Introducción a Juniper vSRX en la nube de IBM

IBM Cloud™ Juniper vSRX le permite enrutar el tráfico de red pública y privada de forma selectiva, a través de un firewall de nivel empresarial con todas las funciones que se basa en las características del software Junos OS, como pilas de enrutamiento completas, QoS y uso compartido de tráfico, enrutamiento basado en políticas y VPN.

Nota:

Para obtener una lista de las limitaciones conocidas de IBM Cloud™ Juniper vSRX Gateway, consulte Limitaciones conocidas.

Visión general de vSRX en IBM Cloud

El vSRX ofrece ventajas de rendimiento, facilidad de configuración y mantenimiento con la simplicidad de ejecutarse en un servidor sin sistema operativo. El hardware está dimensionado para manejar la carga de enrutamiento y seguridad asociada con varias VLAN, y se puede pedir con vínculos de red redundantes y matrices RAID redundantes. Todas las funciones de vSRX son administradas por el cliente.

IBM Cloud™ Juniper vSRX se ofrece en dos modos diferentes: modo autónomo o clúster de alta disponibilidad (HA).

Para obtener documentación adicional para IBM Cloud™ Juniper vSRX, consulte Documentación suplementaria.

El vSRX se implementa para proteger su entorno de amenazas externas e internas mediante el filtrado del tráfico privado y público. Los clientes pueden administrar el vSRX ellos mismos mediante la definición de políticas y reglas que permiten o niegan (entre otras acciones) el tráfico de red entrante o saliente, protegiendo así sus aplicaciones de enfoques internos y externos. Las pilas IPv4 e IPv6 se admiten con control de estado.

Conecte su centro de datos u oficina in situ a la nube de IBM mediante la tunelización VPN aprovisionando su vSRX como dispositivo de puerta de enlace de red. También se admite VPN IPsec de acceso remoto.

Para obtener más información sobre VPN, consulte VPN.

Con el dispositivo de puerta de enlace vSRX, puede aprovisionar servidores de aplicaciones y bases de datos sin interfaces de red pública y, aun así, permitir que los servidores accedan a Internet mediante NAT de origen. Para mayor seguridad, puede proteger sus servidores detrás del dispositivo de puerta de enlace mediante NAT de destino.

Puede configurar el enrutamiento dinámico utilizando BGP, que le permite anunciar su propio espacio IP público a los enrutadores de IBM Cloud.

Una VLAN (red de área local virtual) es un mecanismo que segrega una red física en muchos segmentos virtuales. Para mayor comodidad, el tráfico de varias VLAN seleccionadas se puede entregar a través de un solo cable de red, utilizando un proceso comúnmente llamado "trunking".

vSRX se administra en dos interfaces diferentes: los servidores vSRX y el accesorio del dispositivo de puerta de enlace. Solo se puede acceder a los servidores de una VLAN asociada desde otras VLAN mediante el uso de su vSRX; no es posible eludir el vSRX a menos que omita o desvincule la VLAN.

De forma predeterminada, un nuevo dispositivo de puerta de enlace está asociado a dos VLAN de "tránsito" no extraíbles, una para cada una de las redes pública y otra para la privada. Estas redes se utilizan normalmente para la administración y se pueden proteger mediante comandos vSRX por separado. El vSRX puede administrar VLAN asociadas a él a través del dispositivo de puerta de enlace (únicamente).

Para obtener información sobre cómo administrar VLAN desde la pantalla Detalles de dispositivos de puerta de enlace , consulte Administrar VLAN.

IBM© Cloud ofrece varios firewalls para elegir. Consulte la sección Exploración de firewalls que proporciona una comparación de las soluciones de firewall compatibles para ayudarle a elegir la adecuada para usted.

Beneficios de vSRX en IBM Cloud

El soporte de vSRX en IBM Cloud le ofrece los siguientes beneficios:

Puede utilizar un túnel VPN de sitio a sitio IPsec para una comunicación segura desde el centro de datos empresarial o la oficina a su red de IBM Cloud.
Le brinda una mayor flexibilidad para crear conectividad entre aplicaciones de varios niveles que se ejecutan en diferentes redes aisladas.
BGP ofrece más flexibilidad para configuraciones de red privada personalizadas, cuando se utiliza una combinación de túneles y soluciones de vínculo directo.
El dispositivo de puerta de enlace proporciona una interfaz (GUI y API) para seleccionar las VLAN que desea asociar a su vSRX. La asociación de una VLAN con un dispositivo de puerta de enlace reenruta (o "troncaliza") esa VLAN y todas sus subredes a su vSRX le da control sobre el filtrado, el reenvío y la protección.

Elegir una licencia de vSRX

Hay dos tipos de licencia disponibles para IBM Cloud™ Juniper vSRX:

Estándar
Paquete de seguridad de contenido (CSB)

Cada licencia incluye un conjunto diferente de características y opciones, y la siguiente tabla describe las diferencias.

Nota:

Puede especificar el tipo de licencia al solicitar el vSRX, así como cambiar la licencia, consulte Detalles del dispositivo de puerta de enlace.

Tipo de licencia	Funciones
Estándar	Seguridad central: firewall, ALG, pantallas, firewall de usuario VPN IPsec (VPN de sitio a sitio) NAT Porque Servicios de enrutamiento: BGP, OSPF, DHCP, J-Flow, IPv4 Fundamento: enrutamiento estático, gestión (J-Web, CLI y NETCONF), registro en caja, diagnóstico
Content Security Bundle (CSB): incluye todas las funciones estándar, junto con las funciones adicionales que se enumeran en la siguiente columna.	AppSecure Seguimiento de aplicaciones (AppTrack) Firewall de aplicaciones (AppFW) Calidad de servicio de la aplicación (AppQoS) Enrutamiento avanzado basado en políticas (APBR) Calidad de la experiencia de la aplicación (AppQoE) Firewall de usuario IPS UTM Antivirus Antispam Filtrado web Filtrado de contenido SSL Proxy Proxy de reenvío SSL Proxy inverso SSL Espejo de descifrado SSL

Tipo de licencia

Funciones

Estándar

Seguridad central: firewall, ALG, pantallas, firewall de usuario
VPN IPsec (VPN de sitio a sitio)
NAT
Porque
Servicios de enrutamiento: BGP, OSPF, DHCP, J-Flow, IPv4
Fundamento: enrutamiento estático, gestión (J-Web, CLI y NETCONF), registro en caja, diagnóstico

Content Security Bundle (CSB): incluye todas las funciones estándar, junto con las funciones adicionales que se enumeran en la siguiente columna.

AppSecure
- Seguimiento de aplicaciones (AppTrack)
- Firewall de aplicaciones (AppFW)
- Calidad de servicio de la aplicación (AppQoS)
- Enrutamiento avanzado basado en políticas (APBR)
- Calidad de la experiencia de la aplicación (AppQoE)
Firewall de usuario
IPS
UTM
- Antivirus
- Antispam
- Filtrado web
- Filtrado de contenido
SSL Proxy
- Proxy de reenvío SSL
- Proxy inverso SSL
- Espejo de descifrado SSL

Solicitar un vSRX

Puede solicitar su IBM Cloud™ Juniper vSRX realizando el siguiente procedimiento:

Desde el navegador, abra la página Dispositivos de puerta de enlace en el catálogo de IBM Cloud e inicie sesión en su cuenta.

También puede acceder a esta página iniciando sesión en la consola de IBM Cloud UI y seleccionando Infraestructura clásica > dispositivo de puerta de enlace > de red. Como alternativa, en el catálogo de IBM Cloud, seleccione la categoría Red y, a continuación, elija el mosaico Dispositivo de puerta de enlace.
Elija Juniper vSRX (hasta 1 Gbps) o Juniper vSRX (hasta 10 Gbps) en Proveedor de puerta de enlace.
Elija su tipo de licencia entre los complementos de licencia, ya sea estándar o CSB. Consulte la sección Elegir una licencia de vSRX para obtener información sobre las funciones que se ofrecen con cada licencia.
En la sección Dispositivo de puerta de enlace , introduzca su nombre de host y nombre de dominio . Estos campos ya se han rellenado con información predeterminada, así que asegúrese de que los valores sean correctos.
Marque la opción Alta disponibilidad si es necesario, luego seleccione una ubicación del centro de datos y el pod específico que desee en el menú.

Nota:
Aquí solo se muestran los pods que ya tienen una VLAN asociada. Si desea aprovisionar el dispositivo de puerta de enlace en un pod que no aparece en la lista, primero cree una VLAN allí.
En la sección Configuración , elija la RAM del procesador. También puede definir una clave SSH si desea utilizarla para autenticar el acceso a su nueva puerta de enlace.

El procesador adecuado se elige para usted en función de la versión de licencia que seleccionó en el paso dos. Sin embargo, puede elegir diferentes configuraciones de RAM.
En la sección Discos de almacenamiento, elija las opciones que satisfagan sus requisitos de almacenamiento . Reserve más que la configuración de disco predeterminada si planea ejecutar diagnósticos de red que generen registros detallados.

Las opciones RAID0 y RAID1 están disponibles para una mayor protección contra la pérdida de datos, al igual que los hot spares (componentes de copia de seguridad que se pueden poner en servicio inmediatamente cuando falla un componente principal). Puede tener hasta cuatro discos por vSRX. El "tamaño de disco" con una configuración RAID es el tamaño de disco utilizable, ya que las configuraciones RAID se duplican.
En la sección Interfaz de red , seleccione las velocidades de los puertos de enlace ascendente. La selección predeterminada es una sola interfaz, pero también hay opciones redundantes y privadas. Elige el que mejor se adapte a tus necesidades.

La sección Complementos de interfaz de red le permite seleccionar una dirección IPv6 si es necesario, y le muestra cualquier opción predeterminada adicional incluida.
Revise las selecciones, compruebe que ha leído los Acuerdos de servicio de terceros y, a continuación, haga clic en Crear. El pedido se verifica automáticamente.

Una vez aprobado el pedido, el aprovisionamiento de IBM Cloud™ Juniper vSRX Gateway se inicia automáticamente. Cuando se completa el proceso de aprovisionamiento, el nuevo vSRX aparece en la página de lista Dispositivos de puerta de enlace . Haga clic en el nombre de la puerta de enlace para abrir la página Detalles de la puerta de enlace. Aparecen las direcciones IP, el nombre de usuario de inicio de sesión y la contraseña del dispositivo. Recuerde que después de pedir y configurar la puerta de enlace desde el catálogo de IBM Cloud, también debe configurar el propio dispositivo con los mismos valores.