Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 CLI 注册 SRX 系列防火墙

从 Junos OS 19.3R1 版开始,您可以使用 SRX 系列防火墙上的命令将 request services advanced-anti-malware enroll 设备注册到瞻博网络 ATP 云 Web 门户。使用此命令,您不必在 Web 门户上执行任何注册任务。所有注册均通过 SRX 系列防火墙上的 CLI 完成。

开始之前

  • 如果SRX 系列防火墙上启用了 IPv6 双堆栈(IPv4 和 IPv6)支持,请运行以下CLI命令:

    1. set services advanced-anti-malware connection protocol-family inet6— 配置 AAMW 连接的 IPv6 协议。

    2. (选答) set services advanced-anti-malware connection proxy-profile proxy-profile-name—如果已配置代理服务器并且您的互联网访问通过代理服务器,请配置代理配置文件名称。

    3. (选答) set services advanced-anti-malware connection routing-instance routing-instance-name- 如果计划使用特定路由实例进行路由,请配置路由实例名称。

注册可在瞻博网络 ATP 云云服务器与 SRX 系列防火墙之间建立安全连接。它还执行基本的配置任务,例如:

  • 将证书颁发机构 (CA) 下载并安装到 SRX 系列防火墙中。

    注意:

    • 您必须允许端口 8444 和 7444 上的流量流向 junipersecurity.net 域,因为基于可信平台模块 (TPM) 的证书用于SRX 系列防火墙与 ATP 云之间的连接瞻博网络。要确定特定平台或 Junos OS 版本是否支持某个功能,请参阅 功能浏览器。有关在 SRX 系列防火墙上使用 TPM 的详细信息,请参阅 受信任的平台模块概述

    • 对于新注册的 TPM 和非基于 TPM 的设备,只能在端口 443 上允许流量流向 junipersecurity.net 域。

  • 创建本地证书并将这些证书注册到云服务器。

  • 与云服务器建立安全连接。

注意:

瞻博网络 ATP 云要求您的路由引擎(控制平面)和数据包转发引擎(数据平面)都可以连接到互联网。无需打开 SRX 系列防火墙上的任何端口即可与云服务器通信。但是,如果中间有一个设备(如防火墙),则该设备必须打开端口 443。

另请注意,必须为 SRX 系列防火墙配置 DNS 服务器才能解析云 URL。

使用 SRX 系列防火墙上的设备注册命令 request services advanced-anti-malware enroll ,您可以将设备注册到现有领域,也可以创建一个领域,然后注册到该领域。

下面是一个创建领域,然后注册到该领域的示例。

注意:

您必须登录 AS root (super user) 才能执行以下作。

request services advanced-anti-malware enroll

  1. SRX 系列防火墙注册到瞻博网络 ATP 云(仅限 CLI):

    request services advanced-anti-malware enroll

    Please select geographical region from the list:

    1. North America

    2. European Region

    3. Canada

    4. Asia Pacific

    Your choice: 1

  2. 选择现有领域或创建一个领域:

    Enroll SRX to:

    1. A new SkyATP security realm (you will be required to create it first)

    2. An existing SkyATP security realm

    如果选择选项 1 来创建领域,则步骤如下:

    • You are going to create a new Sky ATP realm, please provide the required information:

    • Please enter a realm name (This should be a name that is meaningful to your organization. A realm name can only contain alphanumeric characters and the dash symbol. Once a realm is created, it cannot be changed):

      Real name: example-company-a

    • Please enter your company name:

      Company name: Example Company A

    • Please enter your e-mail address. This will be your username for your Sky ATP account:

      Email: me@example-company-a.com

    • Please setup a password for your new Sky ATP account (It must be at least 8 characters long and include both uppercase and lowercase letters, at least one number, at least one special character):

      Password: **********

      Verify: **********

    • Please review the information you have provided:

      Region: North America

      New Realm: example-company-a

      Company name: Example Company A

      Email: me@example-company-a.com

    • Create a new realm with the above information? [yes,no]

      yes

      Device enrolled successfully!

    如果选择选项 2 来使用现有领域,则步骤如下:

    注意:

    在注册过程中,您必须为现有领域输入有效的用户名和密码。

    • 输入现有域的名称:

      Please enter a realm name.

      Realm name: example-company-b

    • Please enter your company name:

      Company name: Example Company B

    • 输入您在领域中的电子邮件地址/用户名。这是之前在设置领域时创建的电子邮件地址。

      Please enter your e-mail address. This will be your username for your Sky ATP account:

    • 输入域的密码。这是之前在设置领域时创建的密码。

      Password:********

    • Enroll device to the realm above? [yes,no] yes

      Device enrolled successfully!

可以在 SRX 系列防火墙上使用 show services advanced-anti-malware status CLI 命令验证是否已从 SRX 系列防火墙连接到云服务器。

注册后,SRX 系列防火墙将通过通过安全通道 (TLS 1.2) 建立的多个持久连接与云通信,并使用 SSL 客户端证书对 SRX 系列防火墙进行身份验证。

使用 CLI 命令 request services advanced-anti-malware disenroll 从瞻博网络 ATP 云 Web 门户取消注册设备。