Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Architecture de déploiement NGFW

Cette rubrique décrit l’architecture de déploiement de pare-feu nouvelle génération (NGFW) pour les NGFW autonomes utilisant des passerelles de sécurité SRX Series.

NGFW Architecture

L’architecture NGFW offre des services de sécurité robustes pour les sites distants, ainsi qu’une connectivité WAN. Lorsque vous utilisez un équipement SRX Series sur un site spoke sur site en tant que NGFW autonome, les fonctions de routage WAN sont exécutées sur le périphérique SRX Series lui-même. Cette architecture permet à l’équipement SRX Series d’exécuter toutes ses fonctions de sécurité intégrées (pare-feu et NAT, etc.) tout en offrant une visibilité sur les réseaux locaux existant sur vos sites spoke. La Figure 1 montre un équipement SRX Series connecté à la fois au WAN et à un réseau local sur site.

Figure 1 : NGFW NGFW

Comme mentionné précédemment, un site NGFW peut exister de manière autonome ou être étendu ultérieurement avec l’ajout de commutateurs LAN EX Series ou de Virtual Chassis à tout moment après le provisionnement et le déploiement.

Appareils NGFW

Les équipements SRX Series peuvent être utilisés comme pare-feu autonomes, gérés par CSO sur le réseau local client. CSO prend en charge les passerelles de sécurité SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500, SRX4100 et SRX4200, ainsi que le vSRX à cette fin. Dans ce scénario de pare-feu de nouvelle génération (NGFW), le SRX agit comme un dispositif CPE, mais n’assure aucune communication entre les sites ou entre les hubs comme avec une solution SD-WAN.

Notes d’utilisation du déploiement NGFW

Avec un déploiement NGFW, vous pouvez :

  • Enable WAN connectivity for sites: lorsque vous provisionnez des fonctionnalités de service NGFW pour un locataire, tout site appartenant à ce locataire peut utiliser l’appareil NGFW comme lien WAN vers CSO.

  • Enable automatic LAN connectivity—L’appareil NGFW peut fournir l’adressage d’un réseau local connecté à l’aide d’un serveur DHCP intégré.

  • Create custom application signatures in firewall policies—CSO prend en charge les signatures d’application personnalisées dans les politiques de pare-feu, en plus de la prise en charge existante dans les stratégies SD-WAN.

  • Create customized IPS signatures, static groups, and dynamic groups: vous pouvez créer, modifier ou supprimer des signatures personnalisées du système de prévention d’intrusion (IPS), des groupes statiques de signatures IPS et des groupes dynamiques de signatures IPS. Vous pouvez également cloner des signatures IPS prédéfinies ou personnalisées, des groupes statiques et des groupes dynamiques. Vous pouvez ensuite utiliser les signatures IPS, les groupes statiques et les groupes dynamiques dans un profil IPS qui peut contenir un ou plusieurs IPS ou règles d’exemption.

  • Import policy configurations—CSO prend en charge l’importation de configurations de stratégie à partir de pare-feu nouvelle génération. Les fonctionnalités suivantes sont prises en charge :

    • Gérez les sites de pare-feu nouvelle génération pour les entreprises dont les déploiements sont existants.

    • Découvrez la configuration existante des politiques lors de l’intégration des appareils NGFW (sans activer ZTP).

    • Importez des configurations de stratégie à partir des pages de stratégies de pare-feu et de NAT.

    • Déployez les stratégies après l’importation dans CSO.

Vous activez un déploiement NGFW dans CSO en utilisant le portail client pour ajouter un site NGFW. Un locataire affecté au site NGFW doit disposer du service NGFW. Pour ajouter le service NGFW, un administrateur de locataire l’inclut dans la configuration du locataire pendant le processus d’intégration.