NGFW 部署架构

NGFW 架构

NGFW 架构为远程站点提供强大的安全服务以及 WAN 连接。在本地分支站点将 SRX 系列防火墙作为独立 NGFW 使用时，WAN 路由功能将在 SRX 系列防火墙本身上执行。此架构允许 SRX 系列防火墙执行其所有内置安全功能（如防火墙和 NAT），同时提供对辐射站点中存在的 LAN 的可见性。 图 1 显示了一个同时连接到 WAN 和现场 LAN 的 SRX 系列防火墙。

如前所述，NGFW 站点可以独立存在，也可以在配置和部署后随时通过添加 EX 系列 LAN 交换机或虚拟机箱进行扩展。

NGFW 设备

SRX 系列防火墙可用作独立防火墙，由 CSO 在客户 LAN 中进行管理。CSO 支持使用 SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、SRX4100 和 SRX4200 安全网关以及用于此目的的vSRX 虚拟防火墙。在这种新一代防火墙 （NGFW） 场景中，SRX 充当 CPE 设备，但不像 SD-WAN 解决方案那样提供站点到站点或站点到集线器通信。

NGFW 部署使用说明

通过 NGFW 部署，您可以：

• Enable WAN connectivity for sites—为租户配置 NGFW 服务功能时，属于该租户的任何站点均可将 NGFW 设备用作返回 CSO 的 WAN 链路。

• Enable automatic LAN connectivity—NGFW 设备可以使用内置 DHCP 服务器为连接的 LAN 提供寻址。

• Create custom application signatures in firewall policies—除了 SD-WAN 策略中的现有支持之外，CSO 还支持在防火墙策略中使用自定义应用签名。

• Create customized IPS signatures, static groups, and dynamic groups—您可以创建、修改或删除自定义入侵防御系统 （IPS） 签名、IPS 签名静态组和 IPS 签名动态组。此外，您还可以克隆预定义或自定义的 IPS 签名、静态组和动态组。然后，您可以在 IPS 配置文件中使用 IPS 签名、静态组和动态组，这些配置文件可以包含一个或多个 IPS 或豁免规则。

• Import policy configurations—CSO 支持从新一代防火墙设备导入策略配置。支持以下功能：

  • 通过棕地部署为企业客户管理新一代防火墙站点。

  • 在载入 NGFW 设备时发现现有策略配置（不启用 ZTP）。

  • 从防火墙和 NAT 策略页面导入策略配置。

  • 导入到 CSO 后部署策略。

您可以使用客户门户在 CSO 中添加 NGFW 站点来启用 NGFW 部署。分配给 NGFW 站点的租户必须具有可用的 NGFW 服务。要添加 NGFW 服务，租户管理员需要在载入过程中将 NGFW 服务包含在租户配置中。