スタンドアロンの次世代ファイアウォール サイトの追加
CSOリリース5.4.0以降では、オンプレミスのスポーク(ブランチ)サイトの追加とサイトのアクティベーションをオプションで分離できるため、CPEのオンサイトインストールの柔軟性が高まります。
単一またはデュアルの顧客構内機器(CPE)で構成される次世代ファイアウォール(NGFW)機能を備えたSD-WAN展開では、テナント管理者はブランチサイトを追加した後にCPEデバイスのシリアル番号を入力するオプションがあります。ブランチ サイトは、テナント管理者が追加し、別の承認されたユーザーが手動でアクティブ化できます。許可されたユーザーは、シリアル番号とアクティベーションコードのいずれかを入力するか、後でCPEデバイスを手動でアクティベーションするときにシリアル番号のみを入力する必要があります。CPEデバイスのシリアル番号なしでブランチサイトを追加するオプションは、SRXとNFX(NFX150とNFX250)の両方のデバイステンプレートに適用できます。
スタンドアロンの NGFW サイトは、[サイトの管理] ページから追加します。
スタンドアロンのNGFWサイトを追加するには:
サイト テンプレートを使用してスタンドアロン ファイアウォール サイトを追加することもできます。詳細については、「サイト テンプレートを使用したブランチ サイトの追加」を参照してください。
フィールド |
説明 |
---|---|
一般 | |
サイト情報 |
|
サイト名 |
ファイアウォール サイトの一意の名前を入力します。英数字とハイフン(-)を使用できます。許可される最大長は 32 文字です。 |
デバイスホスト名 |
デバイスのホスト名は自動生成され、 という形式 tenant-name.host-nameが使用されます。デバイスホスト名の部品は変更 tenant-name できません。英数字とハイフン(-)を使用します。許可される最大長は 32 文字です。 |
サイトグループ |
サイトを割り当てるサイト グループを選択します。 |
サイトの機能 |
NGFWサイトを追加する際に[ セキュリティサービス ]を選択します。[デバイス管理] が既定で選択されていることに注意してください。 |
住所と連絡先情報 |
|
番地 |
サイトの番地を入力します。 |
都市 |
サイトがある都市の名前を入力します。 |
都道府県 |
サイトが配置されている都道府県を選択します。 |
郵便番号 |
サイトの郵便番号を入力します。 |
国 |
サイトが配置されている国を選択します。 [ 検証 ] ボタンをクリックすると、指定したアドレスを確認できます。
|
連絡先名 |
サイトの連絡担当者の名前を入力します。 |
電子メール |
サイトの担当者の電子メール アドレスを入力します。 |
電話 |
サイトの連絡担当者の電話番号を入力します。 |
詳細設定 |
|
Domain Name Server(DNS) |
DNS サーバーの 1 つ以上の IPv4 アドレスを入力します。複数の DNS サーバー アドレスを入力するには、「アドレス」と入力し、Enter キーを押して次のアドレスを入力します。DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。 |
NTP サーバー |
1 つ以上の NTP サーバーの完全修飾ドメイン名(FQDN)または IP アドレスを入力します。例: ntp.example.net サイトの構成中に FQDN を解決するには、サイトに DNS 到達可能性がある必要があります。 |
タイムゾーンを選択 |
サイトのタイム ゾーンを選択します。 |
デバイス | |
デバイスの冗長性 |
デフォルトでは無効になっています。このオプションは、デュアル CPE の場合にのみ有効にします。 |
デバイスシリーズ |
デフォルトでは SRX が表示されます。 |
デバイス モデル |
デバイスモデルを選択します。 |
デバイスのrootパスワード |
デフォルトのrootパスワードは、デバイステンプレートのENC_ROOT_PASSWORDフィールドから取得されます。パスワードを保持することも、プレーンテキスト形式でパスワードを入力して変更することもできます。パスワードは暗号化され、デバイスに保存されます。 |
シリアル番号 |
ファイアウォールデバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されることに注意してください。 シリアル番号を入力しない場合、ブランチ サイトは作成されますが、CPE デバイスはアクティブ化されません。詳細については、 ステップ 5 を参照してください。 |
ゼロ タッチプロビジョニング |
切り替えボタンをクリックして、ゼロタッチプロビジョニング(ZTP)を有効または無効にします。このオプションはデフォルトで有効になっています。
メモ:
デフォルトでは、このボタンはvSRX仮想ファイアウォールでは無効になっています。vSRX仮想ファイアウォールで実行されているJunos OSバージョンがPhone Homeクライアントをサポートしている場合、このボタンを有効にできます。 ZTPを使用するには、以下のことを確認してください。
ZTP が有効になっている場合は、[ブート イメージ(Boot Image)] フィールドが表示され、Phone-Home クライアントをサポートするイメージを選択する必要があります。ZTP の期間中、ファイアウォール デバイス上のイメージは、ブート イメージ用に選択したイメージにアップグレードされます。 ZTPを無効にする場合は、デバイスがCSOに接続されていることを確認してください。デバイスが事前登録/事前構成されていない場合は、CSO がステージ 1 構成の一部として構成を生成できるように、[管理接続] セクションで詳細を指定する必要があります。デバイスに CSO への接続がある場合は、[管理接続] セクションをスキップできます。 ZTPを無効にした場合、オンボーディングプロセスを開始するには、CSOからステージ1の設定をコピーしてデバイスにコミットする必要があります。以下のいずれかのオプションを使用して、stage-1 設定をコピーします。
|
自動アクティブ化 |
トグルボタンをクリックして、デバイスの自動アクティベーションを有効または無効にします。このオプションはデフォルトで有効になっています。 自動アクティブ化を無効にする場合は、「デバイスのアクティブ化 」 トピックを参照して、CPEを手動でアクティブ化します。 |
アクティベーションコード |
デバイスの自動アクティベーションが無効になっている場合は、アクティベーションコードを入力してデバイスを手動でアクティベートします。アクティベーションコードは、サイトを追加した管理者から提供されます。 |
管理インターフェイスファミリー |
管理インターフェイスの IP アドレス タイプ(IPv4 または IPv6)を選択します。このフィールドは、 ゼロタッチプロビジョニングを有効にしている場合にのみ表示されます。 |
ブート イメージ |
[ゼロ タッチ プロビジョニング(Zero Touch Provisioning)] フィールドが有効になっている場合は、ドロップダウン リストからブート イメージを選択して、ファイアウォール デバイス上のイメージをオートホーム クライアントをサポートするバージョンにアップグレードします。 ブート イメージは、以前にイメージ管理システムにアップロードされたデバイス イメージです。ブートイメージは、CSOがZTPプロセスを開始する際に、デバイスのアップグレードに使用されます。ブート イメージが提供されていない場合、デバイスは自動アップグレード手順をスキップします。ブート イメージは、サイトの作成時に選択したデバイス テンプレートに基づいて設定されます。 デフォルトでは、「 デバイス上のイメージを使用 」オプションが選択されています。 |
デバイス情報 |
|
セキュア・ログ・ソース・インターフェイス |
管理インターフェイスとして設定するポートを選択し、それを管理デバイスに接続します。インバンド管理インターフェイスとして、ge-0/0/xポート(xの範囲は0〜14)のいずれかを設定できます。 |
ファイアウォールポリシー |
このフィールドは、ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。スタンドアロン ファイアウォール サイトに展開するファイアウォール ポリシーを選択します。ファイアウォール ポリシーの一覧は、[ ファイアウォール ポリシー>>構成 ] ページから入力されます。 デフォルト: Factory_Default_Fw_Policy |
NAT ポリシー |
このフィールドは、ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。スタンドアロン ファイアウォール サイトに展開する NAT ポリシーを選択します。NAT ポリシー リストは、 NAT の構成> NAT ポリシー ページから入力>ます。 デフォルト: Factory_Default_NAT_Policy |
インポートポリシー設定 |
このフィールドは、ゼロタッチプロビジョニングを無効にした場合にのみ表示されます。 デフォルトでは、このフィールドは無効になっています。切り替えボタンをクリックすると、NGFWデバイスからCSOにファイアウォールポリシーとNATポリシーが自動的にインポートされます。 このサイト用にインポートされるファイアウォールと NAT の構成を次に示します。 ファイアウォールルール(ゾーンルール):
NATルール(送信元/宛先/静的):
|
管理接続性
メモ:
このセクションは、ゼロタッチプロビジョニングを無効にした場合にのみ表示されます。 |
|
アドレス ファミリー |
IP アドレスの種類 (IPv4 または IPv6) を選択します。 |
インターフェース名 |
管理インターフェイスを起動します。 |
アクセス タイプ |
アンダーレイ リンクのアクセス タイプを選択します。LTE、ADSL、およびVDSLアクセスタイプは、インターネットリンクでのみサポートされています。LTE、ADSL、VDSLのアクセスタイプを同じWANリンクに追加することはできません。 |
アドレス割り当て |
デフォルトでは、DHCP が選択されています。静的 IP アドレスを指定する場合は、[静的] を選択します。 |
管理VLAN ID |
WAN リンクの VLAN ID を入力します。 |
Pppoe |
切り替えボタンをクリックして、PPPoE(イーサネット経由のポイントツーポイントプロトコル)を使用したWANリンクの認証済みアドレス割り当てを有効にします。 |
Configuration Templates (Optional) |
|
構成テンプレートのリスト |
(オプション)リストから 1 つ以上の構成テンプレートを選択します。このリストは、選択したデバイスに基づいてフィルタリングされます。 構成テンプレートは、OpCo 管理者、SP 管理者、またはテナント管理者によって追加されるステージ 2 テンプレートです。 選択した構成テンプレートのパラメーターを設定するには:
|