使用瞻博网络 ATP 云 Web 门户注册SRX 系列防火墙
从 Junos 19.3R1 版开始,无需与 ATP 云 Web 门户交互,还有另一种注册 SRX 系列防火墙的方法。您从 SRX 运行“enroll”命令,它会执行所有必要的注册步骤。请参阅 使用 CLI 注册 SRX 系列防火墙。
瞻博网络 ATP 云使用 Junos OS作 (op) 脚本来帮助您配置 SRX 系列防火墙以连接到瞻博网络高级威胁防御云服务。此脚本执行以下任务:
-
将证书颁发机构 (CA) 许可证下载并安装到 SRX 系列防火墙。
-
创建本地证书并将其注册到云服务器。
-
在 SRX 系列防火墙上执行基本的瞻博网络 ATP 云配置。
-
与云服务器建立安全连接。
-
瞻博网络 ATP 云要求您的路由引擎(控制平面)和数据包转发引擎(数据平面)都连接到互联网。
-
数据平面连接不应通过管理接口,例如 fxp0。无需打开 SRX 系列防火墙上的任何端口即可与云服务器通信。但是,如果中间有一个设备(如防火墙),则该设备必须打开端口 8080 和 443。
-
SRX 系列防火墙使用默认 inet.0 路由表和 inet.0 的接口部分作为源接口,用于从 SRX 系列防火墙到 ATP 云的控制平面连接。如果 SRX 系列防火墙上唯一面向互联网的接口是路由实例的一部分,则建议添加指向路由实例的静态路由。否则,控制连接将无法建立。
-
瞻博网络 ATP 云要求 SRX 系列防火墙主机名仅包含字母数字 ASCII 字符(a-z、a-z、0-9)、下划线符号 ( _ ) 和破折号 ( - )。
如果要为 SRX 系列服务/瞻博网络 ATP 云连接配置显式 Web 代理支持,则必须使用略有不同的过程将 SRX 系列防火墙注册到瞻博网络 ATP 云,请参阅适用于瞻博网络 ATP 云的显式 Web 代理。
要使用 Web 门户在瞻博网络 ATP 云中注册设备,请执行以下作:
如果脚本失败,请取消注册设备(请参阅 从瞻博网络高级威胁防御云中移除 SRX 系列防火墙),然后重新注册。
(选答)使用 show services advanced-anti-malware status CLI 命令验证是否已从 SRX 系列防火墙连接到云服务器。
配置完成后,SRX 系列防火墙将通过安全通道 (TLS 1.2) 建立的多个持久连接与云进行通信,并使用 SSL 客户端证书对 SRX 系列防火墙进行身份验证。
在 Juniper Security Director Cloud UI 的“ 已注册设备” 页面中,将提供所有已注册设备的基本连接信息,包括序列号、型号、层级(免费与否)、瞻博网络 ATP 云中的注册状态、上次遥测活动和上次查看的活动。单击序列号以了解更多详细信息。除了注册 之外,还有以下按钮可用:
| 行动 |
定义 |
|---|---|
| 注册 |
使用注册按钮获取注册命令,以便在符合条件的 SRX 系列防火墙上运行。此命令会在瞻博网络 ATP 云中注册对象,有效期为 7 天。注册后,SRX 系列防火墙将显示在“设备和连接”列表中。 |
| 取消注册 |
使用取消注册按钮获取取消注册命令,以便在当前在瞻博网络 ATP 云中注册的 SRX 系列防火墙上运行。此命令会将这些设备从瞻博网络 ATP 云注册中移除,有效期为 7 天。 |
|
注意:
运行 Enroll 或 Disenroll 命令将在 SRX 系列防火墙上提交任何未提交的配置更改。
注意:
生成新的注册或取消注册命令会使以前生成的任何命令失效。 |
|
| 设备查找 |
使用“设备查找”按钮在许可数据库中搜索设备序列号,以确定设备的层级(高级、仅源、免费)。要进行此搜索,设备当前不必在瞻博网络 ATP 云中注册。 |
| 删除 |
移除 SRX 系列防火墙不同于取消注册。仅当关联的 SRX 系列防火墙没有响应(例如,硬件故障)时,才使用删除选项。单击删除按钮会取消 SRX 系列防火墙与云的关联,而无需在设备上运行 Junos OS作 (op) 脚本(请参阅注册和取消注册设备)。稍后,当设备再次可用时,您可以使用“注册”选项对其进行注册。 |
对于高可用性配置,您只需注册群集主数据库。云将检测到这是一个群集,并自动将主数据库和备份数据库注册为一对。但是,两台设备都必须获得相应的许可。例如,如果您想要高级功能,则两台设备都必须拥有高级许可证。
瞻博网络 ATP 云支持主动-主动和主动-被动群集配置。被动(非活动)节点在成为主动节点之前不会建立与云的连接。
许可证到期列包含当前许可证的状态,包括到期信息。许可证到期后有 60 天的宽限期,之后 SRX 系列防火墙才会从瞻博网络 ATP 云中取消注册。