Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

NGFW-Bereitstellungsarchitektur

In diesem Thema wird die Bereitstellungsarchitektur der Firewall der nächsten Generation (NGFW) für eigenständige NGFWs mit Sicherheits-Gateways der SRX-Serie beschrieben.

NGFW-Architektur

Die NGFW-Architektur bietet starke Sicherheitsdienste für Remote-Standorte sowie WAN-Konnektivität. Wenn Sie ein Gerät der SRX-Serie an einem lokalen Spoke-Standort als eigenständige NGFW verwenden, werden die WAN-Routingfunktionen auf dem Gerät der SRX-Serie selbst ausgeführt. Diese Architektur ermöglicht es dem Gerät der SRX-Serie, alle integrierten Sicherheitsfunktionen (wie Firewall und NAT) auszuführen und gleichzeitig Einblick in die LANs zu bieten, die an Ihren Spoke-Standorten vorhanden sind. Abbildung 1 zeigt ein Gerät der SRX-Serie, das sowohl mit dem WAN als auch mit einem LAN vor Ort verbunden ist.

Abbildung 1: NGFW NGFW

Wie bereits erwähnt, kann ein NGFW-Standort eigenständig existieren oder später nach der Bereitstellung jederzeit durch Hinzufügen von LAN-Switches der EX-Serie oder Virtual Chassis erweitert werden.

NGFW-Geräte

Geräte der SRX-Serie können als eigenständige Firewalls verwendet werden, die von CSO im Kunden-LAN verwaltet werden. CSO unterstützt hierfür die Verwendung von SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500, SRX4100 und SRX4200 Security Gateways sowie der vSRX. In diesem Next-Generation-Firewall-Szenario (NGFW) fungiert die SRX als CPE-Gerät, bietet jedoch keine Site-to-Site- oder Site-to-Hub-Kommunikation wie bei einer SD-WAN-Lösung.

Nutzungshinweise für die NGFW-Bereitstellung

Mit einer NGFW-Bereitstellung können Sie:

  • Enable WAN connectivity for sites– Wenn Sie NGFW-Servicefunktionen für einen Mandanten bereitstellen, kann jeder Standort, der zu diesem Mandanten gehört, das NGFW-Gerät als WAN-Verbindung zurück zu CSO verwenden.

  • Enable automatic LAN connectivity—Das NGFW-Gerät kann die Adressierung für ein verbundenes LAN mithilfe eines integrierten DHCP-Servers bereitstellen.

  • Create custom application signatures in firewall policies– CSO unterstützt zusätzlich zur bestehenden Unterstützung in SD-WAN-Richtlinien benutzerdefinierte Anwendungssignaturen in Firewall-Richtlinien.

  • Create customized IPS signatures, static groups, and dynamic groups—Sie können benutzerdefinierte IPS-Signaturen (Intrusion Prevention System), statische IPS-Signaturgruppen und dynamische IPS-Signaturgruppen erstellen, ändern oder löschen. Darüber hinaus können Sie vordefinierte oder benutzerdefinierte IPS-Signaturen, statische und dynamische Gruppen klonen. Anschließend können Sie die IPS-Signaturen, statischen Gruppen und dynamischen Gruppen in einem IPS-Profil verwenden, das eine oder mehrere IPS- oder Ausnahmeregeln enthalten kann.

  • Import policy configurations– CSO unterstützt den Import von Richtlinienkonfigurationen von Firewall-Geräten der nächsten Generation. Die folgenden Funktionen werden unterstützt:

    • Verwalten Sie Firewall-Standorte der nächsten Generation für Unternehmenskunden mit Brownfield-Bereitstellungen.

    • Ermitteln Sie die vorhandene Richtlinienkonfiguration beim Onboarding von NGFW-Geräten (ohne ZTP zu aktivieren).

    • Importieren Sie Richtlinienkonfigurationen von Firewall- und NAT-Richtlinienseiten.

    • Stellen Sie Richtlinien nach dem Import in CSO bereit.

Sie aktivieren eine NGFW-Bereitstellung in CSO, indem Sie das Kundenportal verwenden, um einen NGFW-Standort hinzuzufügen. Für einen Mandanten, der dem NGFW-Standort zugewiesen ist, muss der NGFW-Dienst verfügbar sein. Um den NGFW-Dienst hinzuzufügen, schließt ein Mandantenadministrator den NGFW-Dienst während des Onboarding-Prozesses in die Mandantenkonfiguration ein.