안녕하세요.
오늘은 [2024][Juniper SRX #11] address book and address set에 대해서 알아보겠습니다.
Juniper SRX방화벽은 정책을 만들 때 곧바로 IP주소를 입력할 수 없고 Address book를 만들어서 IP주소를 정의해야 합니다.
그래야지 방화벽 정책에서 address book 이름을 불러올 수 있습니다.
자세한 내용은 Juniper 공식 address book이랑 address set에 대한 내용은 확인 부탁드립니다.
Address Books and Address Sets | Junos OS | Juniper Networks
In this example, you create source and destination address books, SOUR-ADDR and DES-ADDR, and add source and destination addresses to it. You create source and destination address sets, as1 and as2, and group source and destination addresses to them. Then
www.juniper.net
Address-book은 크게 두 가지로 나누어집니다.
1. global(default) - 모든 zone에서 address book를 불러올 수 있습니다
2. custorm(Must be binded to a zone) - address-book이 특정 Zone에서만 사용할 수 있습니다.
address-book를 정의할 때는 아래와 같이 5가지 사용 가능 합니다.
1. Prefix - EX) 192.168.10.0/24
2. address-range - EX) 192.168.11.10 to 192.168.11.199
3. wildcard_address - EX) 10.0.10.0/255.7.255.0 -
4. DNS_name - EX) cisco.com
5. Any - 모든 트래픽
그럼 Juniper SRX에서 address-book를 설정해 보겠습니다.
1. Prefix를 이용하는 방법
global - global address book 정의
N-192.168.1.0/24 - address book이름
192.168.1.0/24 - Prefix Target IP 정의
| set security address-book global address N-192.168.1.0/24 192.168.1.0/24 |
2. address-range 이용하는 방법
global - global address book 정의
H-192.168.1.0-to-10 - adress book 이름 정의
192.168.1.0 to 192.168.1.10 - 실제 Target IP정의
| set security address-book global address H-192.168.1.0-to-10 range-address 192.168.1.0 to 192.168.1.10 |
3. Wildcard_address 이용하는 방법
global - global address book 정의
wildcard - adress book 이름 정의
192.168.0.11/255.255.0.255 - 192.168.*. 11을 의미 - 즉 192.168.1.11 , 192.168.3.11 - 3번째 octoc은 아무 숫자나 허
| set security address-book global address wildcard wildcard-address 192.168.0.11/255.255.0.255 |
4. dns_name를 이용하는 방법
global - global address book 정의
dns_filter - adress book 이름 정의
cisco.com - dns name이 cisco.com를 정의함.
| set security address-book global address dns_filter dns-name cisco.com |
이번에는 address-set에 대해서 정의해 보겠습니다.
만약에 위에 모든 정책을 destination IP에 정의를 한다고 하면 똑같은 설정을 4번을 해야 합니다.
방화벽 정책 설정은 추후 강일에서 진행하겠습니다. 아래 설정값은 이해하는 용도로 사용됩니다.
| set security policies from-zone trust to-zone untrust policy p1 match destination-address N-192.168.1.0/24 set security policies from-zone trust to-zone untrust policy p1 match destination-address H-192.168.1.0-to-10 set security policies from-zone trust to-zone untrust policy p1 match destination-address wildcard set security policies from-zone trust to-zone untrust policy p1 match destination-address dns_filter |
방화벽 정책 숫자가 적고 source address book과 destination address book이 조금 이면 이렇게 설정해도 상관없지만, adress book수가 많으면, 추후에 정책 설정값을 보거나 show 커맨드로 사용해서 특정값을 출력할 때도 너무 많은 정도들이 올라와서 불편합니다.
address-set를 하나 만들고 여기에 address-book를 포함하면 위에 설정값이 한 줄로 줄어듭니다.
global - global address book 정의
destination-group - adress-set 이름 정의
address N-192.168.1.0/24, H-192.168.1.0-to-10, wildcard 그리고 dns_filter를 address-set destination-group에 포함시킵니다.
| set security address-book global address-set destination-group address N-192.168.1.0/24 set security address-book global address-set destination-group address H-192.168.1.0-to-10 set security address-book global address-set destination-group address wildcard set security address-book global address-set destination-group address dns_filter |
그리고 방화벽 정책에서 destination를 정의할 때 한 줄로 사용 가능 합니다.
destination-address에서 destination-group를 불러오면 위에 정의한 address-book 4개를 정의할 수 있습니다.
| set security policies from-zone trust to-zone untrust policy p1 match destination-address destination-group |
여기까지 Global Address-book에 대해서 설명했습니다. Global address-book은 아무 zone에서 address-book를 불러올 수 있습니다.
trust_zone - global address book이 아닌 name를 정의합니다.
N-10.1.1.0/8 - address book이름 정의
10.1.1.0/8 - 실제 IP대역 target ip address
그리고 trust_zone를 trust zone에게 attach 하면 이 address-book은 turst zone만 사용 가능 하게 됩니다.
| set security address-book trust_zone address N-10.1.1.0/8 10.1.1.0/8 set security address-book trust_zone attach zone trust |
지금까지 설정한 address-book 출력하기
주의 사항: root> 여기에서는 show security address-book 커맨드가 없기 때문에 확인 불가능 합니다.
꼭 configuration mode에서 확인하시길 바랍니다.
| root# show security address-book | display set | no-more set security address-book global address N-192.168.1.0/24 192.168.1.0/24 set security address-book global address H-192.168.1.0-to-10 range-address 192.168.1.0 to 192.168.1.10 set security address-book global address wildcard wildcard-address 192.168.0.11/255.255.0.255 set security address-book global address dns_filter dns-name cisco.com set security address-book global address-set destination-group address N-192.168.1.0/24 set security address-book global address-set destination-group address H-192.168.1.0-to-10 set security address-book global address-set destination-group address wildcard set security address-book global address-set destination-group address dns_filter set security address-book trust_zone address N-10.1.1.0/8 10.1.1.0/8 |
또는
| root> show configuration security address-book | display set set security address-book global address N-192.168.1.0/24 192.168.1.0/24 set security address-book global address H-192.168.1.0-to-10 range-address 192.168.1.0 to 192.168.1.10 set security address-book global address wildcard wildcard-address 192.168.0.11/255.255.0.255 set security address-book global address dns_filter dns-name cisco.com set security address-book global address-set destination-group address N-192.168.1.0/24 set security address-book global address-set destination-group address H-192.168.1.0-to-10 set security address-book global address-set destination-group address wildcard set security address-book global address-set destination-group address dns_filter root> |
지금까지 [2024][Juniper SRX #11] address book and address set 글을 읽어주셔서 감사합니다.