Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CSO新一代防火墙 (NFGW) 部署工作流程

新Contrail 服务编排 (CSO) 新一代防火墙 (NGFW) 部署专注于通过使用 SRX 系列 NGFW 设备作为分支机构站点的客户端设备 (CPE) 提供远程网络安全。在CSO,您可添加两种类型的 NGFW 设备:

  • Greenfield — Greenfield 设备通常是尚未部署任何配置的设备。添加绿地 NGFW 站点时,CSO使用 Zero Touch Provisioning (ZTP) 调配设备。然后可根据需要配置和使用 NGFW。

  • Brownfield — Brownfield 设备通常是已配置好且可运行的设备。添加 Brownfield NGFW 站点时,CSO 不会 使用 ZTP 配置设备。这允许您将设备上的现有策略导入CSO并部署这些策略。然后,您可以使用软件管理 (NGFW) CSO。

注意:

确保在遵循本主题中概述的过程之前,执行与 NGFW 相关的部署前任务。请参阅 新一代防火墙CSO SD-WAN部署前任务

必须在客户门户的租户范围内执行以下任务:

  1. 如果您是租户管理员,请登录客户门户。如果您是 SP 管理员(内部CSO)或 OpCo 管理员(具有相应权限),交换机范围为租户。请参阅 交换机范围 或 以租户管理员名登录
  2. (可选)自定义配置模板。请参阅 配置模板工作流程
  3. (可选)自定义设备模板。请参阅 设备模板工作流程
  4. 具体取决于使用的是绿地设备还是 Brownfield 设备:
  5. 上传和安装设备许可证。请参阅 添加和安装(推送)设备许可证
  6. 安装签名数据库。请参阅 在设备上安装签名数据库
  7. (仅绿地)添加防火墙和NAT策略之前,您必须为设备添加接口(物理和逻辑)、路由实例区域。您可以在页面的" Device-Name 配置"选项卡("资源管理>"上> Device-Name)。请参阅 在 CSO 门户用户指南 中配置防火墙设备 (CSO 文档页面上 提供)。
  8. (仅 Brownfield)如果指定应在激活过程中导入策略,则必须在 以下位置部署导入CSO:
    注意:

    CSO将 Brownfield 设备上现有的路由实例、接口及区域导入CSO。
  9. (仅 Brownfield)如果您未在站点激活过程中导入策略,则您可以手动导入策略并部署策略:

    1. 要导入防火墙策略,请转至 防火墙策略页面(配置防火墙>防火墙>策略)然后单击 导入 。有关详细信息,请参阅 在"客户门户 用户指南" CSO 导入防火墙策略

    2. 要导入NAT策略,请转至 NAT 策略页面(配置> NAT> NAT策略)并单击 导入 。有关详细信息,请参阅 在" NAT门户用户 CSO 导入策略"

    3. 部署手动导入的策略,如步骤 8 中介绍

  10. (可选)在新一代防火墙UTM统一威胁管理 (UTM)。请参阅 中的 配置统一威胁管理 (UTM) CSO
  11. (可选)在新一代防火墙站点上配置 SSL 代理。请参阅 在 CSO 中配置和部署 SSL 代理CSO
  12. (可选)配置入侵防御系统一代IPS防火墙的防火墙 (IPS) 防火墙。请参阅 中的 配置入侵防御系统 (IPS) CSO
  13. 添加防火墙策略和基于区域的意图并部署防火墙策略。请参阅 添加和部署防火墙策略
    注意:

    您还可以通过按CSO或按需要修改意图和部署策略来使用默认防火墙策略。

    对于 Brownfield 设备,如果已导入之前在设备上配置的防火墙策略,则此步骤为可选。
  14. (可选)添加NAT策略和规则,然后部署NAT策略。请参阅 添加和部署NAT策略
    注意:

    您还可以在NAT中CSO策略,或者按需要修改规则并部署策略,来使用默认策略。

    对于 Brownfield 设备,如果已导入之前在NAT配置的策略,则此步骤是可选的。
  15. 监控 NGFW 站点和设备。请参阅 监控新一代防火墙站点和设备