Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

デバイスを追加

始める前に

  • Juniper Security Director のデバイス接続仮想 IP アドレス(FQDN)へのアクセスがあることを確認します。仮想IPアドレスの詳細は、管理>システム管理>システムページで確認できます。

  • Juniper Security Director の UI 仮想 IP アドレスまたは FQDN のポート TCP/443 (HTTPS) を開きます。
  • SRXシリーズファイアウォールのアウトバウンドアクセス用にポートTCP/7804(NETCONF)を開き、Juniper Security Director のデバイス接続仮想IPアドレスまたはFQDNにアクセスします。
  • ポートTCP/6514(TLS Syslog)をオープンして、監視し、Juniper Security Director のログコレクターの仮想 IP アドレスまたは FQDN にセキュリティログを送信します。
  • Google DNSサーバーにアクセスできるようにするには、IPアドレス 8.8.8.8 のポートTCP/53 (DNS) を開きます。
  • Google DNSサーバーにアクセスできるようにするには、IPアドレス8.8.4.4のポートUDP/53(DNS)を開きます。
  • NETCONFには最低32のSSH接続を確保します。現在の接続数が少ない場合は、設定や同期の問題が発生しないように増やします。詳細については、「 NETCONFセッション用SSH接続の確立」を参照してください。
  • デバイスのシステム時刻が正しく設定されていることを確認します。時間を手動で設定するか、NTPサーバーとデバイスを同期させることができます。

  • 各SRXシリーズファイアウォールポートが Juniper Security Directorと通信できることを確認します。以下の表には、SRXシリーズファイアウォールの受信接続ポートの詳細が含まれています。

    表1:インバウンドポート

    ポート

    目的

    7804

    すべての管理対象デバイスからのインバウンド接続

    6514

    トラフィックログのインバウンド接続

  • カスタムルーティングインスタンスを使用して Juniper Security Directorに接続する場合は、以下のCLIコマンドを実行して、 Juniper Security Director からデバイスにIDPセキュリティパッケージをダウンロードしてインストールします。

    スタンドアロンデバイス、 デバイスクラスター、 MNHAペアデバイス

    set security idp security-package routing-instance <custom routing-instance>

    • set groups node0 security idp security-package routing-instance <custom routing-instance>

    • set groups node1 security idp security-package routing-instance <custom routing-instance>

    MNHAペア内の各デバイスについて:

    set security idp security-package routing-instance <custom routing-instance>

コマンドを使用してスタンドアロンデバイス、デバイスクラスター、またはMNHAペアデバイスを追加する

Juniper Security Director は、スタンドアロンデバイス、デバイスクラスター、またはマルチノード高可用性(MNHA)ペアデバイスを追加するためのコマンドを生成します。コマンドをコピー&ペーストしてデバイスコンソールにコミットできます。その後、デバイスが検出され、 Juniper Security Directorに追加されます。MNHAの詳細については、 『高可用性ユーザーガイド』を参照してください。

注:

Juniper Security Directorは 、Junos OSリリース22.4R1以降を実行するMNHAペアデバイスをサポートします。
  1. SRX>デバイス管理>デバイスをクリックします。
    デバイスページが表示されます。
  2. +をクリックします。
    デバイスの追加ページが表示されます。
  3. SRXデバイスを導入をクリックします。
  4. 以下のオプションのいずれかを選択します。
    • スタンドアロンデバイスを追加するSRXデバイス
    • デバイスクラスターを追加するためのSRXクラスター
    • MNHAペアを追加するためのSRXマルチノード高可用性(MNHA)。
  5. 追加するスタンドアロンデバイス、デバイスクラスター、またはMNHAペアの数を入力し、OKをクリックします。
    注:

    一度に最大50台のスタンドアロンデバイス、デバイスクラスター、またはMNHAペアを追加できます。MNHAペアは、2台のデバイスで構成されています。したがって、1を入力すると、MNHAペア内の両方のデバイスが追加されます。

    成功メッセージが表示され、スタンドアロンデバイス、デバイスクラスター、またはMNHAペアとそのデバイスがデバイスページに表示されます。
    注:

    現時点では、 Juniper Security Director はまだデバイスを完全に追加していません。そのため、管理ステータス列にはステータス「 Discovery Not Started」 が表示されます。
  6. 管理ステータス列で、デバイスを導入またはクラスターを導入をクリックします。
    注:

    MNHAペアを追加した場合、各MNHAペアデバイスに対してデバイスを 導入 リンクが表示されます。
    デバイスの導入ページが開き、デバイスにコミットする必要があるコマンドが表示されます。
  7. コマンドをデバイスの編集プロンプトにコピーアンドペーストし、Enterキーを押します。デバイスクラスターを追加する場合は、クラスターのプライマリデバイスのCLIにコマンドを貼り付けます。MNHAペアを追加する場合は、ペア内の各デバイスにコマンドを貼り付けます。

    カスタムルーティングインスタンスを使用して Juniper Security Directorに接続する場合は、採用されているSRXシリーズファイアウォールに以下のCLIコマンドを追加します。

    • スタンドアロンデバイス: set system services outbound-ssh routing-instance <custom routing-instance>

    • デバイスクラスター:

      • set groups node0 system services outbound-ssh routing-instance <custom routing-instance>

      • set groups node1 system services outbound-ssh routing-instance <custom routing-instance>

    • MNHAペア内の各デバイスについて: set system services outbound-ssh routing-instance <custom routing-instance>

  8. 「Commit」と入力し、Enterキーを押して、変更をデバイスにコミットします。
    デバイス検出プロセスは、 Juniper Security Directorで開始されます。デバイスページを更新すると、管理ステータス列で 進行中のステータスを検出中 で確認できます。ジョブ ページでジョブ のステータスを確認できます。

    検出が完了すると、管理ステータス列のステータスが 「アップ」に変わります。検出に失敗した場合は、 検出失敗 ステータスが表示されます。 ディスカバリ失敗 ステータスにカーソルを合わせると、失敗の理由を確認できます。

    • MNHAペアのジョブが失敗した場合、MNHAペア名の横に展開モードは表示されません。MNHAペアを削除して再度追加するか、ディスカバリプロセスを再度開始できます。

    • MNHAペア内のデバイスでセキュリティ証明書のインストールジョブが失敗した場合、 ジョブ ページからジョブを再試行し、 デバイス ページからデバイスのセキュリティログ設定を再開します。

  9. オプション。カスタムルーティングインスタンスを使用している場合、以下のCLIコマンドを実行して、Juniper Security Directorでログストリームを受信します。

    • スタンドアロンデバイス: set security log stream sd-logs host routing-instance <custom routing-instance>

    • デバイスクラスター:

      • set groups node0 security log stream sd-logs host routing-instance <custom routing-instance>

      • set groups node1 security log stream sd-logs host routing-instance <custom routing-instance>

    • MNHAペア内の各デバイスについて: set security log stream sd-logs host routing-instance <custom routing-instance>

Juniper Security Directorに追加されたデバイスでの自動インポート動作

組織タブで自動インポートオプションを選択し、デバイスがデバイスを導入方法とデバイスディスカバリプロファイルを使用して管理されている場合、セキュリティポリシー、NAT、参照オブジェクトが自動的にインポートされます。 「組織ページについて」を参照してください。

  • 自動インポートプロセスでは、 Juniper Security Director内の既存のオブジェクトと競合するオブジェクトのコピーが作成されます。

  • 自動インポートプロセスでは、 Juniper Security Directorのデフォルトのコンテンツセキュリティ設定が上書きされることはありません。インポートされたデバイス設定ではなく、既存のコンテンツセキュリティ設定が考慮されます。デバイスを管理する前に、 Juniper Security Director でコンテンツセキュリティ設定を確認して構成することをお勧めします。 コンテンツセキュリティ設定の構成を参照してください。