Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Introducción al dispositivo ATP y al firewall de la serie SRX

Estas son instrucciones básicas de configuración para comenzar a usar la puerta de enlace de servicios de la serie SRX con el dispositivo ATP (para aquellos menos familiarizados con SRX). Consulte el resto del documento de integración para obtener más información de configuración, como análisis de correo electrónico, hosts infectados y visualización de incidentes.

Configurar el firewall de la serie SRX para que comience

Configuración inicial

Para comenzar a usar el firewall de la serie SRX:

  1. Cargue los valores predeterminados de fábrica.

    load factory-default

  2. Establezca la contraseña raíz.

    set system root-authentication <password>

  3. Establezca el nombre de host.

    set system host-name <hostname>

  4. Confirme la configuración. Una vez que confirme, debería ver el nombre de host en el mensaje.

    commit

Configurar interfaces y una ruta predeterminada

En el firewall de la serie SRX, configure las interfaces y la ruta predeterminada. (Para las siguientes instrucciones, estos son ejemplos genéricos. Inserte sus propias direcciones e interfaces):

  1. Introduzca los siguientes comandos para las interfaces:

    set interfaces ge-0/0/2 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/4 unit 0 family inet address x.x.x.x/x

    set interfaces ge-0/0/5 unit 0 family inet address x.x.x.x/x

  2. Introduzca lo siguiente para configurar la ruta predeterminada:

    set routing-options static route 0.0.0.0/0 next-hop x.x.x.x

Configurar zonas de seguridad

El firewall de la serie SRX es un firewall basado en zonas. Debe asignar cada interfaz a una zona para que pase tráfico a través de ella: Para configurar zonas de seguridad, escriba los siguientes comandos:

set security zones security-zone untrust interfaces ge-0/0/2.0

set security zones security-zone untrust interfaces ge-0/0/5.0

set security zones security-zone trust host-inbound-traffic system-services all

set security zones security-zone trust host-inbound-traffic protocols all

set security zones security-zone trust interfaces ge-0/0/4.0

Configurar DNS

En el firewall de la serie SRX, configure DNS mediante los siguientes comandos:

set groups global system name-server x.x.x.x

set groups global system name-server x.x.x.x

Configurar NTP

En el firewall de la serie SRX, configure NTP mediante los siguientes comandos:

set groups global system processes ntp enable

set groups global system ntp boot-server x.x.x.x

set groups global system ntp server x.x.x.x

En el dispositivo ATP: inicie sesión en la interfaz de usuario web e inscriba los firewalls de la serie SRX

Inscribir la interfaz de usuario web del firewall serie SRX en el dispositivo ATP

La inscripción establece una conexión segura entre ATP Appliance y el firewall de la serie SRX. También realiza tareas básicas de configuración como:

  • Descarga e instala licencias de autoridad de certificación (CA) en el firewall de la serie SRX

  • Crea certificados locales y los inscribe en ATP Appliance

  • Establece una conexión segura con el dispositivo ATP

Advertencia:

Si utiliza un certificado SSL personalizado con ATP Appliance, antes de inscribir SRX Series Firewalls, debe cargar el paquete de CA que contiene un certificado de CA que valida el certificado de ATP Appliance. Esto SOLO se aplica si está utilizando un certificado SSL personalizado. Consulte la Guía del operador de ATP de Juniper para obtener instrucciones. Busque el encabezado "Administración de certificados". Una vez hecho esto, continúe con las instrucciones de inscripción.
Advertencia:

Si ya tiene firewalls serie SRX inscritos con ATP Appliance y cambia el certificado (del predeterminado a personalizado o viceversa), debe volver a inscribir todos los firewalls serie SRX.
Advertencia:

Consideraciones y requisitos del entorno de red

  • Es necesario que tanto el motor de enrutamiento (plano de control) como el motor de reenvío de paquetes (plano de datos) puedan conectarse al dispositivo ATP de Juniper. (El motor de reenvío de paquetes y el motor de enrutamiento funcionan de forma independiente, pero se comunican constantemente a través de un vínculo interno de 100 Mbps. Esta disposición proporciona un control simplificado de reenvío y enrutamiento y la capacidad de ejecutar redes a escala de Internet a altas velocidades. Consulte la documentación de Junos de Juniper Network para obtener más información).

  • No es necesario abrir ningún puerto en el firewall de la serie SRX para comunicarse con el dispositivo ATP. Sin embargo, si tiene un dispositivo en el medio, como un firewall, ese dispositivo debe tener el puerto 443 abierto.

  • No puede utilizar interfaces FXP0 para comunicarse con el dispositivo ATP. Debe utilizar una interfaz de ingresos independiente.

  • Si utiliza direcciones en la misma subred para la administración de dispositivos ATP y la administración de la serie SRX, debe usar una instancia de enrutador virtual para separar las interfaces de administración e ingresos. Si las direcciones de Administración de dispositivos ATP y Administración de serie SRX configuradas a través de FXP0 se encuentran en subredes diferentes, no es necesario configurar una instancia de enrutador virtual adicional. Tenga en cuenta que el tráfico debe enrutarse a través de la interfaz de ingresos configurada para la administración de ATP Appliance.

  • Si está registrando un dispositivo ATP a través de un túnel VPN, debe ser un túnel con nombre. El dispositivo ATP espera una dirección IP en la interfaz. Por lo tanto, debe configurar una dirección IP en la interfaz del túnel VPN antes de ejecutar la secuencia de comandos URL OP para inscribir el firewall de la serie SRX. De lo contrario, se producirá un error en el registro.

  • La integración de la serie SRX con el dispositivo ATP requiere claves de API para generar el script de inscripción (op url). La interfaz de usuario del dispositivo ATP solo permite generar claves de API para usuarios locales. Por lo tanto, si los usuarios se autentican mediante RADIUS e intentan generar una secuencia de comandos de inscripción para registrar un firewall de la serie SRX, se producirá un error porque el usuario remoto no tendrá una clave de API. Como solución alternativa, puede iniciar sesión en la interfaz de usuario del dispositivo ATP con credenciales locales (https://<IP del dispositivo ATP>/cyadmin/?local_login) y continuar con las instrucciones que se indican a continuación. Si la directiva de red no permite usuarios locales, no hay ninguna solución para este problema.

  • La traducción de direcciones de red (NAT) no se admite entre el dispositivo ATP de Juniper y el firewall de la serie SRX.

Para inscribir un firewall serie SRX con ATP Appliance, haga lo siguiente:

  1. Desde la interfaz de usuario web del dispositivo ATP, debe habilitar la clave de API para el usuario administrador. Esto se utiliza para inscribir el firewall de la serie SRX. En la pestaña Configuración , vaya a Perfil del sistema > usuarios. Seleccione el usuario administrador para ATP Appliance y active la casilla de verificación Generar nueva clave de API . Haga clic en Actualizar usuario.

  2. En la pestaña Config , vaya a > configuración de System Profile > SRX y haga clic en el botón URL de inscripción en la parte superior derecha de la página. Aparecerá una pantalla con el comando de inscripción.

  3. Copie todo el comando de inscripción en el portapapeles y haga clic en Aceptar.

  4. Pegue el comando en la CLI de Junos OS del firewall serie SRX que desea inscribir con ATP Appliance y pulse Enter.

    Nota:

    (Opcional) Utilice el comando CLI para verificar que se haya establecido una conexión con ATP Appliance desde el show services advanced-anti-malware status firewall de la serie SRX.

    Una vez configurado, el firewall de la serie SRX se comunica con el dispositivo ATP a través de múltiples conexiones persistentes establecidas a través de un canal seguro (TLS 1.2) y el firewall de la serie SRX se autentica mediante certificados de cliente SSL.

Utilice el botón Eliminar de la página de configuración SRX del dispositivo ATP para quitar el firewall de la serie SRX actualmente inscrito en el dispositivo ATP. Para acceder al botón Eliminar, haga clic en la flecha situada a la izquierda del nombre del dispositivo para expandir la información del dispositivo.

Use el campo Buscar en la parte superior de la página para buscar dispositivos inscritos en la lista por número de serie.

En el firewall de la serie SRX: Configurar directivas de seguridad

Configurar la directiva antimalware

En el firewall de la serie SRX, escriba los siguientes comandos para crear y configurar la directiva antimalware. (Tenga en cuenta que aquí se incluyen comandos para SMTP e IMAP):

set services advanced-anti-malware policy aamw-policy http inspection-profile default

set services advanced-anti-malware policy aamw-policy http action permit

set services advanced-anti-malware policy aamw-policy http notification log

set services advanced-anti-malware policy aamw-policy smtp inspection-profile default

set services advanced-anti-malware policy aamw-policy smtp notification log

set services advanced-anti-malware policy aamw-policy imap inspection-profile default

set services advanced-anti-malware policy aamw-policy imap notification log

set services advanced-anti-malware policy aamw-policy fallback-options notification log

set services advanced-anti-malware policy aamw-policy default-notification log

Configurar el proxy de reenvío SSL

El proxy de reenvío SSL es necesario para recopilar archivos del tráfico HTTPS en el plano de datos.

  1. En el firewall de la serie SRX, genere el certificado local.

    request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa

    request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net

  2. Cargue los perfiles de CA raíz de confianza.

    request security pki ca-certificate ca-profile-group load ca-group-name trusted-ca-* filename default

  3. Escriba los siguientes comandos para configurar el proxy de reenvío SSL.

    set services ssl proxy profile ssl-inspect-profile-dut root-ca ssl-inspect-ca

    set services ssl proxy profile ssl-inspect-profile-dut actions log all

    set services ssl proxy profile ssl-inspect-profile-dut actions ignore-server-auth-failure

    set services ssl proxy profile ssl-inspect-profile-dut trusted-ca all

Opcionalmente, configure la interfaz de origen antimalware

Si utiliza una instancia de enrutamiento, debe configurar la interfaz de origen para la conexión antimalware. Si utiliza una instancia de enrutamiento no predeterminada, no tiene que completar este paso en el firewall de la serie SRX.

set services advanced-anti-malware connection source-interface ge-0/0/2

Configurar un perfil de inteligencia de seguridad

ATP Appliance y SRX utilizan umbrales de nivel de amenaza diferentes. Consulte la Tabla comparativa de niveles de amenaza de la serie SRX y dispositivos ATP para obtener más información.

En el firewall de la serie SRX, escriba los siguientes comandos para crear un perfil de inteligencia de seguridad en el firewall de la serie SRX.

set services security-intelligence profile secintel_profile category CC

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile secintel_profile rule secintel_rule then action block drop

set services security-intelligence profile secintel_profile rule secintel_rule then log

set services security-intelligence profile secintel_profile default-rule then action permit

set services security-intelligence profile secintel_profile default-rule then log

set services security-intelligence profile ih_profile category Infected-Hosts

set services security-intelligence profile ih_profile rule ih_rule match threat-level [ 7 8 9 10 ]

set services security-intelligence profile ih_profile rule ih_rule then action block drop

set services security-intelligence profile ih_profile rule ih_rule then log

set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

set services security-intelligence policy secintel_policy CC secintel_profile

Configurar una política de seguridad

En el firewall de la serie SRX, escriba los siguientes comandos para crear una directiva de seguridad en el firewall de la serie SRX para los perfiles de inspección.

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

set security policies from-zone trust to-zone untrust policy 1 then permit application-services advanced-anti-malware-policy aamw-policy

set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

La configuración inicial se ha completado.

Documentación relacionada