Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Começando com o ATP Appliance e o firewall da Série SRX

Estas são instruções básicas de configuração para começar a usar o gateway de serviços da Série SRX com o ATP Appliance (para aqueles menos familiarizados com o SRX). Consulte o restante do documento de integração para obter mais informações de configuração, como digitalização de e-mails, hosts infectados e incidentes de visualização.

Configure o firewall da Série SRX para começar

Configuração inicial

Para começar a usar o firewall da Série SRX:

  1. Carregue os padrões de fábrica.

    load factory-default

  2. Defina a senha raiz.

    set system root-authentication <password>

  3. Definir o nome do host.

    set system host-name <hostname>

  4. Confirmar a configuração. Uma vez comprometido, você deve ver o nome do host no prompt.

    commit

Configure interfaces e uma rota padrão

No firewall da Série SRX, configure interfaces e a rota padrão. (Para as seguintes instruções, estes são exemplos genéricos. Insira seus próprios endereços e interfaces):

  1. Digite os seguintes comandos para interfaces:

    set interfaces ge-0/0/2 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/4 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/5 unit 0 family inet address x.x.x.x/x

  2. Digite o seguinte para configurar a rota padrão:

    set routing-options static route 0.0.0.0/0 next-hop x.x.x.x

Configure zonas de segurança

O firewall da Série SRX é um firewall baseado em zona. Você deve atribuir cada interface a uma zona para passar tráfego por ela: Para configurar zonas de segurança, insira os seguintes comandos:

set security zones security-zone untrust interfaces ge-0/0/2.0

set security zones security-zone untrust interfaces ge-0/0/5.0

set security zones security-zone trust host-inbound-traffic system-services all

set security zones security-zone trust host-inbound-traffic protocols all

set security zones security-zone trust interfaces ge-0/0/4.0

Configure DNS

No firewall da Série SRX, configure a DNS usando os seguintes comandos:

set groups global system name-server x.x.x.x

set groups global system name-server x.x.x.x

Configure NTP

No firewall da Série SRX, configure o NTP usando os seguintes comandos:

set groups global system processes ntp enable

set groups global system ntp boot-server x.x.x.x

set groups global system ntp server x.x.x.x

No ATP Appliance: faça login na UI da Web e inscreva firewalls da Série SRX

Inscreva-se o firewall da Série SRX na UI web do ATP Appliance

A inscrição estabelece uma conexão segura entre o ATP Appliance e o firewall da Série SRX. Ele também executa tarefas básicas de configuração, como:

  • Baixa e instala licenças de autoridade de certificado (CAs) em seu firewall da Série SRX

  • Cria certificados locais e os inscreve no ATP Appliance

  • Estabelece uma conexão segura com o ATP Appliance

Aviso:

Se você estiver usando um certificado SSL personalizado com o ATP Appliance, antes de inscrever firewalls da Série SRX, você deve carregar o pacote ca contendo um certificado CA que valida o certificado ATP Appliance. Isso SÓ se aplica se você estiver usando um certificado SSL personalizado. Consulte o Guia do Operador ATP da Juniper para obter instruções. Pesquise o título "Certificados de gerenciamento". Assim que isso for feito, siga as instruções de inscrição.
Aviso:

Se você já tiver firewalls da Série SRX inscritos no ATP Appliance e alterar o certificado (do padrão para personalizado ou vice-versa), você deve re-inscrever todos os firewalls da Série SRX.
Aviso:

Considerações e requisitos do ambiente de rede

  • É necessário que seu mecanismo de roteamento (plano de controle) e o Mecanismo de encaminhamento de pacotes (plano de dados) possam se conectar ao Juniper ATP Appliance. (O mecanismo de encaminhamento de pacotes e o mecanismo de roteamento têm um desempenho independente, mas se comunicam constantemente por meio de um link interno de 100 Mbps. Esse acordo fornece um controle simplificado de encaminhamento e roteamento e a capacidade de executar redes em escala de Internet em altas velocidades. Consulte a documentação junos da Juniper Network para obter mais informações.)

  • Você não precisa abrir nenhuma porta no firewall da Série SRX para se comunicar com o ATP Appliance. No entanto, se você tem um dispositivo no meio, como um firewall, esse dispositivo deve ter a porta 443 aberta.

  • Você não pode usar interfaces DOP0 para se comunicar com o ATP Appliance. Você deve usar uma interface de receita separada.

  • Se você estiver usando endereços na mesma sub-rede para o gerenciamento do ATP Appliance e o gerenciamento da Série SRX, você deve usar uma instância de roteador virtual para separar as interfaces de gerenciamento e receita. Se os endereços do gerenciamento do ATP Appliance e do gerenciamento da Série SRX configurados por meio do FXP0 estiverem em sub-redes diferentes, você não precisa configurar uma instância de roteador virtual adicional. Observe que o tráfego deve ser roteado pela interface de receita configurada para o gerenciamento do ATP Appliance.

  • Se você estiver registrando o ATP Appliance através de um túnel VPN, ele deve ser um túnel nomeado. O ATP Appliance espera um endereço IP na interface. Portanto, você deve configurar um endereço IP na interface do túnel VPN antes de executar o script de URL OP para inscrever o firewall da Série SRX. Caso contrário, a inscrição falhará.

  • A integração da Série SRX com o ATP Appliance requer chaves de api para gerar o script de inscrição (url op). A UI do ATP Appliance só permite a geração de chaves de API para usuários locais. Portanto, se os usuários autenticarem o uso do raio e tentarem gerar um script de inscrição para registrar um firewall da Série SRX, ele falhará porque o usuário remoto não terá uma chave API. Como uma solução alternativa, você pode fazer login na UI do ATP Appliance usando credenciais locais (IP https://<ATP Appliance>/cyadmin/?local_login) e continuar com as instruções abaixo. Se sua política de rede não permitir usuários locais, não haverá solução alternativa para esse problema.

  • A tradução de endereços de rede (NAT) não é suportada entre o Juniper ATP Appliance e o firewall da Série SRX.

Para inscrever um firewall da Série SRX no ATP Appliance, faça o seguinte:

  1. A partir da UI web do ATP Appliance, você deve habilitar a chave de API para o usuário administrador. Isso é usado para inscrever o firewall da Série SRX. A partir da guia Config , navegue até o perfil do sistema > usuários. Selecione o usuário administrador para o ATP Appliance e habilite a caixa de verificação geração de novas chaves de API . Clique em Atualizar usuário.

  2. A partir da guia Config , navegue até > perfil do sistema > configurações do SRX e clique no botão URL de inscrição no lado superior direito da página. Uma tela com o comando de inscrição aparece.

  3. Copie todo o comando de inscrição em sua prancheta e clique em OK.

  4. Cole o comando no Junos OS CLI do firewall da Série SRX que você deseja se inscrever no ATP Appliance e pressionar Enter.

    Nota:

    (Opcional) Use o show services advanced-anti-malware status comando CLI para verificar se uma conexão é feita ao ATP Appliance a partir do firewall da Série SRX.

    Uma vez configurado, o firewall da Série SRX comunica-se com o ATP Appliance por meio de várias conexões persistentes estabelecidas em um canal seguro (TLS 1.2) e o firewall da Série SRX é autenticado usando certificados de cliente SSL.

Use o botão Delete na página de configurações do ATP Appliance SRX para remover o firewall da Série SRX atualmente inscrito no ATP Appliance. Para acessar o botão Excluir, clique na seta à esquerda do nome do dispositivo para expandir as informações do dispositivo.

Use o campo de pesquisa no topo da página para pesquisar dispositivos inscritos na lista por número de série.

No firewall da Série SRX: configure políticas de segurança

Configure a política anti-malware

No firewall da Série SRX, insira os seguintes comandos para criar e configurar a política anti-malware. (Observe que os comandos para SMTP e IMAP estão incluídos aqui.):

set services advanced-anti-malware policy aamw-policy http inspection-profile default

set services advanced-anti-malware policy aamw-policy http action permit

set services advanced-anti-malware policy aamw-policy http notification log

set services advanced-anti-malware policy aamw-policy smtp inspection-profile default

set services advanced-anti-malware policy aamw-policy smtp notification log

set services advanced-anti-malware policy aamw-policy imap inspection-profile default

set services advanced-anti-malware policy aamw-policy imap notification log

set services advanced-anti-malware policy aamw-policy fallback-options notification log

set services advanced-anti-malware policy aamw-policy default-notification log

Configure o proxy de encaminhamento SSL

O SSL Forward Proxy é necessário para coletar arquivos do tráfego HTTPS no plano de dados.

  1. No firewall da Série SRX, gere o certificado local.

    request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa

    request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net

  2. Carregue os perfis de CA raiz confiáveis.

    request security pki ca-certificate ca-profile-group load ca-group-name trusted-ca-* filename default

  3. Digite os seguintes comandos para configurar o proxy de encaminhamento SSL.

    set services ssl proxy profile ssl-inspect-profile-dut root-ca ssl-inspect-ca

    set services ssl proxy profile ssl-inspect-profile-dut actions log all

    set services ssl proxy profile ssl-inspect-profile-dut actions ignore-server-auth-failure

    set services ssl proxy profile ssl-inspect-profile-dut trusted-ca all

Opcionalmente, configure a interface de origem anti-malware

Se você estiver usando uma instância de roteamento, você deve configurar a interface de origem para a conexão anti-malware. Se você estiver usando uma instância de roteamento não padrão, você não precisa concluir esta etapa no firewall da Série SRX.

set services advanced-anti-malware connection source-interface ge-0/0/2

Configure um perfil de inteligência de segurança

O ATP Appliance e o SRX usam diferentes limiares de nível de ameaça. Consulte o gráfico de comparação de nível de ameaças da Série ATP Appliance e SRX para obter informações.

No firewall da Série SRX, insira os seguintes comandos para criar um perfil de inteligência de segurança no firewall da Série SRX.

set services security-intelligence profile secintel_profile category CC

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile secintel_profile rule secintel_rule then action block drop

set services security-intelligence profile secintel_profile rule secintel_rule then log

set services security-intelligence profile secintel_profile default-rule then action permit

set services security-intelligence profile secintel_profile default-rule then log

set services security-intelligence profile ih_profile category Infected-Hosts

set services security-intelligence profile ih_profile rule ih_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile ih_profile rule ih_rule then action block drop

set services security-intelligence profile ih_profile rule ih_rule then log

set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

set services security-intelligence policy secintel_policy CC secintel_profile

Configure uma política de segurança

No firewall da Série SRX, insira os seguintes comandos para criar uma política de segurança no firewall da Série SRX para os perfis de inspeção.

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

set security policies from-zone trust to-zone untrust policy 1 then permit application-services advanced-anti-malware-policy aamw-policy

set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

A configuração inicial está completa.

Documentação relacionada