Juniper ATP-Cloud-Skript herunterladen und ausführen
Die Juniper ATP-Cloud verwendet ein Junos OS-Op-Skript, mit dem Sie Ihre Firewall der SRX-Serie für die Verbindung mit dem Juniper ATP-Cloud-Service konfigurieren können. Dieses Skript führt die folgenden Aufgaben aus:
-
Lädt Lizenzen von Zertifizierungsstellen (CAs) auf Ihre Firewall der SRX-Serie herunter und installiert sie.
Anmerkung:Sie müssen Datenverkehr zur junipersecurity.net Domäne über die Ports 8444 und 7444 zulassen, da die auf dem Trusted Platform Module (TPM) basierenden Zertifikate für Verbindungen zwischen der SRX-Serie Firewall und der Juniper ATP-Cloud verwendet werden. Für neu registrierte TPM- und Nicht-TPM-basierte Geräte darf der Datenverkehr nur an Port 443 zur junipersecurity.net Domäne zugelassen werden. Informationen dazu, ob eine Funktion von einer bestimmten Plattform oder Version von Junos OS unterstützt wird, finden Sie im Funktions-Explorer. Weitere Informationen zur Verwendung von TPM auf Firewalls der SRX-Serie finden Sie unter Verwenden des Trusted Platform Module zum Binden von Geheimnissen auf Firewalls der SRX-Serie.
Erstellt lokale Zertifikate und registriert diese Zertifikate beim Cloud-Server
Führt die grundlegende Juniper ATP-Cloud-Konfiguration auf der Firewall der SRX-Serie aus
Stellt eine sichere Verbindung zum Cloud-Server her
-
Juniper ATP Cloud erfordert, dass sowohl Ihre Routing-Engine (Control Plane) als auch Ihre Packet Forwarding Engine (Data Plane) eine Verbindung zum Internet herstellen können.
-
Die Data Plane-Verbindung sollte nicht von der Verwaltungs- oder Loopbackschnittstelle stammen, z. B. fxp0 oder lo0. Sie müssen keine Ports an der Firewall der SRX-Serie öffnen, um mit dem Cloud-Server zu kommunizieren. Wenn sich jedoch ein Gerät in der Mitte befindet, z. B. eine Firewall, muss für dieses Gerät Port 443 geöffnet sein.
-
Die Firewall der SRX-Serie verwendet die standardmäßige Routing-Tabelle inet.0 und einen Schnittstellenteil von inet.0 als Quellschnittstelle für die Verbindung der Control-Plane-Verbindung von der Firewall der SRX-Serie zur Juniper ATP-Cloud. Wenn die einzige mit dem Internet verbundene Schnittstelle auf der Firewall der SRX-Serie Teil einer Routing-Instanz ist, empfehlen wir, eine statische Route hinzuzufügen, die auf die Routing-Instanz verweist. Andernfalls kann die Steuerverbindung nicht hergestellt werden.
-
Juniper ATP-Cloud erfordert, dass der Hostname Ihrer Firewall der SRX-Serie nur alphanumerische ASCII-Zeichen (a-z, A-Z, 0-9), den Unterstrich (_) und den Bindestrich (-) enthält.
Für Firewalls der Serien SRX300, SRX320, SRX340, SRX345, SRX380 und SRX550 müssen Sie den set security forwarding-process enhanced-services-mode Befehl ausführen und das Gerät neu starten, bevor Sie das Op-Skript oder den request services advanced-anti-malware enroll Befehl ausführen.
set security forwarding-process enhanced-services-mode
So laden Sie die Juniper ATP-Cloud-Skripte herunter und führen sie aus:
Ab Junos OS Version 19.3R1 können Sie den Befehl auf der request services advanced-anti-malware enroll Firewall der SRX-Serie verwenden, um ein Gerät beim Juniper ATP-Cloud-Webportal zu registrieren. Mit diesem Befehl müssen Sie keine Registrierungsaufgaben im Webportal ausführen. Die gesamte Registrierung erfolgt über die CLI der Firewall der SRX-Serie. Weitere Informationen finden Sie unter Registrieren einer Firewall der SRX-Serie mithilfe der CLI.
- Klicken Sie in der Webbenutzeroberfläche auf Geräte , und klicken Sie dann auf Registrieren.
Das Fenster Registrieren wird angezeigt. Siehe Abbildung 1.
Abbildung 1: Registrieren der Firewall
der SRX-Serie
- Klicken Sie im Juniper ATP-Cloud-Webportal auf Geräte.
Die registrierte Firewall der SRX-Serie wird jetzt in der Tabelle angezeigt. Siehe Abbildung 2.
Abbildung 2: Beispiel für eine Firewall
der SRX-Serie
Nach der Konfiguration kommuniziert die Firewall der SRX-Serie über mehrere, dauerhafte Verbindungen, die über einen sicheren Kanal (TLS 1.2) hergestellt werden, mit der Cloud. Die Firewall der SRX-Serie wird mithilfe von SSL-Client-Zertifikaten authentifiziert.
Wie bereits erwähnt, führt das Skript die grundlegende Juniper ATP-Cloud-Konfiguration auf der Firewall der SRX-Serie durch. Zu diesen Konfigurationen gehören:
Sie sollten die folgenden Beispiele nicht kopieren und auf Ihrer Firewall der SRX-Serie ausführen. Die Liste hier soll Ihnen lediglich zeigen, was vom Op-Skript konfiguriert wird. Wenn Probleme auftreten, z. B. bei Zertifikaten, führen Sie das op-Skript erneut aus.
-
Erstellen eines Standardprofils
-
Herstellen einer gesicherten Verbindung zum Cloud-Server. Im Folgenden finden Sie ein Beispiel. Die genaue URL hängt von Ihrer geografischen Region ab. Siehe Tabelle.
Tabelle 1: Kundenportal-URLs Ort
Kundenportal-URL
USA
Kundenportal: https://amer.sky.junipersecurity.net
Europäische Union
Kundenportal: https://euapac.sky.junipersecurity.net
APAC
Kundenportal: https://apac.sky.junipersecurity.net
Kanada
Kundenportal: https://canada.sky.junipersecurity.net
set services advanced-anti-malware connection url https://amer.sky.junipersecurity.net (this URL is only an example and will not work for all locations). set services advanced-anti-malware connection authentication tls-profile aamw-ssl
-
Konfigurieren des SSL-Proxys.
set services ssl initiation profile aamw-ssl trusted-ca aamw-secintel-ca set services ssl initiation profile aamw-ssl client-certificate aamw-srx-cert set services security-intelligence authentication tls-profile aamw-ssl set services advanced-anti-malware connection authentication tls-profile aamw-ssl set services ssl initiation profile aamw-ssl trusted-ca aamw-cloud-ca
-
Konfigurieren der Cloud-Feeds (Zulassungslisten, Blocklisten usw.)
set services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/ api/manifest.xml set services security-intelligence authentication tls-profile aamw-ssl
Juniper ATP Cloud verwendet SSL Forward Proxy als Client- und Serverauthentifizierung. Anstatt das Signaturzertifikat und die Zertifikate des Ausstellers in die Liste der vertrauenswürdigen Zertifizierungsstellen der Clientbrowser zu importieren, generiert der SSL-Weiterleitungsproxy nun eine Zertifikatskette und sendet diese Zertifikatskette an die Clients. Durch die Zertifikatverkettung entfällt die Notwendigkeit, die Signaturzertifikate des SSL-Weiterleitungsproxys an die Clients zu verteilen, da Clients dem SSL-Weiterleitungsproxyzertifikat nun implizit vertrauen können.
Mit den folgenden CLI-Befehlen wird das lokale Zertifikat in den PKID-Cache bzw. die Zertifikatskette in den CA-Zertifikatcache in PKID geladen.
user@root> request security pki local-certificate load filename ssl_proxy_ca.crt key sslserver.key certificate-id ssl-inspect-causer@root> request security pki ca-certificate ca-profile-group load ca-group-name ca-group-name filename certificate-chainWo:
| ssl_proxy_ca.crt (Signing certificate) | Ist das SSL-Forward-Proxyzertifikat, das vom Administrator oder von der zwischengeschalteten Zertifizierungsstelle signiert wurde. |
| sslserver.key | ist das Schlüsselpaar. |
| ssl-inspect-ca | Die Zertifikat-ID, die der SSL-Weiterleitungsproxy bei der Konfiguration der Stammzertifizierungsstelle im SSL-Weiterleitungsproxyprofil verwendet. |
| certificate-chain | Die Datei, die die Zertifikatskette enthält. |
Im Folgenden finden Sie ein Beispiel für die SSL-Proxy-Zertifikatverkettung, die vom op-Skript verwendet wird.
request security pki local-certificate enroll certificate-id aamw-srx-cert ca-profile aamw-ca challenge-password *** subject CN=4rrgffbtew4puztj:model:sn email email-addressrequest security pki ca-certificate enroll ca-profile aamw-ca
Beachten Sie, dass Sie die Firewall der SRX-Serie aufgrund einer PKI-Einschränkung nicht bei Juniper ATP-Cloud registrieren können, wenn sich die Firewall der SRX-Serie im FIPS-Modus befindet.
Informationen zum Überprüfen Ihrer Zertifikate finden Sie unter Fehlerbehebung bei Juniper Advanced Threat Prevention Cloud: Prüfen von Zertifikaten. Es wird empfohlen, das Op-Skript erneut auszuführen, wenn Zertifikatsprobleme auftreten.