Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Enrôler un pare-feu SRX Series à l’aide de la CLI

À partir de la version 19.3R1 de Junos OS, vous pouvez utiliser la request services advanced-anti-malware enroll commande du pare-feu SRX Series pour inscrire un appareil sur le portail Web ATP Cloud de Juniper. Avec cette commande, vous n’avez pas besoin d’effectuer de tâches d’inscription sur le portail Web. Toutes les inscriptions se font à partir de la ligne de commande CLI du pare-feu SRX Series.

Avant de commencer

  • Si la prise en charge de la double pile IPv6 (IPv4 et IPv6) est activée sur votre pare-feu SRX Series, exécutez les commandes CLI suivantes :

    1. set services advanced-anti-malware connection protocol-family inet6: configurez le protocole IPv6 pour la connexion AAMW.

    2. (Facultatif) set services advanced-anti-malware connection proxy-profile proxy-profile-name: configurez un nom de profil proxy si vous avez configuré un serveur proxy et que votre accès Internet passe par celui-ci.

    3. (Facultatif) set services advanced-anti-malware connection routing-instance routing-instance-name: configurez un nom d’instance de routage si vous prévoyez d’effectuer le routage à l’aide d’une instance de routage spécifique.

L’inscription établit une connexion sécurisée entre le serveur cloud Juniper ATP Cloud et le pare-feu SRX Series. Il effectue également des tâches de configuration de base telles que :

  • Télécharge et installe les autorités de certification (CA) sur votre pare-feu SRX Series.

    Remarque :

    • Vous devez autoriser le trafic vers le domaine junipersecurity.net sur les ports 8444 et 7444, car les certificats basés sur le Trusted Platform Module (TPM) sont utilisés pour les connexions entre le pare-feu SRX Series et Juniper ATP Cloud. Pour déterminer si une fonctionnalité est prise en charge par une plate-forme ou une version de Junos OS spécifique, reportez-vous à l’Explorateur de fonctionnalités. Pour plus d’informations sur l’utilisation de TPM sur les pare-feu SRX Series, consultez Présentation du module Trusted Platform.

    • Pour les appareils TPM nouvellement inscrits et non basés sur TPM, le trafic doit être autorisé vers le domaine junipersecurity.net uniquement sur le port 443.

  • Crée des certificats locaux et les enregistre sur le serveur cloud.

  • Établit une connexion sécurisée au serveur cloud.

Remarque :

Juniper ATP Cloud nécessite que votre moteur de routage (plan de contrôle) et votre moteur de transfert de paquets (plan de données) puissent se connecter à Internet. Vous n’avez besoin d’ouvrir aucun port sur le pare-feu SRX Series pour communiquer avec le serveur cloud. Cependant, si vous avez un périphérique au milieu, tel qu’un pare-feu, le port 443 doit être ouvert.

Notez également que le pare-feu SRX Series doit être configuré avec des serveurs DNS afin de résoudre l’URL du cloud.

À l’aide de la commande request services advanced-anti-malware enroll d’inscription des appareils sur le pare-feu SRX Series, vous pouvez inscrire l’appareil dans un domaine existant ou créer un domaine, puis vous y inscrire.

Voici un exemple qui crée un royaume et s’inscrit ensuite à ce domaine.

Remarque :

Vous devez vous connecter pour root (super user) effectuer les opérations suivantes.

request services advanced-anti-malware enroll

  1. Inscrire le pare-feu SRX Series à Juniper ATP Cloud (CLI uniquement) :

    request services advanced-anti-malware enroll

    Please select geographical region from the list:

    1. North America

    2. European Region

    3. Canada

    4. Asia Pacific

    Your choice: 1

  2. Sélectionnez un domaine existant ou créez un domaine :

    Enroll SRX to:

    1. A new SkyATP security realm (you will be required to create it first)

    2. An existing SkyATP security realm

    Si vous sélectionnez l’option 1 pour créer un domaine, les étapes sont les suivantes :

    • You are going to create a new Sky ATP realm, please provide the required information:

    • Please enter a realm name (This should be a name that is meaningful to your organization. A realm name can only contain alphanumeric characters and the dash symbol. Once a realm is created, it cannot be changed):

      Real name: example-company-a

    • Please enter your company name:

      Company name: Example Company A

    • Please enter your e-mail address. This will be your username for your Sky ATP account:

      Email: me@example-company-a.com

    • Please setup a password for your new Sky ATP account (It must be at least 8 characters long and include both uppercase and lowercase letters, at least one number, at least one special character):

      Password: **********

      Verify: **********

    • Please review the information you have provided:

      Region: North America

      New Realm: example-company-a

      Company name: Example Company A

      Email: me@example-company-a.com

    • Create a new realm with the above information? [yes,no]

      yes

      Device enrolled successfully!

    Si vous sélectionnez l’option 2 pour utiliser un domaine existant, les étapes sont les suivantes :

    Remarque :

    Vous devez entrer un nom d’utilisateur et un mot de passe valides pour le domaine existant dans le cadre de la procédure d’inscription.

    • Entrez le nom du domaine existant :

      Please enter a realm name.

      Realm name: example-company-b

    • Please enter your company name:

      Company name: Example Company B

    • Entrez votre adresse e-mail/nom d’utilisateur pour le domaine. Il s’agit de l’adresse e-mail qui a été créée précédemment lors de la configuration du domaine.

      Please enter your e-mail address. This will be your username for your Sky ATP account:

    • Entrez le mot de passe du royaume. Il s’agit du mot de passe précédemment créé lors de la configuration du domaine.

      Password:********

    • Enroll device to the realm above? [yes,no] yes

      Device enrolled successfully!

Vous pouvez utiliser la show services advanced-anti-malware status commande CLI de votre pare-feu SRX Series pour vérifier qu’une connexion a été établie au serveur cloud à partir du pare-feu SRX Series.

Une fois inscrit, le pare-feu SRX Series communique avec le cloud par le biais de connexions multiples et persistantes établies sur un canal sécurisé (TLS 1.2), et le pare-feu SRX Series est authentifié à l’aide de certificats client SSL.

Utilisez la commande request services advanced-anti-malware disenroll CLI pour désenrôler un appareil du portail Web Juniper ATP Cloud.