Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Architecture de déploiement NGFW

Cette rubrique décrit l’architecture de déploiement du pare-feu de nouvelle génération (NGFW) pour les NGFW autonomes à l’aide de passerelles de sécurité SRX Series.

NGFW Architecture

L’architecture NGFW offre de solides services de sécurité pour les sites distants, ainsi qu’une connectivité WAN. Lorsque vous utilisez un pare-feu SRX Series sur un site en étoile sur site en tant que NGFW autonome, les fonctions de routage WAN sont exécutées sur le pare-feu SRX Series lui-même. Cette architecture permet au pare-feu SRX Series d’exécuter toutes ses fonctions de sécurité intégrées (telles que pare-feu et NAT) tout en offrant une visibilité sur les LAN existants sur vos sites en étoile. La figure 1 montre un pare-feu SRX Series connecté à la fois au WAN et à un réseau local sur site.

Figure 1 : NGFW NGFW

Comme mentionné précédemment, un site NGFW peut exister de manière autonome ou être étendu ultérieurement avec l’ajout de commutateurs LAN EX Series ou de Virtual Chassis, à tout moment après le provisionnement et le déploiement.

Appareils NGFW

Les pare-feu SRX Series peuvent être utilisés comme pare-feu autonomes, gérés par CSO sur le réseau local du client. CSO prend en charge l’utilisation des passerelles de sécurité SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500, SRX4100 et SRX4200, ainsi que les Pare-feu virtuel vSRX prévus à cet effet. Dans ce scénario de pare-feu de nouvelle génération (NGFW), le SRX agit comme un dispositif CPE, mais n’assure aucune communication entre les sites et les hubs, contrairement aux solutions SD-WAN.

Notes d’utilisation du déploiement NGFW

Avec un déploiement NGFW, vous pouvez :

  • Enable WAN connectivity for sites: lorsque vous provisionnez des fonctionnalités de service NGFW pour un locataire, tout site appartenant à ce locataire peut utiliser le périphérique NGFW comme lien WAN vers CSO.

  • Enable automatic LAN connectivity: le NGFW peut assurer l’adressage d’un réseau local connecté à l’aide d’un serveur DHCP intégré.

  • Create custom application signatures in firewall policies—CSO prend en charge les signatures d’applications personnalisées dans les politiques de pare-feu, en plus de la prise en charge existante dans les stratégies SD-WAN.

  • Create customized IPS signatures, static groups, and dynamic groups: vous pouvez créer, modifier ou supprimer des signatures personnalisées du système de prévention des intrusions (IPS), des groupes statiques de signatures IPS et des groupes dynamiques de signatures IPS. Vous pouvez également cloner des signatures IPS prédéfinies ou personnalisées, des groupes statiques et des groupes dynamiques. Vous pouvez ensuite utiliser les signatures IPS, les groupes statiques et les groupes dynamiques dans un profil IPS qui peut contenir un ou plusieurs IPS ou règles exemptées.

  • Import policy configurations: CSO prend en charge l’importation de configurations de stratégie à partir de pare-feu nouvelle génération. Les fonctionnalités suivantes sont prises en charge :

    • Gérez les sites de pare-feu nouvelle génération pour les entreprises clientes dont les déploiements sont sur le marché existant.

    • Découvrez la configuration de stratégie existante lors de l’intégration des appareils NGFW (sans activer ZTP).

    • Importez les configurations de stratégie à partir des pages de politiques de pare-feu et de NAT.

    • Déployez les stratégies après l’importation dans CSO.

Pour activer un déploiement de NGFW dans CSO, ajoutez un site NGFW via le portail client. Le service NGFW doit être disponible pour un locataire affecté au site NGFW. Pour ajouter le service NGFW, un administrateur de locataire l’inclut dans la configuration du locataire pendant le processus d’intégration.