Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Erste Schritte mit JATP und geräten der SRX-Serie

Dies sind grundlegende Einrichtungsanweisungen für die Verwendung des Services Gateways der SRX-Serie mit JATP (für diejenigen, die mit SRX weniger vertraut sind). Weitere Konfigurationsinformationen wie E-Mail-Überprüfung, infizierte Hosts und Anzeigen von Vorfällen finden Sie im Übrigen des Integrationsdokuments.

Konfiguration des Geräts der SRX-Serie zu Beginn

Erstkonfiguration

So beginnen Sie mit der Verwendung des Geräts der SRX-Serie:

  1. Laden Sie die Werkseinstellungen.

    load factory-default

  2. Legen Sie das Stammkennwort fest.

    set system root-authentication <password>

  3. Legen Sie den Hostnamen fest.

    set system host-name <hostname>

  4. Konfiguration bestätigen. Sobald Sie sich committen, sollten Sie den Hostnamen in der Eingabeaufforderung sehen.

    commit

Konfiguration von Schnittstellen und einer Standardroute

Konfigurieren Sie auf dem Gerät der SRX-Serie Schnittstellen und den Standardpfad. (Für die folgenden Anweisungen sind dies generische Beispiele. Bitte fügen Sie Ihre eigenen Adressen und Schnittstellen ein:

  1. Geben Sie die folgenden Befehle für Schnittstellen ein:

    set interfaces ge-0/0/2 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/4 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/5 unit 0 family inet address x.x.x.x/x

  2. Geben Sie folgendes ein, um die Standardroute zu konfigurieren:

    set routing-options static route 0.0.0.0/0 next-hop x.x.x.x

Konfigurieren von Sicherheitszonen

Das Gerät der SRX-Serie ist eine zonenbasierte Firewall. Sie müssen jede Schnittstelle einer Zone zuweisen, um datenverkehrsdurchzuleiten: Geben Sie zum Konfigurieren von Sicherheitszonen folgende Befehle ein:

set security zones security-zone untrust interfaces ge-0/0/2.0

set security zones security-zone untrust interfaces ge-0/0/5.0

set security zones security-zone trust host-inbound-traffic system-services all

set security zones security-zone trust host-inbound-traffic protocols all

set security zones security-zone trust interfaces ge-0/0/4.0

DNS konfigurieren

Konfigurieren Sie DNS auf dem Gerät der SRX-Serie mit den folgenden Befehlen:

set groups global system name-server x.x.x.x

set groups global system name-server x.x.x.x

NTP konfigurieren

Konfigurieren Sie NTP auf dem Gerät der SRX-Serie mit den folgenden Befehlen:

set groups global system processes ntp enable

set groups global system ntp boot-server x.x.x.x

set groups global system ntp server x.x.x.x

Auf JATP: Melden Sie sich bei der Web-Benutzeroberfläche an, und melden Sie sich für Geräte der SRX-Serie an

Registrieren Sie das Gerät der SRX-Serie für die JATP-Weboberfläche

Die Registrierung stellt eine sichere Verbindung zwischen JATP und dem Gerät der SRX-Serie her. Es führt auch grundlegende Konfigurationsaufgaben aus, wie z. B.:

  • Lädt Zertifikatsautoritätslizenzen (Certificate Authority, CAs) auf Ihrem Gerät der SRX-Serie herunter und installiert sie

  • Erstellt lokale Zertifikate und registriert sie mit JATP

  • Stellt eine sichere Verbindung zu JATP her

Warnung:

Wenn Sie ein benutzerdefiniertes SSL-Zertifikat mit JATP verwenden, müssen Sie das CA-Paket mit einem CA-Zertifikat hochladen, das das JATP-Zertifikat validiert, bevor Sie sich für Geräte der SRX-Serie anmelden. Dies gilt NUR, wenn Sie ein benutzerdefiniertes SSL-Zertifikat verwenden. Anweisungen finden Sie im Leitfaden des ATP-Betreibers von Juniper . Suchen Sie nach der Überschrift "Zertifikate verwalten". Gehen Sie anschließend zu den Anweisungen zur Anmeldung.
Warnung:

Wenn bereits Geräte der SRX-Serie bei JATP registriert sind und Sie das Zertifikat ändern (von Standard auf benutzerdefinierte oder umgekehrt), müssen Sie alle Geräte der SRX-Serie neu registrieren.
Warnung:

Überlegungen und Anforderungen der Netzwerkumgebung

  • Es ist erforderlich, dass sowohl Ihre Routing-Engine (Steuerungsebene) als auch die Packet Forwarding Engine (Datenebene) eine Verbindung zur Juniper ATP Appliance herstellen können. (Die Packet Forwarding Engine und die Routing-Engine arbeiten unabhängig, kommunizieren aber ständig über eine interne Verbindung mit 100 Mbit/s. Diese Anordnung bietet eine optimierte Weiterleitungs- und Routing-Steuerung und die Möglichkeit, Internet-Scale-Netzwerke mit hohen Geschwindigkeiten auszuführen. Weitere Informationen finden Sie in der Junos-Dokumentation von Juniper Networks.)

  • Sie müssen keine Ports auf dem Gerät der SRX-Serie öffnen, um mit JATP zu kommunizieren. Wenn Sie jedoch ein Gerät in der Mitte haben, z. B. eine Firewall, muss dieses Gerät Port 443 offen haben.

  • Sie können FXP0-Schnittstellen nicht für die Kommunikation mit JATP verwenden. Sie müssen eine separate Schnittstelle für den Umsatz verwenden.

  • Wenn Sie Adressen im selben Subnetz für die JATP-Verwaltung und die Verwaltung der SRX-Serie verwenden, müssen Sie eine virtuelle Routerinstanz verwenden, um die Verwaltungs- und Umsatzschnittstellen zu trennen. Wenn sich die Adressen der JATP-Verwaltung und der über FXP0 konfigurierten Verwaltung der SRX-Serie in verschiedenen Subnetzen befinden, müssen Sie keine zusätzliche virtuelle Routerinstanz konfigurieren. Beachten Sie, dass der Datenverkehr über die für die JATP-Verwaltung konfigurierte Umsatzschnittstelle geroutet werden muss.

  • Wenn Sie JATP über einen VPN-Tunnel registrieren, muss es sich um einen benannten Tunnel handelt. JATP erwartet eine IP-Adresse an der Schnittstelle. Daher müssen Sie eine IP-Adresse auf der VPN-Tunnelschnittstelle konfigurieren, bevor Sie das OP URL-Skript ausführen, um das Gerät der SRX-Serie zu registrieren. Andernfalls schlägt die Registrierung fehl.

  • Für die Integration der SRX-Serie in JATP sind API-Schlüssel erforderlich, um das Registrierungsskript (op url) zu generieren. Die JATP-Benutzeroberfläche ermöglicht nur das Generieren von API-Schlüsseln für lokale Benutzer. Wenn Sich Benutzer mit radius authentifizieren und versuchen, ein Registrierungsskript zur Registrierung eines Geräts der SRX-Serie zu generieren, schlägt dies fehl, da der Remotebenutzer keinen API-Schlüssel hat. Als Problemumgehung können Sie sich mit lokalen Anmeldeinformationen (https://<JATP IP>/cyadmin/?local_login) bei der JATP-Benutzeroberfläche anmelden und mit den anweisungen unten fortfahren. Wenn ihre Netzwerkrichtlinie lokalen Benutzern keine Möglichkeit gibt, gibt es keine Problemumgehung für dieses Problem.

Gehen Sie wie folgt vor, um sich für ein Gerät der SRX-Serie mit JATP anzumelden:

  1. Über die JATP-Web-Benutzeroberfläche müssen Sie den API-Schlüssel für den Admin-Benutzer aktivieren. Dies wird für die Registrierung des Geräts der SRX-Serie verwendet. Navigieren Sie auf der Registerkarte Konfiguration zu Systemprofil > Benutzer. Wählen Sie den Admin-Benutzer für JATP aus, und aktivieren Sie das Kontrollkästchen Neuen API-Schlüssel generieren . Klicken Sie auf Benutzer aktualisieren.

  2. Navigieren Sie auf der Registerkarte Konfiguration zu > Systemprofil > SRX-Einstellungen, und klicken Sie oben rechts auf der Seite auf die Registrierungs-URL-Schaltfläche. Es wird ein Bildschirm mit dem Registrierungsbefehl angezeigt.

  3. Kopieren Sie den gesamten Registrierungsbefehl in die Zwischenspeicherung, und klicken Sie auf OK.

  4. Fügen Sie den Befehl in die Junos OS CLI des Geräts der SRX-Serie ein, das Sie für JATP registrieren möchten, und drücken Sie die Taste Enter.

    Hinweis:

    (Optional) Überprüfen Sie mithilfe des show services advanced-anti-malware status CLI-Befehls, ob über das Gerät der SRX-Serie eine Verbindung zu JATP hergestellt wird.

    Nach der Konfiguration kommuniziert das Gerät der SRX-Serie über mehrere dauerhafte Verbindungen über einen sicheren Kanal (TLS 1.2) mit JATP und das Gerät der SRX-Serie wird mithilfe von SSL-Clientzertifikaten authentifiziert.

Verwenden Sie die Schaltfläche Löschen auf der Seite JATP SRX-Einstellungen , um das Gerät der SRX-Serie zu entfernen, das sich derzeit für JATP registriert hat. Um auf die Schaltfläche Löschen zuzugreifen, klicken Sie links neben dem Gerätenamen auf den Pfeil, um die Geräteinformationen zu erweitern.

Verwenden Sie das Feld Suchen am oberen Rand der Seite, um nach registrierten Geräten in der Liste nach Seriennummer zu suchen.

Auf dem Gerät der SRX-Serie: Konfigurieren von Sicherheitsrichtlinien

Konfigurieren der Anti-Malware-Richtlinie

Geben Sie auf dem Gerät der SRX-Serie die folgenden Befehle ein, um die Anti-Malware-Richtlinie zu erstellen und zu konfigurieren. (Beachten Sie, dass hier Befehle für SMTP und IMAP enthalten sind):)

set services advanced-anti-malware policy aamw-policy http inspection-profile default

set services advanced-anti-malware policy aamw-policy http action permit

set services advanced-anti-malware policy aamw-policy http notification log

set services advanced-anti-malware policy aamw-policy smtp inspection-profile default

set services advanced-anti-malware policy aamw-policy smtp notification log

set services advanced-anti-malware policy aamw-policy imap inspection-profile default

set services advanced-anti-malware policy aamw-policy imap notification log

set services advanced-anti-malware policy aamw-policy fallback-options notification log

set services advanced-anti-malware policy aamw-policy default-notification log

Konfigurieren Sie den SSL Forward Proxy

SSL Forward Proxy ist erforderlich, um Dateien von HTTPS-Datenverkehr auf der Datenebene zu erfassen.

  1. Generieren Sie auf dem Gerät der SRX-Serie das lokale Zertifikat.

    request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa

    request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net

  2. Laden Sie die vertrauenswürdigen Stamm-CA-Profile.

    request security pki ca-certificate ca-profile-group load ca-group-name trusted-ca-* filename default

  3. Geben Sie die folgenden Befehle ein, um den SSL-Forward-Proxy zu konfigurieren.

    set services ssl proxy profile ssl-inspect-profile-dut root-ca ssl-inspect-ca

    set services ssl proxy profile ssl-inspect-profile-dut actions log all

    set services ssl proxy profile ssl-inspect-profile-dut actions ignore-server-auth-failure

    set services ssl proxy profile ssl-inspect-profile-dut trusted-ca all

Konfigurieren Sie optional die Anti-Malware-Quellschnittstelle

Wenn Sie eine Routing-Instanz verwenden, müssen Sie die Quellschnittstelle für die Anti-Malware-Verbindung konfigurieren. Wenn Sie eine nicht standardmäßige Routing-Instanz verwenden, müssen Sie diesen Schritt auf dem Gerät der SRX-Serie nicht durchführen.

set services advanced-anti-malware connection source-interface ge-0/0/2

Konfiguration eines Security Intelligence-Profils

JATP und SRX verwenden unterschiedliche Schwellenwerte auf Bedrohungsebene. Weitere Informationen finden Sie im Vergleichsdiagramm zu DEN Bedrohungsebenen der JATP- und SRX-Serie .

Geben Sie auf dem Gerät der SRX-Serie die folgenden Befehle ein, um ein Security Intelligence-Profil auf dem Gerät der SRX-Serie zu erstellen.

set services security-intelligence profile secintel_profile category CC

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile secintel_profile rule secintel_rule then action block drop

set services security-intelligence profile secintel_profile rule secintel_rule then log

set services security-intelligence profile secintel_profile default-rule then action permit

set services security-intelligence profile secintel_profile default-rule then log

set services security-intelligence profile ih_profile category Infected-Hosts

set services security-intelligence profile ih_profile rule ih_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile ih_profile rule ih_rule then action block drop

set services security-intelligence profile ih_profile rule ih_rule then log

set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

set services security-intelligence policy secintel_policy CC secintel_profile

Konfigurieren einer Sicherheitsrichtlinie

Geben Sie auf dem Gerät der SRX-Serie die folgenden Befehle ein, um eine Sicherheitsrichtlinie auf dem Gerät der SRX-Serie für die Inspektionsprofile zu erstellen.

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

set security policies from-zone trust to-zone untrust policy 1 then permit application-services advanced-anti-malware-policy aamw-policy

set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

Die Erstkonfiguration ist abgeschlossen.

Ähnliche Dokumentation