CLIを使用してSRXシリーズファイアウォールを登録する
Junos OS リリース 19.3R1 以降では、SRXシリーズ ファイアウォールで request services advanced-anti-malware enroll
コマンドを使用して、デバイスを Juniper ATP Cloud Web ポータルに登録できます。このコマンドを使用すると、Web ポータルで登録タスクを実行する必要はありません。すべての登録は、SRX上のCLIから行われます。
登録すると、Juniper ATP CloudクラウドサーバーとSRXシリーズファイアウォールの間にセキュアな接続が確立されます。また、次のような基本的な設定タスクも実行します。
-
認証局(CA)をダウンロードして、SRXシリーズファイアウォールにインストールします。
手記:-
Trusted Platform Module(TPM)ベースの証明書を使用して、SRX1600、SRX2300、SRX4300ファイアウォールを登録し、TLSベースの認証とJuniper ATP Cloudとのセキュアな接続を実現できます。TPM の詳細については、「 トラステッド プラットフォーム モジュールによる暗号化」を参照してください。TPM ベースの証明書は SRXシリーズ ファイアウォールと Juniper ATP Cloud 間の接続に使用されるため、ポート 8444 と 7444 で junipersecurity.net ドメインへのトラフィックを許可する必要があります。
-
SRX300、SRX320、SRX340、SRX345、SRX380、SRX5400、SRX5600、およびSRX5800シリーズファイアウォールをJuniper ATP Cloudに登録するには、これらのデバイスでTPMベースの暗号化が構成されていないことを確認します。Juniper ATP Cloudへの登録は、TPMベースの暗号化ではサポートされていません。
-
ローカル証明書を作成し、これらの証明書をクラウドサーバーに登録します。
クラウドサーバーへのセキュアな接続を確立します。
Juniper ATP Cloudでは、ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がインターネットに接続できる必要があります。クラウドサーバーと通信するために、SRXシリーズファイアウォールのポートを開く必要はありません。ただし、ファイアウォールなどの中央にデバイスがある場合は、そのデバイスでポート80、8080、443を開く必要があります。
また、クラウドURLを解決するには、SRXシリーズファイアウォールにDNSサーバーを設定する必要があります。
SRXシリーズ ファイアウォールで request services advanced-anti-malware enroll
デバイス登録コマンドを使用して、デバイスを既存のレルムに登録するか、レルムを作成してから登録できます。
以下は、レルムを作成し、そのレルムに登録するサンプルです。
以下の操作を行うには、 root (super user)
でログインする必要があります。
root@host> request services advanced-anti-malware enroll
SRXシリーズファイアウォールで show services advanced-anti-malware status
CLIコマンドを使用して、SRXシリーズファイアウォールからクラウドサーバーへの接続が確立されたことを確認できます。
登録されると、SRXシリーズファイアウォールは、安全なチャネル(TLS 1.2)を介して確立された複数の永続的な接続を介してクラウドと通信し、SRXシリーズファイアウォールはSSLクライアント証明書を使用して認証されます。