我的旧帖子“将现有的Juniper SRX集群导入JunOS Space 安全 Director”是根据Space 14.1和SRX11.x版本创建的。现在两者都已升级。 Space NMP和Security Director已升级到16.1( 这里)。 SRX240H已升级到12.1D46.55。

基本上,所有步骤都是相似的,只是Web界面不同。您需要做的是在两个节点上使用仅主控IP配置SRX群集。配置应如下所示:


[email protected]> show configuration 
## Last commit: 2017-03-23 14:44:28 UTC by root
version 12.1X46-D55.3;
groups {
    node1 {
        system {
            host-name fw-m-t-2;
            backup-router 10.9.1.1;
            services {
                ssh {
                    max-sessions-per-connection 32;
                }
            }
            syslog {
                file default-log-messages {
                    any info;
                    match "(requested 'commit' operation)|(requested 'commit synchronize' operation)|(copying configuration to juniper.save)|(commit complete)|ifAdminStatus|(FRU power)|(FRU removal)|(FRU insertion)|(link UP)|transitioned|Transferred|transfer-file|(license add)|(license delete)|(package -X update)|(package -X delete)|(FRU Online)|(FRU Offline)|(plugged in)|(unplugged)|GRES";
                    structured-data;
                }
            }
        }
        interfaces {
            fxp0 {
                unit 0 {
                    family inet {
                        address 10.9.1.14/24 {
                            preferred;
                        }
                        address 10.9.1.15/24 {
                            master-only;
                        }
                    }
                }
            }
        }
    }
    node0 {
        system {
            host-name fw-m-t-1;
            backup-router 10.9.1.1;
            services {
                ssh {
                    max-sessions-per-connection 32;
                }
            }
            syslog {
                file default-log-messages {
                    any info;
                    match "(requested 'commit' operation)|(requested 'commit synchronize' operation)|(copying configuration to juniper.save)|(commit complete)|ifAdminStatus|(FRU power)|(FRU removal)|(FRU insertion)|(link UP)|transitioned|Transferred|transfer-file|(license add)|(license delete)|(package -X update)|(package -X delete)|(FRU Online)|(FRU Offline)|(plugged in)|(unplugged)|GRES";
                    structured-data;
                }
            }
        }
        interfaces {
            fxp0 {
                unit 0 {
                    family inet {
                        address 10.9.1.13/24 {
                            preferred;
                        }
                        address 10.9.1.15/24 {
                            master-only;
                        }
                    }
                }
            }                           
        }
    }
    security;
    global-policy {
        security {
            policies {
                from-zone <*> to-zone <*> {
                    policy default-logdrop {
                        match {
                            source-address any;
                            destination-address any;
                            application any;
                        }
                        then {
                            deny;
                            log {
                                session-init;
                            }
                        }
                    }
                }
            }
        }
    }
}

在Juniper Space中,您只需要将仅主机的ip导入到其中。这是带有屏幕截图的步骤。

1. 设备发现

安全总监-> Devices ->Device Discovery

 

Create 设备发现 Profile

 

指定探针

 

指定凭证

 

识别设备指纹
安排发现作业

 

发现进度

 

发现的设备

注意:如果您的“空间模式版本”没有SRX OS版本,则“模式版本”列上将显示不匹配。在这种情况下,您将需要执行DMI Schema下载所缺少的版本。

DMS下载

2.导入设备

导入设备

按照屏幕上的说明完成步骤,您将能够导入防火墙策略,NAT策略和IDP策略等。

导入的防火墙策略

 

导入的IPS策略

3.向您的SRX设备发布和更新策略

更新防火墙策略


4.故障排除

在更新政策期间,我遇到了以下两个错误:

4.1。 [错误] 配置更新失败。

严重程度: 错误
信息 : 节点1上的远程锁定配置失败

解决方法是 KB27800 – [SRX]在SRX机箱群集中看到错误“节点上的远程锁定配置失败”错误

  1. 转到卡住的节点。
  2. 执行以下命令:

 

>start shell

%mgd clr-chg 

4.2。 [错误] 配置更新失败。

严重程度: 错误
           At : [编辑安全idp idp策略Space-IPS-Policy规则库-ips规则推荐-TCP / IP匹配]
信息 : 请安装签名数据库
  Details : 攻击
严重程度: 错误
信息 : 配置检出失败 

该修补程序只是下载最新的签名数据库并将其安装到设备。

 

下载最新的签名数据库

 

通过 约翰

发表评论