使用瞻博网络 ATP 云在 AWS 上注册 vSRX 虚拟防火墙

瞻博网络 ATP 云使用 Junos OS作（op）脚本来帮助您配置 vSRX 虚拟防火墙，以连接到瞻博网络高级威胁防御云（ATP 云）服务。此脚本执行以下任务：

将证书颁发机构（CA）许可证下载并安装到 vSRX 虚拟防火墙上。
创建本地证书并在云服务器中注册。
在 vSRX 虚拟防火墙上执行基本的瞻博网络 ATP 云配置。
与云服务器建立安全连接。

要使用 ATP 云 Web 门户在瞻博网络 ATP 云中注册 vSRX 虚拟防火墙，请执行以下作：

打开 Web 浏览器，键入您的客户门户 URL，然后按 Enter。

Web UI 登录页面如图 1 所示。请参阅表 1 ，了解按位置划分的客户门户主机名。

表 1：客户门户 URL
位置	客户门户 URL
美国	客户门户： https://amer.sky.junipersecurity.net
欧盟	客户门户： https://euapac.sky.junipersecurity.net
亚太地区	客户门户： https://apac.sky.junipersecurity.net
加拿大	客户门户： https://canada.sky.junipersecurity.net

图 1：瞻博网络 ATP 云 Web UI 登录页面 Juniper ATP Cloud Web UI Login Page

在登录页面上，键入您的领域名称、用户名（您的帐户电子邮件地址）和密码，然后单击登录。

此时将显示 Web UI 仪表板页面。

注意：
如果您没有瞻博网络 ATP 云帐户，请参阅瞻博网络 ATP 云用户指南，了解更多详细信息和支持信息。
>所有设备中选择设备
Registered Devices 页面如图 2 所示。
图 2：已注册的设备第 1 页
单击“注册”按钮。
“Enrolling”页面如图 3 所示。
图 3：注册页面
根据您正在运行的 Junos OS 版本，从页面中复制 CLI 命令。将命令复制到剪贴板，然后单击“确定”。
生成后，op url 命令的有效期为 7 天。如果在该时间段内生成新的 op url 命令，则旧命令将不再有效。（只有最近生成的 op url 命令才有效。

您必须在 vSRX 虚拟防火墙上运行命令才能进行注册。将命令粘贴到要向瞻博网络 ATP 云注册的 vSRX 虚拟防火墙的 Junos OS CLI 中。
使用 SSH 登录到 vSRX 虚拟防火墙实例并启动 CLI。格式为ssh -i <path>/<ssh-key-pair-name>.pem ec2-user@<fxpo-elastic-IP-address>
（可选）运行show services advanced-anti-malware status 命令，查看 ATP 云是否有任何现有配置。
运行之前从弹出窗口中复制的命令。只需将命令粘贴到 CLI 中，然后按 Enter。

注意：
您必须在作模式下运行 op url 命令。
vSRX 虚拟防火墙将与 ATP 云服务器建立连接，并开始下载并运行 op 脚本。注册状态将显示在屏幕上。注册成功后，vSRX 虚拟防火墙将显示在 ATP 云门户的设备页面上。

对于 HA 配置，您只需注册群集主配置。云将检测到这是一个群集，并自动将主数据库和备份队列为一对。但是，这两种设备都必须获得相应的许可。例如，如果想要高级功能，则两台设备都必须有权获得高级许可证。

注意：
瞻博网络 ATP 云支持主动-主动和主动-被动群集配置。被动（非活动）节点在成为主动节点之前不会与云建立连接。

（可选）运行以下命令以查看其他信息：

例

show services advanced-anti-malware status运行命令以查看连接状态，并验证是否已从 vSRX 虚拟防火墙连接到 ATP 云服务器。

vSRX 虚拟防火墙通过在一个安全通道（TLS 1.2）上建立的多个持久连接与云通信。使用 SSL 客户端证书对 vSRX 虚拟防火墙进行验证。

刷新 ATP 云门户中的“已注册设备”页。
Registered Devices 页面显示新设备信息，如图 4 所示。“已注册的设备”页面显示所有已注册设备的基本连接信息，包括序列号、型号、层级别（免费或非免费）、上次看到的活动和许可证到期时间。
图 4：已注册的设备第 2 页

注意：
许可证到期后有 60 天的宽限期，vSRX 虚拟防火墙才会从瞻博网络 ATP 云中取消注册。