Premiers pas avec le pare-feu virtuel vSRX de Juniper sur IBM Cloud

Le pare-feu virtuel vSRX d’IBM Cloud™ Juniper vous permet d’acheminer le trafic réseau privé et public de manière sélective via un pare-feu complet au niveau de l’entreprise alimenté par les fonctionnalités logicielles Junos OS, telles que les piles de routage complètes, le qoS et le partage du trafic, le routage basé sur des stratégies et le VPN.

Note:

Pour obtenir une liste des limitations connues de la passerelle de pare-feu virtuelle vSRX d’IBM Cloud™ Juniper, consultez limitations connues.

Présentation du pare-feu virtuel vSRX dans IBM Cloud

Le pare-feu virtuel vSRX offre des avantages en matière de performances, de facilité de configuration et de maintenance avec la simplicité d’exécution sur un serveur bare metal. Le matériel est dimensionné pour gérer la charge de routage et de sécurité associée à plusieurs VLAN, et il peut être commandé avec des liaisons réseau redondantes et des baies RAID redondantes. Toutes les fonctionnalités du pare-feu virtuel vSRX sont gérées par le client.

Le pare-feu virtuel vSRX d’IBM Cloud™ Juniper est proposé en deux modes différents : mode autonome ou cluster haute disponibilité (HA).

Pour obtenir de la documentation supplémentaire sur le pare-feu virtuel IBM Cloud™ Juniper vSRX, consultez la documentation supplémentaire.

Le pare-feu virtuel vSRX se déploie pour protéger votre environnement contre les menaces internes et externes en filtrant le trafic public et privé. Les clients peuvent gérer eux-mêmes le pare-feu virtuel vSRX en définissant des stratégies et des règles qui autorisent ou refusent (entre autres actions) le trafic réseau entrant ou sortant, protégeant ainsi leurs applications contre les approches internes et externes. Les piles IPv4 et IPv6 sont toutes deux prises en charge de manière à états.

Connectez votre centre de données ou votre bureau sur site au cloud IBM à l’aide de la tunnelisation VPN en provisionnant votre pare-feu virtuel vSRX en tant qu’équipement de passerelle réseau. Le VPN IPsec d’accès distant est également pris en charge.

Pour obtenir des configurations détaillées sur le VPN, voir VPN.

Avec l’appliance de passerelle de pare-feu virtuel vSRX, vous pouvez provisionner des serveurs d’applications et de bases de données sans interfaces réseau publiques, tout en permettant à vos serveurs d’accéder à Internet à l’aide du NAT source. Pour renforcer la sécurité, vous pouvez protéger vos serveurs derrière l’équipement de passerelle à l’aide du NAT de destination.

Vous pouvez configurer un routage dynamique à l’aide de BGP, ce qui vous permet d’annoncer votre propre espace IP public aux routeurs IBM Cloud.

Un VLAN (Virtual Local Area Network) est un mécanisme qui sépare un réseau physique en de nombreux segments virtuels. Pour plus de commodité, le trafic provenant de plusieurs VLAN sélectionnés peut être acheminé via un seul câble réseau, à l’aide d’un processus communément appelé « agrégation ».

Le pare-feu virtuel vSRX est géré dans deux interfaces différentes : le ou les serveurs de pare-feu virtuel vSRX et l’appliance de passerelle. Les serveurs d’un VLAN associé ne peuvent être atteints qu’à partir d’autres VLAN en passant par votre pare-feu virtuel vSRX ; il n’est pas possible de contourner le pare-feu virtuel vSRX à moins de contourner ou de dissocier le VLAN.

Par défaut, une nouvelle appliance de passerelle est associée à deux VLAN de « transit » non amovibles, un pour vos réseaux publics et privés. Ces réseaux sont généralement utilisés pour l’administration et peuvent être sécurisés séparément par les commandes du pare-feu virtuel vSRX. Le pare-feu virtuel vSRX peut gérer les VLAN qui lui sont associés via l’appliance de passerelle (uniquement).

Pour plus d’informations sur la gestion des VLAN à partir de l’écran Détails des appliances de passerelle , voir Gérer les VLAN.

IBM© Cloud propose plusieurs pare-feu au choix. Consultez la section Explorer les pare-feu qui fournit une comparaison des solutions de pare-feu prises en charge pour vous aider à choisir celle qui vous convient.

Avantages du pare-feu virtuel vSRX dans IBM Cloud

La prise en charge du pare-feu virtuel vSRX dans IBM Cloud vous offre les avantages suivants :

Vous pouvez utiliser un tunnel VPN IPsec de site à site pour la communication sécurisée entre votre centre de données d’entreprise ou votre bureau et votre réseau IBM Cloud.
Vous offre une plus grande flexibilité pour créer une connectivité entre les applications multiniveau qui s’exécutent sur différents réseaux isolés.
BGP offre plus de flexibilité pour les configurations de réseau privé personnalisées, lorsque vous utilisez un mélange de tunnels et de solutions de liaison directe.
L’appliance de passerelle fournit une interface (GUI et API) pour sélectionner les VLAN que vous souhaitez associer à votre pare-feu virtuel vSRX. L’association d’un VLAN à une appliance de passerelle redirige (ou « trunks ») ce VLAN et tous ses sous-réseaux vers votre pare-feu virtuel vSRX, vous donne un contrôle sur le filtrage, le transfert et la protection.

Choisir une licence de pare-feu virtuel vSRX

Deux types de licence sont disponibles pour votre pare-feu virtuel IBM Cloud™ Juniper vSRX :

Standard
Offre de sécurité de contenu (CSB)

Chaque licence comprend un ensemble différent de fonctionnalités et d’options, et le tableau suivant présente les différences.

Note:

Vous pouvez spécifier le type de licence lors de la commande de votre pare-feu virtuel vSRX, ainsi que modifier la licence, voir Détails sur l’appliance de passerelle.

Type de licence	Fonctionnalités
Standard	Sécurité centrale : pare-feu, ALG, écrans, pare-feu utilisateur VPN IPsec (VPN de site à site) NAT Cos Services de routage : BGP, OSPF, DHCP, J-Flow, IPv4 Base : routage statique, gestion (J-Web, CLI et NETCONF), journalisation sur site, diagnostics
Offre de sécurité de contenu (CSB) : inclut toutes les fonctionnalités standard, ainsi que les fonctionnalités supplémentaires répertoriées dans la colonne suivante.	AppSecure Suivi des applications (AppTrack) Pare-feu d’application (AppFW) Qualité de service des applications (AppQoS) Routage avancé basé sur les stratégies (APBR) Qualité de l’expérience applicative (AppQoE) Pare-feu utilisateur IPS Sécurité du contenu Antivirus Anti-spam Filtrage Web Filtrage de contenu SSL Proxy Proxy de transfert SSL Proxy inverse SSL Miroir de déchiffrement SSL

Type de licence

Fonctionnalités

Standard

Sécurité centrale : pare-feu, ALG, écrans, pare-feu utilisateur
VPN IPsec (VPN de site à site)
NAT
Cos
Services de routage : BGP, OSPF, DHCP, J-Flow, IPv4
Base : routage statique, gestion (J-Web, CLI et NETCONF), journalisation sur site, diagnostics

Offre de sécurité de contenu (CSB) : inclut toutes les fonctionnalités standard, ainsi que les fonctionnalités supplémentaires répertoriées dans la colonne suivante.

AppSecure
- Suivi des applications (AppTrack)
- Pare-feu d’application (AppFW)
- Qualité de service des applications (AppQoS)
- Routage avancé basé sur les stratégies (APBR)
- Qualité de l’expérience applicative (AppQoE)
Pare-feu utilisateur
IPS
Sécurité du contenu
- Antivirus
- Anti-spam
- Filtrage Web
- Filtrage de contenu
SSL Proxy
- Proxy de transfert SSL
- Proxy inverse SSL
- Miroir de déchiffrement SSL

Commande d’un pare-feu virtuel vSRX

Vous pouvez commander votre pare-feu virtuel IBM Cloud™ Juniper vSRX en effectuant la procédure suivante :

Depuis votre navigateur, ouvrez la page Gateway Appliances du catalogue IBM Cloud et connectez-vous à votre compte.

Vous pouvez également accéder à cette page en vous connectant à la console IBM Cloud UI et en sélectionnant l’appliance Classic Infrastructure > Network > Gateway. Dans le catalogue IBM Cloud, sélectionnez la catégorie Réseau , puis choisissez la tuile de l’appliance Passerelle .
Choisissez Juniper vSRX (jusqu’à 1 Gbit/s) ou Juniper vSRX (jusqu’à 10 Gbit/s) sous Fournisseur de passerelle.
Choisissez le type de licence dans les modules complémentaires de licence standard ou CSB. Consultez la section Choisir une licence de pare-feu virtuel vSRX pour plus d’informations sur les fonctionnalités offertes avec chaque licence.
Dans la section Appliance de passerelle , saisissez votre nom d’hôte et votre nom de domaine . Ces champs sont déjà remplis d’informations par défaut, alors assurez-vous que les valeurs sont correctes.
Cochez l’option Haute disponibilité si nécessaire, puis sélectionnez l’emplacement du centre de données et le pod spécifique que vous souhaitez dans le menu.

Note:
Seuls les pods ayant déjà un VLAN associé sont affichés ici. Si vous souhaitez provisionner votre appliance de passerelle dans un pod que vous ne voyez pas dans la liste, créez-y d’abord un VLAN.
Dans la section Configuration , choisissez la RAM de votre processeur. Vous pouvez également définir une clé SSH si vous souhaitez l’utiliser pour authentifier l’accès à votre nouvelle passerelle.

Le processeur approprié est choisi pour vous en fonction de la version de licence sélectionnée à l’étape 2. Cependant, vous pouvez choisir différentes configurations de RAM.
Dans la section Disques de stockage , choisissez les options qui répondent à vos besoins de stockage. Réservez plus que le paramètre de disque par défaut si vous envisagez d’exécuter des diagnostics réseau qui génèrent des journaux détaillés.

Les options RAID0 et RAID1 sont disponibles pour une protection supplémentaire contre la perte de données, tout comme les pièces de rechange (composants de secours pouvant être mis en service immédiatement en cas de défaillance d’un composant principal). Vous pouvez avoir jusqu’à quatre disques par pare-feu virtuel vSRX. « Taille du disque » avec une configuration RAID est la taille de disque utilisable, car les configurations RAID sont mises en miroir.
Dans la section Interface réseau , sélectionnez les vitesses de votre port de liaison montante. La sélection par défaut est une interface unique, mais il existe également des options redondantes et privées uniquement. Choisissez celui qui répond le mieux à vos besoins.

La section Ajouts d’interface réseau vous permet de sélectionner une adresse IPv6 si nécessaire et vous indique toutes les options supplémentaires incluses par défaut.
Examinez vos sélections, vérifiez que vous avez bien lu les accords de service tiers, puis cliquez sur Créer. La commande est vérifiée automatiquement.

Une fois votre commande approuvée, le provisionnement de votre passerelle de pare-feu virtuel IBM Cloud™ Juniper vSRX commence automatiquement. Une fois le processus de provisionnement terminé, le nouveau pare-feu virtuel vSRX apparaît dans la page de liste des appliances de passerelle . Cliquez sur le nom de la passerelle pour ouvrir la page Détails de la passerelle. Les adresses IP, le nom d’utilisateur et le mot de passe de l’équipement apparaissent. N’oubliez pas qu’après avoir passé commande et configuration de votre passerelle dans le catalogue IBM Cloud, vous devez également configurer l’équipement lui-même avec les mêmes paramètres.