귀하의 경험을 개선할 수 있도록 도와주십시오.

귀하의 의견을 알려주십시오.

2분이 소요되는 설문 조사에 시간을 내주시겠습니까?

Announcement: Our new, consolidated Junos CLI Reference is now available.

close
external-header-nav
keyboard_arrow_up
list Table of Contents
이 페이지의
keyboard_arrow_right

이 기계 번역이 도움이 되었습니까?

starstarstarstarstar
Go to English page
면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

예제- IoT 디바이스 검색 및 정책 적용 구성

date_range 16-Dec-22

요약 이 예에서는 IoT 디바이스 검색 및 보안 정책 적용을 위해 보안 디바이스를 구성합니다.

개요

네트워크에서 IoT 디바이스 검색을 시작하려면 주니퍼 ATP 클라우드에 연결된 보안 디바이스만 있으면 됩니다. 그림 1 은 이 예에서 사용된 토폴로지입니다.

그림 1: IoT 디바이스 검색 및 정책 적용 토폴로지 IoT Device Discovery and Policy Enforcement Topology

토폴로지에 표시된 것처럼, 네트워크에는 무선 액세스 포인트(AP)를 통해 SRX 시리즈 디바이스에 연결된 일부 IoT 디바이스가 포함됩니다. 보안 디바이스는 주니퍼 클라우드 ATP 서버 및 호스트 디바이스에 연결됩니다.

보안 디바이스는 IoT 디바이스 메타데이터를 수집하고 관련 정보를 주니퍼 ATP 클라우드로 스트리밍합니다. IoT 메타데이터의 스트리밍을 활성화하려면 보안 메타데이터 스트리밍 정책을 생성하고 이러한 정책을 보안 정책에 첨부해야 합니다. 주니퍼 클라우드 서버에 IoT 디바이스를 분류하기에 충분한 세부 정보가 있으면 IoT 디바이스 트래픽 스트리밍이 자동으로 일시 중지됩니다.

주니퍼 ATP 클라우드는 IoT 디바이스를 검색하고 분류합니다. 발견된 IoT 디바이스의 인벤토리를 사용하면 동적 주소 그룹의 형태로 위협 피드를 생성할 수 있습니다. 보안 디바이스가 동적 주소 그룹을 다운로드하면 동적 주소 그룹을 사용하여 IoT 트래픽에 대한 보안 정책을 생성하고 적용할 수 있습니다.

표 1표 2 는 이 예에서 사용되는 매개변수의 세부 정보를 제공합니다.

표 1: 보안 존 구성 매개변수
인터페이스 연결
신뢰 ge-0/0/2.0 클라이언트 디바이스
신뢰할 수 없는 ge-0/0/4.0 및 ge-0/0/3.0 IoT 트래픽 관리를 위한 액세스 포인트
클라우드 ge-0/0/1.0 인터넷(주니퍼 ATP 클라우드에 연결)
표 2: 보안 정책 구성 매개변수
정책 유형 애플리케이션
P1 보안 정책 트러스트 존에서 신뢰할 수 없는 영역으로 트래픽 허용
P2 보안 정책 신뢰할 수 없는 존에서 트러스트 존으로 트래픽 허용
P3 보안 정책 트러스트 존에서 클라우드 존으로 트래픽 허용
p1 메타데이터 스트리밍 정책 신뢰할 수 없는 존을 스트리밍하여 존 트래픽 메타데이터를 신뢰합니다.
p2 메타데이터 스트리밍 정책 트러스트 존을 clod 존 트래픽 메타데이터로 스트리밍
Unwanted_Applications 글로벌 보안 정책 글로벌 컨텍스트에서 위협 피드 및 보안 정책을 기반으로 IoT 트래픽 방지

요구 사항

Junos OS 릴리스 22.1R1과 함께 vSRX 인스턴스를 사용하여 구성을 검증하고 테스트했습니다.

구성

주니퍼 ATP 클라우드로 작동할 수 있는 SRX 시리즈 디바이스를 준비하십시오.

주니퍼 ATP 클라우드 웹 포털과 통신하려면 SRX 시리즈 디바이스를 구성해야 합니다. SRX 시리즈 디바이스가 인터넷에 연결되어 있는지 확인합니다. SRX 시리즈 디바이스를 인터넷에 설정하기 위해 다음 초기 구성을 완료해야 합니다.

  1. 인터페이스를 구성합니다. 이 예에서는 인터페이스 ge-0/0/1.0을 SRX 시리즈 디바이스의 인터넷 대면 인터페이스로 사용하고 있습니다.
    content_copy zoom_out_map
    [edit]
    user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.50.50.1/24
  2. 보안 존에 인터페이스를 추가합니다.
    content_copy zoom_out_map
    [edit]
    user@host# set security zones security-zone cloud interfaces ge-0/0/1.0 host-inbound-traffic system-services all
    user@host# set security zones security-zone cloud interfaces ge-0/0/1.0 host-inbound-traffic protocols all
  3. DNS를 구성합니다.
    content_copy zoom_out_map
    [edit]
    user@host# set groups global system name-server 172.16.1.1
  4. NTP를 구성합니다.
    content_copy zoom_out_map
    [edit]
    user@host# set groups global system processes ntp enable
    user@host# set groups global system ntp boot-server 192.168.1.20
    user@host# set groups global system ntp server 192.168.1.20

SRX 시리즈가 ge-0/0/1.0 인터페이스를 통해 인터넷에 도달하면 다음 단계로 진행하십시오.

필수 라이선스 및 애플리케이션 서명 패키지 확인

  • 적절한 주니퍼 ATP 클라우드 라이선스가 있는지 확인합니다. show system license 명령을 사용하여 라이선스 상태를 확인합니다.
    content_copy zoom_out_map
    user@host> show system license 
      License identifier: JUNOS123456
      License version: 4
      Software Serial Number: 1234567890
      Customer ID: JuniperTest
      Features:
        Sky ATP          - Sky ATP: Cloud Based Advanced Threat Prevention on SRX firewalls
          date-based, 2016-07-19 17:00:00 PDT - 2016-07-30 17:00:00 PDT
  • 보안 디바이스에 최신 애플리케이션 서명 팩이 있는지 확인합니다.
    • 장비에 애플리케이션 식별 라이선스가 설치되어 있는지 확인합니다.
      content_copy zoom_out_map
      user@host> show system license
      License usage:
      Licenses Licenses Licenses Expiry
      Feature name used installed needed
      logical-system 4 1 3 permanent
      License identifier: JUNOSXXXXXX
      License version: 2
      Valid for device: AA4XXXX005
      Features:
      appid-sig - APPID Signatur
    • 애플리케이션 서명 팩의 최신 버전을 다운로드하십시오.
      content_copy zoom_out_map
      user@host> request services application-identification download
    • 다운로드 상태를 확인합니다.
      content_copy zoom_out_map
      user@host> request services application-identification download status 
      Downloading application package 3475 succeeded.
    • 애플리케이션 식별 서명 팩을 설치합니다.
      content_copy zoom_out_map
      user@host> request services application-identification install
    • 설치된 애플리케이션 서명 팩 버전을 확인합니다.
      content_copy zoom_out_map
      user@host> show services application-identification version
        Application package version: 3418
        Release date: Tue Sep 14 14:40:55 2021 UTC
      

주니퍼 ATP 클라우드로 보안 디바이스 등록

먼저 주니퍼 ATP 클라우드로 보안 디바이스를 등록할 수 있습니다. 디바이스를 이미 등록한 경우 이 단계를 건너뛰고 직접 IoT 트래픽 스트리밍 설정 구성으로 이동할 수 있습니다. 그렇지 않은 경우 디바이스 등록을 위해 다음 방법 중 하나를 사용하십시오.

방법 1: CLI를 사용하여 보안 장비 등록

  1. SRX 시리즈 디바이스에서 다음 명령을 실행하여 등록 프로세스를 시작합니다.
    content_copy zoom_out_map
    user@host> request services advanced-anti-malware enroll
    Please select geographical region from the list:
    1. North America
    2. European Region
    3. Canada
    4. Asia Pacific
    Your choice: 1
  2. 기존 영역을 선택하거나 새 영역을 만듭니다.
    content_copy zoom_out_map
    Enroll SRX to:
    1. A new SkyATP security realm (you will be required to create it first)
    2. An existing SkyATP security realm

    영역을 생성하려면 옵션 1을 선택합니다. 다음 단계를 수행합니다.

    1. content_copy zoom_out_map
      You are going to create a new Sky ATP realm, please provide the required information:
    2. content_copy zoom_out_map
      Please enter a realm name (This should be a name that is meaningful to your organization. A realm name can only contain alphanumeric characters and the dash symbol. Once a realm is created, it cannot be changed):
      
      Real name: example-company-a
    3. content_copy zoom_out_map
      Please enter your company name:
      Company name: Example Company A
    4. content_copy zoom_out_map
      Please enter your e-mail address. This will be your username for your Sky ATP account:
      Email: me@example-company-a.com
    5. content_copy zoom_out_map
      Please setup a password for your new Sky ATP account (It must be at least 8 characters long and include both uppercase and lowercase letters, at least one number, at least one special character):
      Password: **********
      Verify: **********
    6. content_copy zoom_out_map
      Please review the information you have provided:
      Region: North America
      New Realm: example-company-a
      Company name: Example Company A
      Email: me@example-company-a.com
    7. content_copy zoom_out_map
      Create a new realm with the above information? [yes,no]
      yes
      Device enrolled successfully!

    또한 주니퍼 ATP 클라우드에 SRX 시리즈를 등록할 때 기존 영역을 사용할 수도 있습니다.

  3. show services advanced-anti-malware 상태 CLI 명령을 사용하여 SRX 시리즈 디바이스가 클라우드 서버에 연결되어 있는지 확인합니다.
    content_copy zoom_out_map
    root@idpreg-iot-v2# run show services advanced-anti-malware dynamic-filter status
    Feb 09 18:36:46
    Dynamic Filter Server Connection Status:
      Server Hostname: srxapi.us-west-2.sky.junipersecurity.net
      Server Port: 443
      Proxy Hostname: None
      Proxy Port: None
      Control Plane
        Connection Status: Connected
        Last Successful Connect: 2022-02-09 18:36:07 PST
        Pkts Sent: 2
        Pkts Received: 6
    

방법 2: 주니퍼 ATP 클라우드 웹 포털에 보안 장비 등록

Junos OS 운영(op) 스크립트를 사용하여 SRX 시리즈 디바이스를 구성하여 주니퍼 ATP(Advanced Threat Prevention) 클라우드 서비스에 연결할 수 있습니다.

  1. 주니퍼 ATP 클라우드 웹 포털에서 Devices 페이지의 등록 버튼을 클릭합니다.
  2. 클립보드에 명령을 복사하고 OK를 클릭합니다.
  3. 운영 모드에서 SRX 시리즈 디바이스의 Junos OS CLI에 명령을 붙여 넣습니다.
  4. show services advanced-anti-malware 상태 명령을 사용하여 SRX 시리즈 디바이스에서 클라우드 서버에 대한 연결이 이루어지는지 확인합니다. 다음 샘플의 서버 호스트 이름은 예시에만 해당됩니다.
    content_copy zoom_out_map
    user@host> show services advanced-anti-malware status
    Server connection status:
      Server hostname: srxapi.us-west-2.sky.junipersecurity.net
      Server realm: qatest
      Server port: 443
      Proxy hostname: None
      Proxy port: None
        Control Plane:
          Connection time: 2022-02-15 21:31:03 PST
          Connection status: Connected
        Service Plane:
          fpc0
            Connection active number: 18
            Connection retry statistics: 48
    

    샘플에서 연결 상태는 클라우드 서버가 보안 디바이스에 연결되어 있음을 나타냅니다.

  5. 또한 주니퍼 ATP 클라우드 포털에서 등록된 디바이스를 볼 수 있습니다. 디바이스 > 모든 디바이스 페이지로 이동합니다. 페이지에 등록된 모든 디바이스가 나열됩니다.

IoT 트래픽 스트리밍 설정 구성

이 절차에서는 메타데이터 스트리밍 정책을 생성하고 보안 디바이스에서 보안 서비스를 활성화합니다.

  1. 완전한 클라우드 연결 구성.
    content_copy zoom_out_map
    [edit]
    user@host# set services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml
    user@host# set services security-intelligence authentication tls-profile aamw-ssl
  2. 보안 메타데이터 스트리밍 정책을 생성합니다.

    content_copy zoom_out_map
    [edit]
    user@host# set services security-metadata-streaming policy p1 dynamic-filter
    user@host# set services security-metadata-streaming policy p2 dynamic-filter

    나중에 이러한 보안 메타데이터 스트리밍 정책을 보안 정책에 첨부하여 세션에 대한 IoT 트래픽 스트리밍을 활성화합니다.

  3. 애플리케이션 추적, 애플리케이션 식별 및 PKI와 같은 보안 서비스를 지원합니다.
    content_copy zoom_out_map
    [edit]
    user@host# set services application-identification
    user@host# set security pki
    user@host# set security application-tracking
    

SRX 시리즈 디바이스 구성

이 절차를 사용하여 인터페이스, 존, 정책을 구성하면 보안 디바이스에서 IoT 패킷 필터링 및 스트리밍 서비스를 사용할 수 있습니다.

  1. 인터페이스를 구성합니다.

    content_copy zoom_out_map
    [edit]
    user@host# set interfaces ge-0/0/2 mtu 9092
    user@host# set interfaces ge-0/0/2 unit 0 family inet address 10.60.60.1/24
    user@host# set interfaces ge-0/0/3 mtu 9092
    user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.70.70.1/24
    user@host# set interfaces ge-0/0/4 mtu 9092
    user@host# set interfaces ge-0/0/4 unit 0 family inet address 10.80.80.1/24
  2. 보안 존을 구성하고 각 구성된 존에 대한 애플리케이션 트래픽을 활성화합니다.

    content_copy zoom_out_map
    [edit]
    user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services all
    user@host# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols all
    user@host# set security zones security-zone trust application-tracking
    user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all
    user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all
    user@host# set security zones security-zone untrust interfaces ge-0/0/3.0 host-inbound-traffic system-services all
    user@host# set security zones security-zone untrust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
    user@host# set security zones security-zone untrust application-tracking
    user@host# set security zones security-zone cloud application-tracking

    토폴로지에서와 같이 언트러스트 존은 네트워크 내 IOT 장치로부터 전송 및 호스트 바운드 트래픽을 수신합니다. 클라이언트 디바이스는 트러스트 존에 있고 주니퍼 ATP 클라우드는 클라우드 존에 있습니다.

  3. 보안 정책 P1을 구성합니다.

    content_copy zoom_out_map
    [edit]
    user@host# set security policies from-zone trust to-zone untrust policy P1 match source-address any
    user@host# set security policies from-zone trust to-zone untrust policy P1 match destination-address any
    user@host# set security policies from-zone trust to-zone untrust policy P1 match application any
    user@host# set security policies from-zone trust to-zone untrust policy P1 then permit
    

    이 구성을 통해 트러스트 존에서 신뢰할 수 없는 영역으로 트래픽을 허용할 수 있습니다.

  4. 보안 정책 P2를 구성합니다.

    content_copy zoom_out_map
    [edit]
    user@host# set security policies from-zone untrust to-zone trust policy P2 match source-address any
    user@host# set security policies from-zone untrust to-zone trust policy P2 match destination-address any
    user@host# set security policies from-zone untrust to-zone trust policy P2 match application any
    user@host# set security policies from-zone untrust to-zone trust policy P2 then permit
    user@host# set security policies from-zone untrust to-zone trust application-services security-metadata-streaming-policy p1

    이 구성은 언트러스트 존에서 트러스트 존으로의 트래픽을 허용하고 보안 메타데이터 스트리밍 정책 p1을 적용하여 세션에 대한 IoT 트래픽 스트리밍을 지원합니다.

  5. 보안 정책 P3을 구성합니다.

    content_copy zoom_out_map
    [edit]
    user@host# set security policies from-zone trust to-zone cloud policy P3 match source-address any
    user@host# set security policies from-zone trust to-zone cloud policy P3 match destination-address any
    user@host# set security policies from-zone trust to-zone cloud policy P3 match application any
    user@host# set security policies from-zone trust to-zone cloud policy P3 then permit
    user@host# set security policies from-zone trust to-zone cloud application-services security-metadata-streaming-policy p2

    이 구성은 트러스트 존에서 클라우드 존으로의 트래픽을 허용하고 보안 메타데이터 스트리밍 정책 p2를 적용하여 세션에 대한 IoT 트래픽 스트리밍을 지원합니다.

  6. 구성을 커밋합니다.
    content_copy zoom_out_map
    [edit] 
    user@host# commit
    이제 보안 디바이스가 IoT 트래픽을 주니퍼 ATP 클라우드로 스트리밍할 준비가 되었습니다.

주니퍼 ATP 클라우드 포털에서 발견된 모든 IoT 디바이스를 확인할 수 있습니다.

ATP 클라우드에서 발견된 IOT 디바이스 보기

주니퍼 ATP 클라우드 포털에서 발견된 IoT 디바이스를 보려면 Minotor > IoT 디바이스 페이지를 탐색하십시오.

디바이스 범주, 제조업체, 운영 체제 유형에 따라 IoT 디바이스를 클릭하고 필터링할 수 있습니다.

다음 이미지에서 Android OS로 디바이스를 필터링하고 있습니다.

페이지에는 IP 주소, 유형, 제조업체, 모델 등과 같은 세부 정보가 포함된 IoT 디바이스가 나열됩니다. 이러한 세부 정보를 사용하여 위협 피드를 모니터링하고 생성하여 보안 정책을 적용할 수 있습니다.

위협 피드 생성

주니퍼 ATP 클라우드가 IoT 디바이스를 식별하면 위협 피드를 만들 수 있습니다. 보안 디바이스가 동적 주소 그룹 형태로 위협 피드를 다운로드하면 피드 보안 정책을 사용하여 이러한 IoT 디바이스의 인바운드 및 아웃바운드 트래픽에 대한 적용 조치를 취할 수 있습니다.

  1. Minotor > IoT 디바이스 페이지로 가서 피드 만들기 옵션을 클릭합니다.
  2. 더하기 기호(+)를 클릭합니다. 새 피드 추가 페이지가 나타납니다.

    이 예에서는 피드 이름 android_phone_user 7일 간의 TTL(Time-to-Live)과 함께 사용합니다.

    다음 필드에 대한 구성을 완료합니다.
    • 피드 이름:

      위협 피드에 고유한 이름을 입력합니다. 피드 이름은 알파 숫자 문자로 시작해야 하며 문자, 숫자 및 밑판이 포함될 수 있습니다. 공간은 허용되지 않습니다. 길이는 8~63자입니다.

    • 형식: 피드의 컨텐츠 유형을 IP로 선택합니다.

    • 데이터 소스: 피드를 IOT로 만들기 위한 데이터 소스를 선택합니다.

    • 삶의 시간: 필수 피드 입력이 활성 상태여야 하는 일수를 입력합니다. 피드 항목이 라이브 시간(TTL) 값을 넘은 후 피드 항목이 자동으로 제거됩니다. 사용 가능한 범위는 1~365일입니다.

  3. OK를 클릭하여 변경 사항을 저장합니다.
  4. 능동형 위협 프로파일링 > 구성으로 이동합니다. 페이지에는 생성된 모든 위협 피드가 표시됩니다. 페이지에서 위협 피드 android_phone_user 볼 수 있습니다.

    위협 피드를 클릭하여 위협 피드에 포함된 IP 주소를 표시합니다.

  5. 보안 디바이스에서 피드를 다운로드했는지 확인합니다. 다운로드는 정기적으로 자동으로 수행되지만 몇 분이 걸릴 수 있습니다.
    content_copy zoom_out_map
    user@host> show services security-intelligence sec-profiling-feed status
    Category name            :SecProfiling
      Feed name              :Android_Phone_User
        Feed type            :IP
        Last post time       :N/A
        Last post status code:N/A
        Last post status     :N/A
      Feed name              :IT_feed
        Feed type            :IP
        Last post time       :N/A
        Last post status code:N/A
        Last post status     :N/A
      Feed name              :High_Risk_Users
        Feed type            :IP
        Last post time       :N/A
        Last post status code:N/A
        Last post status     :N/A
    

    다음 명령을 사용하여 위협 피드를 수동으로 다운로드할 수 있습니다.

    content_copy zoom_out_map
    request services security-intelligence download status ||match android_phone_user 

계속하여 다운로드된 위협 피드를 사용하여 보안 정책을 생성할 수 있습니다.

능동형 위협 프로파일링 피드를 사용하여 보안 정책 생성

보안 장비가 위협 피드를 다운로드하면 보안 정책에서 동적 주소 그룹으로 참조할 수 있습니다. 동적 주소는 특정 도메인에 속하는 IoT 디바이스의 IP 주소 그룹입니다.

이 예에서는 Android 휴대폰에서 트래픽을 감지하고 트래픽을 차단하는 정책을 만듭니다.

  1. 보안 정책 일치 기준을 정의합니다.
    content_copy zoom_out_map
    [edit]
    user@host# set security policies global policy Block_Android_Traffic match source-address android_phone_user
    user@host# set security policies global policy Block_Android_Traffic match destination-address any
    user@host# set security policies global policy Block_Android_Traffic match application any
  2. 보안 정책 조치를 정의합니다.
    content_copy zoom_out_map
    [edit]
    user@host# set security policies global policy Block_Android_Traffic then deny

이 예에서는 구성을 커밋할 때 보안 디바이스가 특정 도메인에 속하는 IoT 디바이스의 HTTP 트래픽을 차단합니다.

자세한 내용은 Adaptive Threat Profiling 구성을 참조하십시오.

결과

구성 모드에서 show 보안 명령을 입력하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 구성 지침을 반복하여 수정합니다.

content_copy zoom_out_map
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
    policy P1 {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}
from-zone untrust to-zone trust {
    policy P2 {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
    application-services {
        security-metadata-streaming-policy p1;
    }
}
from-zone trust to-zone cloud {
    policy P3 {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
    application-services {
        security-metadata-streaming-policy p2;
    }
}
content_copy zoom_out_map
user@host# show security policies global
policy Block_Android_Traffic {
    match {
        source-address android_phone_user;
        destination-address any;
        application any;
    }
    then {
        deny;
    }
}

보안 존을 확인합니다.

content_copy zoom_out_map
[edit]
user@host# show security zones
security-zone trust {
    interfaces {
        ge-0/0/2.0 {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
        }
    }
    application-tracking;
}
security-zone untrust {
    interfaces {
        ge-0/0/4.0 {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
        }
        ge-0/0/3.0 {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
        }
    }
    application-tracking;
}
security-zone cloud {
    interfaces {
        ge-0/0/0.1 {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
        }
    }
    application-tracking;
}

show services

content_copy zoom_out_map
[edit]
user@host# show services
advanced-anti-malware {
    dynamic-filter {
        traceoptions {
            file dyn-filterd-log size 1g world-readable;
            level all;
            flag all;
        }
    }
    connection {
        url https://srxapi.us-west-2.sky.junipersecurity.net;
        authentication {
            tls-profile aamw-ssl;
        }
    }
}
ssl {
    initiation {
        profile aamw-ssl {
            trusted-ca [ aamw-secintel-ca aamw-cloud-ca ];
            client-certificate aamw-srx-cert;
            actions {
                crl {
                    disable;
                }
            }
        }
    }
}
security-metadata-streaming {
    policy p1 {
        dynamic-filter;
    }
    policy p2 {
        dynamic-filter;
    }
}
security-intelligence {
    url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml;
    authentication {
        tls-profile aamw-ssl;
    }
}

디바이스에서 기능 구성을 완료한 경우 구성 모드에서 커밋을 입력합니다.

확인

피드 요약 및 상태 확인

목적: 보안 장비가 동적 주소 그룹의 형태로 IP 주소 피드를 수신하고 있는지 확인합니다.

작업: 다음 명령을 실행합니다.

content_copy zoom_out_map
user@host> show services advanced-anti-malware dynamic-filter status
Dynamic Filter Server Connection Status:
  Server Hostname: srxapi.us-west-2.sky.junipersecurity.net
  Server Port: 443
  Proxy Hostname: None
  Proxy Port: None
  Control Plane
    Connection Status: Connected
    Last Successful Connect: 2022-02-12 09:51:50 PST
    Pkts Sent: 3
    Pkts Received: 42

의미 출력은 연결 상태와 주니퍼 ATP 클라우드 서버의 기타 세부 정보를 표시합니다.

external-footer-nav