在 AWS 上使用瞻博网络 ATP 云注册 vSRX 虚拟防火墙
瞻博网络 ATP 云使用 Junos OS 操作 (op) 脚本来帮助您配置 vSRX 虚拟防火墙以连接到瞻博网络高级威胁防御云(ATP 云)服务。此脚本执行以下任务:
-
将证书颁发机构 (CA) 许可证下载并安装到 vSRX 虚拟防火墙上。
-
创建本地证书并将其注册到云服务器。
-
在 vSRX 虚拟防火墙上执行基本的瞻博网络 ATP 云配置。
-
建立与云服务器的安全连接。
要使用 ATP 云 Web 门户在瞻博网络 ATP 云中注册 vSRX 虚拟防火墙,请执行以下操作:
- 打开 Web 浏览器,键入您的客户门户 URL,然后按 Enter 键。
- 在登录页面上,键入您的域名、用户名(您的帐户电子邮件地址)和密码,然后单击登录。
此时将显示“Web UI 仪表板”页。
注意:如果您没有瞻博网络 ATP 云帐户,请参阅 https://www.juniper.net/documentation/us/en/software/sky-atp/sky-atp/topics/task/sky-atp-registering.html 创建客户支持中心 (CSC) 用户帐户。
- 选择设备>所有设备
此时将显示“已注册的设备”页面,如图 2 所示。图 2:已注册的设备第 1 页
- 单击注册按钮。
此时将显示“注册”页面,如图 3 所示。图 3:注册页面
- 根据您运行的 Junos OS 版本,从页面复制 CLI 命令。将命令复制到剪贴板,然后单击确定。
生成后,op url 命令的有效期为 7 天。如果在该时间段内生成新的 op url 命令,则旧命令将不再有效。(只有最近生成的 op url 命令有效。必须在 vSRX 虚拟防火墙上运行命令才能注册。将命令粘贴到要注册瞻博网络 ATP 云的 vSRX 虚拟防火墙的 Junos OS CLI 中。
- 使用 SSH 登录到 vSRX 虚拟防火墙实例并启动 CLI。格式为ssh -i <path>/<ssh-key-pair-name>.pem ec2-user@<fxpo-elastic-IP-address>
user@user~$ssh -i "SB-ES-Key.pem" ec2-user@XX.XXX.XXX.XX ec2-user@awsvsrx@% cli ec2-user@awsvsrx@>
- (可选)运行show services advanced-anti-malware status 命令以查看是否有适用于 ATP 云的任何现有配置。
ec2-user@awsvsrx> show services advanced-anti-malware status No advanced-anti-malware connection url configured.
- 运行之前从弹出窗口复制的命令。只需将命令粘贴到 CLI 中,然后按 Enter。
注意:
您必须在操作模式下运行 op url 命令。
ec2-user@awsvsrx> op url https://<XXXXXXXX>/v2/skyatp/ui_api/bootstrap/enroll/xxxxxxxxxxx.slax Platform is supported by Sky ATP: VSRX. Version 21.4R2 is valid for bootstrapping. License found with name: Sky ATP. Enrolling with Sky ATP license serial number: XXXXXXXX-XXXXXXXX. ... ... Device enrolled successfully!
vSRX 虚拟防火墙将与 ATP 云服务器建立连接,并开始下载和运行操作脚本。注册状态将显示在屏幕上。成功注册后,vSRX 虚拟防火墙将显示在 ATP 云门户的“设备”页面上。对于 HA 配置,只需注册群集主数据库。云将检测到这是一个群集,并会自动将主数据库和备份数据库注册为对。但是,这两种设备都必须获得相应的许可。例如,如果您需要高级功能,则必须两台设备都有权使用高级许可证。
注意:瞻博网络 ATP 云支持主动-主动和主动-被动群集配置。被动(非主动)节点在成为主动节点之前不会与云建立连接。
- (可选)运行以下命令以查看其他信息:
ec2-user@awsvsrx> request services advanced-anti-malware diagnostics <customer-portal> detail
例子ec2-user@awsvsrx> request services advanced-anti-malware diagnostics amer.sky.junipersecurity.net detail
- 运行命令以查看show services advanced-anti-malware status连接状态,并验证是否已从 vSRX 虚拟防火墙连接到 ATP 云服务器。
ec2-user@awsvsrx> show services advanced-anti-malware status Server connection status: Server hostname: xxx.sky.junipersecurity.net Server realm: <ABC realm> Server port: XXX Proxy hostname: None Proxy port: None Control Plane: Connection time: 2022-02-04 06:31:18 UTC Connection status: Connected Service Plane: master Connection active number: 0 Connection retry statistics: 34
vSRX 虚拟防火墙通过通过安全通道 (TLS 1.2) 建立的多个持久连接与云通信。vSRX 虚拟防火墙使用 SSL 客户端证书进行身份验证。 - 刷新 ATP 云门户中的“已注册设备”页。
“已注册的设备”页面显示新设备信息,如图 4 所示。“已注册的设备”页面显示所有已注册设备的基本连接信息,包括序列号、型号、层级别(免费与否)、上次看到的活动和许可证到期时间。图 4:已注册的设备第 2 页注意:
许可证到期后有 60 天的宽限期,然后 vSRX 虚拟防火墙才会从瞻博网络 ATP 云中注销。