在此页面上

将 SRX 系列防火墙配置为开始
在 ATP 设备上：登录到 Web UI 并注册 SRX 系列防火墙
在 SRX 系列防火墙上：配置安全策略

ATP 设备和 SRX 系列防火墙入门

这些是开始将 SRX 系列服务网关与 ATP 设备配合使用的基本设置说明（适用于不太熟悉 SRX 的用户）。有关电子邮件扫描、受感染主机和查看事件等更多配置信息，请参阅集成文档的其余部分。

将 SRX 系列防火墙配置为开始

初始配置
配置接口和默认路由
配置安全区域
配置 DNS
配置 NTP

初始配置

要开始使用 SRX 系列防火墙：

加载出厂默认值。

load factory-default
设置 root 密码。

set system root-authentication <password>
设置主机名。

set system host-name <hostname>
提交配置。提交后，您应该会在提示中看到主机名。

commit

配置接口和默认路由

在 SRX 系列防火墙上，配置接口和默认路由。（对于以下说明，这些是通用示例。请输入您自己的地址和接口）：

为接口输入以下命令：

set interfaces ge-0/0/2 unit 0 family inet address x.x.x.x/x

set interfaces ge-0/0/4 unit 0 family inet address x.x.x.x/x

set interfaces ge-0/0/5 unit 0 family inet address x.x.x.x/x
输入以下内容以配置默认路由：

set routing-options static route 0.0.0.0/0 next-hop x.x.x.x

配置安全区域

SRX 系列防火墙是基于区域的防火墙。您必须将每个接口分配给一个区域，以便通过该区域传递流量：要配置安全区域，请输入以下命令：

set security zones security-zone untrust interfaces ge-0/0/2.0

set security zones security-zone untrust interfaces ge-0/0/5.0

set security zones security-zone trust host-inbound-traffic system-services all

set security zones security-zone trust host-inbound-traffic protocols all

set security zones security-zone trust interfaces ge-0/0/4.0

配置 DNS

在 SRX 系列防火墙上，使用以下命令配置 DNS：

set groups global system name-server x.x.x.x

配置 NTP

在 SRX 系列防火墙上，使用以下命令配置 NTP：

set groups global system processes ntp enable

set groups global system ntp boot-server x.x.x.x

set groups global system ntp server x.x.x.x

在 ATP 设备上：登录到 Web UI 并注册 SRX 系列防火墙

将 SRX 系列防火墙注册到 ATP 设备 Web UI

注册可在 ATP 设备和 SRX 系列防火墙之间建立安全连接。它还执行基本的配置任务，例如：

将证书颁发机构（CA）许可证下载并安装到 SRX 系列防火墙上
创建本地证书并将其注册到 ATP 设备
建立与 ATP 设备的安全连接

警告：

如果将自定义 SSL 证书用于 ATP 设备，则在注册 SRX 系列防火墙之前，必须上载包含验证 ATP 设备证书的 CA 证书的 CA 捆绑包。这仅适用于使用自定义 SSL 证书的情况。有关说明，请参阅《瞻博网络 ATP 操作指南》。搜索“管理证书”标题。完成此操作后，请继续执行注册说明。

警告：

如果您已在 ATP 设备中注册了 SRX 系列防火墙，并且更改了证书（从默认更改为自定义，反之亦然），则必须重新注册所有 SRX 系列防火墙。

警告：

网络环境注意事项和要求

路由引擎（控制平面）和数据包转发引擎（数据平面）都需要能够连接到瞻博网络 ATP 设备。（数据包转发引擎和路由引擎独立执行，但通过 100-Mbps 内部链路持续通信。这种安排提供了简化的转发和路由控制，并能够高速运行互联网规模的网络。有关更多信息，请参阅瞻博网络的 Junos 文档。）
您无需在 SRX 系列防火墙上打开任何端口即可与 ATP 设备通信。但是，如果中间有设备（如防火墙），则该设备必须打开端口 443。
不能使用 FXP0 接口与 ATP 设备通信。您必须使用单独的收入接口。
如果您使用同一子网中的地址进行 ATP 设备管理和 SRX 系列管理，则必须使用虚拟路由器实例来分隔管理和收入接口。如果通过 FXP0 配置的 ATP 设备管理和 SRX 系列管理的地址位于不同的子网中，则无需配置其他虚拟路由器实例。请注意，流量必须通过为 ATP 设备管理配置的收入接口进行路由。
如果通过 VPN 隧道注册 ATP 设备，则该隧道必须是命名隧道。ATP 设备需要接口上的 IP 地址。因此，在运行 OP URL 脚本以注册 SRX 系列防火墙之前，您必须在 VPN 隧道接口上配置 IP 地址。否则，注册将失败。
SRX 系列与 ATP 设备集成需要 API 密钥来生成注册脚本（操作 URL）。ATP 设备 UI 仅允许为本地用户生成 API 密钥。因此，如果用户使用 RADIUS 进行身份验证并尝试生成注册脚本以注册 SRX 系列防火墙，则会失败，因为远程用户将没有 API 密钥。解决方法是，您可以使用本地凭据（https://<ATP 设备 IP>/cyadmin/？local_login）登录到 ATP 设备 UI，然后继续执行以下说明。如果网络策略不允许本地用户，则此问题没有解决方法。
瞻博网络 ATP 设备和 SRX 系列防火墙之间不支持网络地址转换（NAT）。

要使用 ATP 设备注册 SRX 系列防火墙，请执行以下操作：

在 ATP 设备 Web UI 中，必须为管理员用户启用 API 密钥。这用于注册 SRX 系列防火墙。从“配置”选项卡中，导航到“用户>系统配置文件”。选择 ATP 设备的管理员用户并启用“生成新 API 密钥”复选框。单击更新用户。
从配置选项卡中，导航到> 系统配置文件 > SRX 设置，然后单击页面右上角的注册 URL 按钮。将出现带有注册命令的屏幕。
将整个注册命令复制到剪贴板，然后单击确定。
将命令粘贴到要注册到 ATP 设备的 SRX 系列防火墙的 Junos OS CLI 中，然后按 Enter键。

注意：
（可选） show services advanced-anti-malware status 使用 CLI 命令验证是否已从 SRX 系列防火墙连接到 ATP 设备。

配置完成后，SRX 系列防火墙将通过通过安全通道（TLS 1.2）建立的多个持久连接与 ATP 设备通信，并且 SRX 系列防火墙使用 SSL 客户端证书进行身份验证。

使用 ATP 设备 SRX 设置页面中的删除按钮删除当前在 ATP 设备中注册的 SRX 系列防火墙。要访问“删除”按钮，请单击设备名称左侧的箭头以展开设备信息。

使用页面顶部的 “搜索 ”字段按序列号在列表中搜索已注册的设备。

配置反恶意软件策略

在 SRX 系列防火墙上，输入以下命令以创建和配置反恶意软件策略。（请注意，此处包含适用于 SMTP 和 IMAP 的命令。

set services advanced-anti-malware policy aamw-policy http inspection-profile default

set services advanced-anti-malware policy aamw-policy http action permit

set services advanced-anti-malware policy aamw-policy http notification log

set services advanced-anti-malware policy aamw-policy smtp inspection-profile default

set services advanced-anti-malware policy aamw-policy smtp notification log

set services advanced-anti-malware policy aamw-policy imap inspection-profile default

set services advanced-anti-malware policy aamw-policy imap notification log

set services advanced-anti-malware policy aamw-policy fallback-options notification log

set services advanced-anti-malware policy aamw-policy default-notification log

配置 SSL 转发代理

需要 SSL 转发代理才能从数据平面中的 HTTPS 流量中收集文件。

在 SRX 系列防火墙上，生成本地证书。

request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa

request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net
加载受信任的根 CA 配置文件。

request security pki ca-certificate ca-profile-group load ca-group-name trusted-ca-* filename default
输入以下命令以配置 SSL 转发代理。

set services ssl proxy profile ssl-inspect-profile-dut root-ca ssl-inspect-ca

set services ssl proxy profile ssl-inspect-profile-dut actions log all

set services ssl proxy profile ssl-inspect-profile-dut actions ignore-server-auth-failure

set services ssl proxy profile ssl-inspect-profile-dut trusted-ca all

（可选）配置反恶意软件源接口

如果使用路由实例，则必须为反恶意软件连接配置源接口。如果您使用的是非默认路由实例，则无需在 SRX 系列防火墙上完成此步骤。

set services advanced-anti-malware connection source-interface ge-0/0/2

配置安全智能配置文件

ATP 设备和 SRX 使用不同的威胁级别阈值。有关信息，请参阅 ATP 设备和 SRX 系列威胁级别比较表。

在 SRX 系列防火墙上，输入以下命令以在 SRX 系列防火墙上创建安全智能配置文件。

set services security-intelligence profile secintel_profile category CC

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile secintel_profile rule secintel_rule then action block drop

set services security-intelligence profile secintel_profile rule secintel_rule then log

set services security-intelligence profile secintel_profile default-rule then action permit

set services security-intelligence profile secintel_profile default-rule then log

set services security-intelligence profile ih_profile category Infected-Hosts

set services security-intelligence profile ih_profile rule ih_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile ih_profile rule ih_rule then action block drop

set services security-intelligence profile ih_profile rule ih_rule then log

set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

set services security-intelligence policy secintel_policy CC secintel_profile

配置安全策略

在 SRX 系列防火墙上，输入以下命令，以在 SRX 系列防火墙上为检查配置文件创建安全策略。

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

set security policies from-zone trust to-zone untrust policy 1 then permit application-services advanced-anti-malware-policy aamw-policy

set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

初始配置已完成。