NGFW導入アーキテクチャ

NGFWアーキテクチャ

NGFWアーキテクチャは、WAN接続とともに、リモートサイトに強力なセキュリティサービスを提供します。オンプレミスのスポーク サイトの SRX シリーズ デバイスをスタンドアロンの NGFW として使用する場合、WAN ルーティング機能は SRX シリーズ デバイス自体で実行されます。このアーキテクチャにより、SRXシリーズ デバイスは、スポーク サイトに存在するLANを可視化しながら、内蔵セキュリティ機能(ファイアウォールやNATなど)をすべて実行できます。 図1 は、WANとオンサイトLANの両方に接続されたSRXシリーズデバイスを示しています。

前述のように、NGFWサイトは単独でも存在することも、プロビジョニングおよび導入後いつでもEXシリーズLANスイッチやバーチャルシャーシを追加して拡張することもできます。

NGFWデバイス

SRXシリーズのデバイスは、お客様のLANのCSOが管理するスタンドアロンファイアウォールとして使用できます。CSOは、この目的のために、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100、SRX4200セキュリティゲートウェイ、およびvSRXの使用をサポートしています。この次世代ファイアウォール(NGFW)シナリオでは、SRXはCPEデバイスとして機能しますが、SD-WANソリューションの場合のようにサイト間またはサイト間通信は提供しません。

NGFW導入時の使用上の注意

NGFWの導入により、以下が可能になります。

• Enable WAN connectivity for sites- テナントにNGFWサービス機能をプロビジョニングすると、そのテナントに属するすべてのサイトがNGFWデバイスをCSOへのWANリンクとして使用できます。

• Enable automatic LAN connectivity—NGFWデバイスは、内蔵のDHCPサーバーを使用して、接続されたLANにアドレス指定を提供できます。

• Create custom application signatures in firewall policies- CSOは、SD-WANポリシーの既存のサポートに加え、ファイアウォールポリシーでもカスタムアプリケーションシグネチャをサポートします。

• Create customized IPS signatures, static groups, and dynamic groups—カスタマイズされた侵入防御システム(IPS)シグネチャ、IPSシグネチャスタティックグループ、およびIPSシグネチャ動的グループを作成、変更、または削除できます。さらに、定義済みまたはカスタマイズされた IPS シグネチャ、スタティック グループ、ダイナミック グループのクローンを作成できます。その後、1 つ以上の IPS または除外ルールを含むことができる IPS プロファイルで、IPS シグネチャ、スタティック グループ、およびダイナミック グループを使用できます。

• Import policy configurations- CSOは、次世代ファイアウォールデバイスからのポリシー設定のインポートをサポートします。次の機能がサポートされています。

  • ブラウンフィールド導入の企業顧客向けの次世代ファイアウォールサイトを管理します。

  • (ZTPを有効にしないで)NGFWデバイスのオンボーディング中に既存のポリシー設定を検出します。

  • ファイアウォールおよびNATポリシーページからポリシー設定をインポートします。

  • CSO にインポートした後にポリシーを展開します。

CSO で NGFW 導入を有効にするには、カスタマーポータルを使用して NGFW サイトを追加します。NGFW サイトに割り当てられたテナントは、NGFW サービスを利用できる必要があります。NGFW サービスを追加するために、テナント管理者はオンボーディング プロセス中にテナント構成に NGFW サービスを含めます。