本页内容

概述
配置
验证

示例：配置 IoT 设备发现和策略实施

在此示例中，你将为 IoT 设备发现和安全策略实施配置安全设备。

概述

要开始在网络中发现 IoT 设备，您只需要一台连接到瞻博网络 ATP 云的安全设备。图 1 显示了此示例中使用的拓扑。

图 1：物联网设备发现和策略实施拓扑 IoT Device Discovery and Policy Enforcement Topology

如拓扑所示，网络包括一些通过无线接入点（AP）连接到 SRX 系列防火墙的物联网设备。安全设备已连接到瞻博网络云 ATP 服务器和主机设备。

安全设备收集物联网设备元数据，并将相关信息流式传输到瞻博网络 ATP 云。若要启用 IoT 元数据流式处理，需要创建安全元数据流式处理策略，并将这些策略附加到安全策略。当瞻博网络云服务器具有足够的详细信息来对物联网设备进行分类时，物联网设备流量的流式传输会自动暂停。

瞻博网络 ATP 云可发现物联网设备并对其进行分类。使用发现的 IoT 设备清单，您将以动态地址组的形式创建威胁源。安全设备下载动态地址组后，您可以使用动态地址组为 IoT 流量创建并实施安全策略。

表 1 和表 2 提供了此示例中使用的参数的详细信息。

表 1：安全区域配置参数
	连接到	的区域接口
信任	ge-0/0/2.0	客户端设备
不信任	ge-0/0/4.0 和 ge-0/0/3.0	用于管理 IoT 流量的接入点
云	ge-0/0/1.0	互联网（连接到瞻博网络 ATP 云）

表 2：安全策略配置参数
策略	类型	应用
小一	安全策略	允许从信任区域到不信任区域的流量
小二	安全策略	允许从不信任区域到信任区域的流量
小三	安全策略	允许流量从信任区域到云区域
第 1 页	元数据流式处理策略	流式传输不信任区域到信任区域流量元数据
第 2 页	元数据流式处理策略	将信任区域流式传输到块区域流量元数据
Unwanted_Applications	全球安全策略	根据全局环境中的威胁源和安全策略阻止 IoT 流量

要求

SRX 系列防火墙或 NFX 系列设备
IoT 安全是一项高级 ATP 功能，需要高级许可证（高级 1 或高级 2）才能获得权利。有关详细信息，请查看 ATP 云的软件许可证。
Junos OS 22.1R1 或更高版本
瞻博网络高级威胁防御云帐户。请参阅注册瞻博网络高级威胁防御云帐户。

我们已使用运行 Junos OS 22.1R1 版的 vSRX 虚拟防火墙实例验证并测试了配置。

配置

让您的 SRX 系列防火墙准备好与瞻博网络 ATP 云配合使用

您需要配置 SRX 系列防火墙才能与瞻博网络 ATP 云 Web 门户通信。确保您的 SRX 系列防火墙已连接到互联网。确保完成以下初始配置，以将 SRX 系列防火墙设置为互联网。

配置接口。在此示例中，我们将接口 ge-0/0/1.0 用作 SRX 系列防火墙上面向互联网的接口。

将接口添加到安全区域。

配置 DNS。

配置 NTP。

一旦 SRX 系列可以通过 ge-0/0/1.0 接口访问互联网，请继续执行后续步骤。

检查所需的许可证和应用程序签名包
使用瞻博网络 ATP 云注册安全设备
配置 IoT 流量流设置
配置 SRX 系列防火墙
查看在 ATP 云中发现的 IoT 设备
创建威胁信息源
使用自适应威胁分析源创建安全策略
结果

检查所需的许可证和应用程序签名包

确保您拥有相应的瞻博网络 ATP 云许可证。 show system license 使用命令检查许可证状态。输出可能会显示基于 SRX 设备类型（SRX 或 vSRX）和 JUNOS 版本的旧版 ATP 云品牌（SkyATP），如以下示例所示：
注意：
show system license如果授权在云中进行托管，则 SRX 系列防火墙上的命令可能不会显示 ATP 云许可证。这是因为 SRX 系列设备不需要安装 ATP 云许可证密钥;相反，当您使用 SRX 系列序列号和授权码生成许可证密钥时，权利会自动传输到云服务器。对于 vSRX 虚拟防火墙，需要已安装的许可证。

确保您的安全设备安装了最新的应用签名包。

验证设备上是否安装了应用识别许可证。

下载最新版本的应用程序签名包。

检查下载状态。

安装应用程序标识签名包。

检查已安装的应用程序签名包版本。

使用瞻博网络 ATP 云注册安全设备

让我们从使用瞻博网络 ATP 云注册安全设备开始。如果已注册设备，则可以跳过此步骤，直接跳转到配置 IoT 流量流设置。如果没有，请使用以下方法之一进行设备注册。

方法一：使用 CLI 注册安全设备
方法 2：在瞻博网络 ATP 云 Web 门户中注册安全设备

方法一：使用 CLI 注册安全设备

在 SRX 系列防火墙上，运行以下命令以启动注册过程。

选择现有领域或创建新领域。

选择选项 1 以创建领域。使用以下步骤：

您还可以使用现有领域将 SRX 系列注册到瞻博网络 ATP 云中。

show services advanced-anti-malware使用状态 CLI 命令确认您的 SRX 系列防火墙已连接到云服务器。

方法 2：在瞻博网络 ATP 云 Web 门户中注册安全设备

您可以使用 Junos OS作（op）脚本配置 SRX 系列防火墙，以连接到瞻博网络高级威胁防御云服务。

在瞻博网络 ATP 云 Web 门户上，单击设备页面上的注册按钮。
将命令复制到剪贴板，然后单击“确定”。
在作模式下，将命令粘贴到 SRX 系列防火墙的 Junos OS CLI 中。

show services advanced-anti-malware使用 status 命令验证是否已从 SRX 系列防火墙连接到云服务器。以下示例中的服务器主机名仅是一个示例。

在示例中，连接状态表示云服务器已连接到您的安全设备。

您还可以在瞻博网络 ATP 云门户中查看已注册的设备。转到 “设备”>“所有设备” 页面。该页面列出了所有已注册的设备。

配置 IoT 流量流设置

在此过程中，您将创建元数据流式处理策略并在安全设备上启用安全服务。

完成云连接配置。

创建安全元数据流式处理策略。
稍后，我们会将这些安全元数据流式处理策略附加到安全策略，以启用会话的 IoT 流量流式处理。

开启应用跟踪、应用识别、PKI 等安全服务。

配置 SRX 系列防火墙

使用此过程可在安全设备上配置接口、区域和策略，以启用物联网数据包过滤和流式传输服务。

配置接口。

配置安全区域并为每个配置的区域启用应用程序流量。

如拓扑所示，不信任区域接收来自网络中 IoT 设备的中转和主机绑定流量。客户端设备位于信任区域，而瞻博网络 ATP 云位于云区域。

配置安全策略 P1。

此配置允许从信任区域到不信任区域的流量。

配置安全策略 P2。

该配置允许从不信任区域到信任区域的流量，并应用安全元数据流策略 p1 为会话启用 IoT 流量流。

配置安全策略 P3。

此配置允许从信任区域到云区域的流量，并应用安全元数据流策略 p2 为会话启用 IoT 流量流。

提交配置。
现在，您的安全设备已准备好将物联网流量流式传输到瞻博网络 ATP 云。

让我们检查在瞻博网络 ATP 云门户中发现的所有物联网设备。

查看在 ATP 云中发现的 IoT 设备

要在瞻博网络 ATP 云门户中查看发现的 IoT 设备，请导航到 Minotor > IoT 设备页面。

您可以根据设备类别、制造商、作系统类型单击并过滤 IoT 设备。

在下图中，我们使用 Android作系统过滤设备。

该页面列出了 IoT 设备，其中包含 IP 地址、类型、制造商、型号等详细信息。利用这些详细信息，您可以监控和创建威胁源以实施安全策略。

创建威胁信息源

瞻博网络 ATP 云识别到物联网设备后，您就可以创建威胁信息源。当您的安全设备以动态地址组的形式下载威胁源时，您可以使用安全策略中的源对这些 IoT 设备上的入站和出站流量采取强制措施。

转到 Minotor > IoT 设备页面，然后单击创建源选项。
单击加号（+）。此时将显示“添加新源”页面。

在此示例中，我们将使用生存时间（TTL）为 7 天的源名称 android_phone_user 。

完成以下字段的配置：
- 信息源名称：
  
  输入威胁源的唯一名称。信息源名称必须以字母数字字符开头，并且可以包含字母、数字和下划线;不允许有空格。长度为 8-63 个字符。
- 类型：选择源的内容类型作为 IP。
- 数据来源：选择用于将源创建为 IoT 的数据源。
- 活动时间：输入所需 Feed 条目处于活动状态的天数。当源条目超过生存时间（TTL）值后，源条目将被自动删除。可用范围为 1-365 天。
单击 “确定 ”保存更改。
转到配置>自适应威胁分析。该页面显示创建的所有威胁源。您可以看到页面上列出的威胁源 android_phone_user 。

单击威胁源以显示威胁源中包含的 IP 地址。