Juniper ATP Cloudスクリプトをダウンロードして実行する
Juniper ATP Cloudは、Junos OS opスクリプトを使用して、Juniper ATP Cloudクラウドサービスに接続するためのSRXシリーズファイアウォールの設定をサポートします。このスクリプトは、次のタスクを実行します。
-
認証局(CA)ライセンスをダウンロードして、SRXシリーズファイアウォールにインストールします。
手記:-
Trusted Platform Module(TPM)ベースの証明書を使用して、SRX1600、SRX2300、SRX4300ファイアウォールを登録し、TLSベースの認証とJuniper ATP Cloudとのセキュアな接続を実現できます。TPM の詳細については、「 トラステッド プラットフォーム モジュールによる暗号化」を参照してください。TPM ベースの証明書は SRXシリーズ ファイアウォールと Juniper ATP Cloud 間の接続に使用されるため、ポート 8444 と 7444 で junipersecurity.net ドメインへのトラフィックを許可する必要があります。
-
SRX300、SRX320、SRX340、SRX345、SRX380、SRX5400、SRX5600、およびSRX5800シリーズファイアウォールをJuniper ATP Cloudに登録するには、これらのデバイスでTPMベースの暗号化が構成されていないことを確認します。Juniper ATP Cloudへの登録は、TPMベースの暗号化ではサポートされていません。
-
ローカル証明書を作成し、これらの証明書をクラウドサーバーに登録します。
SRXシリーズファイアウォールでJuniper ATP Cloudの基本的な設定を行います。
クラウドサーバーへのセキュアな接続を確立します。
-
Juniper ATP Cloudでは、ルーティングエンジン(コントロールプレーン)とパケット転送エンジン(データプレーン)の両方がインターネットに接続できる必要があります。
-
データ プレーン接続は、fxp0 などの管理インターフェイスを経由しないでください。クラウドサーバーと通信するために、SRXシリーズファイアウォールのポートを開く必要はありません。ただし、ファイアウォールなどの中央にデバイスがある場合は、そのデバイスでポート 8080 と 443 を開く必要があります。
-
SRXシリーズファイアウォールは、SRXシリーズファイアウォールからATP Cloudへのコントロールプレーン接続用のソースインターフェイスとして、デフォルトのinet.0ルーティングテーブルとinet.0のインターフェイス部分を使用します。ファイアウォール上の唯一のインターネットSRXシリーズインターフェイスがルーティング インスタンスの一部である場合は、ルーティング インスタンスを指す静的ルートを追加することをお勧めします。そうしないと、制御接続の確立に失敗します。
-
Juniper ATP Cloudでは、SRXシリーズファイアウォールのホスト名に英数字のASCII文字(a-z、A-Z、0-9)、アンダースコア記号(_)、ダッシュ記号(-)のみを含める必要があります。
SRX300、SRX320、SRX340、SRX345、SRX380、SRX550シリーズのファイアウォールの場合、opスクリプトを実行する前またはrequest services advanced-anti-malware enroll
コマンドを実行する前に、set security forwarding-process enhanced-services-mode
コマンドを実行し、デバイスを再起動する必要があります。
set security forwarding-process enhanced-services-mode
Juniper ATP Cloudスクリプトをダウンロードして実行するには:
Junos OS リリース 19.3R1 以降では、SRXシリーズ ファイアウォールで request services advanced-anti-malware enroll
コマンドを使用して、デバイスを Juniper ATP Cloud Web ポータルに登録できます。このコマンドを使用すると、Web ポータルで登録タスクを実行する必要はありません。すべての登録は、SRXシリーズファイアウォール上のCLIから行われます。 CLIを使用してSRXシリーズファイアウォールを登録するを参照してください。
設定が完了すると、SRXシリーズファイアウォールは、安全なチャネル(TLS 1.2)を介して確立された複数の永続的な接続を介してクラウドと通信します。SRXシリーズファイアウォールは、SSLクライアント証明書を使用して認証されます。
前述のように、このスクリプトはSRXシリーズファイアウォールでJuniper ATP Cloudの基本的な設定を実行します。これらの構成には、次のものが含まれます。
SRXシリーズファイアウォールで以下の例をコピーして実行しないでください。このリストは、opスクリプトによって構成されているものを示すためのものです。証明書などの問題が発生した場合は、op スクリプトを再実行してください。
-
デフォルトプロファイルの作成。
-
クラウドサーバーへの安全な接続を確立する。次に例を示します。正確な URL は、お住まいの地域によって決まります。表を参照してください。
表 1: カスタマー ポータルの URL 場所
カスタマーポータルURL
米国
カスタマーポータル: https://amer.sky.junipersecurity.net
欧州連合
カスタマーポータル: https://euapac.sky.junipersecurity.net
APAC
カスタマーポータル: https://apac.sky.junipersecurity.net
カナダ
カスタマーポータル: https://canada.sky.junipersecurity.net
set services advanced-anti-malware connection url https://amer.sky.junipersecurity.net (this URL is only an example and will not work for all locations). set services advanced-anti-malware connection authentication tls-profile aamw-ssl
-
SSL プロキシーの構成。
set services ssl initiation profile aamw-ssl trusted-ca aamw-secintel-ca set services ssl initiation profile aamw-ssl client-certificate aamw-srx-cert set services security-intelligence authentication tls-profile aamw-ssl set services advanced-anti-malware connection authentication tls-profile aamw-ssl set services ssl initiation profile aamw-ssl trusted-ca aamw-cloud-ca
-
クラウドフィードの設定(許可リスト、ブロックリストなど)
set services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/ api/manifest.xml set services security-intelligence authentication tls-profile aamw-ssl
Juniper ATP Cloudは、クライアントおよびサーバー認証にSSLフォワードプロキシを使用します。SSL フォワードプロキシは、署名証明書とその発行者の証明書をクライアントブラウザの trusted-ca リストにインポートする代わりに、証明書チェーンを生成し、この証明書チェーンをクライアントに送信するようになりました。証明書チェーンを使用すると、クライアントは SSL フォワード プロキシ証明書を暗黙的に信頼できるようになるため、SSL フォワード プロキシの署名証明書をクライアントに配布する必要がなくなります。
次のCLIコマンドは、ローカル証明書をPKIDキャッシュにロードし、証明書チェーンをPKIDのCA証明書キャッシュにロードします。
user@root> request security pki local-certificate load filename ssl_proxy_ca.crt key sslserver.key certificate-id ssl-inspect-ca
user@root> request security pki ca-certificate ca-profile-group load ca-group-name ca-group-name filename certificate-chain
どこ:
ssl_proxy_ca.crt (Signing certificate) | 管理者または中間 CA が署名した SSL フォワード プロキシ証明書です。 |
sslserver.key | キーペアです。 |
ssl-inspect-ca | SSL フォワード プロキシが SSL フォワード プロキシ プロファイルの root-ca を設定する際に使用する証明書IDです。 |
certificate-chain | 証明書のチェーンを含むファイルです。 |
以下は、op スクリプトで使用される SSL フォワード プロキシ証明書チェーンの例です。
request security pki local-certificate enroll certificate-id aamw-srx-cert ca-profile aamw-ca challenge-password *** subject CN=4rrgffbtew4puztj:model:sn email email-address
request security pki ca-certificate enroll ca-profile aamw-ca
PKIの制限により、SRXシリーズファイアウォールがFIPSモードの場合、SRXシリーズファイアウォールをJuniper ATP Cloudに登録することはできません。
証明書を確認するには、「 Juniper Advanced Threat Prevention クラウドのトラブルシューティング:証明書の確認」を参照してください。証明書に問題がある場合は、op スクリプトを再実行することをお勧めします。