスできるようにするためには以下の設定を行います。

■ http アクセスを許可する場合の設定

  • set system services web-management http interface <IF名>
    • IF名 に http アクセスを受け付ける(論理)インターフェースを指定

■ https アクセスを許可する場合の設定

  • set system services web-management https system-generated-certificate
    • x.509 証明書を自動作成するための設定
  • set system services web-management https interface <IF名>
    • IF名 に http アクセスを受け付ける(論理)インターフェースを指定

例:

[edit]
root@SRX# set system services web-management http interface fe-0/0/7.0

[edit]
root@SRX# set system services web-management https system-generated-certificate

[edit]
root@SRX# set system services web-management https interface fe-0/0/7.0

ゾーンでの機器自体への各種プロトコルアクセス許可

管理アクセスで使用するインターフェースが所属するゾーンに対して、機器への各種プロトコルでのアクセスを許可する設定を行う必要があります。

■ SSH の許可

  • set security zones security-zone <ゾーン名> host-inbound-traffic system-services ssh

■ TELNET の許可

  • set security zones security-zone <ゾーン名> host-inbound-traffic system-services telnet

■ HTTP の許可

  • set security zones security-zone <ゾーン名> host-inbound-traffic system-services http

■ HTTPS の許可

  • set security zones security-zone <ゾーン名> host-inbound-traffic system-services https

例:

[edit]
root@SRX# set security zones security-zone trust host-inbound-traffic system-services ssh

[edit]
root@SRX# set security zones security-zone trust host-inbound-traffic system-services telnet

[edit]
root@SRX# set security zones security-zone trust host-inbound-traffic system-services http

[edit]
root@SRX# set security zones security-zone trust host-inbound-traffic system-services https

ゾーン内のインターフェースレベルですでに host-inbound-traffic 設定がされている場合は、インターフェースレベルの設定が優先されるため注意してください。

―――――――――――――

タイトルとURLをコピーしました