Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

下载并运行瞻博网络 ATP 云脚本

瞻博网络 ATP 云使用 Junos OS 操作脚本来帮助您配置 SRX 系列防火墙,以连接到瞻博网络 ATP 云服务。此脚本执行以下任务:

  • 将证书颁发机构 (CA) 许可证下载并安装到 SRX 系列防火墙上。

    注意:
    • 您可以使用基于受信任的平台模块 (TPM) 的证书注册SRX1600、SRX2300 和 SRX4300 防火墙,以便进行基于 TLS 的身份验证,并与瞻博网络 ATP 云建立安全连接。有关 TPM 的详细信息,请参阅 使用受信任的平台模块进行加密。由于基于 TPM 的证书用于 SRX 系列 防火墙和瞻博网络 ATP 云之间的连接,因此必须允许流量通过端口 8444 和 7444 流向 junipersecurity.net 域。

    • 要使用瞻博网络 ATP 云注册 SRX300、SRX320、SRX340、SRX345、SRX380、SRX5400、SRX5600 和 SRX5800 系列防火墙,请确保未在这些设备上配置基于 TPM 的加密。基于 TPM 的加密不支持注册到瞻博网络 ATP 云。

  • 创建本地证书并在云服务器注册这些证书。

  • 在 SRX 系列防火墙上执行基本的瞻博网络 ATP 云配置。

  • 与云服务器建立安全连接。

注意:
  • 瞻博网络 ATP 云要求您的路由引擎(控制平面)和数据包转发引擎(数据平面)都可以连接到互联网。

  • 数据平面连接不应通过管理接口,例如 fxp0。您无需打开 SRX 系列防火墙上的任何端口即可与云服务器通信。但是,如果中间有设备(如防火墙),则该设备必须打开端口 8080 和 443。

  • SRX 系列防火墙使用默认的 inet.0 路由表和 inet.0 的接口部分作为源接口,用于从 SRX 系列防火墙到 ATP 云的控制平面连接。如果 SRX 系列防火墙上唯一面向 Internet 的接口是路由实例的一部分,则建议您添加指向路由实例的静态路由。否则,控制连接将无法建立。

  • 瞻博网络 ATP 云要求您的 SRX 系列防火墙主机名只能包含字母数字 ASCII 字符 (a-z, A-Z, 0-9)、下划线符号 (_) 和短划线符号 (-)。

对于 SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550 系列防火墙,必须先运行set security forwarding-process enhanced-services-mode命令并重新启动设备,然后再运行 op 脚本或运行命令。request services advanced-anti-malware enroll

要下载并运行瞻博网络 ATP 云脚本,请执行以下操作:

注意:

从 Junos OS 19.3R1 版开始,您可以使用 request services advanced-anti-malware enroll SRX 系列防火墙上的命令将设备注册到瞻博网络 ATP 云 Web 门户。使用此命令,您不必在 Web 门户上执行任何注册任务。所有注册都是通过 SRX 系列防火墙上的 CLI 完成的。请参阅 使用 CLI 注册 SRX 系列防火墙

  1. 在 Web UI 中,单击 “设备” ,然后单击 “注册”。

    此时将显示“注册”窗口。请参阅 图 1

    图 1:注册 SRX 系列防火墙 Enrolling Your SRX Series Firewall
  2. 将突出显示的内容复制到剪贴板,然后单击 OK
    注意:

    注册设备时,瞻博网络 ATP 云会为每个请求生成唯一的操作脚本。每次单击 Enroll时,您都会在 op 脚本中获得略有不同的参数。上面的屏幕截图只是一个示例。请勿将上述示例复制到 SRX 系列防火墙上。相反,复制并粘贴从 Web UI 收到的输出,并使用它来注册 SRX 系列防火墙。

  3. 将此命令粘贴到您要注册到瞻博网络 ATP 云中的 SRX 系列防火墙的 Junos OS CLI 中。按 Enter。您的屏幕将类似于以下内容。
    注意:

    如果由于某种原因 ops 脚本失败,请取消注册设备(请参阅 从瞻博网络高级威胁防御云中删除 SRX 系列防火墙),然后重新注册。

  4. 在瞻博网络 ATP 云 Web 门户中,单击设备

    您注册的 SRX 系列防火墙现在显示在表格中。请参阅 图 2

    图 2:已注册的 SRX 系列防火墙 Example Enrolled SRX Series Firewall示例
  5. (可选)使用show services advanced-anti-malware statusCLI 命令,以验证是否已从 SRX 系列防火墙连接到云服务器。输出将类似于以下内容。

配置后,SRX 系列防火墙通过通过安全通道 (TLS 1.2) 建立的多个持久连接与云通信。SRX 系列防火墙使用 SSL 客户端证书进行身份验证。

如前所述,该脚本会在 SRX 系列防火墙上执行基本的瞻博网络 ATP 云配置。这些配置包括:

注意:

不应在 SRX 系列防火墙上复制并运行以下示例。此处的列表只是为了向您展示 op 脚本正在配置的内容。如果遇到任何问题(如证书),请再次重新运行 op 脚本。

  • 创建默认配置文件。

  • 与云服务器建立安全连接。下面是一个示例。您的确切 URL 由您所在的地理区域决定。见表。

    表 1:客户门户 URL

    位置

    客户门户 URL

    美国

    客户门户: https://amer.sky.junipersecurity.net

    欧盟

    客户门户: https://euapac.sky.junipersecurity.net

    亚太地区

    客户门户: https://apac.sky.junipersecurity.net

    加拿大

    客户门户: https://canada.sky.junipersecurity.net

  • 配置 SSL 代理。

  • 配置云源(允许列表、阻止列表等。

瞻博网络 ATP 云使用 SSL 转发代理作为客户端和服务器身份验证。SSL 转发代理现在不会将签名证书及其颁发者的证书导入客户端浏览器的 trusted-ca 列表中,而是生成证书链并将此证书链发送给客户端。证书链接有助于消除将 SSL 转发代理的签名证书分发给客户端的需要,因为客户端现在可以隐式信任 SSL 转发代理证书。

以下 CLI 命令分别将本地证书加载到 PKID 缓存中,并将证书链加载到 PKID 中的 CA 证书缓存中。

哪里:

ssl_proxy_ca.crt (Signing certificate)

是由管理员或中间 CA 签名的 SSL 转发代理证书。

sslserver.key

是密钥对。

ssl-inspect-ca

SSL 转发代理在 SSL 转发代理配置文件中配置 root-ca 时使用的证书 ID。

certificate-chain

是包含证书链的文件。

以下是 op 脚本使用的 SSL 转发代理证书链接示例。

请注意,如果 SRX 系列防火墙由于 PKI 限制而处于 FIPS 模式,则无法将 SRX 系列防火墙注册到瞻博网络 ATP 云。

要检查您的证书,请参阅 瞻博网络高级威胁防御云故障排除:检查证书。如果遇到证书问题,建议重新运行 op 脚本。