下载并运行瞻博网络 ATP 云脚本
瞻博网络 ATP 云使用 Junos OS 操作脚本来帮助您配置 SRX 系列防火墙,以连接到瞻博网络 ATP 云服务。此脚本执行以下任务:
-
将证书颁发机构 (CA) 许可证下载并安装到 SRX 系列防火墙上。
注意:-
您可以使用基于受信任的平台模块 (TPM) 的证书注册SRX1600、SRX2300 和 SRX4300 防火墙,以便进行基于 TLS 的身份验证,并与瞻博网络 ATP 云建立安全连接。有关 TPM 的详细信息,请参阅 使用受信任的平台模块进行加密。由于基于 TPM 的证书用于 SRX 系列 防火墙和瞻博网络 ATP 云之间的连接,因此必须允许流量通过端口 8444 和 7444 流向 junipersecurity.net 域。
-
要使用瞻博网络 ATP 云注册 SRX300、SRX320、SRX340、SRX345、SRX380、SRX5400、SRX5600 和 SRX5800 系列防火墙,请确保未在这些设备上配置基于 TPM 的加密。基于 TPM 的加密不支持注册到瞻博网络 ATP 云。
-
创建本地证书并在云服务器注册这些证书。
在 SRX 系列防火墙上执行基本的瞻博网络 ATP 云配置。
与云服务器建立安全连接。
-
瞻博网络 ATP 云要求您的路由引擎(控制平面)和数据包转发引擎(数据平面)都可以连接到互联网。
-
数据平面连接不应通过管理接口,例如 fxp0。您无需打开 SRX 系列防火墙上的任何端口即可与云服务器通信。但是,如果中间有设备(如防火墙),则该设备必须打开端口 8080 和 443。
-
SRX 系列防火墙使用默认的 inet.0 路由表和 inet.0 的接口部分作为源接口,用于从 SRX 系列防火墙到 ATP 云的控制平面连接。如果 SRX 系列防火墙上唯一面向 Internet 的接口是路由实例的一部分,则建议您添加指向路由实例的静态路由。否则,控制连接将无法建立。
-
瞻博网络 ATP 云要求您的 SRX 系列防火墙主机名只能包含字母数字 ASCII 字符 (a-z, A-Z, 0-9)、下划线符号 (_) 和短划线符号 (-)。
对于 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550 系列防火墙,必须先运行set security forwarding-process enhanced-services-mode
命令并重新启动设备,然后再运行 op 脚本或运行命令。request services advanced-anti-malware enroll
set security forwarding-process enhanced-services-mode
要下载并运行瞻博网络 ATP 云脚本,请执行以下操作:
从 Junos OS 19.3R1 版开始,您可以使用 request services advanced-anti-malware enroll
SRX 系列防火墙上的命令将设备注册到瞻博网络 ATP 云 Web 门户。使用此命令,您不必在 Web 门户上执行任何注册任务。所有注册都是通过 SRX 系列防火墙上的 CLI 完成的。请参阅 使用 CLI 注册 SRX 系列防火墙。
配置后,SRX 系列防火墙通过通过安全通道 (TLS 1.2) 建立的多个持久连接与云通信。SRX 系列防火墙使用 SSL 客户端证书进行身份验证。
如前所述,该脚本会在 SRX 系列防火墙上执行基本的瞻博网络 ATP 云配置。这些配置包括:
不应在 SRX 系列防火墙上复制并运行以下示例。此处的列表只是为了向您展示 op 脚本正在配置的内容。如果遇到任何问题(如证书),请再次重新运行 op 脚本。
-
创建默认配置文件。
-
与云服务器建立安全连接。下面是一个示例。您的确切 URL 由您所在的地理区域决定。见表。
表 1:客户门户 URL 位置
客户门户 URL
美国
客户门户: https://amer.sky.junipersecurity.net
欧盟
客户门户: https://euapac.sky.junipersecurity.net
亚太地区
客户门户: https://apac.sky.junipersecurity.net
加拿大
客户门户: https://canada.sky.junipersecurity.net
set services advanced-anti-malware connection url https://amer.sky.junipersecurity.net (this URL is only an example and will not work for all locations). set services advanced-anti-malware connection authentication tls-profile aamw-ssl
-
配置 SSL 代理。
set services ssl initiation profile aamw-ssl trusted-ca aamw-secintel-ca set services ssl initiation profile aamw-ssl client-certificate aamw-srx-cert set services security-intelligence authentication tls-profile aamw-ssl set services advanced-anti-malware connection authentication tls-profile aamw-ssl set services ssl initiation profile aamw-ssl trusted-ca aamw-cloud-ca
-
配置云源(允许列表、阻止列表等。
set services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/ api/manifest.xml set services security-intelligence authentication tls-profile aamw-ssl
瞻博网络 ATP 云使用 SSL 转发代理作为客户端和服务器身份验证。SSL 转发代理现在不会将签名证书及其颁发者的证书导入客户端浏览器的 trusted-ca 列表中,而是生成证书链并将此证书链发送给客户端。证书链接有助于消除将 SSL 转发代理的签名证书分发给客户端的需要,因为客户端现在可以隐式信任 SSL 转发代理证书。
以下 CLI 命令分别将本地证书加载到 PKID 缓存中,并将证书链加载到 PKID 中的 CA 证书缓存中。
user@root> request security pki local-certificate load filename ssl_proxy_ca.crt key sslserver.key certificate-id ssl-inspect-ca
user@root> request security pki ca-certificate ca-profile-group load ca-group-name ca-group-name filename certificate-chain
哪里:
ssl_proxy_ca.crt (Signing certificate) | 是由管理员或中间 CA 签名的 SSL 转发代理证书。 |
sslserver.key | 是密钥对。 |
ssl-inspect-ca | SSL 转发代理在 SSL 转发代理配置文件中配置 root-ca 时使用的证书 ID。 |
certificate-chain | 是包含证书链的文件。 |
以下是 op 脚本使用的 SSL 转发代理证书链接示例。
request security pki local-certificate enroll certificate-id aamw-srx-cert ca-profile aamw-ca challenge-password *** subject CN=4rrgffbtew4puztj:model:sn email email-address
request security pki ca-certificate enroll ca-profile aamw-ca
请注意,如果 SRX 系列防火墙由于 PKI 限制而处于 FIPS 模式,则无法将 SRX 系列防火墙注册到瞻博网络 ATP 云。
要检查您的证书,请参阅 瞻博网络高级威胁防御云故障排除:检查证书。如果遇到证书问题,建议重新运行 op 脚本。