Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

安装和配置 AWS vCore AMI

Juniper ATP Appliance vCore for AWS 需要同时需要瞻博网络 ATP 设备和 AWS 许可帐户。安装和配置过程使用 Amazon AWS 管理控制台(第 1 部分)以及瞻博网络 ATP 设备 vCore Central Manager Web UI 和 CLI(第 2 部分)。

注意:

购买 vCore AMI 许可证后,使用 AWS 管理控制台配置并启动 vCore AMI,从而与您的 AWS 客户账户共享 vCore AMI。有关更多信息,请参阅适用于 AWS 的瞻博网络 ATP 设备 vCore 快速入门指南。

下面提供了常规的 AWS AMI 配置工作流;请务必参阅 AWS 管理控制台操作指南,了解更详细的控制台使用信息。

第 1 部分 - Amazon AWS 管理控制台 vCore AMI 配置

  1. 在 Amazon AWS 管理控制台中登录您的 AWS 数据库账户。
  2. 从 AWS 管理控制台控制面板中,选择 EC2 服务。
  3. 在 EC2 服务中,单击 AWS 控制台左侧菜单中的 IMAGES>AMI 选项。同时单击下拉菜单,将映像所有权类型从“归我所有”更改为“私有映像”。
  4. 选择要安装的瞻博网络 ATP 设备 AMI 映像,方法是单击表中的单选按钮。
  5. 从区域下拉菜单中,选择要为其配置 AMI 的区域。在我们的示例中,选择了瞻博网络 ATP 设备“rsa-demo-cm”AMI。(瞻博网络 ATP 设备 AMI 将在您启动 AWS Core 之前与您共享。
  6. 单击“启动”开始在 EC2 中为您的企业配置此瞻博网络 ATP 设备 vCore AMI 实例。
  7. 从“选择实例类型”页面中,选择 AMI 的实例类型。在我们的示例中,我们选择了“c4 large”。单击下一步:配置实例。
  8. 在“配置实例详细信息”页面中,从网络下拉菜单中选择现有的客户定义的虚拟私有云 (VPC);在我们的示例中,我们选择了 rsa-demo-1。

    要创建新的 VPC,请单击创建新 VPC 链接,然后按照分步过程操作。

  9. 在子网字段中定义 VPC 子网;在我们的示例中,我们使用了 AWS 10.2.0.0/16。

    要创建新子网,请单击创建新子网链接,然后按照分步过程操作。

  10. 确认子网我们使用自动分配的公共 IP,如上例所示。这允许从互联网访问瞻博网络 ATP 设备 vCore。
  11. 单击以启用终止保护以防止意外终止。
    注意:

    每个 AMI 实例使用一个私有 IP 和一个公有 IP。如果计划安装一个具有多个辅助核心的 vCore + 中央管理器,则必须分配公共 IP 地址。请注意,辅助核心不需要公共 IP,因为它不包含 Web UI。

    另外:一些企业使用 VPN 将其 AWS VPC 连接到私有网络。在这种情况下,无需为子网分配公共 IP,因为可以通过 VPN 配置互联网访问。
  12. 单击下一步:添加存储。
    注意:

    单击“加密”以加密数据卷。
  13. 瞻博网络 ATP 设备已在核心中提供 1 TB 的存储。由于 AWS 存储卷最大大小的限制,无需在此页面上进行进一步配置;不要向 vCore 添加额外的存储。单击下一步。
  14. 在“标签实例”页面,点击创建标签,然后输入标签名称和描述。单击下一步:配置安全性以继续。
  15. 安全组本质上是 AWS 中的防火墙。大多数客户已有预先存在的防火墙,因此请选择选择现有安全组或创建新安全组。请确保安全组中存在允许 AWS Core 和 AWS 辅助核心之间进行通信的规则。
  16. 如果创建新安全组,请分别在安全组名称字段和描述字段中输入名称和描述。
  17. 输入端口名称;瞻博网络 ATP 设备 vCore 仅允许端口 22、80 和 443。单击下一步。
    注意:

    您可以配置 SSH 密钥,但瞻博网络 ATP 设备 vCore 已包含密码保护。要添加额外保护,请先添加密钥对,然后使用瞻博网络 ATP 设备密码进行仅 CLI 登录。AWS 要求您设置密钥对。您将无法使用仅限 pem 的登录。
  18. 要配置 SSH 密钥,请选择现有密钥对或创建新的密钥对:
  19. 如果选择现有安全组,请选择,然后从列表中选择并单击下一步。

    “查看实例启动”页面显示:

  20. 在“查看实例启动”页面中,查看实例启动详细信息,然后单击编辑实例进行更改,或单击启动进行实例化。

    将显示“启动状态”窗口;

第 2 部分 - 运行瞻博网络 ATP 设备 vCore AMI 实例

接下来,您将从 AWS 管理控制台初始化瞻博网络 ATP 设备 vCore AMI 实例,然后使用命令在 show ip 瞻博网络 ATP 设备中央管理器 CLI 中验证 AMI。

  1. 打开 AWS 管理控制台实例页面以查看启动的 AMI 实例状态。当启动的实例完成初始化时,它将显示一个绿色图标以指示“正在运行”状态。
  2. 选择启动的实例,然后打开实例表底部的面板以查看实例详细信息。
  3. 复制 vCore CLI 配置的实例 ID 和实例类型“c4-large2.”。
    注意:

    请务必注意,私有 IP 地址是 DHCP 设置,它将在 AWS 中保持静态,在正常操作期间不应更改。

    另请注意,您无法更改 AMI 主机名,但您可以在必要时更改 DNS。

    关于 DNS:由于 AWS vCore 不在企业中,因此威胁目标上的反向 DNS 不会解析为预期的目标主机名。当通过 VPN 从公司网络连接到 VPC 时,这很少令人困惑。通常,内部 DNS 服务器不会在企业外部公开,因此瞻博网络 ATP 设备无法将 AWS vCore 配置为访问内部 DNS 服务器。如果内部 DNS 服务器使用面向外部的 IP 地址,并且您作为管理员愿意允许连接到该地址,这是一个合理的解决方案。请注意,vCore 使用的 DNS 服务器不会包含瞻博网络 ATP 设备流量收集器所在网络的 DNS 信息。这是典型的分布式部署,其中流量收集器和核心/CM 不在同一企业网络中。
  4. 复制公有 IP 地址以通过 SSH/Putty 访问 vCore AWS 实例 CLI:
  5. 在瞻博网络 ATP 设备 CLI 提示符下,键入 server 以进入 CLI 服务器模式,然后从服务器模式运行 CLI 命令 show ip 以显示专用和公共 IP,如下所示。这些配置应与 AWS 配置匹配。
    注意:

    有关特定于 AWS 的 CLI 命令以及 CLI 模式和命令用法的更多信息,请参阅 瞻博网络 ATP 设备 CLI 命令参考
    注意:

    尚不支持混合云/专用网络部署。目前,所有瞻博网络 ATP 设备核心组件都必须位于 AWS 上。这意味着您无法在 AWS 上安装 vCore,在私有企业网络上安装辅助核心(除非私有企业网络使用 VPN 连接到 AWS Core 所在的 VPC)。
  6. 启动 AWS Core 后,AMI vCore 实例将像常规设备一样启动,vCore 启动后,下一步是在 vCore CLI 上运行 CLI 设置向导,就像常规虚拟核心一样。有关运行向导以配置虚拟核心的说明,请参阅瞻博网络 ATP 设备核心/中央管理器快速入门指南。快速入门指南中还提供了有关安装其他核心、群集核心、辅助核心或 OVA 核心的信息。
    注意:

    首次启动配置了两个磁盘的虚拟核心(AMI 或 OVA)时,设备需要时间来设置要使用的第二个磁盘。在此过程中,系统尚未准备好使用;整个过程最多可能需要 10 分钟。首次启动后等待 10 分钟,然后再登录系统开始配置。
  7. 要为此 AWS vCore 创建辅助核心,请返回到 AWS 管理控制台并启动更多 AMI 实例,然后通过 SSH 登录到其 CLI,并将这些 vCore Central Manager IP 地址指向主 vCore CM。《瞻博网络 ATP 设备核心/中央管理器快速入门指南》中关于群集部署的部分介绍了此过程。
  8. 有关为 AWS vCore 部署安装和配置瞻博网络 ATP 设备流量收集器的信息,请参阅瞻博网络 ATP 设备流量收集器快速入门指南。
    注意:

    验证没有防火墙规则阻止到 AWS Core 的出站连接。但请注意,出站 CnC 检测流量将被阻止离开 AWS 检测虚拟机。
  9. 从瞻博网络 ATP 设备中央管理器 Web UI 查看 AWS 配置;有关访问和导航 CM Web UI 的信息,请参阅本指南中的访问瞻博网络 ATP 设备中央管理器 Web UI 部分。

    在中央管理器配置>黄金映像虚拟机页面上,请注意 32 位映像可用于 AWS;见下图供参考。

相关文档