Juniper NETWORKS ATP Cloud 基于云的威胁检测软件
高级威胁防御云
本指南内容
第 1 步:开始 | 1个
第 2 步:启动并运行 | 5
第 3 步:继续前进 | 14
步骤 1:开始
在这个部分
- 了解瞻博网络 ATP 云 | 2
- 瞻博网络 ATP 云拓扑 | 2
- 获取您的瞻博网络 ATP 云许可证 | 3
- 让您的 SRX 系列防火墙准备好与瞻博网络 ATP 云配合使用 | 3
在本指南中,我们提供了一个简单的三步路径,可帮助您快速启动并运行瞻博网络®高级威胁防御云(瞻博网络 ATP 云)。 我们简化并缩短了配置过程
并包含操作方法视频,向您展示如何获取 ATP 许可证、如何为瞻博网络 ATP 云配置 SRX 系列防火墙以及如何使用瞻博网络 ATP 云 Web 用于注册 SRX 系列防火墙并配置基本安全策略的门户。
了解瞻博网络 ATP 云
Juniper ATP Cloud 是基于云的威胁检测软件,可保护网络中的所有主机免受不断变化的安全威胁。 瞻博网络 ATP 云结合使用静态和动态分析以及机器学习来快速识别从下载的未知威胁 Web 或通过电子邮件发送。 它提供了一个 file SRX 系列防火墙的结论和风险评分可在网络级别阻止威胁。 此外,瞻博网络 ATP 云还提供由恶意域、 URLs 和 IP 地址收集自 file 分析、瞻博网络威胁实验室研究以及信誉良好的第三方威胁源。 这些源被收集并分发到 SRX 系列防火墙,以自动阻止命令和控制 (C&C) 通信。
想了解瞻博网络 ATP 云的工作原理吗? 现在观看:
视频:瞻博网络的高级威胁防御云
瞻博网络 ATP 云拓扑
这是一位前任amp该文件介绍了如何部署瞻博网络 ATP 云来保护网络中的主机免受安全威胁。
获取您的瞻博网络 ATP 云许可证
首先,首先。 您需要先获取瞻博网络 ATP 云许可证,然后才能开始在防火墙设备上配置瞻博网络 ATP 云。 瞻博网络 ATP 云具有三个服务级别:免费、基本和高级。 免费许可证提供有限的功能,并包含在基础软件中。 请联系您当地的销售办事处或瞻博网络合作伙伴订购瞻博网络 ATP 云高级或基本许可证。 订单完成后,激活码将通过电子邮件发送给您。 您将使用此代码与 SRX 系列防火墙序列号一起生成高级或基本许可证权利。 (使用 showchassis hardware CLI 命令查找 SRX 系列防火墙的序列号)。
获取许可证:
- 转至 https://license.juniper.net 并使用您的瞻博网络客户支持中心 (CSC) 凭据登录。
- 从生成许可证列表中选择 J 系列服务路由器和 SRX 系列设备或 vSRX。
- 使用您的授权代码和 SRX 系列序列号,按照说明生成许可证密钥。
- 如果您将 Juniper ATP 云与 SRX 系列防火墙结合使用,则无需输入许可证密钥,因为它会自动传输到云服务器。 您的许可证最多可能需要 24 小时才能激活。
- 如果您将 Juniper ATP 云与 vSRX 虚拟防火墙结合使用,许可证不会自动转移。 您需要安装许可证。 有关更多详细信息,请参阅许可证管理和 vSRX 部署。 生成许可证并将其应用于特定 vSRX 虚拟防火墙设备后,请使用 show system license CLI 命令 view 设备的软件序列号。
让您的 SRX 系列防火墙准备好与瞻博网络 ATP 云配合使用
获得 Juniper ATP 云许可证后,您需要配置 SRX 系列防火墙以与 Juniper ATP 云通信 Web 门户网站。 然后,您可以在 SRX 系列防火墙上配置使用 Juniper ATP Cloud 基于云的威胁源的策略。
注:本指南假设您已熟悉 Junos OS CLI 命令和语法,并且具有管理 SRX 系列防火墙的经验。
在开始之前,请确保您具有与 Internet 连接的 SRX 系列防火墙的 SSH 连接。 这些 SRX 系列防火墙支持瞻博网络 ATP 云:
- SRX300 系列设备
- SRX550M
- SRX1500
- SRX4000 系列设备
- SRX5000 系列设备
- vSRX 虚拟防火墙
注:对于 SRX340、SRX345 和 SRX550M,作为初始设备配置的一部分,您必须运行 set securityforwarding-process增强服务模式并重新启动设备。
让我们开始配置接口和安全区域。
- 设置根身份验证。
user@host# set system root-authentication plain-text-password 新密码:
重新输入新密码:
注意:密码不会显示在屏幕上。 - 设置系统主机名。 user@host# 设置系统主机名 user@host.example.com
- 设置接口。 user@host# 设置接口 ge-0/0/0 单元 0 系列 inet 地址 192.0.2.1/24 user@host# 设置接口 ge-0/0/1 单元 0 系列 inet 地址 192.10.2.1/24
- 配置安全区域。
SRX 系列防火墙是基于区域的防火墙。 您需要将每个接口分配到一个区域以使流量通过它。 要配置安全区域,请输入以下命令:
注意:对于不信任或内部安全区域,仅启用基础设施所需的每个特定服务的服务。
user@host# 设置安全区域 security-zone untrust 接口 ge-0/0/0.0
user@host# 设置安全区域 security-zone 信任接口 ge-0/0/1.0
user@host# 设置安全区域 security-zone trust host-inbound-traffic system-services all
user@host# 设置安全区域 security-zone 信任主机入站流量协议全部 - 5. 配置DNS。
user@host# 设置系统名称服务器 192.10.2.2 - 配置 NTP。
user@host# 设置系统进程ntp
user@host# 设置系统 ntp 启动服务器 192.10.2.3 user@host# 设置系统 ntp 服务器 192.10.2.3 user@host# 提交
运行正常
在这个部分
- 创建一个 Web 瞻博网络 ATP 云门户登录帐户 | 5
- 注册您的 SRX 系列防火墙 | 7
- 在 SRX 系列防火墙上配置安全策略以使用云源 | 12
创建一个 Web Juniper ATP 云的门户登录帐户
现在您已准备好 SRX 系列防火墙,可以与瞻博网络 ATP 云配合使用,让我们登录瞻博网络 ATP 云 Web 门户并注册您的 SRX 系列防火墙。 您需要创建瞻博网络 ATP 云 Web 门户登录帐户,然后在 Juniper ATP 云中注册您的 SRX 系列防火墙 Web 门户网站。
在开始注册之前,请准备好以下信息:
- 您的单点登录或瞻博网络客户支持中心 (CSC) 凭据。
- 安全域名。 对于前ample,杜松-Mktg-桑尼维尔。 领域名称只能包含字母数字字符和破折号(“—”)符号。
- 您的公司名称。
- 您的联系信息。
- 电子邮件地址和密码。 这将是您访问瞻博网络 ATP 云管理界面的登录信息。
我们走吧!
1. 打开 Web 浏览器并连接到瞻博网络 ATP 云 Web 门户网站:https://sky.junipersecurity.net。 选择您的地理区域 - 北美、加拿大、欧盟或亚太地区,然后单击前往。
您还可以连接到 ATP 云 Web 使用客户门户的门户 URL 您的位置如下所示。
| 地点 | 客户门户 URL |
| 美国 | https://amer.sky.junipersecurity.net |
| 欧洲联盟 | https://euapac.sky.junipersecurity.net |
| 亚太地区 | https://apac.sky.junipersecurity.net |
| 加拿大 | https://canada.sky.junipersecurity.net |
- 登录页面打开。
- 单击创建安全领域。
- 单击“继续”。
- 要创建安全领域,请按照屏幕上的向导输入以下信息:
• 您的单点登录或瞻博网络客户支持中心 (CSC) 凭据
• 安全领域名称
• 您的公司名称
• 您的联系信息
• 用于登录 ATP Cloud 的登录凭据 - 单击“确定”。
您将自动登录并返回到瞻博网络 ATP 云 Web 门户网站。 下次您访问瞻博网络 ATP 云时 Web 门户,您可以使用刚刚创建的凭据和安全领域登录。
注册您的 SRX 系列防火墙
现在您已经创建了帐户,接下来让我们在瞻博网络 ATP 云中注册您的 SRX 系列防火墙。 在本指南中,我们向您展示如何使用瞻博网络 ATP 云注册您的设备 Web 由瞻博网络托管的门户。 但是,您也可以使用 Junos OS CLI(J-Web Portal,或 Junos Space 安全总监 Web 门户网站。 选择适合您的配置工具:
- 瞻博网络 ATP 云 Web 门户—ATP 云 Web 门户由瞻博网络在云中托管。 您无需在本地系统上下载或安装瞻博网络 ATP 云。
- CLI 命令 - 从 Junos OS 版本 19.3 R1 开始,您可以使用 SRX 系列防火墙上的 Junos OS CLI 将设备注册到 Juniper ATP 云。 请参阅在没有 Juniper ATP 云的情况下注册 SRX 系列设备 Web 门户网站。
- J-Web 传送门——J-Web 门户预安装在 SRX 系列防火墙上,也可用于将 SRX 系列防火墙注册到瞻博网络 ATP 云。 有关详细信息,请观看此视频:
视频:ATP 云 Web 使用 J- 进行保护Web - Security Director Policy Enforcer — 如果您是获得许可的 Junos Space Security Director Policy Enforcer 用户,则可以使用 Security Director Policy Enforcer 来设置和使用 Juniper ATP 云。 有关将 Security Director 与 Juniper ATP 云结合使用的更多信息,请参阅如何使用策略强制器在 Juniper 高级威胁防护 (ATP) 云中注册 SRX 系列设备。
当您注册 SRX 系列防火墙时,您可以在 Juniper ATP 云服务器之间建立安全连接。 报名还有:
- 下载证书颁发机构 (CA) 许可证并将其安装到 SRX 系列防火墙上
- 创建本地证书
- 向云服务器注册本地证书
注意:瞻博网络 ATP 云要求您的路由引擎(控制平面)和数据包转发引擎(数据平面)均连接到 Internet。 您无需在 SRX 系列防火墙上打开任何端口即可与云服务器通信。 但是,如果您有介于两者之间的设备(例如防火墙),则该设备必须打开端口 80、8080 和 443。
此外,SRX 系列防火墙必须配置 DNS 服务器才能解析云 URL.
在瞻博网络 ATP 云中注册您的 SRX 系列设备 Web 门户网站
以下是在瞻博网络 ATP 云中注册 SRX 系列防火墙的方法 Web 门户网站:
- 登录瞻博网络 ATP 云 Web 门户网站。
将显示仪表板页面。
- 单击“设备”打开“已注册的设备”页面。
- 单击“注册”打开“注册”页面。
- 根据您运行的 Junos OS 版本,从页面复制 CLI 命令并在 SRX 系列防火墙上运行该命令以对其进行注册。
注意:您必须运行操作 url 来自操作模式的命令。 一旦生成,操作 url 命令的有效期为 7 天。 如果你生成一个新的op url 在该时间段内的命令,旧命令不再有效。 (仅最近生成的操作 url 命令有效。) - 登录到您的 SRX 系列防火墙。 SRX 系列 CLI 将在屏幕上打开。
- 运行操作 url 您之前从弹出窗口复制的命令。 只需将命令粘贴到 CLI 中并按 Enter 键即可。
SRX 系列防火墙将连接到 ATP 云服务器并开始下载和运行操作脚本。 注册状态出现在屏幕上。 - (可选)运行以下命令 view 附加信息:
请求服务高级反恶意软件诊断客户门户详细信息
Example
请求服务高级反恶意软件诊断 amer.sky.junipersecurity.net 详细信息
您可以在 SRX 系列防火墙上使用 show services advance-anti-malware status CLI 命令来验证是否已从 SRX 系列防火墙建立到云服务器的连接。 注册后,SRX 系列防火墙通过安全通道 (TLS 1.2) 建立的多个持久连接与云进行通信。 SRX 系列防火墙使用 SSL 客户端证书进行身份验证。
在 J- 中注册您的 SRX 系列设备Web 门户网站
您还可以使用 J- 将 SRX 系列防火墙注册到瞻博网络 ATP 云Web. 这是 Web SRX 系列防火墙上出现的接口。
注册设备之前:
• 决定您创建的领域将覆盖哪个区域,因为您在配置领域时必须选择一个区域。
• 确保设备已在瞻博网络 ATP 云中注册 Web 门户网站。
• 在CLI 模式下,在SRX300、SRX320、SRX340、SRX345 和SRX550M 设备上配置设置安全转发进程增强服务模式以打开端口并使设备准备好与Juniper ATP 云进行通信。
以下是如何使用 J- 注册 SRX 系列防火墙Web 门户网站。
- 登录J-Web。 有关详细信息,请参阅启动 J-Web.
- (可选)配置代理专业版file.
A。 在 J-Web UI,导航到设备管理 > ATP 管理 > 注册。 ATP 注册页面打开。
b. 使用以下任一方法配置 proxy profile:
- 单击“创建代理”创建代理专业版file.
创建代理专业版file 页面出现。
完成配置:- 专业版file 名称 - 输入代理专业人士的名称file.
- 连接类型 - 选择代理专业程序连接的连接类型服务器(从列表中)file 用途:
- 服务器 IP — 输入代理服务器的 IP 地址。
- 主机名 - 输入代理服务器的名称。
- 端口号 - 选择代理 Pro 的端口号file。 范围是 0 到 65,535。
将您的设备注册到瞻博网络 ATP 云。
A。 单击注册打开 ATP 注册页面。
笔记: 如果存在任何现有配置更改,则会显示一条消息,要求您提交更改,然后继续注册过程。
完成配置:
- 创建新领域 - 默认情况下,如果您拥有具有关联许可证的 Juniper ATP 云帐户,则此选项处于禁用状态。 如果您没有具有关联许可证的 Juniper ATP 云帐户,请启用此选项以添加新领域。
- 位置 - 默认情况下,区域设置为“其他”。 输入地区 URL.
- 电子邮件 — 输入您的电子邮件地址。
- 密码 - 输入长度至少为八个字符的唯一字符串。 包含大小写字母、至少 XNUMX 个数字、至少 XNUMX 个特殊字符; 不允许使用空格,并且您不能使用与电子邮件地址中相同的字符序列。
- 确认密码 - 重新输入密码。
- 领域 - 输入安全领域的名称。 这应该是对您的组织有意义的名称。 领域名称只能包含字母数字字符和破折号。 一旦创建,该名称就无法更改。
单击“确定”。
将显示 SRX 系列防火墙注册过程的状态。
在 SRX 系列防火墙上配置安全策略以使用云源
安全策略(例如反恶意软件和安全情报策略)使用瞻博网络 ATP 云威胁源进行检查 file并隔离已下载恶意软件的主机。 让我们为 SRX 系列防火墙创建一个安全策略 aamw-policy。
- 配置反恶意软件策略。
- user@host# 设置服务高级反恶意软件策略 aamw-policy verdict-threshold 7
- user@host# 设置服务高级反恶意软件策略 aamw-policy http 检查-profile 默认
- user@host# 设置服务高级反恶意软件策略 aamw-policy http 操作允许
- user@host# 设置服务高级反恶意软件策略 aamw-policy http 通知日志
- user@host# 设置服务高级反恶意软件策略 aamw-policy smtp Inspection-profile 默认
- user@host# 设置服务高级反恶意软件策略 aamw-policy smtp 通知日志
- user@host# 设置服务高级反恶意软件策略 aamw-policy imap Inspection-profile 默认
- user@host# 设置服务高级反恶意软件策略 aamw-policy imap 通知日志
- user@host# 设置服务高级反恶意软件策略 aamw-policy 后备选项通知日志
- user@host# 设置服务高级反恶意软件策略 aamw-policy 默认通知日志
- 用户@主机#提交
- (可选)配置反恶意软件源接口。
源接口用于发送 file到云端。 如果您配置源接口但未配置源地址,SRX 系列防火墙将使用指定接口的 IP 地址进行连接。 如果您使用路由实例,则必须配置反恶意软件连接的源接口。 如果您使用非默认路由实例,则无需在 SRX 系列防火墙上完成此步骤。
user@host# 设置服务高级反恶意软件连接源接口 ge-0/0/2
注意:对于 Junos OS 版本 18.3 R1 及更高版本,我们建议您使用 fxp0 的管理路由实例(设备路由引擎的专用管理接口)和流量的默认路由实例。 - 配置安全情报策略。
- user@host# 设置服务安全智能专业版file secintel_profile 类别CC
- user@host# 设置服务安全智能专业版file secintel_profile 规则 secintel_rule 匹配威胁级别 [ 7 8 9 10 ]
- user@host# 设置服务安全智能专业版file secintel_profile 规则 secintel_rule 然后操作块删除
- user@host# 设置服务安全智能专业版file secintel_profile 规则 secintel_rule 然后记录
user@host# 设置服务安全智能专业版file secintel_profile 默认规则然后操作允许 - user@host# 设置服务安全智能专业版file secintel_profile 默认规则然后记录
- user@host# 设置服务安全智能专业版file ih_profile 类别 感染主机
- user@host# 设置服务安全智能专业版file ih_profile 规则 ih_rule 匹配威胁级别 [ 10 ]
- user@host# 设置服务安全智能专业版file ih_profile 规则 ih_rule 然后操作块删除
- user@host# 设置服务安全智能专业版file ih_profile 规则 ih_rule 然后记录
- user@host# 设置服务安全情报策略 secintel_policy 感染主机 ih_profile
- user@host# 设置服务安全情报策略 secintel_policy CC secintel_profile
- 用户@主机#提交
- 注意:如果您希望检查 HTTPs 流量,则必须选择在安全策略中启用 SSL 代理。 要配置 SSL-Proxy,请参阅步骤 4 和步骤 5。
配置这些功能将影响穿过所应用的安全策略的流量的性能。
(可选)生成公钥/私钥对和自签名证书,并安装 CA 证书。 - (可选)配置SSL转发代理专业版file (数据平面中的 HTTPS 流量需要 SSL 转发代理)。 user@host# 设置服务 ssl 代理 profile ssl-检查-profile-dut root-ca ssl-inspect-ca
user@host# 设置服务 ssl 代理 profile ssl-检查-profile-dut 操作记录所有
user@host# 设置服务 ssl 代理 profile ssl-检查-profile-dut 操作忽略服务器身份验证失败
user@host# 设置服务 ssl 代理 profile ssl-检查-profile-dut 可信-ca 全部
用户@主机#提交 - 配置安全防火墙策略。
user@host# 设置安全策略 从区域信任到区域不信任策略 1 匹配源地址任何
user@host# 设置安全策略 从区域信任到区域不信任策略 1 匹配目标地址任意
user@host# 设置安全策略 从区域信任到区域不信任策略 1 匹配应用程序任何
恭喜! 您已在 SRX 系列防火墙上完成了瞻博网络 ATP 云的初始配置!
继续前进
在这个部分
- 下一步是什么? | 14个
- 一般信息 | 15
- 通过视频学习 | 15
下一步是什么?
现在您已经掌握了基本的安全情报和反恶意软件策略,您将想要探索使用瞻博网络 ATP 云还可以做什么。
一般信息
| 如果你想 | 然后 |
| View 瞻博网络 ATP 云系统管理指南 | 看 瞻博网络 ATP 云管理指南 |
| 查看适用于瞻博网络 ATP 云的所有文档 | 访问 瞻博网络高级威胁防御 (ATP) 云 体验至上 瞻博网络技术库中的页面 |
| 查看适用于策略执行器的所有文档 | 访问 政策执行者文档 瞻博网络技术库中的页面。 |
| 使用瞻博网络安全查看、自动化和保护您的网络 | 访问 安全设计中心 |
| 及时了解新增和更改的功能以及已知和已解决的问题 | 查看 瞻博网络高级威胁防御云发布 笔记 |
| 解决您在使用瞻博网络 ATP 云时可能遇到的一些典型问题 | 查看 瞻博网络高级威胁防御云 故障排除指南 |
通过视频学习
我们的视频库不断增长! 我们制作了很多很多视频,演示如何执行从安装硬件到配置高级 Junos OS 网络功能的所有操作。 这里有一些很棒的视频和培训
这些资源将帮助您扩展 Junos OS 的知识。
| 如果你想 | 然后 |
| View ATP 云演示,向您展示如何设置和配置 ATP 云 | 观看 ATP云演示 视频 |
| 了解如何使用策略强制执行器向导 | 观看 使用策略强制执行器向导 视频 |
| 获得简短而简洁的提示和说明,这些提示和说明可提供快速答案、清晰度和对瞻博网络技术特定特性和功能的洞察 | 看 通过视频学习 在瞻博网络 YouTube 主页上 |
| 如果你想 | 然后 |
| View 我们在瞻博网络提供的众多免费技术培训的列表 | 访问 入门 瞻博网络学习门户上的页面 |
Juniper Networks、Juniper Networks 徽标、Juniper 和 Junos 是 Juniper Networks, Inc. 在美国和其他国家/地区的注册商标。所有其他商标、服务标记、注册商标或注册服务标记均归其各自所有者所有。Juniper Networks 对本文档中的任何错误不承担任何责任。Juniper Networks 保留更改、修改、转让或以其他方式修订本出版物的权利,恕不另行通知。版权所有 © 2023 Juniper Networks, Inc. 保留所有权利。
文件/资源
 |
Juniper NETWORKS ATP Cloud 基于云的威胁检测软件 [pdf] 用户指南 ATP Cloud 基于云的威胁检测软件、ATP Cloud、基于云的威胁检测软件、威胁检测软件、检测软件、软件 |