Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

デバイスを追加

概要

以下の方法で Juniper Security Director Cloud にデバイスを追加できます。

始める前に

  • 各SRXシリーズファイアウォールポートが Juniper Security Directorクラウド FQDNと通信できることを確認します。地域ごとのFQDNは異なります。

    表1:リージョンからFQDNへのマッピング
    リージョンの 目的、 IPv4のポートFQDNIPv6のFQDN

    北バージニア州

    ZTP

    443

    jsec2-virginia.juniperclouds.net

    		 NA

    アウトバウンドSSH

    7804

    srx.sdcloud.juniperclouds.net

    srx-v6.sdcloud.juniperclouds.net

    Syslog TLS

    6514

    srx.sdcloud.juniperclouds.net

    srx-v6.sdcloud.juniperclouds.net

    オハイオ州

    ZTP

    443

    jsec2-ohio.juniperclouds.net

    		 NA

    アウトバウンドSSH

    7804

    srx.jsec2-ohio.juniperclouds.net

    srx-v6.jsec2-ohio.juniperclouds.net

    Syslog TLS

    6514

    srx.jsec2-ohio.juniperclouds.net

    srx-v6.jsec2-ohio.juniperclouds.net

    カナダ、モントリオール

    ZTP

    443

    jsec-montreal2.juniperclouds.net

    		 NA

    アウトバウンドSSH

    7804

    srx.jsec-montreal2.juniperclouds.net

    srx-v6.jsec-montreal2.juniperclouds.net

    Syslog TLS

    6514

    srx.jsec-montreal2.juniperclouds.net

    srx-v6.jsec-montreal2.juniperclouds.net

    フランクフルト、ドイツ

    ZTP

    443

    jsec-frankfurt.juniperclouds.net

    		 NA

    アウトバウンドSSH

    7804

    srx.jsec-frankfurt.juniperclouds.net

    srx-v6.jsec-frankfurt.juniperclouds.net

    Syslog TLS

    6514

    srx.jsec-frankfurt.juniperclouds.net

    srx-v6.jsec-frankfurt.juniperclouds.net

  • TCPポート53とUDPポート53を使用して、Google DNSサーバー(IPアドレス - 8.8.8.8および8.8.4.4)に接続します。Google DNSサーバーは、SRXシリーズファイアウォールの工場出荷時設定でデフォルトサーバーとして指定されています。ZTPを使用してファイアウォールをオンボーディングする際には、これらのデフォルトDNSサーバーを使用する必要があります。他の方法を使用してファイアウォールをオンボーディングする場合でも、プライベートDNSサーバーを使用できます。プライベートDNSサーバーが Juniper Security Directorクラウド FQDNを解決できることを確認する必要があります。

  • カスタムルーティングインスタンスを使用して Juniper Security Direct Cloudに接続する場合は、以下のCLIコマンドを実行して、 Juniper Security Director Cloud からデバイスにIDPセキュリティパッケージをダウンロードしてインストールします。

    スタンドアロンデバイス、 デバイスクラスター、 MNHAペアデバイス

    set security idp security-package routing-instance <custom routing-instance>

    • set groups node0 security idp security-package routing-instance <custom routing-instance>

    • set groups node1 security idp security-package routing-instance <custom routing-instance>

    MNHAペア内の各デバイスについて:

    set security idp security-package routing-instance <custom routing-instance>

コマンドを使用してスタンドアロンデバイス、デバイスクラスター、またはMNHAペアデバイスを追加する

Juniper Security Director Cloud は、スタンドアロンデバイス、デバイスクラスター、またはマルチノード高可用性(MNHA)ペアデバイスを追加するためのコマンドを生成します。コマンドをデバイスコンソールにコピー&ペーストしてコミットできます。その後、デバイスが検出され、 Juniper Security Director Cloudに追加されます。MNHAの詳細については、 『高可用性ユーザーガイド』を参照してください。

手記:

Juniper Security Director Cloud は、リリース22.4R1以降を実行するMNHAペアデバイスJunos OSサポートしています。
  1. デバイスのインベントリ>をクリックします。
    デバイスページが表示されます。
  2. +をクリックします。
    デバイスの追加ページが表示されます。
  3. SRXデバイスを導入をクリックします。
  4. 以下のオプションのいずれかを選択します。
    • スタンドアロンデバイスを追加するSRXデバイス
    • デバイスクラスターを追加するためのSRXクラスター
    • MNHAペアを追加するためのSRXマルチノード高可用性(MNHA)。
  5. 追加するスタンドアロンデバイス、デバイスクラスター、またはMNHAペアの数を入力し、OKをクリックします。
    手記:

    一度に最大50台のスタンドアロンデバイス、デバイスクラスター、またはMNHAペアを追加できます。MNHAペアは、2台のデバイスで構成されています。したがって、1を入力すると、MNHAペア内の両方のデバイスが追加されます。

  6. デバイスがJuniper Security Director Cloudへの接続を確立するために使用するIPv4またはIPv6プロトコルを選択します。
    成功メッセージが表示され、スタンドアロンデバイス、デバイスクラスター、またはMNHAペアとそのデバイスがデバイスページに表示されます。
    手記:

    現時点では、 Juniper Security Directorクラウド はまだデバイスを完全に追加していません。そのため、管理ステータス列にはステータス「 Discovery Not Started」 が表示されます。
  7. 管理ステータス列で、デバイスを導入またはクラスターを導入をクリックします。
    手記:

    MNHAペアを追加した場合、各MNHAペアデバイスに対してデバイスを 導入 リンクが表示されます。
    デバイスの導入ページが開き、デバイスにコミットする必要があるコマンドが表示されます。
  8. カスタムルーティングインスタンスを使用してJuniper Security Directorクラウドに接続する場合は、ルーティングインスタンスオプションを有効にして、デバイスのルーティングインスタンス設定を生成します。
    手記:ルーティングインスタンスの設定を生成する前に、ルーティングインスタンスを設定します。
    1. デバイスにすでに設定されているルーティングインスタンスの名前を追加し、RI設定を生成をクリックします。

      デフォルトで生成されるコマンドに、以下のCLIコマンドが追加されます。

      スタンドアロンデバイス、 デバイスクラスター、 MNHAペアデバイス

      set system services outbound-ssh routing-instance <custom routing-instance>

      • set groups node0 system services outbound-ssh routing-instance <custom routing-instance>

      • set groups node1 system services outbound-ssh routing-instance <custom routing-instance>

      MNHAペア内の各デバイスについて:

      set system services outbound-ssh routing-instance <custom routing-instance>
  9. プロキシサーバーを使用している場合は、プロキシサーバーを有効にしプロキシサーバー設定を生成をクリックして、プロキシサーバー設定でデバイス設定を更新します。

    設定 をクリックしてプロキシ サーバーを設定します。

    手記:プロキシサーバー設定を生成する前に、静的プロキシサーバーまたはDHCPプロキシサーバーを設定します。 デバイス管理用のプロキシサーバーの設定を参照してください。

    デフォルトで生成されるデバイス設定コマンドに、以下のCLIコマンドが追加されます。

    スタンドアロンデバイス、 デバイスクラスター、 MNHAペアデバイス

    set system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>

    • set groups node0 system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>

    • set groups node1 system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>

    MNHAペア内の各デバイスについて:

    set system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>
  10. コマンドをデバイスの編集プロンプトにコピーアンドペーストし、Enterキーを押します。デバイスクラスターを追加する場合は、クラスターのプライマリデバイスのCLIにコマンドを貼り付けます。MNHAペアを追加する場合は、ペア内の各デバイスにコマンドを貼り付けます。

    • 設定されたルーティングインスタンスは、デバイスのデフォルトの管理ルーティングインスタンスとして保存され、自動および手動の両方のシグネチャインストール、イメージのステージング、導入に使用されます。

    • 設定されたプロキシサーバーは、オンボーディングデバイスとすべてのデバイスのアウトバウンドトラフィックのデフォルトプロキシとして保存されます。

  11. 「Commit」と入力し、Enterキーを押して、変更をデバイスにコミットします。
    デバイス検出プロセスは、 Juniper Security Director Cloudで開始されます。デバイスページを更新すると、管理ステータス列で 進行中のステータスを検出中 で確認できます。ジョブ ページでジョブ のステータスを確認できます。

    検出が完了すると、管理ステータス列のステータスが 「アップ」に変わります。検出に失敗した場合は、 検出失敗 ステータスが表示されます。 ディスカバリ失敗 ステータスにカーソルを合わせると、失敗の理由を確認できます。

    • MNHAペアのジョブが失敗した場合、MNHAペア名の横に展開モードは表示されません。MNHAペアを削除して再度追加するか、ディスカバリプロセスを再度開始できます。

    • MNHAペア内のデバイスでセキュリティ証明書のインストールジョブが失敗した場合、 ジョブ ページからジョブを再試行し、 デバイス ページからデバイスのセキュリティログ設定を再開します。

  12. 随意。カスタムルーティングインスタンスを使用している場合、以下のCLIコマンドを実行して、Juniper Security Director Cloudでログストリームを受信します。

    • スタンドアロンデバイス: set security log stream sd-cloud-logs host routing-instance <custom routing-instance>

    • デバイスクラスター:

      • set groups node0 security log stream sd-cloud-logs host routing-instance <custom routing-instance>

      • set groups node1 security log stream sd-cloud-logs host routing-instance <custom routing-instance>

    • MNHAペア内の各デバイスについて: set security log stream sd-cloud-logs host routing-instance <custom routing-instance>

クラウドに追加されたデバイスでの自動インポート動作 Juniper Security Director

組織タブで自動インポートオプションを選択し、デバイスがデバイスを導入方法とデバイスディスカバリプロファイルを使用して管理されている場合、セキュリティポリシー、NAT、参照オブジェクトが自動的にインポートされます。 「組織ページについて」を参照してください。

  • 自動インポートプロセスでは、 Juniper Security Director Cloud内の既存のオブジェクトと競合するオブジェクトのコピーが作成されます。

  • 自動インポートプロセスでは、 Juniper Security Director Cloudのデフォルトのコンテンツセキュリティ設定が上書きされることはありません。インポートされたデバイス設定ではなく、既存のコンテンツセキュリティ設定が考慮されます。デバイスを管理する前に、 Juniper Security Director Cloud でコンテンツセキュリティ設定を確認して構成することをお勧めします。 コンテンツセキュリティ設定の構成を参照してください。

ZTPを使用してデバイスを追加

ZTPを使用してデバイスを自動的に設定およびプロビジョニングできます。ZTPは、ネットワークにデバイスを追加するための手動介入を減らします。有効なデバイスがZTPを介してオンボーディングされていることを確認するために、オンボーディングリクエストを承認または拒否するように Juniper Security Director Cloud を設定できます。

サポートされているSRXシリーズファイアウォールについては、 Juniper Security Director Cloudがサポートするファイアウォールを参照してください。

手記:

他のデバイスモデルを追加するには、基本的なデバイス設定と接続性を構成し、 コマンドを使用してスタンドアロンデバイス、デバイスクラスター、またはMNHAペアデバイスを追加を使用してデバイスを追加します。
Juniper Security Director Cloudに追加するデバイスの電源を入れます。
  1. デバイスのインベントリ>をクリックします。
    デバイスページが表示されます。
  2. デバイスを追加をクリックします
    デバイスの追加ページが表示されます。
  3. デバイスの詳細を手動で入力するには、ZTP用SRXデバイスを登録をクリックし、以下を実行します。
    1. デバイスのシリアル番号を入力します。
    2. デバイスのルートパスワードは、スペースを含まない6文字以上の英数字と特殊文字で設定します。
    3. 複数のデバイスを追加するには、+をクリックし、デバイスの詳細を入力します。
    4. すべてのデバイスで同じルートパスワードを使用するには、デバイス1のすべてのデバイスにこのパスワードを使用を選択します。
    5. デバイスがJuniper Security Director Cloudへの接続を確立するために使用するIPv4またはIPv6プロトコルを選択します。
    6. OKをクリックします。
  4. デバイス情報をCSVファイルとしてアップロードするには、ZTP用デバイスを登録>CSVファイルのアップロードをクリックし、以下を実行します。
    1. サンプルCSVファイルをダウンロードをクリックして、CSVファイルテンプレートをダウンロードし、デバイスの詳細を入力します。
    2. CSVファイルにデバイスのシリアル番号、rootパスワード、IPv6プロトコル(trueまたはfalse)を追加します。
    3. 参照をクリックしてCSVファイルをアップロードします。
    4. OKをクリックします。

デバイスが追加され、 デバイス ページに表示され、デバイス検出プロセスが開始されます。

Juniper Security Director CloudがZTPを介したデバイスのオンボーディングリクエストを承認または拒否するようにプロンプトを表示するように設定されている場合、リクエストを承認または拒否するためのリンクが管理ステータス列に表示されます。ZTPデバイスのオンボーディング要求の承認または拒否を参照してください。

QRコードをスキャンしてデバイスを追加

ファイアウォールで利用可能なQRコードをスキャンすることで、クラウド対応のSRXシリーズファイアウォールを Juniper Security Director Cloud に追加できます。フロントパネルまたはバックパネルにQR請求コードが記載されている場合、SRXシリーズファイアウォールはクラウドに対応しています。

以下を確認します。

  • ファイアウォールの電源がオンになっています。

  • ファイアウォールは、まだ組織に追加されていません。ファイアウォールを追加できるのは1つの組織のみです。

  1. インターネットに接続されたモバイルデバイスを使用して、SRXシリーズファイアウォールのQRコードをスキャンします。
  2. 表示されたリンクをクリックして、Juniper Security Director Cloudのログインページに移動します。
  3. アカウントのメールアドレスとパスワードを入力し、ログインをクリックします。
    アカウントがない場合は、別のデバイスで https://sdcloud.juniperclouds.net に移動し、アカウントを作成してから、再試行してください。
  4. ファイアウォールを追加する組織を選択します。
  5. スペースを含まない6文字以上を含むファイアウォールのルートパスワードを入力し、デバイスの追加をクリックします。
    ファイアウォールが Juniper Security Directorクラウド に追加され、デバイスの検出が自動的に開始されます。検出が完了したら、ポータルにログインし、ファイアウォールを管理できます。
    手記:

    ログイン後、セッションは60分間有効です。この間、アカウントのメールアドレスとパスワードを入力しなくても複数のファイアウォールを追加できます。

ZTPデバイスのオンボーディングリクエストを承認または拒否する

オンボーディングリクエストを受信するには、組織ページにあるデバイスオンボーディングリクエストの承認/拒否トグルボタンを有効にする必要があります。

ZTPは、ネットワークにデバイスを追加するための手動介入を減らします。ただし、ZTPを介して有効なデバイスがオンボーディングされていることを確認するために、デバイスのオンボーディングリクエストを承認または拒否するように Juniper Security Director Cloud を設定できます。

シリアル番号が間違っている場合、オンボーディングリクエストは生成されません。これにより、有効なシリアル番号を持つデバイスのみが Juniper Security Directorクラウドに追加されます。

  1. デバイスの管理ステータス列で、オンボーディングリクエストリンクにカーソルを合わせます。
    リクエストを承認または拒否するオプションが表示されます。
    手記:

    14日以内にリクエストを承認または拒否する必要があります。14日後、デバイスは Juniper Security Directorクラウドから自動的に削除されます。
  2. リクエストを承認し、デバイス検出を開始するには、以下の手順を実行します。
    1. オンボーディングリクエストの承認をクリックします。
      リクエストを承認するかどうかを確認するプロンプトが表示されます。
    2. OKをクリックします。
      デバイス検出プロセスが開始され、 管理ステータス列に 検出中ステータスが表示されます。検出が完了すると、 管理ステータスインベントリステータス列にそれぞれ「 稼働中」と「 同期中」のステータスが表示されます。検出に失敗した場合は、 ジョブページで詳細を確認できます。
      手記:

      検出プロセスが開始される前であればいつでもリクエストを拒否できます。検出が開始されている場合、 Juniper Security Director Cloudからデバイスを削除することのみできます。 デバイスの削除を参照してください。
  3. リクエストを拒否するには、オンボーディングリクエストを拒否をクリックします。
    オンボーディングリクエストが拒否されたステータスはリンクとして表示されます。リンクにカーソルを合わせて、後でリクエストを承認できます。
    手記:

    14日以内にリクエストを承認または拒否する必要があります。14日後、デバイスは Juniper Security Directorクラウドから自動的に削除されます。

関連項目