Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ATPアプライアンスとSRXシリーズファイアウォールの使用開始

これらは、ATP ApplianceでSRXシリーズサービスゲートウェイの使用を開始するための基本的なセットアップ手順です(SRXに不慣れな方向け)。電子メールのスキャン、感染したホスト、インシデントの表示などの設定情報の詳細については、統合ドキュメントの残りの部分を参照してください。

開始するSRXシリーズファイアウォールの設定

初期設定

SRXシリーズファイアウォールの使用を開始するには:

  1. 工場出荷時のデフォルトをロードします。

    load factory-default

  2. root パスワードを設定します。

    set system root-authentication <password>

  3. ホスト名を設定します。

    set system host-name <hostname>

  4. 設定をコミットします。コミットすると、プロンプトにホスト名が表示されます。

    commit

インターフェイスとデフォルトルートの設定

SRXシリーズファイアウォールで、インターフェイスとデフォルトルートを設定します。(以下の手順については、これらは一般的な例です。独自のアドレスとインターフェイスを挿入してください):

  1. インターフェイスに対して以下のコマンドを入力します。

    set interfaces ge-0/0/2 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/4 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/5 unit 0 family inet address x.x.x.x/x

  2. 次のように入力して、デフォルト ルートを設定します。

    set routing-options static route 0.0.0.0/0 next-hop x.x.x.x

セキュリティ ゾーンの構成

SRXシリーズファイアウォールは、ゾーンベースのファイアウォールです。ゾーンを介してトラフィックを渡すには、各インターフェイスをゾーンに割り当てる必要があります。 セキュリティー・ゾーンを設定するには、以下のコマンドを入力します。

set security zones security-zone untrust interfaces ge-0/0/2.0

set security zones security-zone untrust interfaces ge-0/0/5.0

set security zones security-zone trust host-inbound-traffic system-services all

set security zones security-zone trust host-inbound-traffic protocols all

set security zones security-zone trust interfaces ge-0/0/4.0

DNS を構成する

SRXシリーズファイアウォールで、次のコマンドを使用してDNSを設定します。

set groups global system name-server x.x.x.x

set groups global system name-server x.x.x.x

NTPを設定する

SRXシリーズファイアウォールで、次のコマンドを使用してNTPを設定します。

set groups global system processes ntp enable

set groups global system ntp boot-server x.x.x.x

set groups global system ntp server x.x.x.x

ATP Applianceの場合:Web UIにログインしてSRXシリーズファイアウォールを登録

SRXシリーズファイアウォールをATPアプライアンスWeb UIに登録する

登録により、ATPアプライアンスとSRXシリーズファイアウォールの間にセキュアな接続が確立されます。また、次のような基本的な構成タスクも実行します。

  • 認証機関(CA)ライセンスをダウンロードして、SRXシリーズファイアウォールにインストールします

  • ローカル証明書を作成し、ATP Applianceに登録します。

  • ATP Applianceへのセキュアな接続を確立します。

警告:

ATP ApplianceでカスタムSSL証明書を使用している場合、SRXシリーズファイアウォールを登録する前に、ATP Appliance証明書を検証するCA証明書を含むCAバンドルをアップロードする必要があります。これは、カスタムSSL証明書を使用している場合にのみ適用されます。手順については 、 ジュニパーATPオペレーターガイド を参照してください。「証明書の管理」見出しを検索します。これが完了したら、登録手順に進みます。
警告:

すでにSRXシリーズのファイアウォールがATP Applianceに登録されている場合に、証明書を変更した場合(デフォルトからカスタムへ、またはその逆へ)、すべてのSRXシリーズファイアウォールを再登録する必要があります。
警告:

ネットワーク環境の考慮事項と要件

  • ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がジュニパーATPアプライアンスに接続できる必要があります。(パケット転送エンジンとルーティングエンジンは独立して動作しますが、100Mbpsの内部リンクを通じて常に通信します。この配置により、転送とルーティングの制御が合理化され、インターネット規模のネットワークを高速で実行することができます。詳細については、ジュニパーネットワークの Junos ドキュメントを参照してください。)

  • ATP Applianceと通信するために、SRXシリーズファイアウォールのポートを開く必要はありません。ただし、ファイアウォールなどのデバイスが中央にある場合は、そのデバイスでポート 443 が開いている必要があります。

  • FXP0 インターフェイスを使用して ATP アプライアンスと通信することはできません。別の収益インターフェースを使用する必要があります。

  • ATP Appliance管理とSRXシリーズ管理に同じサブネット内のアドレスを使用している場合は、仮想ルーターインスタンスを使用して管理インターフェイスと収益インターフェイスを分離する必要があります。FXP0 を介して設定された ATP アプライアンス管理と SRX シリーズ管理のアドレスが異なるサブネットにある場合、追加の仮想ルーターインスタンスを設定する必要はありません。トラフィックは、ATP Appliance管理用に設定された収益インターフェイスを介してルーティングする必要があることに注意してください。

  • VPN トンネルを介して ATP アプライアンスを登録する場合は、名前付きトンネルである必要があります。ATP Applianceは、インターフェイスにIPアドレスが必要です。そのため、OP URLスクリプトを実行してSRXシリーズファイアウォールを登録する前に、VPNトンネルインターフェイスにIPアドレスを設定する必要があります。それ以外の場合、登録は失敗します。

  • SRXシリーズとATP Applianceとの統合には、登録スクリプト(op url)を生成するためのAPIキーが必要です。ATPアプライアンスUIでは、ローカルユーザー向けのAPIキーのみを生成できます。そのため、ユーザーがRADIUSを使用して認証し、SRXシリーズファイアウォールを登録するための登録スクリプトを生成しようとすると、リモートユーザーがAPIキーを持っていないため、失敗します。回避策として、ローカル資格情報 (https://<ATP アプライアンス IP>/cyadmin/?local_login) を使用して ATP アプライアンス UI にログインし、以下の手順を続行できます。ネットワーク ポリシーでローカル ユーザーが許可されていない場合、この問題の回避策はありません。

  • ネットワークアドレス変換(NAT)は、Juniper ATP ApplianceとSRXシリーズファイアウォールの間ではサポートされていません。

ATP ApplianceでSRXシリーズファイアウォールを登録するには、次の手順を実行します。

  1. ATPアプライアンスWeb UIから、管理者ユーザーのAPIキーを有効にする必要があります。これは、SRXシリーズファイアウォールの登録に使用されます。[構成] タブから、[ユーザー > システム プロファイル] に移動します。ATP Applianceの管理者ユーザーを選択し、[新しいAPIキーの生成]チェックボックスをオンにします。[ユーザーの更新] をクリックします。

  2. [ 構成] タブから、[ システム プロファイル >> SRX 設定 ] に移動し、ページの右上にある [ 登録 URL ] ボタンをクリックします。登録コマンドを含む画面が表示されます。

  3. 登録コマンド全体をクリップボードにコピーし、[ OK] をクリックします。

  4. ATP Applianceに登録するSRXシリーズファイアウォールのJunos OS CLIにコマンドを貼り付け、を押します Enter

    メモ:

    (オプション)CLIコマンドを使用して、 show services advanced-anti-malware status SRXシリーズファイアウォールからATPアプライアンスへの接続が確立されていることを確認します。

    設定が完了すると、SRXシリーズのファイアウォールは安全なチャネル(TLS 1.2)を介して確立された複数の持続接続を介してATP Applianceと通信し、SRXシリーズのファイアウォールはSSLクライアント証明書を使用して認証されます。

ATPアプライアンスSRX設定ページの [削除 ]ボタンを使用して、ATPアプライアンスに現在登録されている SRX シリーズファイアウォールを削除します。[削除] ボタンにアクセスするには、デバイス名の左側にある矢印をクリックしてデバイス情報を展開します。

ページ上部の [検索(Search )] フィールドを使用して、リスト内の登録済みデバイスをシリアル番号で検索します。

SRXシリーズファイアウォールの場合: セキュリティポリシーを設定する

マルウェア対策ポリシーの設定

SRXシリーズファイアウォールで、次のコマンドを入力して、マルウェア対策ポリシーを作成および設定します。(SMTPとIMAPの両方のコマンドがここに含まれていることに注意してください)。

set services advanced-anti-malware policy aamw-policy http inspection-profile default

set services advanced-anti-malware policy aamw-policy http action permit

set services advanced-anti-malware policy aamw-policy http notification log

set services advanced-anti-malware policy aamw-policy smtp inspection-profile default

set services advanced-anti-malware policy aamw-policy smtp notification log

set services advanced-anti-malware policy aamw-policy imap inspection-profile default

set services advanced-anti-malware policy aamw-policy imap notification log

set services advanced-anti-malware policy aamw-policy fallback-options notification log

set services advanced-anti-malware policy aamw-policy default-notification log

SSLフォワードプロキシを設定する

SSL フォワード プロキシは、データ プレーン内の HTTPS トラフィックからファイルを収集するために必要です。

  1. SRXシリーズファイアウォールで、ローカル証明書を生成します。

    request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa

    request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net

  2. 信頼されたルート CA プロファイルを読み込みます。

    request security pki ca-certificate ca-profile-group load ca-group-name trusted-ca-* filename default

  3. 次のコマンドを入力して、SSL 転送プロキシを設定します。

    set services ssl proxy profile ssl-inspect-profile-dut root-ca ssl-inspect-ca

    set services ssl proxy profile ssl-inspect-profile-dut actions log all

    set services ssl proxy profile ssl-inspect-profile-dut actions ignore-server-auth-failure

    set services ssl proxy profile ssl-inspect-profile-dut trusted-ca all

オプションで、不正プログラム対策ソースインターフェイスを設定します

ルーティングインスタンスを使用している場合は、マルウェア対策接続のソースインターフェイスを設定する必要があります。デフォルト以外のルーティングインスタンスを使用している場合は、SRXシリーズファイアウォールでこの手順を実行する必要はありません。

set services advanced-anti-malware connection source-interface ge-0/0/2

セキュリティ インテリジェンス プロファイルの設定

ATP ApplianceとSRXでは、異なる脅威レベルのしきい値を使用します。詳細については 、 ATP ApplianceとSRXシリーズの脅威レベルの比較表 を参照してください。

SRXシリーズファイアウォールで次のコマンドを入力して、SRXシリーズファイアウォールでセキュリティインテリジェンスプロファイルを作成します。

set services security-intelligence profile secintel_profile category CC

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile secintel_profile rule secintel_rule then action block drop

set services security-intelligence profile secintel_profile rule secintel_rule then log

set services security-intelligence profile secintel_profile default-rule then action permit

set services security-intelligence profile secintel_profile default-rule then log

set services security-intelligence profile ih_profile category Infected-Hosts

set services security-intelligence profile ih_profile rule ih_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile ih_profile rule ih_rule then action block drop

set services security-intelligence profile ih_profile rule ih_rule then log

set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

set services security-intelligence policy secintel_policy CC secintel_profile

セキュリティポリシーを設定する

SRXシリーズファイアウォールで次のコマンドを入力して、SRXシリーズファイアウォールに検査プロファイルのセキュリティポリシーを作成します。

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

set security policies from-zone trust to-zone untrust policy 1 then permit application-services advanced-anti-malware-policy aamw-policy

set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

以上で初期設定は完了です。

関連ドキュメント