テナント管理者向けのSD-WANおよびNGFWワークフロー

このトピックでは、テナント管理者がカスタマーポータルで実行できる SD-WAN および次世代ファイアウォール(NGFW)ワークフローに関する情報を提供します。

メモ：

開始する前に、アカウントが有効になっていることを確認してください。

テナント管理者は、SD-WAN または NGFW サービスを導入できます。

SD-WAN導入ワークフロー

SD-WANサービスを展開すると、CSOで指定した基準に基づいて、CSOが最適なパスをインテリジェントにトラフィックをルーティングします。例えば、ミッションクリティカルなアプリケーションデータがMPLSリンク(信頼性と安全性の高いパス)を介して送信され、ミッションクリティカルではないアプリケーションデータがインターネットリンク(ベストエフォート、非セキュアパス)を介して送信されるようにすることができます。また、CSOはロードバランシングを自動的に実行し、ネットワーク輻輳を管理して、トラフィックを効率的にルーティングします。

SD-WAN を導入するには、次の手順にいます。

カスタマーポータルにログインします。
SD-WAN の場合、1 つ以上のプロバイダハブサイト、1 つ以上のエンタープライズハブサイト、またはプロバイダーハブサイトとエンタープライズハブサイトの組み合わせを追加できます。SD-WAN Essentialsサービスでは、プロバイダハブサイトを1つ、エンタープライズハブサイトを1つ、またはプロバイダーハブサイトとエンタープライズハブサイトを1つ組み合わせて追加できます。
- 1 つ以上のプロバイダハブサイトを追加します。 SD-WAN導入におけるプロバイダハブサイトの追加を参照してください。
- 1 つ以上のエンタープライズハブサイトを追加します。SD-WAN機能を使用したエンタープライズハブの追加を参照してください
  
  CSO リリース 6.0.0 以降、ZTP プロセスが簡素化され、デバイスとサービスのプロビジョニングプロセスが分離され、迅速な導入が可能になります。サービスを適用せずにサイトを追加してから、サイトを編集して後で SD-WAN サービスを追加できます。「サービスをプロビジョニングせずに支社/拠点またはエンタープライズハブサイトを追加する」を参照してください。
  
  メモ：
  CSO リリース 6.0.0 以降、SD-WAN 導入シナリオではハブサイトの追加はオプションです。
エンタープライズハブサイトを追加した場合は、エンタープライズハブサイトの後処理タスクを実行します。 Enterprise Hub および SD-WAN スポークサイトのプロビジョニング後のタスクを参照してください。
1 つ以上の SD-WAN ブランチサイトを追加します。 SD-WAN ブランチサイトの追加を参照してください。SD-WAN サービスを適用せずにサイトを追加するには、「サービスをプロビジョニングせずに支社/拠点またはエンタープライズハブサイトを追加する」を参照してください。
SD-WAN ブランチサイトの後処理タスクを実行します。 Enterprise Hub および SD-WAN スポークサイトのプロビジョニング後のタスクを参照してください。
(オプション)クラウドスポークサイトを設定します。 SD-WAN導入のためのクラウドスポークサイトの追加

SD-WAN サイトとデバイスを監視します。

ご覧になりたい方は	その後
サイト、WANオーバーレイとアンダーレイのリンク、ポリシー、デバイスに関する一般的な情報	サイト管理>>リソース `Site-Name` 詳細については、「サイトの管理」を参照してください。
デバイスに関する一般的な情報、および最近のアラートとアラームの表示	デバイス `Device-Name`>>リソース。詳細については、「単一 CPE デバイスの管理」を参照してください。
SD-WAN CPE またはエンタープライズハブデバイスによって生成されるアラート	>アラートの監視詳細については、「生成されたアラート」ページについてを参照してください。
SD-WAN CPE またはエンタープライズハブデバイスからアラームが発生する	>アラームの監視詳細については、「アラームページについて」を参照してください。
定義された SLA 値を満たしており、満たしていないテナントのサイトの SLA パフォーマンス	アプリケーションSLAパフォーマンス>監視詳細については、「概要 - 単一テナントページの SLA パフォーマンスとサイトの SLA パフォーマンスの表示」を参照してください。
セッション、消費帯域幅、リスクレベルなどのアプリケーション	>アプリケーションの可視化を監視詳細については、「アプリケーションの可視化」ページについてを参照してください。
ネットワーク上のデバイス(広帯域を消費するアプリケーションにアクセスし、より多くのセッション数を確立する上位 50 台のデバイスなど)	>ユーザーの可視性を監視詳細については、「ユーザーの可視化」ページについてを参照してください。
別のサイトからのトラフィックログを表示する	>トラフィックログの監視詳細については、「トラフィックログページについて」を参照してください。
事前定義されたレポート定義、またはカスタムレポート定義を作成して、SD-WANパフォーマンス、テナントパフォーマンス、およびサイトパフォーマンスレポートを生成	レポート>レポート定義詳細については、「 SD-WAN レポート定義ページについて」を参照してください。

NGFWの導入ワークフロー

支社サイトに NGFW サービスを導入する場合、SRX シリーズ NGFW デバイスを CPE として使用して、このサイトでネットワークセキュリティを実装できます。NGFWサービスを使用するために既存のネットワークインフラストラクチャを変更する必要はありません。SRX シリーズ NGFW デバイスを OAM ハブに接続して監視と管理を行う必要があります。

NGFWサービスを展開するには::

(オプション)設定テンプレートをカスタマイズします。「設定テンプレートについて」ページを参照してください。
(オプション)デバイステンプレートをカスタマイズします。「デバイステンプレートについて」を参照してください。
次世代ファイアウォールサイトを追加します。スタンドアロンの次世代ファイアウォールサイトを追加します。

CSO リリース 6.0.0 以降、ZTP プロセスが簡素化され、デバイスとサービスのプロビジョニングプロセスが分離され、迅速な導入が可能になります。サービスを適用せずにサイトを追加してから、サイトを編集して後で NGFW サービスを追加できます。「サービスをプロビジョニングせずに支社/拠点またはエンタープライズハブサイトを追加する」を参照してください。
デバイスライセンスのアップロードとインストール(プッシュ)を行います。デバイスライセンスファイルの追加とデバイスライセンスファイルのプッシュを参照してください。
署名データベースをインストールします。「手動による署名のインストール」を参照してください。
アクティブ化プロセス中にポリシーをインポートすることを指定した場合、インポートしたポリシーをCSOに展開する必要があります。
- ファイアウォールポリシーがインポートされた場合は、ファイアウォールポリシーを展開します。
- NATポリシーがインポートされた場合は、NATポリシーを展開します。
サイトアクティベーションの一環としてポリシーをインポートしなかった場合は、手動でポリシーをインポートし、ポリシーを展開できます。
1. ファイアウォールポリシーをインポートするには、[ファイアウォールポリシー] ページ (構成>ファイアウォール > ファイアウォールポリシー) に移動し、[インポート] をクリックします。
2. NATポリシーをインポートするには、NATポリシーページ(NATの構成>NAT>NATポリシー)にアクセスし、「インポート」をクリックします。
3. ファイアウォールポリシーとNATポリシーを導入します。
(オプション)次世代ファイアウォールでコンテンツセキュリティを設定します。コンテンツセキュリティプロファイルの作成を参照してください。
(オプション)次世代ファイアウォールサイトで SSL プロキシを設定します。 SSLプロキシー・ポリシー・インテントの作成を参照してください。
(オプション)次世代ファイアウォールに侵入防御システム(IPS)を設定します。 IPS プロファイルの作成を参照してください。
ファイアウォールポリシーとゾーンベースのインテントを追加し、ファイアウォールポリシーを導入します。ファイアウォールポリシーの追加を参照してください
(オプション)NAT ポリシーとルールを追加し、NAT ポリシーを導入します。 NATポリシーの作成と NATポリシーの導入を参照してください。

NGFWのサイトとデバイスを監視します。

ご覧になりたい方は	その後
サイト、WANオーバーレイとアンダーレイのリンク、ポリシー、デバイスに関する一般的な情報	サイト管理>>リソース `Site-Name` 詳細については、「サイトの管理」を参照してください。
デバイスに関する一般的な情報、および最近のアラートとアラームの表示	デバイス`Device-Name`>>リソース。詳細については、「単一 CPE デバイスの管理」を参照してください。
SD-WAN CPE またはエンタープライズハブデバイスによって生成されるアラート	>アラートの監視詳細については、「生成されたアラート」ページについてを参照してください。
SD-WAN CPE またはエンタープライズハブデバイスからアラームが発生する	>アラームの監視詳細については、「アラームページについて」を参照してください。
定義された SLA 値を満たしており、満たしていないテナントのサイトの SLA パフォーマンス	アプリケーションSLAパフォーマンス>監視詳細については、「概要 - 単一テナントページの SLA パフォーマンスとサイトの SLA パフォーマンスの表示」を参照してください。
セッション、消費帯域幅、リスクレベルなどのアプリケーション	>アプリケーションの可視化を監視詳細については、「アプリケーションの可視化」ページについてを参照してください。
ネットワーク上のデバイス(広帯域を消費するアプリケーションにアクセスし、より多くのセッション数を確立する上位 50 台のデバイスなど)	>ユーザーの可視性を監視詳細については、「ユーザーの可視化」ページについてを参照してください。
別のサイトからのトラフィックログを表示する	>トラフィックログの監視詳細については、「トラフィックログページについて」を参照してください。
事前定義されたレポート定義、またはカスタムレポート定義を作成して、SD-WANパフォーマンス、テナントパフォーマンス、およびサイトパフォーマンスレポートを生成	レポート>レポート定義詳細については、「 SD-WAN レポート定義ページについて」を参照してください。
次世代ファイアウォールデバイスによって生成されるトラフィックログ	>セキュリティイベント>トラフィックログの監視。詳細については、「トラフィックログページについて」を参照してください。
ネットワーク内のセキュリティイベントの概要と詳細ビュー	すべてのイベント>>セキュリティイベントを監視詳細については、「すべてのセキュリティイベント」ページについてを参照してください。
ファイアウォール関連のセキュリティイベントの概要と詳細ビュー	ファイアウォール>セキュリティイベント>監視します。詳細については、「ファイアウォールイベントについて」ページを参照してください。
Web フィルタリングに関連するセキュリティイベントの概要と詳細ビュー	Webフィルタリング>セキュリティイベント>監視詳細については、「 Web フィルタリングイベント」ページについてを参照してください。
IPsec VPNに関連するセキュリティイベントの概要と詳細ビュー	IPsec VPN>セキュリティイベント>監視詳細については、「 IPsec VPNイベント」ページについてを参照してください。
コンテンツフィルタリングに関連するセキュリティイベントの概要と詳細ビュー	コンテンツフィルタリング>セキュリティイベント>監視詳細については、「コンテンツフィルタリングイベント」ページについてを参照してください。
スパムに関連するセキュリティイベントの概要と詳細ビュー	アンチスパム>セキュリティイベント>監視詳細については、「アンチスパムイベント」ページについてを参照してください。
ウィルスに関連するセキュリティイベントの概要と詳細ビュー	> セキュリティイベント>ウィルス対策を監視詳細については、「ウィルス対策イベントについて」ページを参照してください。
IPS に関連するセキュリティイベントの概要と詳細ビュー	IPS>セキュリティイベント>監視詳細については、 IPS イベントページについてを参照してください。
次世代ファイアウォールデバイスで構成された画面オプションの結果として発生するサマリーおよび詳細ビューの画面イベント	画面>セキュリティイベント>監視詳細については、「画面イベントについて」ページを参照してください。
地域間の送受信する脅威、ブロックされた脅威と許可された脅威イベントの表示など	>脅威マップの監視(ライブ) 詳細については、「脅威マップ(ライブ)」ページについてを参照してください。