Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Juniper Advanced Threat Preventionクラウドスクリプトをダウンロードして実行する

Juniper ATPクラウドは、Junos OSオペレーション(op)スクリプトを使用して、Juniper ATPクラウドサービスに接続するようにSRXシリーズファイアウォールを設定します。このスクリプトは、次のタスクを実行します。

  • 認証機関(CA)ライセンスをSRXシリーズファイアウォールにダウンロードしてインストールします。

  • ローカル証明書を作成し、クラウドサーバーに登録します。

  • SRXシリーズファイアウォールでJuniper ATPクラウドの基本的な設定を実行します。

  • クラウドサーバーへの安全な接続を確立します。

メモ:
  • Juniper ATP Cloudでは、ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がインターネットに接続できる必要があります。

  • データ プレーン接続は、fxp0 などの管理インターフェイスを経由しないでください。クラウドサーバーと通信するためにSRXシリーズファイアウォールのポートを開く必要はありません。ただし、ファイアウォールなどのデバイスが中央にある場合、そのデバイスではポート 8080 と 443 が開いている必要があります。

  • SRXシリーズファイアウォールは、デフォルトのinet.0ルーティングテーブルとinet.0のインターフェイス部分を、SRXシリーズファイアウォールからATPクラウドへのコントロールプレーン接続用のソースインターフェイスとして使用します。SRXシリーズファイアウォール上のインターネットに接続する唯一のインターフェイスがルーティングインスタンスの一部である場合、ルーティングインスタンスを指す静的ルートを追加することをお勧めします。そうしないと、制御接続の確立に失敗します。

  • Juniper ATP Cloudでは、SRXシリーズファイアウォールのホスト名に英数字のASCII文字(a-z、A-Z、0-9)、アンダースコア記号(_)、ダッシュ記号(-)のみを含める必要があります。

SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M シリーズ ファイアウォールの場合、op スクリプトを実行する前、またはコマンドを実行する前にrequest services advanced-anti-malware enroll、 コマンドを実行し、デバイスを再起動する必要がありますset security forwarding-process enhanced-services-mode

Juniper ATPクラウドスクリプトをダウンロードして実行するには、次の手順に従います。

メモ:

Junosリリース19.3R1では、ATPクラウドWebポータルを操作せずにSRXシリーズファイアウォールを登録する別の方法があります。SRXから「enroll」コマンドを実行すると、必要なすべての登録手順が実行されます。 CLIを使用したSRXシリーズファイアウォールの登録を参照してください。

  1. Web UI で、[ デバイス ] をクリックし、[ 登録] をクリックします。

    [登録] ウィンドウが表示されます。 図1を参照してください。

    図1:SRXシリーズファイアウォール Enrolling Your SRX Series Firewallの登録
  2. ハイライトされた内容をクリップボードにコピーし、 をクリックします OK
    メモ:

    デバイスを登録する際、Juniper ATP Cloudはリクエストごとに固有のopスクリプトを生成します。をクリックする Enrollたびに、opsスクリプトでわずかに異なるパラメーターを取得します。上のスクリーンショットは単なる例です。上記の例をSRXデバイスにコピーしないでください。代わりに、Web UIから受け取った出力をコピーして貼り付け、それを使用してSRXデバイスを登録します。

  3. このコマンドを、Juniper ATP Cloudに登録するSRXシリーズファイアウォールのJunos OS CLIに貼り付けて、を押しますEnter。画面は次のようになります。
    メモ:

    何らかの理由でopsスクリプトが失敗した場合は、デバイスの登録を解除してから( Juniper Advanced Threat Prevention CloudからSRXシリーズファイアウォールを削除するを参照)、再登録します。

  4. ジュニパーATPクラウドWebポータルで、[デバイス]をクリックします。

    登録したSRXシリーズファイアウォールが表に表示されます。 図2を参照してください。

    図2:登録済みSRXシリーズファイアウォール Example Enrolled SRX Series Firewallの例
  5. (オプション)を使用しますshow services advanced-anti-malware statusCLIコマンドを使用して、SRXシリーズファイアウォールからクラウドサーバーへの接続が確立されていることを確認します。出力は次のようになります。

構成が完了すると、SRXシリーズのファイアウォールは、安全なチャネル(TLS 1.2)を介して確立された複数の永続的な接続を介してクラウドと通信し、SRXシリーズのファイアウォールはSSLクライアント証明書を使用して認証されます。

前述のように、スクリプトはSRXシリーズファイアウォール上でJuniper ATPクラウドの基本的な設定を実行します。これらが含まれます:

メモ:

次の例をコピーして、SRXシリーズファイアウォールで実行しないでください。ここでのリストは、opsスクリプトによって何が構成されているかを示すためのものです。証明書などの問題が発生した場合は、ops スクリプトを再実行してください。

  • デフォルト・プロファイルの作成。

  • クラウドサーバーへの安全な接続を確立します。次に例を示します。正確な URL は、お住まいの地域によって決まります。この表を参照してください。

    表 1: カスタマーポータルの URL

    場所

    カスタマーポータルURL

    米国

    カスタマーポータル: https://amer.sky.junipersecurity.net

    欧州連合

    カスタマーポータル: https://euapac.sky.junipersecurity.net

    Apac

    カスタマーポータル: https://apac.sky.junipersecurity.net

    カナダ

    カスタマーポータル: https://canada.sky.junipersecurity.net

  • SSL プロキシーの構成。

  • クラウドフィード(許可リスト、ブロックリストなど)の設定

Juniper ATP Cloudは、クライアントとサーバーの認証としてSSLフォワードプロキシを使用します。SSL フォワードプロキシは、署名証明書とその発行者の証明書をクライアントブラウザの trusted-ca リストにインポートする代わりに、証明書チェーンを生成し、この証明書チェーンをクライアントに送信するようになりました。証明書チェーンは、クライアントが SSL 転送プロキシ証明書を暗黙的に信頼できるようになったため、SSL 転送プロキシの署名証明書をクライアントに配布する必要をなくすのに役立ちます。

次の CLI コマンドは、ローカル証明書を PKID キャッシュにロードし、証明書チェーンを PKID の CA 証明書キャッシュにロードします。

どこ:

ssl_proxy_ca.crt (Signing certificate)

管理者または中間 CA によって署名された SSL フォワード プロキシ証明書です。

sslserver.key

キー ペアです。

ssl-inspect-ca

は、SSL フォワード プロキシが SSL フォワード プロキシ プロファイルのルート CA を構成する際に使用する証明書 ID です。

certificate-chain

証明書のチェーンを含むファイルです。

次に、op スクリプトで使用される SSL フォワード プロキシ証明書チェーンの例を示します。

PKIの制限により、SRXシリーズのファイアウォールがFIPSモードの場合、SRXシリーズのファイアウォールをJuniper ATP Cloudに登録することはできません。

証明書を確認するには、 Juniper Advanced Threat Prevention Cloudのトラブルシューティング:証明書の確認を参照してください。証明書に問題がある場合は、op スクリプトを再実行することをお勧めします。