NGFW導入アーキテクチャ

NGFWアーキテクチャ

NGFWアーキテクチャは、WAN接続とともに、リモートサイトに強力なセキュリティサービスを提供します。オンプレミスのスポークサイトでSRXシリーズファイアウォールをスタンドアロンのNGFWとして使用する場合、WANルーティング機能はSRXシリーズファイアウォール自体で実行されます。このアーキテクチャにより、SRXシリーズファイアウォールは、スポークサイトに存在するLANを可視化しながら、組み込みのセキュリティ機能(ファイアウォールやNATなど)をすべて実行することができます。 図1 は、WANとオンサイトLANの両方に接続されたSRXシリーズファイアウォールを示しています。

前述のように、NGFWサイトは単独で存在することも、プロビジョニングや導入後にいつでもEXシリーズLANスイッチやバーチャルシャーシを追加して拡張することもできます。

NGFWデバイス

SRXシリーズファイアウォールは、お客様LAN内のCSOが管理するスタンドアロンのファイアウォールとして使用できます。CSOは、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100、SRX4200セキュリティゲートウェイ、およびこの目的のためのvSRX仮想ファイアウォールの使用をサポートします。この次世代ファイアウォール(NGFW)のシナリオでは、SRXはCPE デバイスとして機能しますが、SD-WANソリューションのようなサイト間およびサイト間の通信は提供しません。

NGFW導入の使用上の注意

NGFWの導入により、以下が可能になります。

• Enable WAN connectivity for sites—テナントにNGFWサービス機能をプロビジョニングすると、そのテナントに属するすべてのサイトが、NGFWデバイスをCSOに戻るWANリンクとして使用できます。

• Enable automatic LAN connectivity—NGFWデバイスは、内蔵のDHCPサーバーを使用して、接続されたLANのアドレス指定を提供できます。

• Create custom application signatures in firewall policies—CSOは、SD-WANポリシーにおける既存のサポートに加え、ファイアウォールポリシーでカスタムアプリケーションシグネチャもサポートしています。

• Create customized IPS signatures, static groups, and dynamic groups—カスタマイズされた 侵入防御システム(IPS)シグニチャ、IPS シグネチャ静的グループ、および IPS シグネチャ動的グループを作成、変更、または削除できます。さらに、事前定義またはカスタマイズした IPS シグネチャ、静的グループ、動的グループのクローンを作成できます。その後、1 つ以上の IPS または除外ルールを含むことができる IPS プロファイルで、IPS シグネチャ、静的グループ、および動的グループを使用できます。

• Import policy configurations—CSOは、次世代ファイアウォールデバイスからのデバイスからも削除されます。次の機能がサポートされています。

  • ブラウンフィールド導入で、企業のお客様向けの次世代ファイアウォールサイトを管理します。

  • NGFWデバイスのオンボーディング中に既存のポリシー設定を検出します(ZTPを有効にせず)。

  • ファイアウォールとNAT ポリシーページからデバイスからも削除されますをインポートします。

  • CSOへのインポート後にポリシーを展開。

CSOでNGFWの展開を有効にするには、カスタマーポータルを使用してNGFWサイトを追加します。NGFWサイトに割り当てられたテナントは、NGFWサービスを利用できる必要があります。NGFW サービスを追加するには、テナント管理者がオンボーディング プロセス中にテナント設定に NGFW サービスを含めます。