Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

NGFW-Bereitstellungsarchitektur

In diesem Thema wird die Bereitstellungsarchitektur der Firewall der nächsten Generation (NGFW) für eigenständige NGFW unter Verwendung von Sicherheits-Gateways der SRX-Serie beschrieben.

NGFW-Architektur

Die NGFW-Architektur bietet neben WAN-Konnektivität auch starke Sicherheitsservices für Remote-Standorte. Wenn Sie eine Firewall der SRX-Serie an einem lokalen Spoke-Standort als eigenständige NGFW verwenden, werden die WAN-Routing-Funktionen auf der Firewall der SRX-Serie selbst ausgeführt. Diese Architektur ermöglicht es der Firewall der SRX-Serie, alle ihre integrierten Sicherheitsfunktionen (wie Firewall und NAT) auszuführen und gleichzeitig Einblicke in die LANs an Ihren Spoke-Standorten zu erhalten. Abbildung 1 zeigt eine Firewall der SRX-Serie, die sowohl mit dem WAN als auch mit einem lokalen LAN verbunden ist.

Abbildung 1: NGFW NGFW

Wie bereits erwähnt, kann ein NGFW-Standort nach der Bereitstellung und Bereitstellung jederzeit eigenständig existieren oder später durch Hinzufügen von LAN-Switches der EX-Serie oder Virtual Chassis erweitert werden.

NGFW-Geräte

Firewalls der SRX-Serie können als eigenständige Firewalls verwendet werden, die von CSO im Kunden-LAN verwaltet werden. CSO unterstützt die Verwendung von SRX300-, SRX320-, SRX340-, SRX345-, SRX550M-, SRX1500-, SRX4100- und SRX4200-Sicherheits-Gateways sowie die Virtuelle Firewall vSRX für diesen Zweck. In diesem Firewall-Szenario der nächsten Generation (NGFW) fungiert die SRX als CPE-Gerät, bietet aber keine Standort-zu-Standort- oder Standort-zu-Hub-Kommunikation wie bei einer SD-WAN-Lösung.

Hinweise zur Verwendung der NGFW-Bereitstellung

Mit einer NGFW-Bereitstellung können Sie:

  • Enable WAN connectivity for sitesWenn Sie NGFW-Servicefunktionen für einen Mandanten bereitstellen, kann jeder Standort, der zu diesem Mandanten gehört, das NGFW-Gerät als WAN-Verbindung zurück zum CSO verwenden.

  • Enable automatic LAN connectivityDas NGFW-Gerät kann über einen integrierten DHCP-Server die Adressierung für ein verbundenes LAN bereitstellen.

  • Create custom application signatures in firewall policiesCSO unterstützt benutzerdefinierte Anwendungssignaturen in Firewall-Richtlinien, zusätzlich zur bereits bestehenden Unterstützung in SD-WAN-Richtlinien.

  • Create customized IPS signatures, static groups, and dynamic groupsSie können benutzerdefinierte IPS-Signaturen (Intrusion Prevention System), statische IPS-Signaturgruppen und dynamische IPS-Signaturgruppen erstellen, ändern oder löschen. Darüber hinaus können Sie vordefinierte oder benutzerdefinierte IPS-Signaturen, statische Gruppen und dynamische Gruppen klonen. Sie können dann die IPS-Signaturen, statischen Gruppen und dynamischen Gruppen in einem IPS-Profil verwenden, das eine oder mehrere IPS- oder ausgenommene Regeln enthalten kann.

  • Import policy configurationsCSO unterstützt den Import von Richtlinienkonfigurationen von Firewall-Geräten der nächsten Generation. Die folgenden Funktionen werden unterstützt:

    • Verwalten Sie Firewall-Standorte der nächsten Generation für Unternehmenskunden mit Brownfield-Bereitstellungen.

    • Ermitteln Sie beim Onboarding von NGFW-Geräten (ohne ZTP zu aktivieren) die vorhandene Richtlinienkonfiguration.

    • Importieren Sie Richtlinienkonfigurationen von Firewall- und NAT-Richtlinienseiten.

    • Bereitstellen von Richtlinien nach dem Import in CSO.

Sie aktivieren eine NGFW-Bereitstellung in CSO, indem Sie das Kundenportal verwenden, um einen NGFW-Standort hinzuzufügen. Für einen Mandanten, der dem NGFW-Standort zugewiesen ist, muss der NGFW-Dienst verfügbar sein. Um den NGFW-Dienst hinzuzufügen, schließt ein Mandantenadministrator den NGFW-Dienst während des Onboarding-Prozesses in die Mandantenkonfiguration ein.