Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

スタンドアロンの次世代ファイアウォール サイトの追加

CSOリリース5.4.0以降では、オンプレミスのスポーク(ブランチ)サイトの追加とサイトのアクティベーションをオプションで分離できるため、CPEのオンサイトインストールの柔軟性が高まります。

単一またはデュアルの顧客構内機器(CPE)で構成される次世代ファイアウォール(NGFW)機能を備えたSD-WAN展開では、テナント管理者はブランチサイトを追加した後にCPEデバイスのシリアル番号を入力するオプションがあります。ブランチ サイトは、テナント管理者が追加し、別の承認されたユーザーが手動でアクティブ化できます。許可されたユーザーは、シリアル番号とアクティベーションコードのいずれかを入力するか、後でCPEデバイスを手動でアクティベーションするときにシリアル番号のみを入力する必要があります。CPEデバイスのシリアル番号なしでブランチサイトを追加するオプションは、SRXとNFX(NFX150とNFX250)の両方のデバイステンプレートに適用できます。

スタンドアロンの NGFW サイトは、[サイトの管理] ページから追加します。

スタンドアロンのNGFWサイトを追加するには:

  1. [リソース] > [サイトの管理] を選択します。

    [サイトの管理] ページが表示されます。

  2. [追加] をクリックし、[ブランチ サイトの追加 (手動)] を選択します。

    [ブランチ サイトの追加] ページが表示されます。

  3. 表 1 に示すガイドラインに従って、構成設定を完了します。
    メモ:

    アスタリスク (*) の付いたフィールドは必須です。

  4. [次へ] をクリックします。

    概要ページが表示されます。

  5. 構成を確認し、必要に応じて [概要] タブから設定を変更します。 [OK] をクリックします。
    • アクティベーション中にシリアル番号を入力し、自動アクティベーションが有効になっている場合は、[サイトアクティベーションの進行状況]ページが表示されます。サイトのライセンス認証プロセスは、「 サイトのライセンス認証に関する問題のトラブルシューティング」で説明されているタスクに従って進行します。

      [ OK ] をクリックして [サイトのライセンス認証の進行状況] ページを閉じます。

    • シリアル番号を入力せず、自動アクティベーションが無効になっている場合は、[サイトの管理] ページに戻ります。CSOはジョブをトリガーし、ジョブリンクを含む確認メッセージを表示します。リンクをクリックすると、ジョブのステータスが表示されます。ジョブが終了すると、CSOは確認メッセージとジョブリンクを表示します。サイトの状態が [作成済み] に変わります。

      アクティベーションプロセスを完了するには、デバイスを手動でアクティベーションする必要があります。

    メモ:

    次の手順は、デバイス テンプレートでゼロタッチ プロビジョニング (ZTP) が true に設定されている場合に適用されます。デバイステンプレートでZTPが無効になっている場合、CSOがアクティベーションを続行するには、ステージ1の設定をコピーしてデバイスにコミットする必要があります。

    CPE(ブランチサイト)デバイスを手動でアクティブ化するには:

    1. アクティブ化する必要があるブランチ サイト CPE を選択します。
    2. [サイトの管理] ページの [サイトのアクティブ化] リンクをクリックします。

      [ サイトのアクティブ化] ページが表示されます。

    3. デバイスのシリアル番号とアクティベーションコードを入力します。OK をクリックします。

      [サイトのアクティブ化の進行状況] ページが表示され、CPE デバイスをアクティブ化するために実行された手順の進行状況が表示されます。デバイスのライセンス認証が成功すると、[サイトの状態] が [作成済み] から [プロビジョニング済み] に変わります。

  6. ゼロタッチプロビジョニングフィールドを有効にしている場合、CSOはステージ1設定を自動的に適用します。
    メモ:

    ファイアウォールサイトの作成時にアクティベーションコードとデバイスのシリアル番号をすでに入力している場合、デバイスは自動的にアクティベートされます。

    デバイスの [ゼロ タッチ プロビジョニング(Zero Touch Provisioning)] フィールドを無効にした場合は、デバイスでステージ 1 設定を手動で設定する必要があります。

    1. [サイトのアクティブ化の進行状況] ページの [デバイスの事前設定] タスクの横にある [ステージ 1 構成をクリックしてコピー] リンクをクリックします。誤って [サイトのアクティブ化の進行状況] ページを閉じると、[サイトの管理] ページからページにアクセスできます。[サイトの状態] 列の下にあるサイトの状態の横にある [表示] リンクをクリックします。
      メモ:

      「デバイス」ページ(「リソース」>「デバイス」)から構成をコピーすることもできます。デバイスを選択し、[ Stage1 Config] をクリックします。

      [ステージ 1 設定] ページが表示され、ステージ 1 の設定が表示されます。

    2. stage-1 の設定をコピーします。
    3. デバイスにログインし、Junos OS 設定モードを開きます。
    4. コピーしたコンフィギュレーションを貼り付け、コンフィギュレーションをコミットします。

      CSOは、事前スクリプトとステージ1設定(デバイス設定を含む)を適用します。[サイト] ページでサイトの状態が [管理 済み] に変わります。

    デバイスの追加時にセキュリティサービスを選択した場合、CSOはサービスプロビジョニング設定を生成し、デバイスに適用します。ファイアウォール サイトの状態が [サイトの管理] ページで [プロビジョニング済み ] に変わります。

    デバイスの追加時に [セキュリティ サービス] を選択しなかった場合、サービスは適用するまでデバイスは MANAGED 状態のままになります。サイトを編集してサービスを追加できます。サービスを追加すると、CSO によってサービス プロビジョニング設定が適用され、デバイスがプロビジョニングされます。

メモ:

サイト テンプレートを使用してスタンドアロン ファイアウォール サイトを追加することもできます。詳細については、「サイト テンプレートを使用したブランチ サイトの追加」を参照してください。

表 1: [ブランチ サイトの追加] ページのフィールド (スタンドアロン ファイアウォール)

フィールド

説明

一般

サイト情報

 

サイト名

ファイアウォール サイトの一意の名前を入力します。英数字とハイフン(-)を使用できます。許可される最大長は 32 文字です。

デバイスホスト名

デバイスのホスト名は自動生成され、 という形式 tenant-name.host-nameが使用されます。デバイスホスト名の部品は変更 tenant-name できません。英数字とハイフン(-)を使用します。許可される最大長は 32 文字です。

サイトグループ

サイトを割り当てるサイト グループを選択します。

サイトの機能

NGFWサイトを追加する際に[ セキュリティサービス ]を選択します。[デバイス管理] が既定で選択されていることに注意してください。

   

住所と連絡先情報

 

番地

サイトの番地を入力します。

都市

サイトがある都市の名前を入力します。

都道府県

サイトが配置されている都道府県を選択します。

郵便番号

サイトの郵便番号を入力します。

サイトが配置されている国を選択します。

[ 検証 ] ボタンをクリックすると、指定したアドレスを確認できます。

  • アドレスを確認できる場合は、「 アドレス検証成功 」メッセージが表示されます。 [マップ上の場所の表示] リンクをクリックすると、住所の場所が表示されます。

  • アドレスを確認できない場合は、「 サイトアドレスを検証できませんでした」 というメッセージが表示されます。

連絡先名

サイトの連絡担当者の名前を入力します。

電子メール

サイトの担当者の電子メール アドレスを入力します。

電話

サイトの連絡担当者の電話番号を入力します。

詳細設定

 

Domain Name Server(DNS)

DNS サーバーの 1 つ以上の IPv4 アドレスを入力します。複数の DNS サーバー アドレスを入力するには、「アドレス」と入力し、Enter キーを押して次のアドレスを入力します。DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。

NTP サーバー

1 つ以上の NTP サーバーの完全修飾ドメイン名(FQDN)または IP アドレスを入力します。例: ntp.example.net サイトの構成中に FQDN を解決するには、サイトに DNS 到達可能性がある必要があります。

タイムゾーンを選択

サイトのタイム ゾーンを選択します。

デバイス

デバイスの冗長性

デフォルトでは無効になっています。このオプションは、デュアル CPE の場合にのみ有効にします。

デバイスシリーズ

デフォルトでは SRX が表示されます。

デバイス モデル

デバイスモデルを選択します。

デバイスのrootパスワード

デフォルトのrootパスワードは、デバイステンプレートのENC_ROOT_PASSWORDフィールドから取得されます。パスワードを保持することも、プレーンテキスト形式でパスワードを入力して変更することもできます。パスワードは暗号化され、デバイスに保存されます。

シリアル番号

ファイアウォールデバイスのシリアル番号を入力します。シリアル番号では大文字と小文字が区別されることに注意してください。

シリアル番号を入力しない場合、ブランチ サイトは作成されますが、CPE デバイスはアクティブ化されません。詳細については、 ステップ 5 を参照してください。

ゼロ タッチプロビジョニング

切り替えボタンをクリックして、ゼロタッチプロビジョニング(ZTP)を有効または無効にします。このオプションはデフォルトで有効になっています。

メモ:

デフォルトでは、このボタンはvSRX仮想ファイアウォールでは無効になっています。vSRX仮想ファイアウォールで実行されているJunos OSバージョンがPhone Homeクライアントをサポートしている場合、このボタンを有効にできます。

ZTPを使用するには、以下のことを確認してください。

  • デバイスはCSOおよびジュニパーのオートモー https://redirect.juniper.net サーバー()に接続できる必要があります。

    Telnet を使用して接続を確認します。

    telnet redirect.juniper.net:443

    telnet CSO Hostname/IP:443

    接続が確立されると、デバイスはテレフォンホームサーバーおよび CSO に接続できます。

  • 電話宅サーバーおよび CSO に必要な証明書がデバイスに存在する必要があります。

ZTP が有効になっている場合は、[ブート イメージ(Boot Image)] フィールドが表示され、Phone-Home クライアントをサポートするイメージを選択する必要があります。ZTP の期間中、ファイアウォール デバイス上のイメージは、ブート イメージ用に選択したイメージにアップグレードされます。

ZTPを無効にする場合は、デバイスがCSOに接続されていることを確認してください。デバイスが事前登録/事前構成されていない場合は、CSO がステージ 1 構成の一部として構成を生成できるように、[管理接続] セクションで詳細を指定する必要があります。デバイスに CSO への接続がある場合は、[管理接続] セクションをスキップできます。

ZTPを無効にした場合、オンボーディングプロセスを開始するには、CSOからステージ1の設定をコピーしてデバイスにコミットする必要があります。以下のいずれかのオプションを使用して、stage-1 設定をコピーします。

  • [サイトのアクティブ化の進行状況] ページの [デバイスの事前設定] タスクの横にある [ ステージ 1 の構成をクリックしてコピー ] リンクをクリックします。

    誤って [サイトのアクティブ化の進行状況] ページを閉じると、[サイトの管理] ページからページにアクセスできます。[サイトの状態] 列の下にあるサイトの状態の横にある [ 表示 ] リンクをクリックします。

  • 「デバイス」ページ(「リソース」>「デバイス」)で、デバイスを選択し、「 Stage1 Config」をクリックします。

自動アクティブ化

トグルボタンをクリックして、デバイスの自動アクティベーションを有効または無効にします。このオプションはデフォルトで有効になっています。

自動アクティブ化を無効にする場合は、「デバイスのアクティブ化 トピックを参照して、CPEを手動でアクティブ化します。

アクティベーションコード

デバイスの自動アクティベーションが無効になっている場合は、アクティベーションコードを入力してデバイスを手動でアクティベートします。アクティベーションコードは、サイトを追加した管理者から提供されます。

管理インターフェイスファミリー

管理インターフェイスの IP アドレス タイプ(IPv4 または IPv6)を選択します。このフィールドは、 ゼロタッチプロビジョニングを有効にしている場合にのみ表示されます。

ブート イメージ

[ゼロ タッチ プロビジョニング(Zero Touch Provisioning)] フィールドが有効になっている場合は、ドロップダウン リストからブート イメージを選択して、ファイアウォール デバイス上のイメージをオートホーム クライアントをサポートするバージョンにアップグレードします。

ブート イメージは、以前にイメージ管理システムにアップロードされたデバイス イメージです。ブートイメージは、CSOがZTPプロセスを開始する際に、デバイスのアップグレードに使用されます。ブート イメージが提供されていない場合、デバイスは自動アップグレード手順をスキップします。ブート イメージは、サイトの作成時に選択したデバイス テンプレートに基づいて設定されます。

デフォルトでは、「 デバイス上のイメージを使用 」オプションが選択されています。

デバイス情報

セキュア・ログ・ソース・インターフェイス

管理インターフェイスとして設定するポートを選択し、それを管理デバイスに接続します。インバンド管理インターフェイスとして、ge-0/0/xポート(xの範囲は0〜14)のいずれかを設定できます。

ファイアウォールポリシー

このフィールドは、ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。スタンドアロン ファイアウォール サイトに展開するファイアウォール ポリシーを選択します。ファイアウォール ポリシーの一覧は、[ ファイアウォール ポリシー>>構成 ] ページから入力されます。

デフォルト: Factory_Default_Fw_Policy

NAT ポリシー

このフィールドは、ゼロタッチプロビジョニングを有効にした場合にのみ表示されます。スタンドアロン ファイアウォール サイトに展開する NAT ポリシーを選択します。NAT ポリシー リストは、 NAT の構成> NAT ポリシー ページから入力>ます。

デフォルト: Factory_Default_NAT_Policy

インポートポリシー設定

このフィールドは、ゼロタッチプロビジョニングを無効にした場合にのみ表示されます。

デフォルトでは、このフィールドは無効になっています。切り替えボタンをクリックすると、NGFWデバイスからCSOにファイアウォールポリシーとNATポリシーが自動的にインポートされます。

このサイト用にインポートされるファイアウォールと NAT の構成を次に示します。

ファイアウォールルール(ゾーンルール):

  • アドレスオブジェクト(アドレスグループまたはアドレスオブジェクト)

  • サービスオブジェクト (カスタムサービス)

  • カスタムL7アプリケーションまたはアプリケーショングループ

  • SSL/コンテンツセキュリティプロファイルとスケジューラ

  • ユーザー(ユーザーFW)

NATルール(送信元/宛先/静的):

  • NAT プール

管理接続性

メモ:

このセクションは、ゼロタッチプロビジョニングを無効にした場合にのみ表示されます。

アドレス ファミリー

IP アドレスの種類 (IPv4 または IPv6) を選択します。

インターフェース名

管理インターフェイスを起動します。

アクセス タイプ

アンダーレイ リンクのアクセス タイプを選択します。LTE、ADSL、およびVDSLアクセスタイプは、インターネットリンクでのみサポートされています。LTE、ADSL、VDSLのアクセスタイプを同じWANリンクに追加することはできません。

アドレス割り当て

デフォルトでは、DHCP が選択されています。静的 IP アドレスを指定する場合は、[静的] を選択します。

管理VLAN ID

WAN リンクの VLAN ID を入力します。

Pppoe

切り替えボタンをクリックして、PPPoE(イーサネット経由のポイントツーポイントプロトコル)を使用したWANリンクの認証済みアドレス割り当てを有効にします。

Configuration Templates (Optional)

構成テンプレートのリスト

(オプション)リストから 1 つ以上の構成テンプレートを選択します。このリストは、選択したデバイスに基づいてフィルタリングされます。

構成テンプレートは、OpCo 管理者、SP 管理者、またはテナント管理者によって追加されるステージ 2 テンプレートです。

選択した構成テンプレートのパラメーターを設定するには:

  1. 1 つ以上の構成テンプレートを選択したら、[ パラメーターの設定] をクリックします。

    [デバイス構成] ページが表示されます。このページは、[構成] と [概要] の 2 つのタブで構成されています。

  2. [構成] タブで、各構成テンプレートの属性を入力します。

    (オプション)[概要] タブで CLI コマンドを表示します。

  3. 保存」をクリックします。

    作成するサイト テンプレートの一部である構成テンプレートのパラメーターを追加および設定しました。