NGFW 部署架构

NGFW 架构

NGFW 架构为远程站点提供强大的安全服务以及 WAN 连接。将本地分支站点的 SRX 系列设备用作独立 NGFW 时，WAN 路由功能在 SRX 系列设备上执行。此架构允许 SRX 系列设备执行其所有内置安全功能（如防火墙和 NAT），同时提供对分支站点中可能存在的 VPN 的可见性。 图 1 显示了连接到 WAN 和现场 LAN 的 SRX 系列设备。

如前所述，NGFW 站点可自行存在，也可在调配和部署后随 EX 系列 LAN 交换机或 虚拟机箱 的添加而扩展。

NGFW 设备

SRX 系列设备可以用作独立防火墙，由CSO LAN 中的设备进行管理。CSO支持使用 SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100 和 SRX4200 安全网关以及 vSRX。在此新一代防火墙 （NGFW） 场景中，SRX 充当 CPE 设备，但不提供站点到站点或站点到中心的通信，就像使用 SD-WAN 解决方案。

NGFW 部署使用说明

借助 NGFW 部署，您可以：

• Enable WAN connectivity for sites— 为租户配置 NGFW 服务功能时，属于该租户的任何站点都可以将 NGFW 设备用作其 WAN 链路回CSO。

• Enable automatic LAN connectivity—NGFW 设备可以使用内置的 DHCP 服务器提供已连接 LAN 的寻址功能。

• Create custom application signatures in firewall policies— CSO策略中提供的现有支持，还支持在防火墙策略中自定义SD-WAN签名。

• Create customized IPS signatures, static groups, and dynamic groups—您可以创建、修改或删除自定义 入侵防御系统 （IPS） 签名、IPS静态组以及IPS动态组。此外，您还可以克隆预定义或自定义IPS签名、静态组和动态组。然后，您可以在一个IPS配置文件中使用IPS组、静态组和动态组，其中包含一个或多个IPS规则。

• Import policy configurations—CSO支持从新一代防火墙设备导入策略配置。支持以下功能：

  • 通过 Brown 现场部署管理企业客户的新一代防火墙站点。

  • 在加入 NGFW 设备（未启用 ZTP）时发现现有策略配置。

  • 从防火墙和策略NAT导入策略配置。

  • 导入策略后CSO。

通过使用客户门户添加 NGFW 站点，CSO部署 NGFW。分配给 NGFW 站点的租户必须具有 NGFW 服务。要添加 NGFW 服务，租户管理员在入门过程中在租户配置中包含 NGFW 服务。