次世代ファイアウォール (ブランチ) サイトの追加
次世代ファイアウォール(NGFW)ブランチ サイトを追加する前に、ケーブル接続を確認し、NAT とファイアウォールのポートとプロトコルを確認し、NGFW デバイスの Junos OS バージョンを確認します。詳細については、 NGFWでサポートされているデバイス、および開くポートとプロトコルを参照してください。
NGFWブランチサイトを追加するには:
フィールド |
ガイドライン |
|---|---|
サイト情報 |
|
サイト名 |
サイトの一意の名前を入力します。名前には英数字とハイフン(-)を使用でき、32文字を超えることはできません。 |
デバイスホスト名 |
デバイスのホスト名は自動生成され、 という形式 tenant-name.host-nameが使用されます。デバイスホスト名のテナント名の部分は変更できません。英数字とハイフン(-)を使用します。許可される最大長は 32 文字です。 |
サイトグループ |
サイトをサイト グループの一部にする場合は、サイト グループを選択します。既定では、[ なし] が選択されており、サイトはどのサイト グループにも属していません。 |
サイトの機能 |
次世代ファイアウォールサイトを構成しているため、[ セキュリティサービス ] カードをクリックします。既定では、[デバイス管理] が選択されています。 |
住所と連絡先情報 |
表示されたフィールドにブランチサイトのアドレスと連絡先情報を入力します。必須ではありませんが、住所を指定すると、[モニターの概要] ページの地理的マップ上のサイトの場所を視覚化できます。 |
詳細設定 |
DNS および NTP サーバの場合は、デフォルトを使用するか、DNS および NTP サーバを指定できます。 |
Domain Name Server(DNS) |
1 つまたは複数の DNS サーバーの IPv4 アドレスを指定します。 |
NTP サーバー |
必要に応じて、1 つ以上の NTP サーバーの IP アドレスを指定します。 |
タイムゾーンを選択 |
サイトのタイム ゾーンを選択します。 |
フィールド |
ガイドライン |
|---|---|
デバイスの冗長性 |
デフォルトでは無効になっています。このオプションは、デュアル CPE の場合にのみ有効にします。 |
デバイスシリーズ |
NGFW サイトとして設定できるのは SRX シリーズ デバイスのみであるため、このフィールドには SRX が表示されます。 |
デバイス モデル |
SRX モデルを選択します。 |
シリアル番号 |
サイト追加ワークフローを完了した直後に CSO でサイトのアクティベーションを続行する場合は、シリアル番号を入力します。入力したシリアル番号がすでにシステムに存在する場合、CSOはエラー・メッセージを表示します。シリアル番号がない場合、CSOは緑色のチェックマークを表示します。 CSOでサイトのみをモデル化する場合は、このフィールドを空白のままにします。シリアル番号を入力しない場合は、後でサイトを手動でアクティブ化する必要があります。 |
デバイスのrootパスワード |
デフォルトのrootパスワードは、デバイステンプレートのENC _ROOT_PASSWORDフィールドから取得されます。パスワードを保持することも、プレーンテキスト形式でパスワードを入力して変更することもできます。パスワードは暗号化され、デバイスに保存されます |
ゼロ タッチプロビジョニング |
既定では、ゼロ タッチ プロビジョニングは有効になっています。ZTPを無効にする場合は、トグルボタンをクリックします。
メモ:
デフォルトでは、このボタンはvSRXでは無効になっています。vSRXで実行されているJunos OSのバージョンがPhone Homeクライアントをサポートしている場合、このボタンを有効にできます。 ZTPを使用するには、以下のことを確認してください。
ZTP が有効になっている場合は、[ブート イメージ(Boot Image)] フィールドが表示され、Phone-Home クライアントをサポートするイメージを選択する必要があります。ZTP の期間中、ファイアウォール デバイス上のイメージは、ブート イメージ用に選択したイメージにアップグレードされます。 ZTP を無効にする場合、CSO からステージ 1 の設定をコピーして、デバイスにコミットする必要があります。以下のいずれかのオプションを使用して、stage-1 設定をコピーします。
|
自動アクティブ化 |
切り替えボタンをクリックして、サイトのアクティベーションにアクティベーションコードが必要かどうかを指定します。
|
管理インターフェイスファミリー |
管理インターフェイスの IP アドレス タイプ(IPv4 または IPv6)を選択します。このフィールドは、 ゼロタッチプロビジョニングを有効にしている場合にのみ表示されます。 |
管理接続性
メモ:
このセクションは、ゼロタッチプロビジョニングを無効にした場合にのみ表示されます。 |
|
アドレス ファミリー |
IP アドレスの種類 (IPv4 または IPv6) を選択します。 |
インターフェース名 |
管理インターフェイスを起動します。 |
アクセス タイプ |
アンダーレイ リンクのアクセス タイプを選択します。LTE、ADSL、およびVDSLアクセスタイプは、インターネットリンクでのみサポートされています。LTE、ADSL、VDSLのアクセスタイプを同じWANリンクに追加することはできません。 |
アドレス割り当て |
デフォルトではDHCPが選択されています。静的 IP アドレスを指定する場合は、[静的] を選択します。 |
管理VLAN ID |
WAN リンクの VLAN ID を入力します。 |
Pppoe |
切り替えボタンをクリックして、PPPoE(イーサネット経由のポイントツーポイントプロトコル)を使用したWANリンクの認証済みアドレス割り当てを有効にします。 |
ブート イメージ |
このフィールドは、ZTP が有効になっている場合にのみ表示されます。 次世代ファイアウォール デバイスをサポートされている最新の Junos OS バージョンにアップグレードする場合は、リストからブート イメージを選択します。ブートイメージは、CSOがゼロタッチプロビジョニング(ZTP)プロセスを開始するときに、デバイスをアップグレードするために使用されます。 デフォルトのオプション(デバイス上のイメージを使用)であるブートイメージをリストに指定しない場合、CSOはZTP中にデバイスをアップグレードする手順をスキップします。 |
デバイス テンプレート |
カルーセルから、サイトに使用するデバイス テンプレートを選択する必要があります。NGFW では、次の定義済みテンプレートを使用できます。
メモ:
これらのテンプレートの変更されたバージョンが利用可能な場合は、別のテンプレートを選択できます。 |
デバイス情報 |
|
セキュア・ログ・ソース・インターフェイス |
このフィールドには、デバイスのインバンド管理に使用されるデフォルトインターフェイスが表示されます。別のインターフェイスを使用する場合は、デフォルトを削除し、リストから別のインターフェイスを選択します。 |
ファイアウォールポリシー |
このフィールドは、ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。 デフォルトでは、CSOはデフォルトのファイアウォールポリシーを次世代ファイアウォールデバイスに適用します。既定のポリシーを適用しない場合は、[ なし] を選択します。 |
NAT ポリシー |
このフィールドは、ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。 デフォルトでは、CSOはデフォルトのNATポリシーを次世代ファイアウォールデバイスに適用します。既定のポリシーを適用しない場合は、[ なし] を選択します。 |
インポートポリシー設定 |
このフィールドは、ゼロタッチプロビジョニングを無効にした場合にのみ表示されます。 トグル ボタンをクリックして、サイトのプロビジョニング後に、以前に構成した NAT およびファイアウォール ポリシーをデバイスから CSO に自動インポートできるようにします。デフォルトでは、ポリシーの自動インポートは無効になっています。ただし、インポートワークフローを使用して、ファイアウォールとNATポリシーを手動でインポートできます。 詳細については、CSOカスタマーポータルユーザーガイド(CSOドキュメントページに掲載)のポリシーのインポートの概要を参照してください。 |
|
|
フィールド |
ガイドライン |
|---|---|
構成テンプレート(オプション) |
追加の構成を展開する場合は、1 つ以上の構成テンプレートを選択し、各テンプレートのパラメーターを設定できます。選択する構成テンプレートごとに、次の操作を行います。
|
CSO次世代ファイアウォール(NFGW)導入ワークフローをご覧ください。