Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

디바이스 추가

개요

다음을 통해 Juniper Security Director 클라우드 에 디바이스를 추가할 수 있습니다.

시작하기 전에

  • 각 SRX 시리즈 방화벽 포트가 Juniper Security Director 클라우드 FQDN과 통신할 수 있는지 확인합니다. 각 지역의 FQDN이 다릅니다.

    FQDN
    표 1: 지역에서 FQDN으로의 매핑
    IPv4 /IPv6에 대한 지역 목적 포트

    미국 노스버지니아

    ZTP

    443

    IPv4: srx.sdcloud.juniperclouds.net

    IPv6: srx-v6.sdcloud.juniperclouds.net

    아웃바운드 SSH

    7804

    IPv4: srx.sdcloud.juniperclouds.net

    IPv6: srx-v6.sdcloud.juniperclouds.net

    Syslog TLS

    6514

    IPv4: srx.sdcloud.juniperclouds.net

    IPv6: srx-v6.sdcloud.juniperclouds.net

    미국 오하이오주

    ZTP

    443

    IPv4: srx.jsec2-ohio.juniperclouds.net

    IPv6: srx-v6.jsec2-ohio.juniperclouds.net

    아웃바운드 SSH

    7804

    IPv4: srx.jsec2-ohio.juniperclouds.net

    IPv6: srx-v6.jsec2-ohio.juniperclouds.net

    Syslog TLS

    6514

    IPv4: srx.jsec2-ohio.juniperclouds.net

    IPv6: srx-v6.jsec2-ohio.juniperclouds.net

    캐나다 몬트리올

    ZTP

    443

    IPv4: srx.jsec-montreal2.juniperclouds.net

    IPv6: srx-v6.jsec-montreal2.juniperclouds.net

    아웃바운드 SSH

    7804

    IPv4: srx.jsec-montreal2.juniperclouds.net

    IPv6: srx-v6.jsec-montreal2.juniperclouds.net

    Syslog TLS

    6514

    IPv4: srx.jsec-montreal2.juniperclouds.net

    IPv6: srx-v6.jsec-montreal2.juniperclouds.net

    독일 프랑크푸르트

    ZTP

    443

    IPv4: srx.jsec-frankfurt.juniperclouds.net

    IPv6: srx-v6.jsec-frankfurt.juniperclouds.net

    아웃바운드 SSH

    7804

    IPv4: srx.jsec-frankfurt.juniperclouds.net

    IPv6: srx-v6.jsec-frankfurt.juniperclouds.net

    Syslog TLS

    6514

    IPv4: srx.jsec-frankfurt.juniperclouds.net

    IPv6: srx-v6.jsec-frankfurt.juniperclouds.net

  • TCP 포트 53 및 UDP 포트 53을 사용하여 Google DNS 서버(IP 주소—8.8.8.8 및 8.8.4.4)에 연결합니다. Google DNS 서버는 SRX 시리즈 방화벽의 공장 설정에서 기본 서버로 지정됩니다. ZTP를 사용하여 방화벽을 온보딩할 때는 이러한 기본 DNS 서버를 사용해야 합니다. 다른 방법을 사용하여 방화벽을 온보딩하는 경우 프라이빗 DNS 서버를 사용할 수 있습니다. 프라이빗 DNS 서버가 Juniper Security Director 클라우드 FQDN을 확인할 수 있는지 확인해야 합니다.

  • 사용자 지정 라우팅 인스턴스를 사용하여 Juniper Security Direct Cloud에 연결하는 경우 다음 CLI 명령을 실행하여 Juniper Security Director Cloud 에서 디바이스로 IDP 보안 패키지를 다운로드하고 설치합니다.

    디바이스
    독립형 디바이스클러스터 MNHA 페어링 디바이스

    set security idp security-package routing-instance <custom routing-instance>

    • set groups node0 security idp security-package routing-instance <custom routing-instance>

    • set groups node1 security idp security-package routing-instance <custom routing-instance>

    MNHA 페어의 각 디바이스에 대해:

    set security idp security-package routing-instance <custom routing-instance>

명령을 사용하여 독립형 디바이스, 디바이스 클러스터 또는 MNHA 페어링 디바이스 추가

Juniper Security Director 클라우드 는 독립형 디바이스, 디바이스 클러스터 또는 멀티노드 고가용성(MNHA) 페어 디바이스를 추가하기 위한 명령을 생성합니다. 명령을 복사하여 붙여넣어 디바이스 콘솔에 커밋한 후 디바이스가 검색되어 Juniper Security Director 클라우드에 추가됩니다. MMNHA에 대한 자세한 내용은 고가용성 사용자 가이드를 참조하십시오.

  1. Inventory > Devices( 벤토리 디바이스)를 클릭합니다.
    장치 페이지가 표시됩니다.
  2. +를 클릭합니다.
    장치 추가 페이지가 표시됩니다.
  3. SRX 디바이스 채택을 클릭합니다.
  4. 다음 옵션 중 하나를 선택합니다.
    • SRX 디바이스: 독립 실행형 디바이스를 추가합니다.
    • 디바이스 클러스터를 추가하기 위한 SRX 클러스터.
    • SRX 멀티노드 고가용성(MNHA)을 사용하여 MNHA 쌍을 추가합니다. Juniper Security Director Cloud 는 Junos OS 릴리스 22.4R1 이상을 실행하는 MNHA 페어 디바이스를 지원합니다.
  5. 추가할 독립형 디바이스, 디바이스 클러스터 또는 MNHA 쌍의 수를 입력하고 확인을 클릭합니다.

    한 번에 최대 50개의 독립형 디바이스, 디바이스 클러스터 또는 MNHA 쌍을 추가할 수 있습니다. MNHA 페어는 2개의 디바이스로 구성됩니다. 따라서 1을 입력하면 MNHA 쌍의 두 디바이스가 모두 추가됩니다.

    성공 메시지가 표시되고 독립형 디바이스, 디바이스 클러스터 또는 MNHA 쌍과 해당 디바이스가 디바이스 페이지에 표시됩니다.
    참고:

    이 시점에서 Juniper Security Director 클라우드 는 아직 디바이스를 완전히 추가하지 않았습니다. 따라서 관리 상태 열에는 검색이 시작되지 않음 상태가 표시됩니다.
  6. 디바이스가 Juniper Security Director 클라우드에 대한 연결을 설정하는 데 사용하는 IPv4 또는 IPv6 프로토콜을 선택합니다.
  7. 관리 상태 열에서 디바이스 채택 또는 클러스터 채택을 클릭합니다.

    MNHA 쌍을 추가한 경우, 각 MNHA 쌍 디바이스에 대해 디바이스 채택 링크가 표시됩니다.

    디바이스 채택 페이지가 열리고 디바이스에 커밋해야 하는 명령이 표시됩니다.
  8. 사용자 지정 라우팅 인스턴스를 사용하여 Juniper Security Director 클라우드에 연결하는 경우 라우팅 인스턴스 옵션을 활성화하여 디바이스에 대한 라우팅 인스턴스 구성을 생성합니다.

    라우팅 인스턴스 구성을 생성하기 전에 라우팅 인스턴스를 구성합니다.

    1. 디바이스에 대해 이미 구성된 라우팅 인스턴스의 이름을 추가하고 Generate RI Configuration(RI 구성 생성)을 클릭합니다.

      다음 CLI 명령은 기본적으로 생성되는 명령에 추가됩니다.

      디바이스
      독립형 디바이스클러스터 MNHA 페어링 디바이스

      set system services outbound-ssh routing-instance <custom routing-instance>

      • set groups node0 system services outbound-ssh routing-instance <custom routing-instance>

      • set groups node1 system services outbound-ssh routing-instance <custom routing-instance>

      MNHA 페어의 각 디바이스에 대해:

      set system services outbound-ssh routing-instance <custom routing-instance>
  9. 프록시 서버를 사용하는 경우 프록시 서버를 사용하도록 설정하고 프록시 서버 구성 생성을 클릭하여 디바이스 구성을 프록시 서버 구성으로 업데이트합니다.

    구성을 클릭하여 프록시 서버를 구성합니다.

    프록시 서버 구성을 생성하기 전에 정적 또는 DHCP 프록시 서버를 구성합니다. 디바이스 관리를 위한 HTTP 프록시 서버 구성을 참조하십시오.

    다음 CLI 명령은 기본적으로 생성되는 디바이스 구성 명령에 추가됩니다.

    디바이스
    독립형 디바이스클러스터 MNHA 페어링 디바이스

    정적 프록시 서버 -set system services outbound-ssh client <outbound-ssh client name> proxy-server <static-proxy-server> host <host name> port <port number>

    DHCP 프록시 서버 -set system services outbound-ssh client <outbound-ssh client name> proxy-server dhcp

    정적 프록시 서버

    • set groups node0 system services outbound-ssh client <outbound-ssh client name> proxy-server <static-proxy-server> host <host name> port <port number>

    • set groups node1 system services outbound-ssh client <outbound-ssh client name> proxy-server <static-proxy-server> host <host name> port <port number>

    DHCP 프록시 서버

    • set groups node0 system services outbound-ssh client <outbound-ssh client name> proxy-server dhcp

    • set groups node1 system services outbound-ssh client <outbound-ssh client name> proxy-server dhcp

    MNHA 페어의 각 디바이스에 대해:

    정적 프록시 서버 -set system services outbound-ssh client <outbound-ssh client name> proxy-server <static-proxy-server> host <host name> port <port number>

    DHCP 프록시 서버 -set system services outbound-ssh client <outbound-ssh client name> proxy-server dhcp
  10. 명령을 복사하여 디바이스 편집 프롬프트에 붙여넣고 엔터 키를 누릅니다. 디바이스 클러스터를 추가하는 경우 클러스터의 기본 디바이스의 CLI에 명령을 붙여넣습니다. MNHA 페어를 추가하는 경우 페어의 각 디바이스에 명령을 붙여넣습니다.

    • 구성된 라우팅 인스턴스는 디바이스의 기본 관리 라우팅 인스턴스로 저장되며 자동 및 수동 설정 서명 설치, 이미지 스테이징 및 배포에 모두 사용됩니다.

    • 구성된 프록시 서버는 온보딩 디바이스 및 모든 아웃바운드 SSH 트래픽에 대한 기본 프록시로 저장됩니다.

  11. Commit을 입력하고 Enter 키를 눌러 디바이스에 대한 변경 사항을 커밋합니다.
    디바이스 검색 프로세스는 Juniper Security Director Cloud에서 시작됩니다. 디바이스 페이지를 새로 고치고 관리 상태 열에서 검색 진행 중 상태를 확인할 수 있습니다. 작업 페이지에서 작업 상태를 볼 수 있습니다.

    검색이 완료되면 관리 상태 열의 상태가 Up으로 변경됩니다. 검색이 실패하면 검색 실패 상태가 표시됩니다. 검색 실패 상태 위로 마우스를 가져가면 실패 이유를 확인할 수 있습니다.

    • MNHA 쌍에 대한 작업이 실패하면 MNHA 쌍 이름 옆에 배포 모드가 표시되지 않습니다. MNHA 쌍을 삭제하고 다시 추가하거나 검색 프로세스를 다시 시작할 수 있습니다.

    • MNHA 쌍의 디바이스에서 보안 인증서 설치 작업이 실패한 경우 작업 페이지에서 작업을 재시도한 다음 디바이스 페이지에서 디바이스에 대한 보안 로그 구성을 다시 시작합니다.

  12. 선택 사항입니다. 사용자 지정 라우팅 인스턴스를 사용할 때 다음 CLI 명령을 실행하여 Juniper Security Director Cloud에서 로그 스트림을 수신합니다.

    • 독립 실행형 디바이스: set security log stream sd-cloud-logs host routing-instance <custom routing-instance>

    • 디바이스 클러스터:

      • set groups node0 security log stream sd-cloud-logs host routing-instance <custom routing-instance>

      • set groups node1 security log stream sd-cloud-logs host routing-instance <custom routing-instance>

    • MNHA 페어의 각 디바이스에 대해: set security log stream sd-cloud-logs host routing-instance <custom routing-instance>

Juniper Security Director 클라우드에 추가된 디바이스의 자동 가져오기 동작

조직 탭에서 자동 가져오기 옵션을 선택하고 디바이스가 디바이스 채택 방법 및 디바이스 검색 프로필을 사용하여 관리되는 경우 보안 정책, NAT 및 참조된 개체를 자동으로 가져옵니다. 조직 페이지 정보를 참조하십시오.

  • 자동 가져오기 프로세스는 Juniper Security Director Cloud의 기존 개체와 충돌하는 개체의 복사본을 생성합니다.

  • 자동 가져오기 프로세스는 Juniper Security Director Cloud의 기본 컨텐츠 보안 설정을 덮어쓰지 않습니다. 가져온 디바이스 구성 대신 기존 컨텐츠 보안 구성이 고려됩니다. 디바이스를 관리하기 전에 Juniper Security Director 클라우드 에서 콘텐츠 보안 설정을 검토하고 구성하는 것이 좋습니다. 컨텐츠 보안 설정 구성을 참조하십시오.

ZTP를 사용하여 디바이스 추가

ZTP를 사용하여 디바이스를 자동으로 구성하고 프로비저닝할 수 있습니다. ZTP는 네트워크에 디바이스를 추가하는 데 필요한 수동 설정 개입을 줄입니다. 유효한 디바이스가 ZTP를 통해 온보딩되도록 하려면 온보딩 요청을 승인하거나 거부하라는 메시지를 표시하도록 Juniper Security Director 클라우드 를 구성할 수 있습니다.

지원되는 SRX 시리즈 방화벽의 경우, Juniper Security Director 클라우드 지원 방화벽을 참조하십시오.

다른 디바이스 모델을 추가하려면 기본 디바이스 설정 및 연결을 구성하고 명령을 사용하여 독립형 디바이스, 디바이스 클러스터 또는 MNHA 디바이스 페어링을 사용하여 디바이스를 추가합니다.

Juniper Security Director 클라우드에 추가할 디바이스의 전원을 켭니다.
  1. Inventory > Devices(인벤토리 디바이스)를 클릭합니다.
    장치 페이지가 표시됩니다.
  2. Add Devices(디바이스 추가)를 클릭합니다.
    장치 추가 페이지가 표시됩니다.
  3. 디바이스 세부 정보를 수동으로 입력하려면 ZTP용 SRX 디바이스 등록을 클릭하고 다음을 수행합니다.
    1. 디바이스의 일련번호를 입력합니다.
    2. 최소 6개의 영숫자와 공백 없이 특수 문자를 사용하여 디바이스의 루트 암호를 설정합니다.
    3. 여러 디바이스를 추가하려면 +를 클릭하고 디바이스 세부 정보를 입력합니다.
    4. 모든 디바이스에 동일한 루트 암호를 사용하려면 디바이스 1의 모든 디바이스에 이 암호 사용을 선택합니다.
    5. 디바이스에서 Juniper Security Director 클라우드에 대한 연결을 설정하는 데 사용하는 IPv4 또는 IPv6 프로토콜을 선택합니다.
    6. 확인을 클릭합니다.
  4. 디바이스 정보를 CSV 파일로 업로드하려면 ZTP용 디바이스 등록 > CSV 파일 업로드를 클릭하고 다음을 수행합니다.
    1. 샘플 CSV 파일 다운로드를 클릭하여 CSV 파일 템플릿을 다운로드하고 디바이스 세부 정보를 입력합니다.
    2. CSV 파일에 디바이스의 일련 번호, 루트 암호 및 IPv6 프로토콜(true 또는 false)을 추가합니다.
    3. 찾아보기를 클릭하고 CSV 파일을 업로드합니다.
    4. 확인을 클릭합니다.

디바이스가 추가되어 디바이스 페이지에 표시되며 디바이스 검색 프로세스가 시작됩니다.

Juniper Security Director Cloud가 ZTP를 통해 디바이스에 대한 온보딩 요청을 승인 또는 거부하라는 메시지를 표시하도록 구성된 경우 요청을 승인하거나 거부하는 링크가 관리 상태 열에 표시됩니다. ZTP 디바이스에 대한 온보딩 요청 승인 또는 거부를 참조하십시오.

QR 코드를 스캔하여 장치 추가

방화벽에서 제공되는 QR 코드를 스캔하여 클라우드 지원 SRX 시리즈 방화벽을 Juniper Security Director 클라우드 에 추가할 수 있습니다. SRX 시리즈 방화벽의 전면 또는 후면 패널에 QR 클레임 코드가 있는 경우 클라우드 지원 기능이 있습니다.

다음을 확인합니다.

  • 방화벽의 전원이 켜져 있습니다.

  • 방화벽이 조직에 아직 추가되지 않았습니다. 하나의 조직에만 방화벽을 추가할 수 있습니다.

  1. 인터넷에 연결된 모바일 디바이스를 사용하여 SRX 시리즈 방화벽에서 QR 코드를 스캔합니다.
  2. 표시된 링크를 클릭하여 Juniper Security Director Cloud 로그인 페이지로 이동합니다.
  3. 계정 이메일 주소와 비밀번호를 입력하고 로그인을 클릭합니다.
    계정이 없는 경우 다른 디바이스에서 https://sdcloud.juniperclouds.net 으로 이동하여 계정을 만든 다음 다시 시도하십시오.
  4. 방화벽을 추가할 조직을 선택합니다.
  5. 방화벽의 루트 암호를 공백 없이 최소 6자로 입력하고 Add Device(디바이스 추가)를 클릭합니다.
    방화벽이 Juniper Security Director 클라우드 에 추가되고 디바이스 검색이 자동으로 시작됩니다. 검색이 완료된 후 포털에 로그인하여 방화벽을 관리할 수 있습니다.

    로그인한 후 세션은 60분 동안 유효합니다. 이 기간 동안 계정 이메일 주소와 비밀번호를 입력하지 않고도 여러 방화벽을 추가할 수 있습니다.

ZTP 디바이스에 대한 온보딩 요청 승인 또는 거부

온보딩 요청을 수신하려면 조직 페이지의 디바이스 온보딩 요청 승인/거부 토글 버튼을 활성화해야 합니다.

ZTP는 네트워크에 디바이스를 추가하는 데 필요한 수동 설정 개입을 줄입니다. 그러나 ZTP를 통해 유효한 디바이스가 온보딩되도록 하려면 디바이스에 대한 온보딩 요청을 승인하거나 거부하라는 메시지를 표시하도록 Juniper Security Director 클라우드 를 구성할 수 있습니다.

잘못된 일련 번호를 입력하면 온보딩 요청이 생성되지 않습니다. 유효한 일련 번호가 있는 디바이스만 Juniper Security Director Cloud에 추가됩니다.

  1. 디바이스의 관리 상태 열에서 온보딩 요청 링크 위로 마우스를 가져갑니다.
    요청을 승인하거나 거부하는 옵션이 표시됩니다.

    14일 이내에 요청을 승인하거나 거부해야 합니다. 14일이 지나면 디바이스가 Juniper Security Director 클라우드에서 자동으로 제거됩니다.

  2. 요청을 승인하고 디바이스 검색을 시작하려면 다음 단계를 수행합니다.
    1. 온보딩 요청 승인을 클릭합니다.
      요청을 승인할지 확인하는 메시지가 표시됩니다.
    2. 확인을 클릭합니다.
      디바이스 검색 프로세스가 시작되고 관리 상태 열에 검색 진행 중 상태가 표시됩니다. 검색이 완료되면 관리 상태인벤토리 상태 열에 각각 작동 중과 동기화 상태가 표시됩니다. 검색에 실패한 경우 작업 페이지에서 세부 정보를 확인할 수 있습니다.

      검색 프로세스가 시작되기 전에 언제든지 요청을 거부할 수 있습니다. 검색이 시작되면 Juniper Security Director 클라우드에서만 디바이스를 삭제할 수 있습니다. 디바이스 삭제를 참조하십시오.

  3. 요청을 거부하려면 온보딩 요청 거부를 클릭합니다.
    온보딩 요청 거부됨 상태가 링크로 표시됩니다. 링크 위로 마우스를 가져가서 나중에 요청을 승인할 수 있습니다.

    14일 이내에 요청을 승인하거나 거부해야 합니다. 14일이 지나면 디바이스가 Juniper Security Director 클라우드에서 자동으로 제거됩니다.

또한보십시오