JATP 및 SRX 시리즈 디바이스 시작하기
이는 JATP를 사용하는 SRX 시리즈 서비스 게이트웨이를 사용하기 위한 기본 설정 지침입니다(SRX에 익숙하지 않은 경우). e-메일 검사, 감염된 호스트, 인시던트 확인과 같은 추가 구성 정보는 통합 문서의 나머지 부분을 참조하십시오.
시작할 SRX 시리즈 디바이스 구성
최초 구성
SRX 시리즈 디바이스를 사용하기 시작하려면 다음을 수행합니다.
공장 기본값을 로드합니다.
load factory-default루트 암호를 설정합니다.
set system root-authentication <password>호스트 이름을 설정합니다.
set system host-name <hostname>구성을 커밋합니다. 커밋하면 프롬프트에 호스트 이름이 표시됩니다.
commit
인터페이스 및 기본 경로 구성
SRX 시리즈 디바이스에서 인터페이스와 기본 경로를 구성합니다. (다음 지침의 경우 일반적인 예입니다. 주소와 인터페이스를 삽입하십시오.
인터페이스에 대한 다음 명령을 입력합니다.
set interfaces ge-0/0/2 unit 0 family inet address x.x.x.x/xset interfaces ge-0/0/4 unit 0 family inet address x.x.x.x/xset interfaces ge-0/0/5 unit 0 family inet address x.x.x.x/x기본 경로를 구성하려면 다음을 입력합니다.
set routing-options static route 0.0.0.0/0 next-hop x.x.x.x
보안 존 구성
SRX 시리즈 디바이스는 존 기반 방화벽입니다. 트래픽을 통과하려면 각 인터페이스를 존에 할당해야 합니다. 보안 존을 구성하려면 다음 명령을 입력합니다.
set security zones security-zone untrust interfaces ge-0/0/2.0
set security zones security-zone untrust interfaces ge-0/0/5.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces ge-0/0/4.0
DNS 구성
SRX 시리즈 디바이스에서 다음 명령을 사용하여 DNS를 구성합니다.
set groups global system name-server x.x.x.x
set groups global system name-server x.x.x.x
NTP 구성
SRX 시리즈 디바이스에서 다음 명령을 사용하여 NTP를 구성합니다.
set groups global system processes ntp enable
set groups global system ntp boot-server x.x.x.x
set groups global system ntp server x.x.x.x
JATP: 웹 UI에 로그인하고 SRX 시리즈 디바이스 등록
JATP 웹 UI에 SRX 시리즈 디바이스 등록
등록을 통해 JATP와 SRX 시리즈 디바이스 간에 안전한 연결이 설정됩니다. 또한 다음과 같은 기본 구성 작업을 수행합니다.
SRX 시리즈 디바이스에 CA(Certificate Authority) 라이선스를 다운로드하고 설치합니다.
로컬 인증서를 생성하고 JATP로 등록
JATP에 대한 보안 연결 구축
JATP와 함께 맞춤형 SSL 인증서를 사용하는 경우 SRX 시리즈 디바이스를 등록하기 전에 JATP 인증서를 검증하는 CA 인증서가 포함된 CA 번들을 업로드해야 합니다. 사용자 정의 SSL 인증서를 사용하는 경우에만 적용됩니다. 지침 은 주니퍼 ATP 운영자 가이드 를 참조하십시오. "Certificates 관리" 제목을 검색합니다. 이 작업이 완료되면 등록 지침으로 진행하십시오.
JATP에 이미 SRX 시리즈 디바이스가 등록되어 있고 인증서를 변경한 경우(기본값에서 사용자 정의로 또는 그 반대의 경우) 모든 SRX 시리즈 디바이스를 다시 등록해야 합니다.
네트워크 환경 고려 사항 및 요구 사항
라우팅 엔진(컨트롤 플레인)과 패킷 포워딩 엔진(데이터 플레인)을 모두 주니퍼 ATP 어플라이언스로 연결해야 합니다. (패킷 전달 엔진과 라우팅 엔진은 독립적으로 수행하지만 100Mbps 내부 링크를 통해 지속적으로 통신합니다. 이 배열은 능률화된 포워딩 및 라우팅 제어 기능과 고속 인터넷 스케일 네트워크를 실행할 수 있는 기능을 제공합니다. 자세한 내용은 주니퍼 네트웍스의 Junos 설명서를 참조하십시오.)
JATP와 통신하기 위해 SRX 시리즈 디바이스의 포트를 열 필요가 없습니다. 그러나 방화벽과 같은 디바이스가 중간에 있는 경우 해당 디바이스는 포트 443을 열어야 합니다.
JATP와 통신하려면 FXP0 인터페이스를 사용할 수 없습니다. 별도의 수익 인터페이스를 사용해야 합니다.
JATP 관리 및 SRX 시리즈 관리를 위해 동일한 서브넷에서 주소를 사용하는 경우 가상 라우터 인스턴스를 사용하여 관리 및 수익 인터페이스를 분리해야 합니다. FXP0을 통해 구성된 JATP 관리 및 SRX 시리즈 관리 주소가 서로 다른 서브넷에 있는 경우 추가 가상 라우터 인스턴스를 구성할 필요가 없습니다. 트래픽은 JATP 관리를 위해 구성된 수익 인터페이스를 통해 라우팅되어야 합니다.
VPN 터널을 통해 JATP를 등록하는 경우 지정된 터널이어야 합니다. JATP는 인터페이스에서 IP 주소를 기대합니다. 따라서 OP URL 스크립트를 실행하기 전에 VPN 터널 인터페이스에서 IP 주소를 구성하여 SRX 시리즈 디바이스를 등록해야 합니다. 그렇지 않으면 등록에 실패합니다.
SRX 시리즈 JATP와 통합하려면 api 키가 필요하여 등록 스크립트(op url)를 생성해야 합니다. JATP UI는 로컬 사용자만 API 키를 생성할 수 있도록 지원합니다. 따라서 사용자가 radius를 사용하여 인증하고 SRX 시리즈 디바이스를 등록하기 위해 등록 스크립트를 생성하려고 시도하면 원격 사용자에게 API 키가 없기 때문에 실패합니다. 해결 방법에서는 로컬 자격 증명(https://<JATP IP>/cyadmin/?local_login)을 사용하여 JATP UI에 로그인하고 아래 지침을 계속 사용할 수 있습니다. 네트워크 정책이 로컬 사용자를 허용하지 않으면 이 문제에 대한 해결 방법이 없습니다.
JATP와 함께 SRX 시리즈 디바이스를 등록하려면 다음을 수행합니다.
JATP 웹 UI에서 관리 사용자를 위해 API 키를 활성화해야 합니다. 이는 SRX 시리즈 디바이스 등록에 사용됩니다. Config 탭에서 System Profile > Users로 이동합니다. JATP용 관리 사용자를 선택하고 새 API 키 생성 확인란을 활성화합니다. 사용자 업데이트를 클릭합니다.
Config 탭에서 > 시스템 프로파일 > SRX 설정을 탐색하고 페이지 오른쪽 상단에 있는 Enrollment URL 버튼을 클릭합니다. 등록 명령이 있는 화면이 나타납니다.
전체 등록 명령을 클립보드에 복사하고 OK를 클릭합니다.
JATP에 등록하려는 SRX 시리즈 디바이스의 Junos OS CLI에 명령을 붙여넣고 을 누릅니
Enter다.참고:(선택사항)
show services advanced-anti-malware statusCLI 명령을 사용하여 SRX 시리즈 디바이스에서 JATP에 대한 연결이 이루어지는지 확인합니다.일단 구성되면 SRX 시리즈 장치는 보안 채널(TLS 1.2)을 통해 설정된 여러 영구 연결을 통해 JATP와 통신하며 SRX 시리즈 장치는 SSL 클라이언트 인증서를 사용하여 인증됩니다.
JATP SRX 설정 페이지의 Delete 버튼을 사용하여 현재 JATP에 등록되어 있는 SRX 시리즈 디바이스를 제거합니다. Delete 버튼에 액세스하려면 디바이스 이름 왼쪽의 화살표를 클릭하여 디바이스 정보를 확장합니다.
페이지 상단의 Search 필드를 사용하여 목록에 등록된 디바이스를 일련 번호로 검색합니다.
SRX 시리즈 디바이스: 보안 정책 구성
멀웨어 차단 정책 구성
SRX 시리즈 디바이스에서 다음 명령을 입력하여 안티 멀웨어 정책을 생성하고 구성합니다. (SMTP 및 IMAP에 대한 명령어 모두 여기에 포함되어 있습니다.):
set services advanced-anti-malware policy aamw-policy http inspection-profile default
set services advanced-anti-malware policy aamw-policy http action permit
set services advanced-anti-malware policy aamw-policy http notification log
set services advanced-anti-malware policy aamw-policy smtp inspection-profile default
set services advanced-anti-malware policy aamw-policy smtp notification log
set services advanced-anti-malware policy aamw-policy imap inspection-profile default
set services advanced-anti-malware policy aamw-policy imap notification log
set services advanced-anti-malware policy aamw-policy fallback-options notification log
set services advanced-anti-malware policy aamw-policy default-notification log
SSL 포워드 프록시 구성
SSL 포워드 프록시는 데이터 플레인의 HTTPS 트래픽으로부터 파일을 수집해야 합니다.
SRX 시리즈 디바이스에서 로컬 인증서를 생성합니다.
request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsarequest security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net신뢰할 수 있는 루트 CA 프로필을 로드합니다.
request security pki ca-certificate ca-profile-group load ca-group-name trusted-ca-* filename defaultSSL 포워드 프록시를 구성하려면 다음 명령을 입력합니다.
set services ssl proxy profile ssl-inspect-profile-dut root-ca ssl-inspect-caset services ssl proxy profile ssl-inspect-profile-dut actions log allset services ssl proxy profile ssl-inspect-profile-dut actions ignore-server-auth-failureset services ssl proxy profile ssl-inspect-profile-dut trusted-ca all
선택적으로 안티 맬웨어 소스 인터페이스 구성
라우팅 인스턴스를 사용하는 경우 안티 맬웨어 연결에 대한 소스 인터페이스를 구성해야 합니다. 기본 설정이 아닌 라우팅 인스턴스를 사용하는 경우 SRX 시리즈 디바이스에서 이 단계를 완료할 필요가 없습니다.
set services advanced-anti-malware connection source-interface ge-0/0/2
보안 인텔리전스 프로필 구성
JATP 및 SRX는 서로 다른 위협 수준 임계값을 사용합니다. 자세한 내용은 JATP 및 SRX 시리즈 위협 수준 비교 차트 를 참조하십시오.
SRX 시리즈 디바이스에서 다음 명령을 입력하여 SRX 시리즈 디바이스에서 보안 인텔리전스 프로필을 만듭니다.
set services security-intelligence profile secintel_profile category CC
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level [ 7 8 9 10 ]
set services security-intelligence profile secintel_profile rule secintel_rule then action block drop
set services security-intelligence profile secintel_profile rule secintel_rule then log
set services security-intelligence profile secintel_profile default-rule then action permit
set services security-intelligence profile secintel_profile default-rule then log
set services security-intelligence profile ih_profile category Infected-Hosts
set services security-intelligence profile ih_profile rule ih_rule match threat-level [ 7 8 9 10 ]
set services security-intelligence profile ih_profile rule ih_rule then action block drop
set services security-intelligence profile ih_profile rule ih_rule then log
set services security-intelligence policy secintel_policy Infected-Hosts ih_profile
set services security-intelligence policy secintel_policy CC secintel_profile
보안 정책 구성
SRX 시리즈 디바이스에서 다음 명령을 입력하여 검사 프로파일에 대한 SRX 시리즈 디바이스에 보안 정책을 만듭니다.
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut
set security policies from-zone trust to-zone untrust policy 1 then permit application-services advanced-anti-malware-policy aamw-policy
set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy
초기 구성이 완료되었습니다.