Support / Help-Center

Migrationprojekt von Juniper SRX auf Fortigate Firewall Lösung

 

Im Zusammenhang mit der Migration eines Rechenzentrums war ich für die Firewall- Konfiguration verantwortlich. Die Herausforderung war, alle Adressobjekte, Firewall Policys usw. von einer Juniper SRX 650 auf eine neue Fortigate basierte Umgebung zu migrieren.

Ich habe den FortiConverter ausprobiert, der mir aber nicht behagte da das Konfigurationsfile von der Juniper SRX nicht korrekt übernommen wurde. Daher habe ich mich entschieden, die Migration mittels eigenen Scripten per CLI auszuführen. Ich habe versucht, die bestehende Konfiguration möglichst 1 zu 1 zu übernehmen. Alte Adressobjekte die nicht mehr benötigt wurden konnte ich bei der Migration gleich entfernen.

 

Von der Juniper habe ich ein "config dumb" gezogen mit dem Befehl "show configuration | display set |no-more". Mithilfe des Config-Files, habe ich die ganze Firewall übernommen.

 

Hinweis: Für das Highlighting des Textes habe ich den Editor "Atom" (https://atom.io) gebraucht, auf welchem ich ein Package installiert habe für die Junos Syntax. Der Visual Studio Code hat auch ein gutes Highlighting und könnte hier auch verwendet werden.

 

Beispiel Highlighting im Atom:

 

 

Vorgehen

 

Schritt 1:

VLAN zuweisen und übernehmen. Anschliessend VLANs an die diversen Zonen zuweisen, die wir intern brauchen.

 

Schritt 2:

Applikationen/Services übernehmen und anschliessend in Applikationsgruppen unterteilen. Diese werden alle mit der CLI erstellt, welche ich als schneller empfinde.

 

Schritt 3:

Adressobjekte übernehmen (nur die CLI verwenden, weil es schneller geht). Adressobjekte je nach Zone mit einer vordefinierten Farbe kennzeichnen, um es grafisch zu vereinfachen. Interface "any" auf den Adressobjekten selber zuweisen. Dies wird bei uns direkt über die Zonen gemacht, welche die diversen VLANs beinhalten.

 

Schritt 4:

NAT-Objekte bei der Juniper Firewall anders verlinken, dann können sie anschliessend an die Adressobjekte angebunden werden. Bei der Fortigate müssen diese hingegen über das NAT-Objekt erstellt werden und anschliessend direkt in die Policy eingebunden werden.

 

Schritt 5:

Adressgruppen erstellen, um die erstellten Adressobjekte in Containern zusammenzufassen. Mithilfe dieser Adressgruppen kann man z.B. eine Gruppe "Exchange" erstellen und alle Exchange Server in diese Gruppe verlinken. Das Arbeiten mit Adressgruppen vereinfacht Umstellungen enorm. Beim Hinzufügen oder Löschen eines Adressobjekts aus einer Adressgruppe, muss keine weitere Einstellung vorgenommen werden, da diese auf den Firewall Policys verlinkt sind.

 

Schritt 6:

Konfiguration der VPN-Tunnels. Die VPN Konfiguration mit der Konfiguration der anderen Firewalls abgleichen. Da wir bei den Kunden fast nur Fortigate im Einsatz haben, können wir dies sehr einfach vergleichen und übernehmen. Grundsätzlich könnte man dies auch über die Juniper Firewall vergleichen. Durch den Vergleich auf den Fortigates kann aber sichergestellt werden, dass die gegenüberliegende Stelle die Konfiguration zu 100% korrekt hinterlegt hat.

 

Schritt 7:

Letzter Schritt: Policys erstellen. Da die Adressobjekte teilweise umgeschrieben werden, empfinden wir es als leichter, diese Rules in der GUI zu erstellen. An diesem Punkt sind Konzentration und Fleissarbeit gefragt.

 

Nach jeder Fertigstellung einer Policy ein zweites Mal nachprüfen, um Flüchtigkeitsfehler zu vermeiden.

 

 

Juniper Policy im GUI

 

 

Fortigate Policy im  GUI

 

 

Empfohlene Reihenfolge:

 

  • VLAN zuweisen und Zonen definieren
  • Applikationen/Services übernehmen
  • Adressobjekte erstellen
  • NAT-Objekte erstellen
  • Adressgruppen erstellen
  • VPN Tunnels konfigurieren
  • Policys erstellen

 

 

 

Vorteile

Nachteile

Juniper

-        Commit Funktion

-        Junos Syntax

-        GUI reagiert langsam

Fortigate

-        GUI ist sehr benutzerfreundlich

-        Keine commit Funktion

-        Es können schneller Fehler passieren

-        CLI Syntax

 

Fazit Juval Hess

Die Fortigate verfügt über sein sehr ansprechendes, schnelles Webinterface mit zahlreichen Funktionen. Auch der VPN Client ist modern und beinhaltet interessante Sicherheitsfunktionen im Vergleich zu einer Juniper. Was ich bei Fortigate vermisse ist, dass sie keine "commit Funktion" als Enterprise Firewall verfügt. Demgegenüber wird die Konfiguration auf der Fortigate innerhalb von Sekunden übernommen, was das Testen und Ändern von Policys beschleunigt. Jedoch besteht die Gefahr, dass der Firewall Administrator unabsichtlich durch einen falschen Mausklick eine Konfiguration negativ verändert, ohne dies vorher prüfen & bestätigen zu können. Wir hatten auch noch den Fall erlebt, dass eine Rule korrekt konfiguriert war, trotzdem aber nicht funktionierte. Durch das Deaktivieren und das erneute Aktivieren der Rule, wurde diese übernommen. Für mich als Administrator ist dies ein sehr mühsamer Workaround und kann zu langer Fehlersuche führen.

 

Juniper wiederum ist sehr praktisch und man kann über die CLI sehr simpel konfigurieren. Zudem kann man vor dem commit nochmals Änderungen überprüfen mit dem Befehl "show | compare". Falls beim Überprüfen der Rules noch ein Fehler gefunden wurde, kann man die Konfiguration verwerfen. Einer der wichtigsten Befehle aus meiner Sicht ist der "commit confirmed". Mithilfe dieses Commands, wird die neue Konfiguration übernommen und automatisch nach 10 Minuten zurückgespielt, ausser man bestätigt diese während den 10 Minuten.

Beide Firewalls haben Vor- und Nachteile. Die Entscheidung resp. Auswahl erfolgt schlussendlich individuell und nach persönlichen Präferenzen.

 

Juval Hess, 26.09.2018

Der direkte Draht zu uns

Support Hotline +41 31 537 28 05

MO - FR 08 - 12 UHR | 13 - 17 UHR

Fernwartung

Mittels Fernwartung können wir schnell und unkompliziert auf Ihren Computer zugreifen und diesen aus der Ferne steuern.

Klicken Sie auf diesen Link.

Geben Sie Ihren Auftrag schriftlich ein

Nichts einfacher als das. Lösen Sie auf unserem eigens dafür eingericheten Tool ein Ticket und senden uns Ihr Anliegen auf dem schriftlichen Weg.

Folgende Abteilungen stehen zur Verfügung: Support, Accounting, Sales und Mailfilter

Klicken Sie Ein Ticket lösen, um auf diese Plattform zu gelangen.

IT-onBase AG | Moosstrasse 8a | 3322 Schönbühl | +41 31 537 28 00 |

Haben wir Sie neugierig gemacht?