Pengarah Keselamatan Tembok Api Siri Juniper NETWORKS SRX

Tembok Api Siri Srx Onboard Kepada Pengarah Keselamatan Juniper

DALAM PANDUAN INI

	Langkah 1: Mulakan | 1
	Langkah 2: Bangkit dan Berlari | 9
	Langkah 3: Teruskan | 13

Langkah 1: Mulakan

DALAM BAHAGIAN INI

	Bersedia untuk Memasang Pengarah Keselamatan Juniper | 2
	Muat turun OVA dan Perisian Bundle | 3
	Gunakan VM | 4

Anda boleh memasang Pengarah Keselamatan Juniper di premis dan mengurus Tembok Api Siri SRX dan Tembok Api Maya vSRX melalui web antara muka. Panduan ini membimbing anda melalui pemasangan Pengarah Keselamatan Juniper, memasang peranti anda dan mengkonfigurasi Pengarah Keselamatan Juniper untuk mengurus peranti anda.

Berikut ialah susunan peringkat tinggi pemasangan dan aliran kerja pemasangan peranti.

Bersedia Untuk Memasang Pengarah Keselamatan Juniper

Keperluan Perkakasan

Jadual 1: Keperluan Perkakasan untuk Pelayan ESXi

Konfigurasi VM	Keupayaan Pengurusan Peranti	Log Analitis dan Keupayaan Storan
Konfigurasi VM 1 16 vCPU 80 GB RAM Storan 2.1 TB	Sehingga 1000 peranti Sehingga 10000 peraturan dasar setiap peranti Sehingga 6000 peraturan NAT setiap peranti Sehingga 1000 VPN setiap peranti/sistem	Sehingga 17000 log sesaat Daripada jumlah storan 2.1 TB, 1.5 TB dikhususkan untuk analitis log.
Konfigurasi VM 2 40 vCPU 208 GB RAM Storan 4.2 TB	Sehingga 3000 peranti Sehingga 20000 peraturan dasar setiap peranti Sehingga 10000 peraturan NAT setiap peranti Sehingga 1500 VPN setiap peranti/sistem	Sehingga 40000 log sesaat Daripada jumlah storan 4.2 TB, 3.5 TB dikhususkan untuk analitis log.
NOTA: Kami tidak mengesyorkan hyperthreading pada VMware hypervisor (ESXi) Server. Anda mesti menggunakan sumber khusus untuk CPU, RAM dan storan. Kami tidak mengesyorkan berkongsi sumber. Anda boleh bertukar daripada konfigurasi VM 1 kepada konfigurasi VM 2, jika perlu. Walau bagaimanapun, sebaik sahaja anda bertukar kepada konfigurasi VM 2, anda tidak boleh kembali kepada konfigurasi VM 1.

Keperluan Perisian

• Pengarah Keselamatan Juniper berjalan pada Pelayan hipervisor VMware (ESXi). Gunakan vCenter dan vSphere versi 7.0 dan lebih baru.
  Anda mesti menggunakan OVA melalui vCenter Server sahaja. Kami tidak menyokong penggunaan OVA pada ESXi secara langsung.
• Anda mesti mempunyai alamat IP khusus berikut dalam subnet yang sama:
  • PengurusanIPalamat— Alamat IP untuk VM yang menyediakan akses kepada Pengarah Keselamatan Juniper CLI.
  • UI maya IP alamat— Alamat IP maya untuk mengakses GUI Pengarah Keselamatan Juniper.
  • DeviceconnectionvirtualIPaddress— Alamat IP maya untuk mewujudkan sambungan antara peranti terurus dan Pengarah Keselamatan Juniper.
  • Alamat IP maya pengumpul log—Alamat IP maya untuk menerima log daripada peranti.
    Untuk memastikan penggunaan OVA yang lancar, anda mesti memastikan bahawa alamat IP maya UI, alamat IP maya sambungan peranti dan alamat IP maya pengumpul log boleh diakses melalui get laluan lalai. Selain itu, sahkan bahawa Nama Domain Layak Sepenuhnya (FQDN) yang dikaitkan dengan alamat IP ini boleh diselesaikan sebelum anda memulakan proses penggunaan OVA.
• Pastikan anda mempunyai akses kepada pelayan SMTP, NTP dan DNS daripada rangkaian VM (Pengarah Keselamatan Juniper).

NOTA: Kami menyokong pelayan NTP dengan alamat IPv4 sahaja.

Muat turun The Ova And Software Bundle

1. Muat turun Pengarah Keselamatan Juniper OVA (.ova file) daripada https://support.juniper.net/support/downloads/?p=security-director-on-prem kepada a webpelayan atau mesin tempatan anda. Untuk mengelakkan masalah sambungan, muat turun OVA terus ke mesin tempatan anda.
2. Muat turun Bundle Perisian Pengarah Keselamatan Juniper (.tgz file) ke mesin tempatan anda dari https://support.juniper.net/support/downloads/?p=security-director-on-prem dan kemudian pindahkan file kepada s andatagpelayan dalam.

A stagpelayan ialah pelayan perantaraan di mana berkas perisian dimuat turun dan boleh diakses daripada VM.

Stagpelayan mesti menyokong muat turun berkas perisian daripada Juniper Security Director VM melalui Secure Copy Protocol (SCP). Sebelum anda menggunakan VM, anda mesti mempunyai butiran stagpelayan, termasuk nama pengguna dan kata laluan SCP.

Sebarkan Vm

1. Buka Pelanggan vSphere.
2. Klik kanan objek inventori yang merupakan objek induk yang sah bagi VM dan pilih Gunakan Templat OVF.
   Rajah 1: Gunakan Templat OVF
   
3. Pada halaman Pilih templat OVF:
   • Masukkan ke webpelayan OVA URL, di mana anda telah memuat turun OVA. Sistem ini mungkin memberi amaran kepada anda tentang pengesahan sumber. Klik Ya.
     NOTA: Pastikan peraturan tembok api tidak menyekat akses imej daripada kluster vSphere.
   • Pilih Tempatan file pilihan dan klik MUAT NAIK FILES untuk memilih OVA file daripada mesin tempatan anda.
     Rajah 2: Pilih atau Muat Naik OVF File
     
4. Pada halaman Pilih nama dan folder, masukkan nama VM dan pilih lokasi untuk VM.
5. Pada halaman Pilih sumber pengiraan, pilih sumber pengiraan untuk hos yang akan digunakan VM.
6. Di Review halaman butiran, semulaview butiran sumber yang akan diperuntukkan.
7. Pada halaman Perjanjian lesen, pilih kotak semak untuk menerima perjanjian lesen.
8. Pada halaman Pilih storan, pilih storan untuk konfigurasi dan format cakera maya. Kami mengesyorkan anda menggunakan format cakera maya sebagai peruntukan Tebal dan pilih storan dengan kapasiti sekurang-kurangnya 1.5 TB.
   NOTA: Kami tidak mengesyorkan peruntukan nipis. Jika anda memilih peruntukan nipis dan ruang cakera sebenar yang tersedia adalah rendah, sistem mungkin menghadapi masalah apabila cakera penuh.
9. Pada halaman Pilih rangkaian, pilih rangkaian untuk mengkonfigurasi peruntukan IP untuk pengalamatan statik.
10. Pada halaman Peribadikan templat, konfigurasikan Pengarah Keselamatan Juniper parameter OVA di premis.
    NOTA: Sediakan semua butiran untuk halaman templat tersuai terlebih dahulu. Templat OVF akan tamat masa selepas 6 hingga 7 minit.
    Rajah 3: Sesuaikan Templat OVF
    
    NOTA:
    • Medan kata laluan pengguna cliadmin tidak mengesahkan keperluan kata laluan dengan ketat. Walau bagaimanapun, semasa proses pemasangan, sistem menguatkuasakan pengesahan yang ketat dan menolak kata laluan yang tidak memenuhi keperluan yang ditetapkan, menyebabkan kegagalan pemasangan. Untuk mengelakkan isu semasa pemasangan, pastikan kata laluan memenuhi kriteria ini:
      • Mestilah sekurang-kurangnya 8 aksara panjang dan tidak lebih daripada 32 aksara.
      • Mesti bukan perkataan kamus.
      • Mesti termasuk sekurang-kurangnya tiga daripada yang berikut:
        • Nombor (0-9)
        • Huruf besar (AZ)
        • Huruf kecil (az)
        • Watak istimewa (~!@#$%^&*()_-+={}[];:”'<,>.?/|\)
    • Medan FQDN UI, FQDN Sambungan Peranti dan FQDN Pemungut Log adalah pilihan. Walau bagaimanapun, kami amat mengesyorkan anda menggunakan Nama Domain Layak Sepenuhnya (FQDN). Pastikan FQDN ialah:
      • Sah dan mengikut konvensyen penamaan domain.
      • Lengkap, termasuk butiran domain dan subdomain.
      • Boleh diselesaikan, iaitu, DNS boleh memetakan FQDN dengan betul ke alamat IP.
        FQDN yang salah mengakibatkan isu yang memerlukan pemasangan semula VM.
        Jika alamat IP tidak betul, anda tidak akan dapat memulakan sambungan SSH ke VM. Anda hanya boleh mengakses VM melalui web portal.
    • Laluan SCP bundle perisian merujuk kepada lokasi bundle perisian Pengarah Keselamatan Juniper (.tgz file) pada s andatagpelayan dalam. Pastikan anda telah memuat turun Bundle Perisian Pengarah Keselamatan Juniper (.tgz file) ke mesin tempatan anda dari Halaman Muat Turun Perisian Juniper dan memindahkannya ke s andatagpelayan dalam. stagpelayan berfungsi sebagai perantara untuk menyimpan dan menjadikan berkas perisian boleh diakses oleh VM. stagpelayan mesti menyokong muat turun berkas perisian daripada Pengarah Keselamatan Juniper VM melalui SCP. Sebelum menggunakan VM, pastikan anda mempunyai butiran stagpelayan, termasuk nama pengguna dan kata laluan SCP.
11. Pada halaman Sedia untuk melengkapkan, semulaview semua butiran dan jika perlu, kembali dan edit parameter VM. Parameter rangkaian ini tidak boleh ditukar daripada konfigurasi VM selepas pemasangan berjaya. Walau bagaimanapun, parameter rangkaian boleh diubah daripada CLI. Klik Selesai untuk memulakan penggunaan OVA.
    Anda boleh memantau status kemajuan penggunaan OVA dalam tetingkap Tugasan Terkini di bahagian bawah skrin anda sehingga 100% siap. Lajur Status menunjukkan peratusan lengkap penempatantage.
    tahniah! Kini penggunaan OVA telah selesai.
12. Klik ikon segi tiga () di sebelah nama VM untuk menghidupkan VM.

NOTA: Secara lalai, VM akan digunakan dengan konfigurasi sumber terkecil seperti yang dinyatakan dalam "Keperluan Perkakasan" pada halaman 2. Laraskan sumber untuk memadankan konfigurasi sumber lain menggunakan tetapan VMware Edit VM.
Untuk pemasangan yang berjaya, peruntukan sumber mesti sepadan dengan "Keperluan Perkakasan" pada halaman 2.

Setelah VM dihidupkan, navigasi ke tab Ringkasan dan klik LAUNCH WEB CONSOLE untuk memantau status pemasangan berkas perisian.

NOTA: Elakkan melakukan sebarang operasi pada konsol sehingga pemasangan selesai.

Pemasangan yang berjaya memerlukan kira-kira 30 minit. Jika pemasangan bertahan lebih lama, semak Web konsol untuk kemungkinan ralat. Anda boleh ssh ke IP VM menggunakan pengguna cliadmin dan kata laluan yang anda konfigurasikan semasa penggunaan OVA. Kemudian, gunakan perintah status pemasangan show bundle untuk menyemak status pemasangan.

awak boleh view kemajuan pemasangan pada konsol. Selepas pemasangan selesai, konsol memaparkan berkas perisian Berjaya dipasang pada kluster dan but semula VM.

tahniah! Pemasangan berkas perisian kini selesai.

Langkah 2: Naik Dan Berlari

DALAM BAHAGIAN INI

	Cipta Akaun Organisasi dan Tambah Peranti | 10
	Kaitkan Peranti dengan Langganan Pengarah Keselamatan Juniper Anda | 12
	Sahkan Konfigurasi pada Peranti Digunapakai | 12

Buat Akaun Organisasi Dan Tambah Peranti

Sebelum Anda Bermula

Port berikut mesti dibuka:

• Port masuk 443 untuk sambungan pengguna Web dikaitkan dengan alamat IP maya UI.
• Port keluar 25 untuk pelayan mel keluar ke dikonfigurasikan dikaitkan dengan alamat IP Pengurusan.
• Port masuk 7804 daripada semua peranti terurus dikaitkan dengan alamat IP maya sambungan peranti.
• Port keluar 443 untuk muat turun tandatangan URL dikaitkan dengan alamat IP Pengurusan.
• Port masuk 6514 untuk sambungan masuk untuk log trafik dikaitkan dengan alamat IP maya pengumpul log.

1. Masukkan alamat IP maya UI atau FQDN (nama domain) dalam penyemak imbas untuk mengakses halaman log masuk Pengarah Keselamatan Juniper. Ikut arahan pada skrin untuk membuat dan mengaktifkan akaun anda. Untuk butiran, lihat Log Masuk ke Pengarah Keselamatan Juniper Web UI.
2. Log masuk ke Pengarah Keselamatan Juniper, klik Tambah Langganan. Anda juga boleh menggunakan langganan percubaan 60 hari yang tersedia secara lalai.
   
3. Masukkan nama untuk langganan dan pilih salah satu daripada pilihan berikut:
   a. Salin dan tampal butiran lesen—Salin kunci lesen dan tampal dalam medan Lesen.
   b. Muat naik lesen file—Klik Semak imbas dan navigasi ke license.txt file. Klik Buka. Sila ambil perhatian bahawa anda boleh memuat naik hanya .txt file.
4. Klik OK. awak boleh view langganan tambahan anda daripada Langganan > Langganan Pengurusan SRX. Jika anda tidak melihat langganan anda, pergi ke halaman Pentadbiran > Pekerjaan ke view statusnya.
5. Pilih SRX > Pengurusan Peranti > Peranti, dan klik ikon + untuk menambah peranti anda.
   NOTA: Untuk mengetahui tentang peranti yang disokong, lihat Tembok Api Disokong Pengarah Keselamatan Juniper.
6. Klik Gunakan Peranti SRX dan pilih salah satu daripada yang berikut:
   • Peranti SRX
   • Kluster SRX
   • Pasangan SRX Multinode High Availability (MNHA).
     
     Ikut arahan pada skrin untuk meneruskan. Untuk butiran, lihat Tambah Peranti.
7. Salin dan tampal arahan daripada halaman peranti ke Tembok Api Siri SRX atau konsol peranti kluster utama.
   Kemudian lakukan perubahan. Ia akan mengambil masa beberapa saat untuk penemuan peranti. Selepas penemuan peranti berjaya, sahkan medan berikut pada halaman Peranti:
   • Perubahan Status Pengurusan daripada Penemuan sedang berjalan kepada Naik.
   • Status Inventori dan Status Konfigurasi Peranti berubah daripada Tidak Segerak kepada Segerak.

NOTA: Dalam kes kegagalan penemuan, pergi ke halaman Pentadbiran > Pekerjaan dan view statusnya.

Kaitkan Peranti Dengan Langganan Pengarah Keselamatan Juniper Anda

1. Pergi ke SRX > Pengurusan Peranti > Peranti pilih peranti dan klik Urus Langganan. Ikut arahan pada skrin.
   
2. Sahkan bahawa lajur Langganan memaparkan nama langganan untuk peranti anda. tahniah! Anda telah berjaya mengaitkan peranti anda kepada Pengarah Keselamatan Juniper.
   

Sahkan Konfigurasi Pada Peranti Yang Digunapakai

Sahkan konfigurasi peranti anda dalam Pengarah Keselamatan Juniper.

• Pergi ke SRX > Dasar Keselamatan > Dasar SRX dan sahkan dasar keselamatan yang diimport.
• Pergi ke SRX > NAT Policy > NAT dan sahkan dasar NAT yang diimport.
• Pergi ke SRX > Pengurusan Peranti > Peranti, klik Konfigurasi Log Keselamatan dan sahkan konfigurasi log keselamatan.

Jika anda telah menyediakan dasar keselamatan, NAT, IPSec VPN dan log pada peranti, konfigurasi ini akan diimport ke Pengarah Keselamatan Juniper.

Langkah 3: Teruskan

DALAM BAHAGIAN INI

	Apa yang akan datang? | 13
	Maklumat Am | 13

Apa Seterusnya?

Jika Anda Mahu	Kemudian
Buat atau import dasar keselamatan, tambahkan peraturan pada dasar keselamatan dan gunakan dasar keselamatan pada peranti.	Lihat Polisi Keselamatan Berakhirview
Buat dasar NAT, tambahkan peraturan pada dasar NAT dan gunakan dasar NAT pada peranti.	Lihat Polisi NAT Tamatview
Sediakan Pro Keselamatan Kandunganfiles untuk melindungi rangkaian anda daripada pelbagai jenis ancaman keselamatan.	Lihat Keselamatan Kandungan Selesaiview
View log trafik dan peristiwa rangkaian termasuk virus yang ditemui, antara muka yang tidak berfungsi, bilangan serangan dan sesi.	Lihat Mengenai Halaman Sesi dan Mengenai Halaman Semua Acara Keselamatan
Pantau status CPU, ruang cakera, pangkalan data storan dan perkhidmatan yang dijalankan pada Juniper Security Director VM.	Sistem Selesaiview
Konfigurasikan tetapan tahap log, jana dan muat turun log sistem untuk menyelesaikan masalah yang berkaitan dengan Pengarah Keselamatan Juniper.	Lihat Perihal Halaman Log Sistem

Maklumat Am

Jika Anda Mahu	Kemudian
Lihat semua dokumentasi yang tersedia untuk Pengarah Keselamatan Juniper.	melawat Pengarah Keselamatan Juniper

Sokongan Pelanggan

Juniper Networks, logo Juniper Networks, Juniper dan Junos ialah tanda dagangan berdaftar Juniper Networks, Inc. di Amerika Syarikat dan negara lain. Semua tanda dagangan lain, tanda perkhidmatan, tanda berdaftar atau tanda perkhidmatan berdaftar adalah hak milik pemilik masing-masing. Juniper Networks tidak bertanggungjawab untuk sebarang ketidaktepatan dalam dokumen ini.
Juniper Networks berhak untuk menukar, mengubah suai, memindahkan, atau sebaliknya menyemak semula penerbitan ini tanpa notis.
Hak Cipta © 2025 Juniper Networks, Inc. Hak cipta terpelihara.

Dokumen / Sumber

Pengarah Keselamatan Tembok Api Siri Juniper NETWORKS SRX [pdf] Panduan Pengguna Tembok Api Siri SRX, Tembok Api Maya vSRX, Pengarah Keselamatan Tembok Api Siri SRX, Siri SRX, Pengarah Keselamatan Tembok Api, Pengarah Keselamatan

Rujukan

• Manual Pengguna