Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRXシリーズファイアウォール用のセキュアエッジコネクターを設定する

Juniper® Secure Edgeは、フルスタックのセキュアサービスエッジ(SSE)機能を提供し、Web、SaaS、オンプレミスアプリケーションへのアクセスを保護します。これらの機能はまた、一貫した脅威防御、最適化されたネットワークエクスペリエンス、およびユーザーがどこにいてもフォローするセキュリティポリシーを提供します。Secure Edgeは、高度なクラウドベースのセキュリティスキャナーとして機能します。これにより、組織はデータを保護し、ユーザーがオフィス、キャンパス、移動中のいずれであっても、一貫性のある安全なネットワークアクセスをユーザーに提供できます。

Mistは、Juniper Secure Edgeクラウドサービスで安全なトンネルを確立できるセキュアエッジコネクタ(SEC)を提供することで、Juniper Secure Edgeと連携します。

図1:セキュアエッジ Secure Edge

Secure Edgeの機能はすべてJuniper Security Director Cloudで管理されています。Juniper Security Director Cloudは、シングルユーザーインターフェイス(UI)で提供されるシンプルでシームレスな管理エクスペリエンスです。

図2:Juniper Secure Edge Traffic Inspection by Juniper Secure Edgeによるトラフィック検査

詳細については、 Juniper Secure Edgeを参照してください。

セキュアエッジコネクタの概要

Juniper Mist™ CloudはJuniper® Secure Edgeと連携し、Secure Edgeコネクタ機能を使ってエッジデバイスからのトラフィック検査を実行します。この機能により、WANエッジデバイスとして導入されたジュニパーネットワークスの® SRXシリーズファイアウォールが、トラフィックの一部を検査のためにJuniper Secure Edgeに送信できます。

このタスクでは、トラフィックがインターネットに到達する前に、検査のためにスポークまたはハブデバイスのLAN側からSecure Edgeにインターネット宛てのトラフィックを送信します。

Secure Edgeでトラフィックインスペクションを実行するには:

  • Security Director Cloudで、Secure Edgeのサービスロケーション、IPsecプロファイル、サイト、ポリシーを作成および構成します。これらは、WANエッジデバイスにセキュリティサービスと接続性を提供するクラウドベースのリソースです。

  • Mist Cloudで、LANネットワークに接続するSRXシリーズファイアウォールなどのWANエッジデバイスを作成および設定します。これらは、支店やキャンパスにルーティング、スイッチング、SD-WAN機能を提供するデバイスです。

  • Mist WAN Edgeで、WANエッジデバイスをサービスロケーションに接続するSecure Edgeトンネルを作成および設定します。これらは、Secure Edgeによる検査が必要なトラフィックに安全で信頼性の高いトランスポートを提供するIPsecトンネルです。

  • Mist Cloudで、WANエッジデバイスに対応するサイトまたはデバイスプロファイルにセキュアエッジトンネルを割り当てます。これにより、定義されたデータポリシーやその他の一致条件に基づいて、LANネットワークからSecure Edgeクラウドへのトラフィックのステアリングが可能になります。

以下の表のトピックは、Juniper Mist™ CloudでSecure Edgeのクラウドベースのセキュリティを使用する際に必要となる概要情報を示しています。

表 1: Secure Edge コネクタの構成ワークフロー
タスク 形容
1 Juniper Security Director Cloudにアクセスして、アクティブなサブスクリプションを確認 Juniper Security Director Cloudにアクセスし、組織のアカウントに移動して、Secure Edgeサブスクリプションを確認します。このサブスクリプションでは、展開に合わせて Secure Edge サービスを構成できます。
2 Juniper Security Director Cloudでのサービスの場所の設定

サービスの場所を作成します。これは、vSRXベースのWANエッジが異なるネットワーク間に安全な接続を作成する場所です。

3 Juniper Security Director Cloudでのデバイス証明書の生成 Juniper Secure Edgeのデジタル証明書を生成して、Secure Edgeとユーザーエンドポイント間のセキュアな通信を確立します。
4 Juniper Security Director CloudでIPsecプロファイルを作成する IPsecプロファイルを作成して、Juniper Mist™クラウドネットワーク上のWANエッジデバイス間の通信に、Secure Edgeインスタンスを使用してIPsecトンネルを確立します。
5 Juniper Security Director Cloudでサイトを作成する ジュニパーSRXシリーズサービスファイアウォールなどのWANエッジデバイスをホストするサイトを作成します。デバイスからのトラフィックは、検査のためにセキュアなトンネルを介してSecure Edgeインスタンスに転送されます。
6 Juniper Security Director Cloudでセキュアエッジポリシーを導入 サイトから発信されるトラフィックまたはサイトを宛先とするトラフィックのセキュリティ ルールとアクションを定義するポリシーを構成します
7 Juniper Security Director Cloudに適用するIPsecトンネル設定パラメータの取得 サービスの場所、IPまたはホスト名、IPsecプロファイル名、事前共有キーなどの詳細を書き留めます。Juniper Mist側からIPsecトンネルを設定するには、これらの詳細が必要です。
8 Juniper Mist Cloudポータルでのセキュアエッジコネクタの作成 Juniper Mist CloudポータルでSecure Edgeコネクタを作成します。このタスクにより、MistとSecure Edgeインスタンスの間にIPsecトンネルを確立するためのトンネルのMistクラウド側の設定が完了します。
9 アプリケーション ポリシーの変更 新しいアプリケーションポリシーを作成するか、既存のアプリケーションポリシーを変更して、一元化されたアクセス用のハブを経由するのではなく、Juniper Security Director Cloudを介して支社/拠点からインターネットにトラフィックを転送します。
10 設定の確認 次の場所で確立されたIPsecトンネルを確認して、設定が機能していることを確認します。
  • MistポータルのWANインサイト
  • Security Directorクラウドダッシュボード
  • WANエッジデバイスのCLIでトラフィックフローをトンネルします。

始める前に

Juniper Security Director Cloudにアクセスして、アクティブなサブスクリプションを確認

Juniper Secure Edgeのテナントは、Juniper Security Directorクラウドポータルにアクセスし、セキュアエッジサービスを管理するために作成する組織アカウントです。テナントは、一意の電子メール アドレスとサブスクリプション プランに関連付けられます。テナントは、組織のパブリッククラウドでホストされるvSRXベースのWANエッジである複数のサービスロケーションを持つことができます。

テナントは、エンド ユーザーの接続ポイントである 1 つ以上のサービスの場所を持つことができます。テナントを作成するには、Juniper Security Director Cloudのアカウントが必要です。詳細については、「 セキュアエッジテナントの作成」 を参照してください。

Juniper Security Director Cloudポータルでセキュアエッジテナントを作成したら、ポータルにアクセスしてサブスクリプションを確認します。

Juniper Security Director Cloudにアクセスしてアクティブなサブスクリプションを確認するには、以下を行います。

  1. Juniper Security Director CloudのURLを開きます。メールアドレスとパスワードを入力してログインし、Juniper Security Director Cloudポータルの使用を開始します。
    図3: Juniper Security Director Cloud Access Juniper Security Director Cloudへのアクセス
  2. ポータルの右上隅で必要なテナントを選択して続行します。
  3. [管理] > [サブスクリプション] を選択して、Juniper Security Director Cloud サブスクリプション ページにアクセスします。
    図4:セキュアエッジサブスクリプション Secure Edge Subscriptions
  4. [Secure Edge サブスクリプション] セクションまでスクロールして、アクティブなサブスクリプションがあるかどうかを確認します。
    手記:ジュニパーネットワークスの® SRXシリーズファイアウォールを使用している場合でも、[ SRX管理サブスクリプション]タブをクリックする必要はありません。このタスクでは、Juniper Security Director CloudをWANエッジデバイスの管理に使用する必要はありません。

    詳細については、「 [サブスクリプション] ページについて」を参照してください。

    アクティブなサブスクリプションがあると仮定して、次の手順に進みます。

Juniper Security Director Cloudでのサービスの場所の設定

Juniper Security Director Cloudの有効なライセンスがあることを確認した後、サービスの場所を設定します。これは、SRXシリーズファイアウォール用のセキュアエッジコネクタを設定する最初のメインタスクです。

Juniper Security Director Cloud内のサービスの場所は、POP(ポイントオブプレゼンス)とも呼ばれ、クラウドロケーション内のJuniper® Secure Edgeインスタンスを表します。サービスの場所は、オンプレミス ユーザーとローミング ユーザーの両方の接続 (アクセス ポイント) です。

サービスの場所は、vSRXがパブリッククラウドサービスを使用して異なるネットワーク間に安全な接続を作成する場所です。パブリック IP アドレス (テナントおよびサービスの場所ごとに一意) は、次の目的で使用されます。

  • ブランチデバイスとJuniper Security Director Cloudの間にIPsecトンネルを設定します。

  • 宛先がインターネット上にある場合に、トラフィックを集中的に分散します。

Juniper Security Director Cloudでサービスの場所を設定するには、次の手順に従います。

  1. Juniper Security Director Cloudメニューで、Secure Edge>サービス管理>サービスロケーションの順に選択します。

    [サービスの場所] ページが表示されます。

  2. 追加(+)アイコンをクリックして、新しいサービスの場所を作成します。
    次のフィールドに詳細を入力します。
    • リージョン - Secure Edgeインスタンスを作成する地理的リージョンを選択します。

    • PoP—リージョン内のセキュアエッジの場所を選択します。

    • [ユーザー数] - このサービスの場所でサービスを提供する必要がある可能性のあるユーザーの合計数を入力します。

    表2に、サービスの場所の例を示します。

    表 2: サービスの場所のサンプル
    フィールド サービスの場所 1 サービスの場所 2
    地域 北アメリカ 北アメリカ
    ポップ オハイオ オレゴン州
    ユーザー数 50 50
  3. OK をクリックします。

    Security Director Cloudは、新しいサービスの場所を作成し、[サービスの場所]ページに一覧表示します。

    図5に示すように、サービスの場所のステータスには、Secure Edgeインスタンスが完全にデプロイされるまで[進行中]と表示されます。

    図 5: サービスの場所の状態 Service Location Status

    新しいサービスロケーションを作成すると、システムはテナントシステムのWANエッジとして2つのvSRXインスタンスの展開を開始します。この展開では、vSRXインスタンスは他のテナントと共有されません。

Juniper Security Director Cloudでのデバイス証明書の生成

Juniper Security Director Cloudでサービスロケーションを設定したので、デバイス証明書を生成してネットワークトラフィックを保護します。

トランスポートレイヤーセキュリティ/セキュアソケットレイヤー(TLS/SSL)証明書を使用して、セキュアエッジとWANエッジデバイス間のセキュアな通信を確立します。SSLプロキシを使用するには、ネットワーク上のすべてのクライアントブラウザが、ジュニパーネットワークスとSRXシリーズファイアウォールによって署名された証明書を信頼する必要があります。

Juniper Security Director Cloudでは、証明書の生成について以下の選択肢があります。

  • 新しい証明書署名要求 (CSR) を作成すると、独自の認証局 (CA) が CSR を使用して新しい証明書を生成できます。

  • ジュニパーネットワークスに新しい証明書を作成させるには、 オプションを選択します。

手記:

このトピックでは、TLS/SSL 証明書を生成する方法について説明します。証明書のインポート方法と使用方法は、会社のクライアント管理要件によって異なり、このトピックの範囲外です。

Juniper Security Director Cloudでデバイス証明書を生成するには、次の手順に従います。

  1. Secure Edge>サービス管理>証明書管理の順に選択します。

    [証明書の管理] ページが表示されます。

    [生成] リストから、新しい証明書署名要求(CSR)またはジュニパー発行の証明書を生成できます。

    図 6: 証明書の管理 Certificate Management
  2. 該当するオプションを選択します。
    1. 会社に独自の CA があり、CSR を生成する場合は、[証明書署名要求] をクリックします。

      Juniper Secure EdgeでCSRが生成されたら、CSRをダウンロードしてCAに送信し、新しい証明書を生成します。生成されたら、[アップロード] をクリックして [証明書管理] ページに証明書をアップロードします。

    2. 会社に独自の CA がない場合は、[ジュニパー発行の証明書] をクリックし、[生成] をクリックして証明書を生成します。ジュニパーネットワークスが証明書を生成し、システム上に保持します。
      このタスクでは、[ ジュニパー発行の証明書 ] を選択し、次の手順に進みます。
  3. 証明書の詳細を入力します。[共通名] フィールドで、証明書の完全修飾ドメイン名 (FQDN) を使用します。
    図 7: ジュニパー発行の証明書 Generate a Juniper-Issued Certificateの生成

    [証明書の管理] ページが開き、証明書が正常に作成されたことを示すメッセージが表示されます。

  4. 生成された証明書をダウンロードします。
    図 8: 証明書の Download the Certificateダウンロード

    次のサンプルは、ダウンロードした証明書を示しています。

    証明書をシステムにダウンロードしたら、証明書をクライアント ブラウザーに追加します。

Juniper Security Director CloudでIPsecプロファイルを作成する

Secure EdgeとWANエッジデバイス間のセキュアな通信を確立するための証明書を生成したら、IPsecプロファイルを作成できます。

IPsecプロファイルは、Juniper Mist™クラウドネットワーク上のWANエッジデバイスがセキュアエッジインスタンスとの通信を開始したときに、IPsecトンネルが確立されるパラメーターを定義します。

Juniper Security Director CloudでIPsecプロファイルを作成するには、次の手順に従います。

  1. Juniper Security Director Cloudポータルで、[IPsecプロファイル]>[Secure Edge > Service Management]を選択します。
  2. 追加(+)アイコンをクリックして、IPsecプロファイルを作成します。
    IPsec プロファイルの作成 ページが表示されます。
  3. プロファイル名には、default-ipsecを使用します。インターネットキー交換(IKE)とIPsecのすべてのデフォルト値を保持します。現在のところ、Juniper Mist Cloudポータルでは設定できません。
    図 9: IPsec プロファイル Create an IPsec Profileの作成
  4. OK をクリックします。

    この IPsec プロファイルを使用して、次のタスクでサイトを作成します。[サイトの作成] ページで、[トラフィック転送] タブのトンネルの種類として IPsec を選択した場合は、IPsec プロファイルをアタッチします。

Juniper Security Director Cloudでサイトを作成する

これで、IPsec プロファイルが作成されました。これらのプロファイルは、Juniper Mist™クラウドネットワーク上のWANエッジデバイスとセキュアエッジインスタンス間のIPsecトンネルのパラメーターを定義します。

この時点で、Juniper Security Director Cloudでサイトを作成する必要があります。サイトとは、SRXシリーズサービスファイアウォールなどのWANエッジデバイスをホストする場所を表します。WANエッジデバイスからのトラフィックは、セキュアトンネルを介してセキュアエッジインスタンスに転送された後、セキュアエッジクラウドサービスによって検査および適用されます。

お客様のサイトからのインターネット宛てのトラフィックの一部またはすべてを、サイトのWANエッジデバイスからのGRE(汎用ルーティングカプセル化)またはIPsecトンネルを介してJuniper Secure Edgeクラウドに転送するように設定できます。

サイトは通常、Juniper Security Directorクラウドサービスロケーションを使用するジュニパーネットワークスの® SRXシリーズファイアウォールです。

手記:

ブランチロケーションでステートフルファイアウォールを使用している場合(例:SRXシリーズファイアウォール)、Secure Edge内の同じPOPに対してブランチアドレスの重複はサポートされていません。これらの重複する IP へのリバース パス トラフィックは、すべての接続で等コスト マルチパス (ECMP) を使用してルーティングされます。トラフィックは、トラフィックの発信元のインターフェイスへのセッション単位のルーティングではなく、ECMP を使用してルーティングされます。サイトの保護されたネットワークを設定するときは、ECMP を経由するリバース パス トラフィックを考慮してください。

Juniper Security Director Cloudでサイトを作成するには、次の手順に従います。

  1. Juniper Security Directorクラウドポータルで、Secure Edge>サービス管理> サイト)を選択します。

    [サイト] ページが表示されます。

  2. 追加(+)アイコンをクリックしてサイトを作成します。
  3. [サイトの詳細] ページに次のように入力します。
    1. 一意のサイト名と説明を入力します。

    2. サイトが配置されているリストから対応する国を選択します。

    3. (オプション)顧客ブランチがある郵便番号を入力します。

    4. (オプション)サイトの場所 (番地) を入力します。

    5. サイトでネットワークを使用できるユーザーの数を選択します。

    6. [保護されたネットワーク] フィールドで、[追加(+)] アイコンをクリックして、トンネルを通過するトラフィック フローに使用するインターフェイスのプライベート IP アドレス範囲を追加します。

    図10及び 表3は、サイトの一例を示す。
    図 10: サイト作成のサンプル Site-Creation Sample
    表 3: サイト作成の詳細
    フィールド
    プライマリサービスの場所 JSEC-オレゴン州
    セカンダリ サービスの場所 jsec-ohio
    ユーザー数 10
    名前 スポーク1サイト
    ドイツ
    保護されたネットワーク 10.99.99.0/24(LAN ネットワーク)
  4. [次へ] をクリックします。
  5. [トラフィック転送(Traffic Forwarding)] ページで、表 4 に示す情報に従って詳細を入力します。
    図 11: サイトの作成: トラフィック転送の詳細 Create Site: Traffic-Forwarding Details
    表 4: サイトの作成: トラフィック転送の詳細
    フィールド
    トンネルの種類 IPsec
    IP アドレスの種類 動的

    静的 IP アドレスの種類の場合は、[サイト IP アドレス] フィールドにデバイスの IP アドレスを指定する必要があります。

    IPsecプロファイル デフォルト-IPsec

    IPsec プロファイルが事前に構成されていない場合は、[ IPsec プロファイルの作成 ] をクリックして IPsec プロファイルを作成します。

    事前共有キー

    サイトごとに固有の PSK を定義します。例:Juniper!1

    IKE ID site1@example.com (電子メール アドレスに似ており、サイトごとに一意の値である必要があります)
  6. [サイトの構成] ページの [デバイスの種類] で [ジュニパー以外のデバイス] を選択します。
    図 12: サイト間構成 Create Site-Site Configurationの作成

    Juniper Mistクラウドポータルが管理するデバイスの設定は、Juniper Security Director Cloud経由でプッシュされないため、このオプションを選択しなければなりません。

  7. [次へ] をクリックします。
  8. [概要] ページで、構成を確認します。
    図 13: サイトの概要 Create Site SummaryNo hyphen in common noun phrases like の作成
  9. [戻る] をクリックしてフィールドを編集するか、[完了] をクリックして新しいサイトを作成します。
  10. 同じ手順を使用して、さらに 2 つのサイトを追加します。次の段落では、各サイトに含める詳細について説明します。
    1. 表 5 および表 6 に示す詳細を使用して 2 番目のサイトを作成します
      表 5: 2 番目のサイトの作成: サイトの詳細
      フィールド
      プライマリサービスの場所 JSEC-オレゴン州
      セカンダリ サービスの場所 jsec-ohio
      ユーザー数 10
      名前 スポーク2サイト
      ドイツ
      保護されたネットワーク 10.88.88.0/24(LAN ネットワーク)
      表 6: 2 番目のサイトの作成: トラフィック転送の詳細
      フィールド
      トンネルの種類 IPsec
      IP アドレスの種類 動的
      IPsecプロファイル デフォルト-IPsec
      事前共有キー

      サイトごとに固有の PSK を定義します。例:Juniper!1

      IKE ID site2@example.com (電子メール アドレスに似ており、サイトごとに一意の値である必要があります)
    2. デバイス タイプ=非ジュニパー デバイスを選択します。
    3. 表 7 および表 8 に示す詳細を使用して 3 番目のサイトを作成します。
      表 7: 3 番目のサイトの作成 : サイトの詳細
      フィールド
      プライマリサービスの場所 JSEC-オレゴン州
      セカンダリ サービスの場所 jsec-ohio
      ユーザー数 10
      名前 スポーク3サイト
      ドイツ
      保護されたネットワーク 10.77.77.0/24(LAN ネットワーク)
      表 8: 3 番目のサイトの作成: トラフィック転送の詳細
      フィールド
      トンネルの種類 IPsec
      IP アドレスの種類 動的
      IPsecプロファイル デフォルト-IPsec
      事前共有キー

      サイトごとに固有の PSK を定義します。例:Juniper!1

      IKE ID site3@example.com (電子メール アドレスに似ており、サイトごとに一意の値である必要があります)
    4. デバイスの種類 = ジュニパー以外のデバイス を選択します。
  11. [概要] ページを確認します。正しくないエントリを変更します。

    図 14 に、作成したサイトの一覧を示します。

    図 14: 作成されたサイト Summary of Created Sitesの概要

Juniper Security Director Cloudでセキュアエッジポリシーを導入

Juniper Security Director Cloudでサイトを作成したので、次は1つ以上のJuniper® Secure Edgeポリシーを展開します。

Secure Edgeポリシーは、ネットワークによるトラフィックのルーティング方法を指定します。デフォルトでは、新しいテナントを作成すると、Security Director Cloudは、事前定義されたルールを使用してセキュアエッジポリシールールセットを作成します。

手記:

既定のルール セットを変更しない場合でも、[ 展開] オプションを使用してサービスの場所にルールを読み込む必要があります。

Juniper Security Director Cloudでセキュアエッジポリシーを展開するには、次の手順に従います。

  1. Juniper Security Director Cloudポータルで、[Secure Edge]> [セキュリティポリシー]をクリックします。

    既定のルールを含む [セキュア エッジ ポリシー] ページが表示されます。デフォルトのセキュリティー・ポリシー・セットは、デバッグを改善するために変更します。デフォルトのルールセットでは、外部(インターネット)へのICMP pingは許可されていないため、クラウド経由では何もpingできません。

    図 15: セキュアエッジポリシーの詳細 Secure Edge Policy Details
  2. 追加(+)アイコンをクリックして新しいルールを作成するか、既存のルールを選択して鉛筆アイコンをクリックしてルールを編集します。
  3. 新しいルールに [ルール名] = [許可-ICMP] を指定します。
  4. 追加(+)をクリックしてソースを追加します。
    [ ソース] で、次の既定値を使用します。
    • アドレス = 任意

    • ユーザー グループ=任意

  5. 追加(+)をクリックして目的地を追加します。
    [宛先][住所] で、既定値の =Any を使用します。
  6. [アプリケーション/サービス] で、次の値を構成します。
    • アプリケーション = 任意

    • サービス = 特定 (検索経由)

    • 特定のサービス=icmp-all

    右矢印 (>) を使用して、 特定の service=icmp-all を右ペインに移動してアクティブにしてから、[ OK] をクリックします。

  7. アクション=許可を設定し、残りのフィールドのデフォルト値を保持します。

    新しいルールがルールリストの一番下に配置され、このルールがルールセットの最後のルールとして扱われます。ルールが(すべてのトラフィックを拒否する)グローバル ルールの後に配置された場合、グローバル ルールはそれ以降のすべてのトラフィックを停止するため、ルールは適用されません。したがって、この例では、ルールを選択してルールの位置を変更します。次に、[ 移動 > 移動] > [ 一番上 に移動] オプションを使用して、選択したルールをルール セットの一番上に移動します。ルールをルールセットの一番上に移動すると、システムはこのルールを最初に適用します。

    手記:

    ルール セットを変更する場合は常に、[ 展開] ボタンを使用してタスクを完了してください。それ以外の場合、サービスの場所は引き続き古いルール セットを使用します。

  8. [デプロイ] をクリックします。
  9. [デプロイ] ページで、[今すぐ実行] オプションをオンにして、[OK] をクリックします。

    サービスの場所は、数分後に更新されたルール セットを取得します。

  10. [管理] > [ジョブ] を選択して、デプロイされたジョブの状態と進行状況を表示します。

Secure Edge 設定に適用する IPsec トンネル設定パラメータの取得

前述のタスクでは、Juniper Secure EdgeでIPsecトンネルを設定するためのいくつかのアクションを完了し、Juniper Security Director CloudにSecure Edgeポリシーを展開しました。Security Director Cloudの最後のステップは、各サイトの構成データを収集することです。Juniper Mist™ Cloudで Secure Edge コネクタの設定(Juniper Mist Cloud PortalでのSecure Edge Connectorの作成)を完了してIPsecトンネルを設定するには、これらの詳細が必要になります。この手順では、作成したサイトの詳細を書き留めます。

手記:

Juniper Security Director CloudとJuniper Mistクラウド間で同期するための自動設定プッシュオプションは使用できません。

Juniper Security Director Cloudに適用するIPsecトンネル設定パラメータを取得するには、次の手順に従います。

  1. Juniper Security Directorクラウドポータルで、Secure Edge>サービス管理>サイト)を選択します。
    [サイト] ページが開き、展開されたサイトの詳細が表示されます。
    図 16: トンネル設定の詳細 Tunnel Configuration Details
  2. 各スポーク サイトについて、[展開済みステータス] の下の [トンネル構成] オプションをクリックし、[MIST 管理対象デバイス] タブで情報を確認します。

    以下の詳細を書き留めておい てください。Juniper Mist Cloudポータルの「セキュアエッジコネクタの作成」で使用します。

    • 事前共有キー

    • ローカルID

    • 各サービスロケーショントンネルのIPアドレスとリモートID

    以下のサンプルは、 Juniper Security Director Cloudでサイトを作成するで作成した3つのサイトすべての抽出情報を示しています。

    次のサンプルは、site2 の抽出された情報です。

    次のサンプルは、site3 について抽出された情報です。

    Mist Cloudポータルでトンネルを設定する際に、これらのサイトの詳細が必要になります。

Juniper Mist Cloudポータルでのセキュアエッジコネクタの作成

Juniper Mist™でSRXシリーズファイアウォール用のセキュアエッジコネクタを設定するという最終目標のほぼ半分が過ぎました。

Secure Edgeコネクタは、Juniper Mist Cloudポータルで作成します。このタスクでは、Mistが管理するWANエッジデバイスとSecurity Director Cloudの間にIPsecトンネルを確立するためのトンネルのMistクラウド側の設定を完了します。コネクタを作成する前に、サイトにSRXシリーズファイアウォールが導入されていることを確認してください。

セキュアエッジコネクタを作成するには:

  1. Juniper Mist クラウド ポータルで、[WAN エッジ] をクリックします。

    WANエッジ ページには、サイトの詳細が表示されます。

    図 17: WAN エッジ Configure WAN Edgeの設定
  2. ブランチ デバイスが展開されているサイトを選択します。
  3. 「セキュア・エッジ・コネクター」ペインで、「プロバイダーの追加」をクリックします。
    図 18: セキュアエッジコネクタの設定 Secure Edge Connector Configuration
  4. 表 9 に記載されている詳細に従って、Secure Edge コネクタの詳細を入力します。
    手記:

    これらは、「 Secure Edge 設定に適用する IPsec トンネル設定パラメータの取得」で収集した詳細と同じであることに注意してください。

    図 19: セキュアエッジコネクタの詳細 Secure Edge Connector Details
    表 9: セキュアエッジコネクタの詳細
    フィールド
    名前 サイト1からSDクラウドへ
    供給者 Juniper Secure Edge
    ローカルID site1@example.com
    事前共有キー Juniper!1(例)
    原発
    IPまたはホスト名 <IPアドレス>(Juniper Security Directorクラウドトンネル設定より)
    プローブIP -
    リモート ID <UUID>.jsec-gen.juniper.net(Juniper Security Directorクラウドトンネル設定より)
    WAN インターフェイス
    • WAN0=INET

    • WAN1=MPLS

    付帯
    IPまたはホスト名 <IPアドレス>送信元(Juniper Security Directorクラウドトンネル設定)
    プローブIP -
    リモート ID <UUID>.jsec-gen.juniper.net(Juniper Security Directorクラウドトンネル設定より)
    WAN インターフェイス
    • WAN0=INET

    • WAN1=MPLS

    モード アクティブ/スタンバイ
    手記:

    プローブ IP 値を入力する必要はありません。IPsecトンネルは、GREが必要とするような追加の監視を必要としません。

    手記:

    システムは、テキスト、アプリケーション、および電子メールの説明を自動的に生成します。

  5. Mist クラウド ポータルに、構成したばかりの Secure Edge コネクタが追加されていることを確認します。
    図 20: 追加されたセキュア エッジ コネクタ Secure Edge Connector Added
  6. トラフィックステアリングパスを追加します。

    表 10 に示す値に従って、WAN エッジ テンプレートまたは WAN エッジ デバイスに新しいトラフィック ステアリング パスを追加します。

    図 21: Secure Edge Add Traffic-Steering Options for Secure Edge のトラフィックステアリングオプションの追加
    表 10: トラフィック ステアリング パスの設定
    フィールド
    名前
    戦略 注文
    パス タイプと宛先の選択
    種類 セキュアエッジコネクタ
    供給者 Juniper Secure Edge
    名前 サイト1からSDクラウドへ

    図 22 に、設定されたトラフィック ステアリング パスを示します。

    図 22: トラフィック ステアリング パス Traffic-Steering Paths

アプリケーション ポリシーの変更

Juniper Mist™ CloudポータルでSecure Edgeコネクタを作成したら、次にブランチデバイスのアプリケーションポリシーを変更します。たとえば、スポーク デバイスからハブ デバイスへのトラフィックを許可できます。また、スポーク デバイスから VPN トンネル内の別のスポーク デバイスへのトラフィックを許可することもできます。その後は、スポークからハブにトラフィックを送信して中央ブレイクアウトする代わりに、Juniper Security Director Cloudを介してスポークからのトラフィックを送信できるようになりました。

アプリケーション ポリシーを変更するには:

  1. Juniper Mist Cloudポータルで、[組織] > [WAN > Application Policy] を選択します。
    [アプリケーション ポリシー] ページが開きます。
    図 23: アプリケーション ポリシー Change Application Policiesの変更
  2. 変更するポリシーを選択し、次の変更を適用します
    • [ テンプレート設定の上書き ]オプションをオンにします。

    • 最後のルール(Internet-via-Cloud-CBO)で トラフィックステアリングクラウド に変更します。

  3. 変更を保存します。

    Juniper Mist Cloudは、Juniper Security Director Cloudへの新しいトンネルを構築します。

設定の確認

アプリケーション ポリシーを変更したら、構成が期待どおりに機能していることを確認します。
必要な設定を保存すると、Juniper Mist Cloudが、スポークからのインターネット宛てのトラフィックを、中央ブレイクアウト用のハブにルーティングするのではなく、Juniper Security Director Cloudにルーティングしているかどうかを確認できます。

設定を確認するには、次の手順に従います。

  1. (オプション)環境によっては、Juniper Security Director CloudでサービスロケーションへのIPsecトンネルの通信をCLIで確認できます。
  2. Juniper Mistクラウドポータルで、デバイスのWANインサイトの確立済みトンネルの詳細を確認します。
    図 24: トンネルの詳細 Secure Edge Connector with Tunnel Detailsを持つセキュアエッジコネクタ
    また、確立されたトンネルは、Juniper Security Director Cloudダッシュボードとサービスロケーションでも確認できます。
  3. ブランチ デバイスに接続された VM デスクトップを使用して、新しいトラフィック フローを確認します。インターネットへの ping を使用して、トラフィック フローを確認できます。
    手記:

    インターネットへの ping は、Juniper Security Director クラウドで Secure Edge ポリシーを展開するの説明に従って ICMP を許可する Secure Edge > セキュリティ ポリシー オプションを選択し、 Juniper Security Director Cloudに適切なルール(allow-ICMP)を導入した場合にのみ機能します。

    手記:

    お使いのWANエッジデバイスとJuniper Secure Edgeサービスの場所との物理的な距離によっては、遅延が発生する場合があります。

  4. VM デスクトップでブラウザーを開き、[https://whatismyipaddress.com/] に移動して、Juniper Mist ネットワーク トラフィックをサービスの場所からインターネットにルーティングするのに使用された送信元 IP アドレスの詳細を表示します。

    図 25図 26 に、プライマリおよびセカンダリ サービスの場所からのトラフィックを示します。

    図 25: プライマリ サービスの場所から Traffic from Primary Service Locationのトラフィック
    図 26: セカンダリ サービスの場所から Traffic from Secondary Service Locationのトラフィック

    サービスの場所の 2 つの IP アドレスの 1 つはパブリック IP アドレスであり、次の 2 つの目的を果たします。

    • IPsec トンネルを終了します。

    Juniper Security Director Cloudを使用して、サービスの場所への確立されたトンネルを示すパケットキャプチャで、この同じパブリックIPアドレスを確認できます。 設定の確認を参照してください。

    Juniper Security Director Cloud内のサービスの場所は、POPとも呼ばれ、クラウドの場所にあるJuniper® Secure Edgeインスタンスを表すことに注意してください。サービスの場所は、オンプレミス ユーザーとローミング ユーザーの両方の接続 (アクセス ポイント) です。

セキュアエッジコネクタ自動プロビジョニング

前提 条件

Secure Edge Connectorの自動プロビジョニングを設定する方法については、次のビデオをご覧ください。

Juniper MistポータルでのJuniper Secure Edgeコネクタの認証情報の追加

  1. Juniper MistポータルでJuniper Secure Edgeの認証情報の詳細を入力します。
    • Juniper Mistポータルで、[ 組織]>[設定]を選択します。
    • Secure WAN Edge Integrationペインまでスクロールダウンし、クレデンシャルの追加 をクリックします。
    • [ プロバイダーの追加] ウィンドウで、詳細を入力します。
      図 27: Juniper Secure Edge Add Credentials for Juniper Secure Edgeの資格情報の追加
      • プロバイダ - [JSE] を選択します。
      • 電子メールアドレス - ユーザー名(電子メールアドレス)(Juniper Secure Edgeポータルで作成されたユーザーの認証情報)を入力します
      • パスワード - ユーザー名のパスワードを入力します。
    • [ 追加 ] をクリックして続行します。

Juniper Secure Edgeトンネル自動プロビジョニングの設定

  1. Juniper Mistポータルで、[組織>WANエッジテンプレート] に移動し、既存のテンプレートをクリックします。
  2. [セキュアエッジコネクタ]まで下にスクロールします。
  3. [プロバイダーの追加] をクリックします。
    図 28: プロバイダー Add Providerの追加
  4. [プロバイダーの追加] ウィンドウで、自動プロビジョニングに Juniper Secure Edge (Auto) を選択します。
    図 29: プロバイダ Select Juniper Secure Edge as Providerとしての Juniper Secure Edge の選択
    次の詳細を入力します。
    • 名前 - JSE トンネルの名前を入力します。
    • プロバイダ - Juniper Secure Edge (Auto) を選択します。
    • プローブIP:プローブIP(プライマリとセカンダリ)を入力します。プローブ IP 8.8.8.8 またはその他の既知のプローブ IP アドレスを入力します。
    • WANインターフェイス—プライマリおよびセカンダリトンネルの詳細の下にWANインターフェイスを割り当て、プライマリおよびセカンダリトンネルをプロビジョニングします。
  5. [ 追加] をクリックします。
  6. Secure Edge コネクタの自動プロビジョニング設定で、詳細を入力します。このオプションは、前のステップでJuniper Secure Edgeをプロバイダとして設定した場合のみ使用できます。
    図 30: セキュアエッジコネクタの自動プロビジョニング設定 Secure Edge Connector Auto Provision Settings
    • ユーザ数:JSE トンネルでサポートされるユーザの最大数を入力します

    • [組織名] - 組織名を入力します。ドロップダウンボックスには、Juniper Secure Edgeアカウントでユーザー名に関連付けられているすべての組織が表示されます。これは、[ 組織の>設定] の Juniper Secure Edge 資格情報に入力したユーザー名と同じです。詳細については、手順 1 を参照してください。

  7. [ 追加 ] をクリックして続行します。

Juniper Secure Edge(自動)オプションが有効なテンプレートをサイトに割り当てると、関連付けられたJSEサイト(ロケーションオブジェクト)が自動的に作成され、デバイスから最も近いネットワークのポイントオブプレゼンス(POP)までのトンネルが立ち上げられます。

Secure Edge Connectorの設定を有効にするには、Mist Secure EdgeコネクタからJuniper Secure Edgeへのトラフィックステアリングを使用してアプリケーションポリシーを作成する必要があります。

Juniper Secure Edge トンネルの検証

Juniper Mistポータルでは、[WAN エッジイベント]の下に[WANエッジトンネル自動プロビジョニング成功 ]イベントが表示されたら、デバイスのWANインサイトで確立されたトンネルの詳細を確認できます。

図 31: WANエッジイベント WAN Edge Events

Juniper Mistクラウドポータルの WANエッジ> インサイトページで、確立されたトンネルのステータスの詳細を取得します。

図 32: 確立されたセキュアエッジトンネル Established Secure Edge Tunnels

確立されたトンネルは、Juniper Security Director Cloudダッシュボードとサービスの場所で確認できます。