Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CSO次世代ファイアウォール(NFGW)導入ワークフロー

Contrail Service Orchestration(CSO)次世代ファイアウォール(NGFW)の導入では、支社サイトの顧客宅内機器(CPE)としてSRXシリーズNGFWデバイスを使用して、リモートネットワークセキュリティを提供することに重点を置いています。CSO では、次の 2 種類の NGFW デバイスを追加できます。

  • グリーンフィールド:グリーンフィールド デバイスは通常、設定を展開していないデバイスです。グリーンフィールドNGFWサイトを追加すると、CSOはゼロタッチプロビジョニング(ZTP)を使用してデバイスをプロビジョニングします。その後、必要に応じてNGFWを設定して使用することができます。

  • ブラウンフィールド - ブラウンフィールド デバイスは通常、すでに設定され、動作しているデバイスです。ブラウンフィールドNGFWサイトを追加する場合、CSOはZTPを使用してデバイスをプロビジョニング しません 。これにより、デバイス上の既存のポリシーをCSOにインポートし、ポリシーを展開することができます。その後、CSO を使用して NGFW を管理できます。

メモ:

このトピックで概説されている手順を実行する前に、NGFW に関連する展開前のタスクが実行されていることを確認してください。CSO、SD-WANおよび次世代ファイアウォールの導入前タスクを参照してください。

次のタスクは、カスタマーポータルのテナントスコープで実行する必要があります。

  1. テナント管理者の場合は、カスタマーポータルにログインします。SP 管理者 (オンプレミスの CSO) または OpCo 管理者 (適切なアクセス許可を持つ) の場合は、スコープをテナントに切り替えます。 「スコープの切り替え」または「テナント管理者としてログインする」を参照してください。
  2. (オプション)構成テンプレートをカスタマイズします。 「設定テンプレートのワークフロー」を参照してください
  3. (オプション)デバイス テンプレートをカスタマイズします。 「デバイス テンプレートのワークフロー」を参照してください
  4. グリーンフィールド デバイスとブラウンフィールド デバイスのどちらを使用しているかに応じて、次のようになります。
    • CSOリリース6.0.0以降、ZTPプロセスが簡素化され、デバイスとサービスのプロビジョニングプロセスが分離され、迅速に導入できるようになりました。サービスを適用せずにグリーンフィールド サイトを追加し、後でサイトを編集して NGFW サービスを追加できます。「 サービスのプロビジョニングなしでブランチ サイトまたはエンタープライズ ハブ サイトを追加する」を参照してください。

    • グリーンフィールドの次世代ファイアウォール サイトを追加するには、デバイス テンプレートとしてセキュリティ サービス CPE として SRX(または修正バージョン)を選択します。「 次世代ファイアウォール (ブランチ) サイトの追加」を参照してください。

    • ブラウンフィールドの次世代ファイアウォール サイトを追加するには、デバイス テンプレートとして SRX_Standalone_Pre_Staged_NonZTP(または変更されたバージョン)を選択します。CSOが生成するステージ1の設定は、CSOがデバイスの管理を引き継ぐことができるように、デバイス上でコミットする必要があります。「 次世代ファイアウォール (ブランチ) サイトの追加」を参照してください。

  5. デバイス ライセンスをアップロードしてインストールします。 「デバイス ライセンスの追加とインストール(プッシュ)」を参照してください。
  6. 署名データベースをインストールします。 デバイスへの署名データベースのインストールを参照してください。
  7. (グリーンフィールドのみ)ファイアウォールとNATポリシーを追加する前に、デバイスのインターフェイス(物理および論理)、ルーティングインスタンス、ゾーンを追加する必要があります。これは、Device-Nameページの [構成] タブ ([リソース > デバイス] >Device-Name) で実行できます。CSOカスタマーポータルユーザーガイド(CSOドキュメントページに掲載)のファイアウォールデバイスの設定を参照してください。
  8. (ブラウンフィールドのみ)アクティベーションプロセス中にポリシーをインポートするように指定した場合は、インポートしたポリシーをCSOに展開する必要があります。
    • ファイアウォールポリシーがインポートされた場合は、ファイアウォールポリシーを展開します。 ファイアウォールポリシーの展開を参照してください。

    • NAT ポリシーをインポートした場合は、NAT ポリシーを展開します。 NATポリシーの展開を参照してください。

    メモ:

    CSOは、ブラウンフィールドデバイス上の既存のルーティングインスタンス、インターフェイス、ゾーンをCSOにインポートします。

  9. (ブラウンフィールドのみ)サイトのアクティベーションの一部としてポリシーをインポートしなかった場合は、ポリシーを手動でインポートしてポリシーを展開できます。
    1. ファイアウォールポリシーをインポートするには、ファイアウォールポリシーページ(ファイアウォールポリシー>ファイアウォールポリシー>構成)に移動し、インポート をクリックします。詳細については、CSOカスタマーポータルユーザーガイドファイアウォールポリシーのインポートを参照してください。

    2. NAT ポリシーをインポートするには、NAT ポリシー ページ (NAT ポリシー>構成> NAT ポリシー)に移動し、インポート をクリックします。詳細については、 CSO カスタマーポータルユーザーガイドNAT ポリシーのインポートを参照してください。

    3. 手順 8 で説明したように、手動でインポートしたポリシーを展開します。

  10. (オプション)次世代ファイアウォールでUTM(統合脅威管理)を設定します。 「CSO での Unified Threat Management(UTM)の設定」を参照してください。
  11. (オプション)次世代ファイアウォール サイトで SSL プロキシを構成します。 CSO での SSL プロキシ ポリシーの設定と展開を参照してください。
  12. (オプション)次世代ファイアウォールで侵入防御システム(IPS)を設定します。 CSO での侵入防御システム(IPS)の設定を参照してください。
  13. ファイアウォールポリシーとゾーンベースのインテントを追加し、ファイアウォールポリシーを展開します。ファイアウォールポリシーの追加と展開を参照してください。
    メモ:

    また、CSOのデフォルトのファイアウォールポリシーを使用するには、ポリシーをそのまま導入するか、必要に応じてインテントを変更してポリシーを導入します。

    この手順は、以前にデバイスに設定されたファイアウォールポリシーをすでにインポートしている場合、ブラウンフィールドデバイスではオプションです。

  14. (オプション)NAT ポリシーとルールを追加し、NAT ポリシーを展開します。 NAT ポリシーの追加と展開を参照してください。
    メモ:

    また、ポリシーをそのまま展開するか、必要に応じてルールを変更してポリシーを展開することで、CSOのデフォルトNATポリシーを使用することもできます。

    この手順は、以前にデバイスに設定されたNATポリシーをすでにインポートしている場合、ブラウンフィールドデバイスではオプションです。

  15. NGFWサイトとデバイスを監視します。 次世代ファイアウォールのサイトとデバイスの監視を参照してください。