Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CLIを使用してSRXシリーズファイアウォールを登録する

Junos OS リリース 19.3R1 以降では、SRXシリーズ ファイアウォールで request services advanced-anti-malware enroll コマンドを使用して、デバイスを Juniper ATP Cloud Web ポータルに登録できます。このコマンドを使用すると、Web ポータルで登録タスクを実行する必要はありません。すべての登録は、SRX上のCLIから行われます。

登録すると、Juniper ATP CloudクラウドサーバーとSRXシリーズファイアウォールの間にセキュアな接続が確立されます。また、次のような基本的な設定タスクも実行します。

  • 認証局(CA)をダウンロードして、SRXシリーズファイアウォールにインストールします。

    手記:
    • Trusted Platform Module(TPM)ベースの証明書を使用して、SRX1600、SRX2300、SRX4300ファイアウォールを登録し、TLSベースの認証とJuniper ATP Cloudとのセキュアな接続を実現できます。TPM の詳細については、「 トラステッド プラットフォーム モジュールによる暗号化」を参照してください。TPM ベースの証明書は SRXシリーズ ファイアウォールと Juniper ATP Cloud 間の接続に使用されるため、ポート 8444 と 7444 で junipersecurity.net ドメインへのトラフィックを許可する必要があります。

    • SRX300、SRX320、SRX340、SRX345、SRX380、SRX5400、SRX5600、およびSRX5800シリーズファイアウォールをJuniper ATP Cloudに登録するには、これらのデバイスでTPMベースの暗号化が構成されていないことを確認します。Juniper ATP Cloudへの登録は、TPMベースの暗号化ではサポートされていません。

  • ローカル証明書を作成し、これらの証明書をクラウドサーバーに登録します。

  • クラウドサーバーへのセキュアな接続を確立します。

手記:

Juniper ATP Cloudでは、ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がインターネットに接続できる必要があります。クラウドサーバーと通信するために、SRXシリーズファイアウォールのポートを開く必要はありません。ただし、ファイアウォールなどの中央にデバイスがある場合は、そのデバイスでポート80、8080、443を開く必要があります。

また、クラウドURLを解決するには、SRXシリーズファイアウォールにDNSサーバーを設定する必要があります。

SRXシリーズ ファイアウォールで request services advanced-anti-malware enroll デバイス登録コマンドを使用して、デバイスを既存のレルムに登録するか、レルムを作成してから登録できます。

以下は、レルムを作成し、そのレルムに登録するサンプルです。

手記:

以下の操作を行うには、 root (super user) でログインする必要があります。

root@host> request services advanced-anti-malware enroll

  1. SRXシリーズファイアウォールをJuniper ATP Cloudに登録します(CLIのみ):

    request services advanced-anti-malware enroll

    Please select geographical region from the list:

    1. North America

    2. European Region

    3. Canada

    4. Asia Pacific

    Your choice: 1

  2. 既存のレルムを選択するか、レルムを作成します。

    Enroll SRX to:

    1. A new SkyATP security realm (you will be required to create it first)

    2. An existing SkyATP security realm

    オプション 1 を選択してレルムを作成する場合のステップは、以下のとおりです。

    • You are going to create a new Sky ATP realm, please provide the required information:

    • Please enter a realm name (This should be a name that is meaningful to your organization. A realm name can only contain alphanumeric characters and the dash symbol. Once a realm is created, it cannot be changed):

      Real name: example-company-a

    • Please enter your company name:

      Company name: Example Company A

    • Please enter your e-mail address. This will be your username for your Sky ATP account:

      Email: me@example-company-a.com

    • Please setup a password for your new Sky ATP account (It must be at least 8 characters long and include both uppercase and lowercase letters, at least one number, at least one special character):

      Password: **********

      Verify: **********

    • Please review the information you have provided:

      Region: North America

      New Realm: example-company-a

      Company name: Example Company A

      Email: me@example-company-a.com

    • Create a new realm with the above information? [yes,no]

      yes

      Device enrolled successfully!

    オプション 2 を選択して既存のレルムを使用する場合、ステップは次のようになります。

    手記:

    登録手順の一環として、既存のレルムの有効なユーザー名とパスワードを入力する必要があります。

    • 既存のレルムの名前を入力します。

      Please enter a realm name.

      Realm name: example-company-b

    • Please enter your company name:

      Company name: Example Company B

    • レルムのメールアドレス/ユーザー名を入力します。これは、レルムの設定時に以前に作成したメールアドレスです。

      Please enter your e-mail address. This will be your username for your Sky ATP account:

    • レルムのパスワードを入力します。これは、レルムの設定時に作成したパスワードです。

      Password:********

    • Enroll device to the realm above? [yes,no] yes

      Device enrolled successfully!

SRXシリーズファイアウォールで show services advanced-anti-malware status CLIコマンドを使用して、SRXシリーズファイアウォールからクラウドサーバーへの接続が確立されたことを確認できます。

登録されると、SRXシリーズファイアウォールは、安全なチャネル(TLS 1.2)を介して確立された複数の永続的な接続を介してクラウドと通信し、SRXシリーズファイアウォールはSSLクライアント証明書を使用して認証されます。