Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

IBM Cloud 上的瞻博网络 vSRX 虚拟防火墙入门

IBM Cloud™ Juniper vSRX 虚拟防火墙允许您通过由 Junos OS 软件功能提供支持的全功能企业级防火墙(如全路由堆栈、QoS 和流量共享、基于策略的路由和 VPN)选择性地路由私有和公共网络流量。

注意:

有关 IBM Cloud™ Juniper vSRX 虚拟防火墙网关的已知限制列表,请参阅 已知限制

IBM Cloud 中的 vSRX 虚拟防火墙概述

vSRX 虚拟防火墙提供性能、易于配置和维护的优势,而且易于在裸机服务器上运行。硬件的大小可处理与多个 VLAN 关联的路由和安全负载,并且可以通过冗余网络链路和冗余 RAID 阵列订购。所有 vSRX 虚拟防火墙功能均由客户管理。

IBM Cloud™ Juniper vSRX 虚拟防火墙有两种不同的模式:独立模式或高可用性 (HA) 群集。

有关 IBM Cloud™ Juniper vSRX 虚拟防火墙的其他文档,请参阅 补充文档

通过部署 vSRX 虚拟防火墙,通过过滤面向私有和公共的流量,保护您的环境免遭外部和内部威胁。客户可以通过定义允许或拒绝(除其他操作外)入站或出站网络流量的策略和规则来管理 vSRX 虚拟防火墙,从而保护其应用程序不受内部和外部方法的侵害。IPv4 和 IPv6 堆栈均以有状态的方式受支持。

通过将 vSRX 虚拟防火墙配置为网络网关设备,使用 VPN 隧道将您的现场数据中心或办公室连接到 IBM Cloud。此外还支持远程访问 IPsec VPN。

有关 VPN 的详细配置,请参阅 VPN

借助 vSRX 虚拟防火墙网关设备,您可以在没有公共网络接口的情况下调配应用程序和数据库服务器,并仍然允许使用源 NAT 访问互联网的服务器。为了增强安全性,您可以使用目标 NAT 保护网关设备后面的服务器。

您可以使用 BGP 设置动态路由,以便向 IBM Cloud 路由器公布您自己的公共 IP 空间。

VLAN(虚拟局域网)是一种将物理网络隔离为多个虚拟分段的机制。为方便起见,来自多个选定 VLAN 的流量可以通过单根网络电缆传输,此过程通常称为“中继”。

vSRX 虚拟防火墙在两个不同的接口中管理:vSRX 虚拟防火墙服务器和网关设备固定装置。只有通过 vSRX 虚拟防火墙才能从其他 VLAN 访问关联 VLAN 中的服务器;除非绕过 VLAN,否则无法规避 vSRX 虚拟防火墙。

默认情况下,新的网关设备会与两个不可移动的“传输”VLAN 相关联,每个 VLAN 分别用于您的公共网络和专用网络。这些网络通常用于管理,并且可以通过 vSRX 虚拟防火墙命令单独进行保护。vSRX 虚拟防火墙可以通过网关设备管理与之关联的 VLAN(仅限)。

有关如何从 网关设备详细信息 屏幕管理 VLAN 的信息,请参阅 管理 VLAN

IBM© Cloud 提供了多种防火墙可供选择。请参阅 “探索防火墙 ”部分,其中对受支持的防火墙解决方案进行了比较,以帮助您选择适合您的防火墙解决方案。

IBM Cloud 中的 vSRX 虚拟防火墙的优势

IBM Cloud 中的 vSRX 虚拟防火墙支持可为您提供以下优势:

  • 您可以使用 IPsec 站点到站点 VPN 隧道实现从企业数据中心或办公室到 IBM Cloud 网络的安全通信。

  • 使您能够更灵活地在不同隔离网络上运行的多层应用程序之间建立连接。

  • 当您使用隧道和直连解决方案的混合解决方案时,BGP 为自定义专用网络配置提供了更大的灵活性。

  • 网关设备提供用于选择要与 vSRX 虚拟防火墙关联的 VLAN 的接口(GUI 和 API)。通过将 VLAN 与网关设备相关联,该 VLAN 及其所有子网将重新路由(或“中继”)到 vSRX 虚拟防火墙,使您能够控制过滤、转发和保护。

选择 vSRX 虚拟防火墙许可证

IBM Cloud™ Juniper vSRX 虚拟防火墙有两种许可证类型:

  • 标准

  • 内容安全捆绑包 (CSB)

每个许可证都包含一组不同的功能和选项,下表概述了这些差异。

注意:

订购 vSRX 虚拟防火墙时,您可以指定许可证类型,也可以更改许可证,请参阅 网关设备详细信息

许可证类型

特征

标准

  • 核心安全:防火墙、ALG、屏幕、用户防火墙

  • IPsec VPN(站点到站点 VPN)

  • Nat

  • 因为

  • 路由服务:BGP、OSPF、DHCP、J-Flow、IPv4

  • 基础:静态路由、管理(J-Web、CLI 和 NETCONF)、本机日志记录、诊断

内容安全捆绑包 (CSB) — 包括所有标准功能,以及下一栏列出的附加功能。

  • AppSecure

    • 应用程序跟踪 (AppTrack)

    • 应用程序防火墙 (AppFW)

    • 应用程序服务质量 (AppQoS)

    • 基于策略的高级路由 (APBR)

    • 应用程序体验质量 (AppQoE)

  • 用户防火墙

  • Ip

  • 内容安全

    • 防病毒

    • 反垃圾邮件

    • Web 过滤

    • 内容过滤

  • SSL 代理

    • SSL 转发代理

    • SSL 反向代理

    • SSL 解密镜像

订购 vSRX 虚拟防火墙

您可以通过执行以下过程订购 IBM Cloud™ Juniper vSRX 虚拟防火墙:

  1. 从浏览器中,打开 IBM Cloud 目录中 的网关设备页面并登录您的帐户。

    您还可以登录 IBM Cloud UI 控制台 并选择 经典基础架构 > 网络 > 网关设备来访问此页面。或者,从 IBM Cloud 目录中,选择 网络类别 ,然后选择 网关设备 磁贴。

  2. 网关供应商下选择瞻博网络 vSRX(最高 1 Gbps)瞻博网络 vSRX(最高 10 Gbps)。

  3. 从许可证 附加组件中选择您的许可证类型(标准版或 CSB)。有关每个许可证提供的功能的信息,请参阅 选择 vSRX 虚拟防火墙 许可证部分。

  4. “网关设备 ”部分,输入您的 主机名域名 。这些字段已填充默认信息,因此请确保值正确。

  5. 检查 高可用性 选项(如果需要),然后从菜单中选择数据中心 位置和特定 Pod

    注意:

    此处仅显示已具有关联 VLAN 的 Pod。如果要在未列出的 Pod 中配置网关设备,请先在那里创建一个 VLAN。

  6. “配置 ”部分,选择处理器的 RAM。如果您想使用它来验证对新网关的访问,您还可以定义一个 SSH 密钥。

    根据您在第 2 步中选择的许可证版本,为您选择合适的处理器。但是,您可以选择不同的 RAM 配置。

  7. 存储磁盘 部分,选择符合存储要求的选项。如果计划运行生成详细日志的网络诊断程序,请保留超过默认磁盘设置。

    RAID0 和 RAID1 选项可用于增加数据丢失防护,热备件(当主组件发生故障时,可立即投入服务的备用组件)也提供保护。每个 vSRX 虚拟防火墙最多可容纳四个磁盘。RAID 配置的“磁盘大小”是可用磁盘大小,因为 RAID 配置会镜像。

  8. 网络接口 部分,选择您的 上行链路端口速度。默认选择为单个接口,但也有冗余和仅专用选项。选择最适合您需求的一种。

    网络接口 Add Ons 部分允许您根据需要选择一个 IPv6 地址,并显示随附的附加默认选项。

  9. 查看您的选择,检查您是否已阅读第三方服务协议,然后单击 “创建”。订单将自动验证。

批准您的订单后,将自动开始配置 IBM Cloud™ Juniper vSRX 虚拟防火墙网关。配置过程完成后,新的 vSRX 虚拟防火墙会出现在 网关设备 列表页面上。单击网关名称以打开“网关详细信息”页面。将显示设备的 IP 地址、登录用户名和密码和密码。请记住,从 IBM Cloud 目录中订购和配置网关后,还必须使用相同的设置配置设备本身。