Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Introducción al firewall virtual vSRX de Juniper en la nube de IBM

El firewall virtual vSRX de IBM Cloud™ de Juniper le permite enrutar el tráfico de red privada y pública de manera selectiva, a través de un firewall completo a nivel empresarial que está basado en las funciones de software Junos OS, como pilas de enrutamiento completas, QoS y uso compartido de tráfico, enrutamiento basado en políticas y VPN.

Nota:

Para obtener una lista de las limitaciones conocidas de la puerta de enlace de firewall virtual vSRX de IBM Cloud™ Juniper, consulte Limitaciones conocidas.

Descripción general del firewall virtual vSRX en la nube de IBM

El firewall virtual vSRX ofrece rendimiento, facilidad de configuración y ventajas de mantenimiento con la simplicidad de ejecutarse en un servidor sin sistema operativo. El hardware tiene el tamaño para manejar la carga de enrutamiento y seguridad asociadas con varias VLAN, y se puede ordenar con vínculos de red redundantes y matrices RAID redundantes. Todas las funciones del firewall virtual vSRX se administran por el cliente.

El firewall virtual vSRX de IBM Cloud™ Juniper se ofrece en dos modos diferentes: modo independiente o clúster de alta disponibilidad (AD).

Para obtener documentación adicional para el firewall virtual vSRX de IBM Cloud™ Juniper, consulte documentación complementaria.

El firewall virtual vSRX se despliega para proteger su entorno de amenazas externas e internas mediante el filtrado del tráfico privado y público. Los clientes pueden administrar el firewall virtual vSRX ellos mismos mediante la definición de políticas y reglas que permiten o niegan (entre otras acciones) el tráfico de red entrante o saliente, y, de este modo, protegen sus aplicaciones de enfoques internos y externos. Tanto las pilas IPv4 como IPv6 se admiten de manera con estado.

Conecte su centro de datos u oficina en el sitio a la nube de IBM mediante la tunelización VPN mediante el aprovisionamiento de su firewall virtual vSRX como dispositivo de puerta de enlace de red. También se admite VPN IPsec de acceso remoto.

Para obtener una configuración detallada de VPN, consulte VPN.

Con el dispositivo de puerta de enlace de firewall virtual vSRX, puede aprovisionar servidores de aplicaciones y bases de datos sin interfaces de red públicas, y seguir permitiendo que sus servidores accedan a Internet mediante TDR de origen. Para una seguridad mejorada, puede proteger sus servidores detrás del dispositivo de puerta de enlace mediante TDR de destino.

Puede configurar el enrutamiento dinámico mediante BGP, lo que le permite anunciar su propio espacio IP público a los enrutadores de IBM Cloud.

Una VLAN (red de área local virtual) es un mecanismo que segrega una red física en muchos segmentos virtuales. Para mayor comodidad, el tráfico de varias VLAN seleccionadas se puede entregar a través de un único cable de red, mediante un proceso llamado comúnmente "troncalización".

El firewall virtual vSRX se administra en dos interfaces diferentes: el servidor o servidores de firewall virtual vSRX y el dispositivo de dispositivo de puerta de enlace. Solo se puede acceder a los servidores de una VLAN asociada desde otras VLAN si se pasa por su firewall virtual vSRX; no es posible eludir el firewall virtual vSRX a menos que se omite o desvincula la VLAN.

De forma predeterminada, un dispositivo de puerta de enlace nuevo está asociado a dos VLAN de "tránsito" no extraíbles, una para sus redes públicas y privadas. Estas redes suelen usarse para la administración y pueden ser protegidas por los comandos del firewall virtual vSRX por separado. El firewall virtual vSRX puede administrar las VLAN asociadas a él a través del dispositivo de puerta de enlace (solo).

Para obtener información sobre cómo administrar VLAN desde la pantalla Detalles de dispositivos de puerta de enlace, consulte Administrar VLAN.

IBM© Cloud ofrece varios firewalls entre los que elegir. Consulte la sección Exploración de firewalls que ofrece una comparación de las soluciones de firewall compatibles para ayudarlo a elegir la que sea adecuada para usted.

Beneficios del firewall virtual vSRX en la nube de IBM

La compatibilidad con firewall virtual vSRX en la nube de IBM le ofrece las siguientes ventajas:

  • Puede usar un túnel VPN de sitio a sitio IPsec para una comunicación segura desde su centro de datos empresarial u oficina hasta su red IBM Cloud.

  • Le brinda una mayor flexibilidad para crear conectividad entre aplicaciones de varios niveles que se ejecutan en diferentes redes aisladas.

  • El BGP ofrece más flexibilidad para configuraciones de red privada personalizadas, cuando se utiliza una combinación de túneles y soluciones de enlace directo.

  • El dispositivo de puerta de enlace proporciona una interfaz (GUI y API) para seleccionar las VLAN que desea asociar con su firewall virtual vSRX. Asociar una VLAN con un dispositivo de puerta de enlace reenruta (o "troncales") esa VLAN y todas sus subredes al firewall virtual vSRX, le da control sobre el filtrado, el reenvío y la protección.

Elegir una licencia de firewall virtual vSRX

Hay dos tipos de licencia disponibles para su firewall virtual vSRX de IBM Cloud™ Juniper:

  • Estándar

  • Paquete de seguridad de contenido (CSB)

Cada licencia incluye un conjunto diferente de características y opciones, y en la tabla siguiente se describen las diferencias.

Nota:

Puede especificar el tipo de licencia al solicitar el firewall virtual vSRX, así como cambiar la licencia, consulte Detalles del dispositivo de puerta de enlace.

Tipo de licencia

Funciones

Estándar

  • Seguridad de núcleo: firewall, ALG, pantallas, firewall de usuario

  • VPN IPsec (VPN de sitio a sitio)

  • NAT

  • Porque

  • Servicios de enrutamiento: BGP, OSPF, DHCP, J-Flow, IPv4

  • Base: enrutamiento estático, administración (J-Web, CLI y NETCONF), registro en la caja, diagnósticos

Paquete de seguridad de contenido (CSB): incluye todas las funciones estándar, junto con las funciones adicionales enumeradas en la siguiente columna.

  • AppSecure

    • Seguimiento de aplicaciones (AppTrack)

    • Firewall de aplicaciones (AppFW)

    • Calidad del servicio de la aplicación (AppQoS)

    • Enrutamiento avanzado basado en políticas (APBR)

    • Calidad de la experiencia de la aplicación (AppQoE)

  • Firewall de usuario

  • IPS

  • Seguridad de contenido

    • Antivirus

    • Antispam

    • Filtrado web

    • Filtrado de contenido

  • SSL Proxy

    • Proxy de reenvío SSL

    • Proxy inverso SSL

    • Espejo de descifrado SSL

Solicitar un firewall virtual vSRX

Puede solicitar su firewall virtual vSRX de IBM Cloud™ Juniper realizando el siguiente procedimiento:

  1. Desde su navegador, abra la página Dispositivos de puerta de enlace en el catálogo de IBM Cloud e inicie sesión en su cuenta.

    También puede acceder a esta página iniciando sesión en la consola de la interfaz de usuario de IBM Cloud y seleccionando el dispositivo Classic Infrastructure > Network > Gateway. Alternativamente, en el catálogo de IBM Cloud, seleccione la categoría Red y, a continuación, elija el mosaico Dispositivo de puerta de enlace.

  2. Elija Juniper vSRX (hasta 1 Gbps) o Juniper vSRX (hasta 10 Gbps) en Proveedor de puerta de enlace.

  3. Elija su tipo de licencia entre complementos de licencia, ya sea Estándar o CSB. Consulte la sección Elección de una licencia de firewall virtual vSRX para obtener información sobre las funciones que se ofrecen con cada licencia.

  4. En la sección Dispositivo de puerta de enlace, escriba su nombre de host y nombre de dominio . Estos campos ya se han rellenado con información predeterminada, así que asegúrese de que los valores son correctos.

  5. Active la opción alta disponibilidad si es necesario, luego seleccione una ubicación del centro de datos y el grupo específico que desee en el menú.

    Nota:

    Aquí solo se muestran los pods que ya tienen una VLAN asociada. Si desea aprovisionar el dispositivo de puerta de enlace en un pod que no vea en la lista, cree primero una VLAN allí.

  6. En la sección Configuración , elija la RAM del procesador. También puede definir una clave SSH, si desea usarla para autenticar el acceso a la nueva puerta de enlace.

    El procesador adecuado se elige según la versión de licencia que seleccionó en el paso dos. Sin embargo, puede elegir diferentes configuraciones de RAM.

  7. En la sección Discos de almacenamiento , elija las opciones que cumplan con sus requisitos de almacenamiento. Reserve más que la configuración de disco predeterminada si planea ejecutar diagnósticos de red que generen registros detallados.

    Las opciones de RAID0 y RAID1 están disponibles para mayor protección contra la pérdida de datos, al igual que los repuestos en caliente (componentes de copia de seguridad que se pueden poner en servicio de inmediato cuando un componente principal falla). Puede tener hasta cuatro discos por firewall virtual vSRX. El "tamaño de disco" con una configuración RAID es el tamaño de disco utilizable, ya que las configuraciones DE RAID se reflejan.

  8. En la sección Interfaz de red , seleccione las velocidades de puerto uplink. La selección predeterminada es una sola interfaz, pero también hay opciones redundantes y privadas solo. Elija el que mejor se ajuste a sus necesidades.

    La sección Complementos de interfaz de red le permite seleccionar una dirección IPv6 si es necesario, y le muestra las opciones predeterminadas adicionales incluidas.

  9. Revise sus selecciones, compruebe que ha leído los Acuerdos de servicio con terceros y, a continuación, haga clic en Crear. El pedido se verifica automáticamente.

Una vez aprobado el pedido, el aprovisionamiento de la puerta de enlace de firewall virtual vSRX de IBM Cloud™ Juniper se inicia automáticamente. Cuando se completa el proceso de aprovisionamiento, el nuevo firewall virtual vSRX aparece en la página de lista Dispositivos de puerta de enlace. Haga clic en el nombre de la puerta de enlace para abrir la página Detalles de la puerta de enlace. Aparecerán las direcciones IP, el nombre de usuario de inicio de sesión y la contraseña del dispositivo. Recuerde que después de ordenar y configurar la puerta de enlace desde el catálogo de IBM Cloud, también debe configurar el propio dispositivo con la misma configuración.