パッケージ済みの事前インストール済み署名を使用したcSRX画像
事前にインストールされた署名について
cSRXイメージに事前インストールされた署名パッケージをサポートするために、Dockerファイルがローカルホストリポジトリに配置され、インストールされている署名を使用してcSRXをコンパイルするのに役立ちます。この新しいイメージでは、コンテナの起動直後にワークロードを保護するcSRXポッドを起動できます。
署名パッケージ化でサポートされている機能は次のとおりです。
侵入検出および防御(IDP)
アプリケーション識別(AppID)
統合脅威管理(UTM)
シグネチャーを使用したcSRX画像の再パッケージ化
cSRX イメージがローカル リポジトリまたは他の Docker レジストリに配置されていることを確認します。
ライセンス ファイルを Docker ファイルと一緒に含める必要があります。
cSRXイメージを署名付きで再パッケージ化するには::
ジュニパーシグネチャーパックのダウンロード
cSRX に署名パックが事前にインストールされていない場合は、 Juniper Signature Repository から署名パックを直接ダウンロードできます。
root@host> request services application-identification download
root@host> request security idp security-package download
プロキシー・サーバーによる署名パックのダウンロード
プロキシ サーバーから署名パックをダウンロードできます。AppIDD および IDPD プロセスは、まず構成済みのプロキシー・サーバーに接続します。プロキシサーバーは、署名パックダウンロードサーバーと通信し、デバイスで実行されているプロセスに応答を提供します。
プロキシ サーバーから署名パックをダウンロードするには、以下の手順にしたがっています。
プロキシサーバーを通じてダウンロードが行われていることを確認するには、次の手順にしたがっています。
プロキシサーバーのログを確認します。
[root@srxdpi-lnx39 squid]# cat /var/log/squid/access.log
1593697174.470 1168 4.0.0.254 TCP_TUNNEL/200 5994 CONNECT signatures.juniper.net:443 - HIER_DIRECT/66.129.242.156 - 1593697175.704 1225 4.0.0.254 TCP_TUNNEL/200 11125 CONNECT signatures.juniper.net:443 - HIER_DIRECT/66.129.242.156 - 1593697176.950 1232 4.0.0.254 TCP_TUNNEL/200 5978 CONNECT signatures.juniper.net:443 - HIER_DIRECT/66.129.242.156 - 1593697178.195 1236 4.0.0.254 TCP_TUNNEL/200 11188 CONNECT signatures.juniper.net:443 - HIER_DIRECT/66.129.242.156 - 1593697198.337 1243 4.0.0.254 TCP_TUNNEL/200 6125 CONNECT signatures.juniper.net:443 - HIER_DIRECT/66.129.242.156 -
cSRXでは、TLSプロトコルが使用され、プロキシサーバーを介したトラフィックが暗号化されます。