Die Juniper ATP-Cloud verwendet ein Junos OS-Op-Skript, um Sie bei der Konfiguration Ihrer SRX-Serie-Firewall für die Verbindung mit dem Juniper ATP Cloud Cloud-Service zu unterstützen. Dieses Skript führt die folgenden Aufgaben aus:
-
Lädt Lizenzen der Zertifizierungsstellen (CAs) herunter und installiert sie auf Ihrer Firewall der SRX-Serie.
Hinweis:
-
Sie müssen Datenverkehr zur junipersecurity.net-Domain auf den Ports 8444 und 7444 zulassen, da die TPM-basierten Zertifikate (Trusted Platform Module) für Verbindungen zwischen der SRX-Serie Firewall und Juniper ATP-Cloud verwendet werden. Informationen dazu, ob eine Funktion von einer bestimmten Plattform oder Version von Junos OS unterstützt wird, finden Sie unter Feature-Explorer. Weitere Informationen zur Verwendung von TPM auf Firewalls der SRX-Serie finden Sie unter Übersicht über das Trusted Platform Module.
-
Für neu registrierte TPM- und Nicht-TPM-basierte Geräte darf der Datenverkehr in die junipersecurity.net Domäne nur über Port 443 zugelassen werden.
-
Erstellt lokale Zertifikate und registriert diese Zertifikate beim Cloud-Server
-
Führt eine grundlegende Juniper ATP Cloud-Konfiguration auf der Firewall der SRX-Serie durch
-
Stellt eine sichere Verbindung zum Cloud-Server her
Hinweis:
-
Juniper ATP Cloud erfordert, dass sowohl Ihre Routing-Engine (Control Plane) als auch Ihre Packet Forwarding Engine (Data Plane) eine Verbindung zum Internet herstellen können.
-
Die Data-Plane-Verbindung sollte nicht von der Management- oder Loopback-Schnittstelle wie fxp0 oder lo0 bezogen werden. Sie müssen keine Ports auf der Firewall der SRX-Serie öffnen, um mit dem Cloud-Server zu kommunizieren. Wenn Sie jedoch ein Gerät in der Mitte haben, z. B. eine Firewall, muss Port 443 für dieses Gerät geöffnet sein.
-
Die Firewall der SRX-Serie verwendet die standardmäßige inet.0-Routing-Tabelle und eine Schnittstelle von inet.0 als Quellschnittstelle für die Verbindung der Control-Plane zwischen der Firewall der SRX-Serie und der Juniper ATP Cloud. Wenn die einzige mit dem Internet verbundene Schnittstelle der Firewall der SRX-Serie Teil einer Routing-Instance ist, wird empfohlen, eine statische Route hinzuzufügen, die auf die Routing-Instance verweist. Andernfalls kann die Steuerverbindung nicht hergestellt werden.
-
Juniper ATP Cloud erfordert, dass der Hostname der Firewall der SRX-Serie nur alphanumerische ASCII-Zeichen (a-z, A-Z, 0-9), das Unterstrich-Symbol (_) und das Bindestrich-Symbol (-) enthält.
Für Firewalls der Serien SRX300, SRX320, SRX340, SRX345, SRX380 und SRX550 müssen Sie den set security forwarding-process enhanced-services-mode Befehl ausführen und das Gerät neu starten, bevor Sie das Op-Skript ausführen oder bevor Sie den request services advanced-anti-malware enroll Befehl ausführen.
So laden Sie die Juniper ATP-Cloud-Skripte herunter und führen sie aus:
Hinweis:
Ab Junos OS Version 19.3R1 können Sie den request services advanced-anti-malware enroll Befehl auf der Firewall der SRX-Serie verwenden, um ein Gerät beim Juniper ATP-Cloud-Webportal zu registrieren. Mit diesem Befehl müssen Sie keine Registrierungsaufgaben im Webportal ausführen. Die gesamte Registrierung erfolgt über die CLI der Firewall der SRX-Serie. Siehe Registrieren einer Firewall der SRX-Serie über die CLI.
- Klicken Sie in der Webbenutzeroberfläche auf Geräte und dann auf Registrieren.
Das Fenster Registrieren wird angezeigt. Siehe Abbildung 1.
Abbildung 1: Registrierung der Firewall
der SRX-Serie
- Kopieren Sie den markierten Inhalt in die Zwischenablage und klicken Sie auf OK.
Hinweis:
Bei der Registrierung von Geräten generiert die Juniper ATP-Cloud für jede Anfrage ein eigenes Op-Skript. Jedes Mal, wenn Sie auf Enrollklicken, erhalten Sie leicht andere Parameter im Op-Skript. Der Screenshot oben ist nur ein Beispiel. Kopieren Sie das obige Beispiel nicht auf Ihre Firewall der SRX-Serie. Kopieren Sie stattdessen die Ausgabe, die Sie von Ihrer Web-Benutzeroberfläche erhalten, und verwenden Sie sie, um Ihre Firewalls der SRX-Serie zu registrieren.
- Fügen Sie diesen Befehl in die Junos OS CLI der Firewall der SRX-Serie ein, die Sie bei der Juniper ATP-Cloud registrieren möchten. Drücken Sie Enter. Ihr Bildschirm sieht für TPM-basierte und nicht TPM-basierte Geräte in etwa wie folgt aus:
-
Skript für TPM-basierte Geräte:
request services advanced-anti-malware enroll https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/enroll/mt8zlb8xwl0vmg5x/8tajwglnz54sdhkn.slax
Platform is supported by ATP Cloud: SRX2300.
Version 25.4I-20250731.0.1357 is valid for bootstrapping.
Junos version 25.4I-20250731.0.1357 supports https endpoints.
Image Version: 25.4I-20250731.0.1357...
TPM supported device detected.
Junos version 25.4I-20250731.0.1357 supports TPM.
Going to enroll single device for SRX2300: <device_SSRN> with hostname <device_name>.
Application Signature DB version on this device is: 3825 (Minor). Using latest version of Application Signature DB is recommended.
Remove related security-intelligence service configurations...
Remove related advanced-anti-malware service configurations...
Remove related SSL service configurations...
Remove related PKI configurations...
Clear local certificate aamw-srx-cert...
Clear key pair: aamw-srx-cert...
Clear CA profile aamw-cloud-ca...
Clear CA profile aamw-secintel-ca...
Building aws certificates...
Configure aws CA...
Load aws CA...
Communicate with cloud...
License type for this device: premium.
License of your device will expire in 310 days.
Configuration added successfully for SSL crypto hardware.
Configure CA aamw-ca...
Request aamw-secintel-ca CA...
Wait aamw-secintel-ca CA download status...
Load aamw-secintel-ca CA...
Request aamw-cloud-ca CA...
Wait aamw-cloud-ca CA download status...
Load aamw-cloud-ca CA...
CA certificate ready: aamw-cloud-ca...
CA certificate ready: aamw-secintel-ca...
Configure SSL service...
Configuration added successfully for SSL service.
Configure advanced-anti-malware service...
Configuration added successfully for advanced-anti-malware service.
Configure security-intelligence service...
Configuration added successfully for security-intelligence service.
Check configuration on device...
SSL profile: [OK]
SecIntel CA: [OK]
Cloud CA: [OK]
TPM: [OK]
Client cert found: [OK]
SSL profile action: [OK]
URL for advanced-anti-malware: [OK]
Profile for advanced-anti-malware: [OK]
URL for security-intelligence: [OK]
Profile for security-intelligence: [OK]
All configurations are correct for enrollment.
Communicate with cloud...
Wait for aamw connection status...
Device enrolled successfully!
Please see following links for more information:
ATP Cloud sample config:
https://www.juniper.net/documentation/en_US/release-independent/sky-atp/topics/example/configuration/sky-atp-policy-creating-cli.html
ATP Cloud quick start guide:
http://www.juniper.net/documentation/en_US/release-independent/sky-atp/information-products/topic-collections/sky-atp-qsg.pdf
ATP Cloud technical documents:
http://www.juniper.net/documentation/en_US/release-independent/sky-atp/information-products/pathway-pages/index.html
It is recommended to run diagnostic process with the following cli command to make sure all configurations are valid:
request services advanced-anti-malware diagnostics srxapi.preprod.sky.junipersecurity.net detail
Dieses Skript führt die folgenden Prüfungen und Konfigurationen durch, um die Konnektivität mit der Juniper ATP-Cloud sicherzustellen:
Erkennen, ob die Firewall der SRX-Serie eine TPM-unterstützte Plattform ist
Überprüfen Sie, ob die Junos OS-Version HTTPS-Endpunkte unterstützt.
Identifizieren des Gerätetyps (Standalone oder Chassis-Cluster)
Entfernen Sie alle vorhandenen Konfigurationen im Zusammenhang mit der Juniper ATP-Cloud-Registrierung bei SecIntel, AAMW, SSL und PKI
Löschen lokaler Zertifikate und CA-Profile
Konfigurieren und Laden von Zertifikaten über eine HTTPS-Verbindung von AWS
Stellen Sie eine Verbindung zur Cloud her, um Zertifikate abzurufen
Überprüfen Sie die Lizenzdetails
Konfiguration für SSL-Krypto-Hardware hinzufügen
Laden Sie CA- und Gerätezertifikate herunter
Laden von SecIntel- und AAMW-Cloud-Zertifikaten
Wiederherstellen zuvor entfernter Konfigurationen (SecIntel, AAMW, SSL und PKI)
Bestätigen der Änderungen und Überprüfen der Konfiguration (SSL-Profil, TPM, AAMW-Profil)
Sobald alle Konfigurationen verifiziert sind, stellt die Firewall der SRX-Serie eine Verbindung mit der Cloud her. Eine Meldung gibt an, dass das Gerät erfolgreich registriert wurde.
-
Skript für nicht TPM-basierte Geräte:
request services advanced-anti-malware enroll https://amer.sky.junipersecurity.net/v2/skyatp/ui_api/bootstrap/enroll/mt8zlb8xwl0vmg5x/8tajwglnz54sdhkn.slax
Platform is supported by ATP Cloud: VSRX.
Version 25.4I-20251117.0.1931 is valid for bootstrapping.
Junos version 25.4I-20251117.0.1931 supports https endpoints.
Enrolling with ATP Cloud license serial number: 060620220302-n41jy.
Going to enroll single device for VSRX: 106616265e0d@060620220302-n41jy with hostname argon-vsrx-01.
Application Signature DB version on this device is: 3814 (Major). Using latest version of Application Signature DB is recommended.
Remove related security-intelligence service configurations...
Remove related advanced-anti-malware service configurations...
Remove related SSL service configurations...
Remove related PKI configurations...
Clear local certificate aamw-srx-cert...
Clear key pair: aamw-srx-cert...
Clear CA profile aamw-cloud-ca...
Clear CA profile aamw-secintel-ca...
Building aws certificates...
Configure aws CA...
Load aws CA...
Communicate with cloud...
License type for this device: premium.
License of your device will expire in 215 days.
Configure CA aamw-ca...
Request aamw-secintel-ca CA...
Wait aamw-secintel-ca CA download status...
Load aamw-secintel-ca CA...
Request aamw-cloud-ca CA...
Wait aamw-cloud-ca CA download status...
Load aamw-cloud-ca CA...
Retrieve CA profile aamw-ca...
CA certificate ready: aamw-ca...
CA certificate ready: aamw-cloud-ca...
CA certificate ready: aamw-secintel-ca...
Generate key pair: aamw-srx-cert...
Enroll local certificate aamw-srx-cert with CA server...
Configure SSL service...
Configuration added successfully for SSL service.
Configure advanced-anti-malware service...
Configuration added successfully for advanced-anti-malware service.
Configure security-intelligence service...
Configuration added successfully for security-intelligence service.
Check configuration on device...
SSL profile: [OK]
SecIntel CA: [OK]
Cloud CA: [OK]
Client cert found: [OK]
SSL profile action: [OK]
URL for advanced-anti-malware: [OK]
Profile for advanced-anti-malware: [OK]
URL for security-intelligence: [OK]
Profile for security-intelligence: [OK]
All configurations are correct for enrollment.
Communicate with cloud...
Wait for aamw connection status...
Device enrolled successfully!
Please see following links for more information:
ATP Cloud sample config:
https://www.juniper.net/documentation/en_US/release-independent/sky-atp/topics/example/configuration/sky-atp-policy-creating-cli.html
ATP Cloud quick start guide:
http://www.juniper.net/documentation/en_US/release-independent/sky-atp/information-products/topic-collections/sky-atp-qsg.pdf
ATP Cloud technical documents:
http://www.juniper.net/documentation/en_US/release-independent/sky-atp/information-products/pathway-pages/index.html
It is recommended to run diagnostic process with the following cli command to make sure all configurations are valid:
request services advanced-anti-malware diagnostics srxapi.preprod.sky.junipersecurity.net detail
Dieses Skript führt die folgenden Prüfungen und Konfigurationen durch, um die Konnektivität mit der Juniper ATP-Cloud sicherzustellen:
Erkennen, ob die Firewall der SRX-Serie eine TPM-unterstützte Plattform ist
Überprüfen Sie, ob die Junos OS-Version HTTPS-Endpunkte unterstützt.
Identifizieren des Gerätetyps (Standalone oder Chassis-Cluster)
Entfernen Sie alle vorhandenen Konfigurationen im Zusammenhang mit der Juniper ATP-Cloud-Registrierung bei SecIntel, AAMW, SSL und PKI
Löschen lokaler Zertifikate und CA-Profile
Konfigurieren und Laden von Zertifikaten über eine HTTPS-Verbindung von AWS
Stellen Sie eine Verbindung zur Cloud her, um Zertifikate abzurufen
Überprüfen Sie die Lizenzdetails
Laden Sie CA- und Gerätezertifikate herunter
Laden von SecIntel- und AAMW-Cloud-Zertifikaten
Wiederherstellen zuvor entfernter Konfigurationen (SecIntel, AAMW, SSL und PKI)
Bestätigen der Änderungen und Überprüfen der Konfiguration (SSL-Profil, TPM, AAMW-Profil)
Sobald alle Konfigurationen verifiziert sind, stellt die Firewall der SRX-Serie eine Verbindung mit der Cloud her. Eine Meldung gibt an, dass das Gerät erfolgreich registriert wurde.
- Klicken Sie im Juniper ATP-Cloud-Webportal auf Geräte.
Die Firewall der SRX-Serie, die Sie registriert haben, wird jetzt in der Tabelle angezeigt. Siehe Abbildung 2.
Abbildung 2: Beispiel für eine registrierte Firewall
der SRX-Serie
- (optional) Verwenden Sie die Schaltfläche
show services advanced-anti-malware status CLI-Befehl, um zu überprüfen, ob die Verbindung zum Cloud-Server von der Firewall der SRX-Serie hergestellt wurde. Ihre Ausgabe sieht in etwa wie folgt aus.
show services advanced-anti-malware status
Server connection status:
Server hostname: https://amer.sky.junipersecurity.net/ Server port: 443
Control Plane:
Connection Time: 2015-11-23 12:09:55 PST
Connection Status: Connected
Service Plane:
fpc0
Connection Active Number: 0
Connection Failures: 0
Nach der Konfiguration kommuniziert die Firewall der SRX-Serie mit der Cloud über mehrere persistente Verbindungen, die über einen sicheren Kanal (TLS 1.2) hergestellt werden. Die Firewall der SRX-Serie wird mit SSL-Client-Zertifikaten authentifiziert.
Wie bereits erwähnt, führt das Skript die grundlegende Konfiguration der Juniper ATP-Cloud auf der Firewall der SRX-Serie durch. Zu diesen Konfigurationen gehören:
Hinweis:
Sie sollten die folgenden Beispiele nicht kopieren und auf Ihrer Firewall der SRX-Serie ausführen. Die Liste hier soll Ihnen einfach zeigen, was vom Op-Skript konfiguriert wird. Wenn Probleme auftreten, z. B. Zertifikate, führen Sie das Op-Skript erneut aus.
-
Erstellen eines Standardprofils.
-
Herstellen einer gesicherten Verbindung zum Cloud-Server. Im Folgenden sehen Sie ein Beispiel. Ihre genaue URL wird durch Ihre geografische Region bestimmt. Siehe Tabelle.
Tabelle 1: Kundenportal-URLs
| Lage |
URL des Kundenportals |
| USA |
Kundenportal: https://amer.sky.junipersecurity.net |
| Europäische Union |
Kundenportal: https://euapac.sky.junipersecurity.net |
| APAC |
Kundenportal: https://apac.sky.junipersecurity.net |
| Kanada |
Kundenportal: https://canada.sky.junipersecurity.net |
set services advanced-anti-malware connection url
https://amer.sky.junipersecurity.net (this URL is only an example and will not work for all locations).
set services advanced-anti-malware connection authentication tls-profile aamw-ssl
-
Konfigurieren des SSL-Proxys.
set services ssl initiation profile aamw-ssl trusted-ca aamw-secintel-ca
set services ssl initiation profile aamw-ssl client-certificate aamw-srx-cert
set services security-intelligence authentication tls-profile aamw-ssl
set services advanced-anti-malware connection authentication tls-profile aamw-ssl
set services ssl initiation profile aamw-ssl trusted-ca aamw-cloud-ca
-
Konfigurieren der Cloud-Feeds (Zulassungslisten, Sperrlisten usw.)
set services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/
api/manifest.xml
set services security-intelligence authentication tls-profile aamw-ssl
Juniper ATP Cloud verwendet SSL Forward Proxy als Client- und Server-Authentifizierung. Anstatt das Signaturzertifikat und die Zertifikate des Ausstellers in die Trusted-Ca-Liste der Clientbrowser zu importieren, generiert der SSL-Forward-Proxy jetzt eine Zertifikatskette und sendet diese Zertifikatskette an die Clients. Durch die Zertifikatverkettung entfällt die Notwendigkeit, die Signaturzertifikate des SSL-Weiterleitungsproxys an die Clients zu verteilen, da Clients dem SSL-Weiterleitungsproxyzertifikat jetzt implizit vertrauen können.
Die folgenden CLI-Befehle laden das lokale Zertifikat in den PKID-Cache bzw. die Zertifikatskette in den CA-Zertifikatcache in PKID.
request security pki local-certificate load filename ssl_proxy_ca.crt key sslserver.key certificate-id ssl-inspect-ca
request security pki ca-certificate ca-profile-group load ca-group-name ca-group-name filename certificate-chain
Wobei:
| ssl_proxy_ca.crt (Signing certificate) |
Ist das SSL-Proxy-Weiterleitungszertifikat, das vom Administrator oder von der Zwischen-CA signiert wurde. |
| sslserver.key |
ist das Schlüsselpaar. |
| ssl-inspect-ca |
Die Zertifikats-ID, die der SSL-Weiterleitungsproxy bei der Konfiguration der Stammzertifizierungsstelle im SSL-Weiterleitungsproxyprofil verwendet. |
| certificate-chain |
Die Datei, die die Zertifikatskette enthält. |
Im Folgenden finden Sie ein Beispiel für die Verkettung von SSL-Proxyzertifikaten, die vom op-Skript verwendet wird.
request security pki local-certificate enroll certificate-id aamw-srx-cert ca-profile aamw-ca challenge-password *** subject CN=4rrgffbtew4puztj:model:sn email email-address
request security pki ca-certificate enroll ca-profile aamw-ca
Beachten Sie, dass Sie die Firewall der SRX-Serie nicht bei der Juniper ATP-Cloud registrieren können, wenn sich die Firewall der SRX-Serie aufgrund einer PKI-Einschränkung im FIPS-Modus befindet.
Informationen zum Überprüfen Ihrer Zertifikate finden Sie unter Fehlerbehebung bei Juniper Advanced Threat Prevention Cloud: Überprüfen von Zertifikaten. Es wird empfohlen, das Op-Skript erneut auszuführen, wenn Zertifikatprobleme auftreten.
