Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Juniper ATP Cloudスクリプトをダウンロードして実行する

Juniper ATP Cloudは、Junos OS opスクリプトを使用して、Juniper ATP Cloudクラウドサービスに接続するためのSRXシリーズファイアウォールの設定をサポートします。このスクリプトは、次のタスクを実行します。

  • 認証局(CA)ライセンスをダウンロードして、SRXシリーズファイアウォールにインストールします。

    手記:
    • Trusted Platform Module(TPM)ベースの証明書を使用して、SRX1600、SRX2300、SRX4300ファイアウォールを登録し、TLSベースの認証とJuniper ATP Cloudとのセキュアな接続を実現できます。TPM の詳細については、「 トラステッド プラットフォーム モジュールによる暗号化」を参照してください。TPM ベースの証明書は SRXシリーズ ファイアウォールと Juniper ATP Cloud 間の接続に使用されるため、ポート 8444 と 7444 で junipersecurity.net ドメインへのトラフィックを許可する必要があります。

    • SRX300、SRX320、SRX340、SRX345、SRX380、SRX5400、SRX5600、およびSRX5800シリーズファイアウォールをJuniper ATP Cloudに登録するには、これらのデバイスでTPMベースの暗号化が構成されていないことを確認します。Juniper ATP Cloudへの登録は、TPMベースの暗号化ではサポートされていません。

  • ローカル証明書を作成し、これらの証明書をクラウドサーバーに登録します。

  • SRXシリーズファイアウォールでJuniper ATP Cloudの基本的な設定を行います。

  • クラウドサーバーへのセキュアな接続を確立します。

手記:
  • Juniper ATP Cloudでは、ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がインターネットに接続できる必要があります。

  • データ プレーン接続は、fxp0 などの管理インターフェイスを経由しないでください。クラウドサーバーと通信するために、SRXシリーズファイアウォールのポートを開く必要はありません。ただし、ファイアウォールなどの中央にデバイスがある場合は、そのデバイスでポート 8080 と 443 を開く必要があります。

  • SRXシリーズファイアウォールは、SRXシリーズファイアウォールからATP Cloudへのコントロールプレーン接続用のソースインターフェイスとして、デフォルトのinet.0ルーティングテーブルとinet.0のインターフェイス部分を使用します。ファイアウォール上の唯一のインターネットSRXシリーズインターフェイスがルーティング インスタンスの一部である場合は、ルーティング インスタンスを指す静的ルートを追加することをお勧めします。そうしないと、制御接続の確立に失敗します。

  • Juniper ATP Cloudでは、SRXシリーズファイアウォールのホスト名に英数字のASCII文字(a-z、A-Z、0-9)、アンダースコア記号(_)、ダッシュ記号(-)のみを含める必要があります。

SRX300、SRX320、SRX340、SRX345、SRX380、SRX550シリーズのファイアウォールの場合、opスクリプトを実行する前またはrequest services advanced-anti-malware enrollコマンドを実行する前に、set security forwarding-process enhanced-services-modeコマンドを実行し、デバイスを再起動する必要があります。

Juniper ATP Cloudスクリプトをダウンロードして実行するには:

手記:

Junos OS リリース 19.3R1 以降では、SRXシリーズ ファイアウォールで request services advanced-anti-malware enroll コマンドを使用して、デバイスを Juniper ATP Cloud Web ポータルに登録できます。このコマンドを使用すると、Web ポータルで登録タスクを実行する必要はありません。すべての登録は、SRXシリーズファイアウォール上のCLIから行われます。 CLIを使用してSRXシリーズファイアウォールを登録するを参照してください。

  1. Web UI で、[ デバイス(Devices )] をクリックし、[ 登録(Enroll)] をクリックします。

    [登録(Enroll)] ウィンドウが表示されます。 図 1 を参照してください。

    図 1: SRXシリーズ ファイアウォール Enrolling Your SRX Series Firewallの登録
  2. 強調表示された内容をクリップボードにコピーし、[ OK]をクリックします。
    手記:

    デバイスを登録する際、Juniper ATP Cloudは各リクエストに固有のopスクリプトを生成します。 Enrollをクリックするたびに、opスクリプトにわずかに異なるパラメータが表示されます。上のスクリーンショットは一例です。上記の例をSRXシリーズファイアウォールにコピーしないでください。代わりに、Web UIから受け取った出力をコピー&ペーストし、それを使用してSRXシリーズファイアウォールを登録します。

  3. このコマンドを、Juniper ATP Cloudに登録するSRXシリーズファイアウォールのJunos OS CLIに貼り付けます。Enterを押します。画面は次のようになります。
    手記:

    何らかの理由でopsスクリプトが失敗した場合は、デバイスの登録を解除し(「 Juniper Advanced Threat PreventionクラウドからSRXシリーズファイアウォールを削除する」を参照)、再登録してください。

  4. Juniper ATP Cloud Web ポータルで、[デバイス] をクリックします。

    これで、登録したSRXシリーズファイアウォールがテーブルに表示されます。 図 2 を参照してください。

    図 2: 登録SRXシリーズファイアウォール Example Enrolled SRX Series Firewallの例
  5. (オプション)show services advanced-anti-malware statusを使用しますSRXシリーズファイアウォールからクラウドサーバーへの接続が確立されていることを確認するためのCLIコマンド。出力は次のようになります。

設定が完了すると、SRXシリーズファイアウォールは、安全なチャネル(TLS 1.2)を介して確立された複数の永続的な接続を介してクラウドと通信します。SRXシリーズファイアウォールは、SSLクライアント証明書を使用して認証されます。

前述のように、このスクリプトはSRXシリーズファイアウォールでJuniper ATP Cloudの基本的な設定を実行します。これらの構成には、次のものが含まれます。

手記:

SRXシリーズファイアウォールで以下の例をコピーして実行しないでください。このリストは、opスクリプトによって構成されているものを示すためのものです。証明書などの問題が発生した場合は、op スクリプトを再実行してください。

  • デフォルトプロファイルの作成。

  • クラウドサーバーへの安全な接続を確立する。次に例を示します。正確な URL は、お住まいの地域によって決まります。表を参照してください。

    表 1: カスタマー ポータルの URL

    場所

    カスタマーポータルURL

    米国

    カスタマーポータル: https://amer.sky.junipersecurity.net

    欧州連合

    カスタマーポータル: https://euapac.sky.junipersecurity.net

    APAC

    カスタマーポータル: https://apac.sky.junipersecurity.net

    カナダ

    カスタマーポータル: https://canada.sky.junipersecurity.net

  • SSL プロキシーの構成。

  • クラウドフィードの設定(許可リスト、ブロックリストなど)

Juniper ATP Cloudは、クライアントおよびサーバー認証にSSLフォワードプロキシを使用します。SSL フォワードプロキシは、署名証明書とその発行者の証明書をクライアントブラウザの trusted-ca リストにインポートする代わりに、証明書チェーンを生成し、この証明書チェーンをクライアントに送信するようになりました。証明書チェーンを使用すると、クライアントは SSL フォワード プロキシ証明書を暗黙的に信頼できるようになるため、SSL フォワード プロキシの署名証明書をクライアントに配布する必要がなくなります。

次のCLIコマンドは、ローカル証明書をPKIDキャッシュにロードし、証明書チェーンをPKIDのCA証明書キャッシュにロードします。

どこ:

ssl_proxy_ca.crt (Signing certificate)

管理者または中間 CA が署名した SSL フォワード プロキシ証明書です。

sslserver.key

キーペアです。

ssl-inspect-ca

SSL フォワード プロキシが SSL フォワード プロキシ プロファイルの root-ca を設定する際に使用する証明書IDです。

certificate-chain

証明書のチェーンを含むファイルです。

以下は、op スクリプトで使用される SSL フォワード プロキシ証明書チェーンの例です。

PKIの制限により、SRXシリーズファイアウォールがFIPSモードの場合、SRXシリーズファイアウォールをJuniper ATP Cloudに登録することはできません。

証明書を確認するには、「 Juniper Advanced Threat Prevention クラウドのトラブルシューティング:証明書の確認」を参照してください。証明書に問題がある場合は、op スクリプトを再実行することをお勧めします。