Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CLI を使用して SRXシリーズ ファイアウォールを登録する

Junos OSリリース19.3R1以降、SRXシリーズファイアウォールで request services advanced-anti-malware enroll コマンドを使用して、デバイスをジュニパー ATP Cloud Webポータルに登録できます。このコマンドを使用すると、Webポータルで登録タスクを実行する必要はありません。すべての登録は、SRXシリーズファイアウォール上のCLIから行われます。

始める前に

  • IPv6デュアルスタック(IPv4とIPv6の両方)サポートがSRXシリーズファイアウォールで有効になっている場合は、以下のCLIコマンドを実行します。

    1. set services advanced-anti-malware connection protocol-family inet6—AAMW接続用のIPv6プロトコルを設定します。

    2. (オプション) set services advanced-anti-malware connection proxy-profile proxy-profile-name—プロキシサーバーを設定しており、インターネットアクセスがプロキシサーバーを経由する場合に、プロキシプロファイル名を設定します。

    3. (オプション) set services advanced-anti-malware connection routing-instance routing-instance-name—特定のルーティングインスタンスを使用してルーティングする場合、ルーティングインスタンス名を設定します。

登録により、ジュニパー ATP クラウド クラウド サーバーと SRXシリーズ ファイアウォールの間に安全な接続が確立されます。また、以下のような基本的な設定タスクも実行します。

  • 認証機関(CA)をダウンロードして、SRXシリーズファイアウォールにインストールします。

    注:

    • Trusted Platform Module(TPM)ベースの証明書がSRXシリーズファイアウォールとジュニパー ATPクラウド間の接続に使用されるため、ポート8444と7444で junipersecurity.net ドメインへのトラフィックを許可する必要があります。ある機能が特定のプラットフォームまたは Junos OS リリースでサポートされているかどうかを確認するには、 機能エクスプローラーを参照してください。SRXシリーズファイアウォールでのTPMの使用の詳細については、 トラステッドプラットフォームモジュールの概要をご覧ください。

    • 新しく登録されたTPMおよび非TPMベースのデバイスの場合、ポート443でのみ junipersecurity.net ドメインへのトラフィックを許可する必要があります。

  • ローカル証明書を作成し、これらの証明書をクラウドサーバーに登録します。

  • クラウドサーバーへの安全な接続を確立します。

注:

ジュニパー ATP クラウドには、ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がインターネットに接続できる必要があります。クラウドサーバーと通信するために、SRXシリーズファイアウォールでポートを開く必要はありません。ただし、ファイアウォールなど、真ん中にデバイスがある場合は、ポート443が開いている必要があります。

また、クラウドURLを解決するには、SRXシリーズファイアウォールにDNSサーバーを設定する必要があることにも注意してください。

SRXシリーズファイアウォール request services advanced-anti-malware enroll デバイス登録コマンドを使用して、デバイスを既存のレルムに登録するか、レルムを作成してから登録できます。

レルムを作成してそのレルムに登録するサンプルを次に示します。

注:

以下の操作を行うには、 root (super user) としてログインする必要があります。

request services advanced-anti-malware enroll

  1. SRXシリーズファイアウォールをジュニパーATPクラウドに登録します(CLIのみ):

    request services advanced-anti-malware enroll

    Please select geographical region from the list:

    1. North America

    2. European Region

    3. Canada

    4. Asia Pacific

    Your choice: 1

  2. 既存のレルムを選択するか、レルムを作成します。

    Enroll SRX to:

    1. A new SkyATP security realm (you will be required to create it first)

    2. An existing SkyATP security realm

    オプション1を選択してレルムを作成する場合、手順は次のとおりです。

    • You are going to create a new Sky ATP realm, please provide the required information:

    • Please enter a realm name (This should be a name that is meaningful to your organization. A realm name can only contain alphanumeric characters and the dash symbol. Once a realm is created, it cannot be changed):

      Real name: example-company-a

    • Please enter your company name:

      Company name: Example Company A

    • Please enter your e-mail address. This will be your username for your Sky ATP account:

      Email: me@example-company-a.com

    • Please setup a password for your new Sky ATP account (It must be at least 8 characters long and include both uppercase and lowercase letters, at least one number, at least one special character):

      Password: **********

      Verify: **********

    • Please review the information you have provided:

      Region: North America

      New Realm: example-company-a

      Company name: Example Company A

      Email: me@example-company-a.com

    • Create a new realm with the above information? [yes,no]

      yes

      Device enrolled successfully!

    既存のレルムを使用するためにオプション2を選択した場合、手順は次のとおりです。

    注:

    登録手順の一環として、既存のレルムに有効なユーザー名とパスワードを入力する必要があります。

    • 既存のレルムの名前を入力します。

      Please enter a realm name.

      Realm name: example-company-b

    • Please enter your company name:

      Company name: Example Company B

    • レルムのメールアドレス/ユーザー名を入力します。これは、レルムの設定時に以前に作成されたメールアドレスです。

      Please enter your e-mail address. This will be your username for your Sky ATP account:

    • レルムのパスワードを入力します。これは、レルムの設定時に以前に作成されたパスワードです。

      Password:********

    • Enroll device to the realm above? [yes,no] yes

      Device enrolled successfully!

SRXシリーズファイアウォールで show services advanced-anti-malware status CLIコマンドを使用して、SRXシリーズファイアウォールからクラウドサーバーに接続されたことを確認できます。

登録されると、SRXシリーズファイアウォールは、セキュアなチャネル(TLS 1.2)を介して確立された複数の永続的な接続を介してクラウドと通信し、SRXシリーズファイアウォールはSSLクライアント証明書を使用して認証されます。

CLIコマンド request services advanced-anti-malware disenroll を使用して、ジュニパー ATP Cloud Webポータルからデバイスの登録を解除します。