Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

IBM Cloud でジュニパー vSRX 仮想ファイアウォールを始める

IBM Cloud™ Juniper vSRX仮想ファイアウォールを使用すると、フルルーティングスタック、QoSおよびトラフィック共有、ポリシーベースルーティング、VPNなどのJunos OSソフトウェア機能を搭載した、フル機能のエンタープライズレベルのファイアウォールを介して、プライベートおよびパブリックネットワークトラフィックを選択的にルーティングできます。

メモ:

IBM Cloud™ Juniper vSRX 仮想ファイアウォール ゲートウェイに関する既知の制限事項の一覧については、「 既知の制限」を参照してください。

IBM Cloud における vSRX 仮想ファイアウォールの概要

vSRX 仮想ファイアウォールは、ベア メタル サーバーでの実行を簡素化することで、パフォーマンス、設定のしやすさ、保守のメリットを実現します。ハードウェアは、複数の VLAN に関連するルーティングとセキュリティーの負荷を処理するようにサイズが設定されており、冗長ネットワーク リンクと冗長 RAID アレイを使用して注文できます。すべての vSRX 仮想ファイアウォール機能は顧客管理です。

IBM Cloud™ Juniper vSRX 仮想ファイアウォールには、スタンドアロン モードと HA(高可用性)クラスターの 2 種類のモードがあります。

IBM Cloud™ Juniper vSRX仮想ファイアウォールの追加資料については、 補足資料を参照してください。

vSRX仮想ファイアウォールは、プライベートとパブリックに面したトラフィックをフィルタリングすることで、外部および内部の脅威から環境を保護するために導入されます。お客様は、インバウンドまたはアウトバウンドのネットワークトラフィックを許可または拒否するポリシーやルール(他のアクションの中でも)を定義することで、vSRX仮想ファイアウォールを自分たちで管理できるため、社内および外部のアプローチからアプリケーションを保護できます。IPv4 および IPv6 スタックはどちらもステートフルな方法でサポートされています。

vSRX 仮想ファイアウォールをネットワーク ゲートウェイ デバイスとしてプロビジョニングすることで、VPN トンネリングを使用して、オンサイトのデータ センターまたはオフィスを IBM Cloud に接続します。リモートアクセスIPsec VPNもサポートされています。

VPN の詳細な構成については、 VPN を参照してください。

vSRX仮想ファイアウォールゲートウェイアプライアンスを使用すると、パブリックネットワークインターフェイスを使用せずにアプリケーションサーバーとデータベースサーバーをプロビジョニングし、ソースNATを使用してサーバーがインターネットにアクセスできるようにします。セキュリティを強化するために、宛先 NAT を使用してゲートウェイ デバイスの背後にあるサーバーを保護できます。

BGP を使用して動的ルーティングを設定し、独自のパブリック IP スペースを IBM Cloud ルーターにアナウンスすることができます。

VLAN(仮想ローカル エリア ネットワーク)とは、物理ネットワークを多数の仮想セグメントに分離するメカニズムです。便宜上、複数の選択した VLAN からのトラフィックは、一般的に「トランキング」と呼ばれるプロセスを使用して、単一のネットワーク ケーブルを介して配信できます。

vSRX 仮想ファイアウォールは、vSRX 仮想ファイアウォール サーバーとゲートウェイ アプライアンス固定具の 2 種類のインターフェイスで管理されます。関連するVLAN内のサーバーに到達できるのは、vSRX仮想ファイアウォールを経由することだけです。VLANをバイパスまたは関連付け解除しない限り、vSRX仮想ファイアウォールを回避することはできません。

デフォルトでは、新しいゲートウェイ アプライアンスは、取り外し不可能な 2 つの「トランジット」VLAN に関連付けられています。VLAN は、それぞれパブリック ネットワークとプライベート ネットワーク用に 1 つずつあります。これらのネットワークは通常、管理に使用され、vSRX 仮想ファイアウォール コマンドによって個別に保護できます。vSRX仮想ファイアウォールは、ゲートウェイアプライアンスを介して関連付けられたVLANを管理できます(のみ)。

[ゲートウェイ アプライアンスの詳細] 画面から VLAN を管理する方法については、「 VLAN の管理」を参照してください。

IBM© Cloud は、複数のファイアウォールの中から選択できます。『 Exploring firewalls』 セクションでは、お客様に適したファイアウォール ソリューションの選択に役立つ、サポート対象のファイアウォール ソリューションの比較をご覧ください。

IBM Cloud における vSRX 仮想ファイアウォールのメリット

IBM Cloud で vSRX 仮想ファイアウォールをサポートすると、次のようなメリットが得られます。

  • IPsec サイト間 VPN トンネルを使用して、エンタープライズ データ センターやオフィスから IBM Cloud ネットワークに安全に通信できます。

  • 異なる独立したネットワーク上で実行される複数階層アプリケーション間の接続を構築する柔軟性を高めます。

  • トンネルとダイレクトリンクソリューションを組み合わせて使用する場合、BGPは、カスタムプライベートネットワーク設定に柔軟性を提供します。

  • ゲートウェイ アプライアンスには、vSRX 仮想ファイアウォールに関連付ける VLAN を選択するためのインターフェイス(GUI および API)が用意されています。VLAN をゲートウェイ アプライアンスの再ルート(または「トランク」)に関連付けることにより、VLAN とそのすべてのサブネットが vSRX 仮想ファイアウォールに再ルートされ、フィルタリング、転送、保護を制御できます。

vSRX 仮想ファイアウォール ライセンスの選択

IBM Cloud™ Juniper vSRX 仮想ファイアウォールには、2 種類のライセンスが用意されています。

  • 標準

  • コンテンツ セキュリティ バンドル(CSB)

各ライセンスには異なる機能とオプションのセットが含まれており、次の表に相違点の概要を示します。

メモ:

vSRX仮想ファイアウォールを注文する際にライセンスタイプを指定することも、ライセンスを変更する場合も、 ゲートウェイアプライアンスの詳細を参照してください。

ライセンス タイプ

機能

標準

  • コア セキュリティ:ファイアウォール、ALG、スクリーン、ユーザー ファイアウォール

  • IPsec VPN(サイト間 VPN)

  • Nat

  • Cos

  • ルーティング サービス:BGP、OSPF、DHCP、J-Flow、IPv4

  • 基盤:静的ルーティング、管理(J-Web、CLI、NETCONF)、オンボックスロギング、診断

コンテンツ セキュリティ バンドル(CSB):すべての標準機能に加え、次の列に示す追加機能も含まれます。

  • AppSecure

    • アプリケーショントラッキング(AppTrack)

    • アプリケーション ファイアウォール(AppFW)

    • AppQoS(アプリケーションサービス品質)

    • 高度なポリシーベースルーティング(APBR)

    • AppQoE(Application Quality of Experience)

  • ユーザーファイアウォール

  • Ips

  • コンテンツセキュリティ

    • ウィルス対策

    • アンチスパム

    • Web フィルタリング

    • コンテンツ フィルタリング

  • SSL プロキシー

    • SSL フォワード プロキシー

    • SSL リバース プロキシー

    • SSL暗号化解除ミラー

vSRX 仮想ファイアウォールの注文

IBM Cloud™ Juniper vSRX 仮想ファイアウォールは、以下の手順で注文できます。

  1. ブラウザーから IBM Cloud カタログ のゲートウェイ・アプライアンス・ページを開き、アカウントにログインします。

    IBM Cloud UI コンソール にログインし、 クラシック インフラストラクチャ > ネットワーク > ゲートウェイ アプライアンスを選択して、このページにアクセスすることもできます。または、 IBM Cloud カタログから 「ネットワーク」カテゴリー を選択し、「 ゲートウェイ・アプライアンス 」タイルを選択します。

  2. ゲートウェイ ベンダーの下で、Juniper vSRX(最大 1 Gbps)または Juniper vSRX(最大 10 Gbps)を選択します。

  3. ライセンス アドオン(標準または CSB)からライセンス タイプを選択します。各ライセンスで提供される機能については、「 vSRX 仮想ファイアウォール ライセンスの選択 」セクションを参照してください。

  4. [ ゲートウェイ アプライアンス ] セクションで、 ホスト名ドメイン 名を入力します。これらのフィールドにはデフォルト情報が既に入力されているため、値が正しいことを確認してください。

  5. 必要に応じて [高可用性 ]オプションをオンにして、データセンターの 場所、メニューに必要な特定の ポッド を選択します。

    メモ:

    ここに表示されるのは、すでにVLANに関連付けられているポッドのみです。表示されないポッドでゲートウェイアプライアンスをプロビジョニングする場合は、まずそこにVLANを作成します。

  6. [ Configuration](構成) セクションからプロセッサのRAMを選択します。SSHキーを使用して新しいゲートウェイへのアクセスを認証する場合は、SSHキーを定義することもできます。

    ステップ 2 で選択したライセンス バージョンに基づいて、適切なプロセッサが選択されます。ただし、異なるRAM設定を選択することはできます。

  7. [ ストレージ ディスク ] セクションで、ストレージ要件を満たすオプションを選択します。詳細なログを生成するネットワーク診断の実行を計画している場合は、既定のディスク設定を超えて予約します。

    RAID0 および RAID1 オプションは、ホット スペア(プライマリ コンポーネントに障害が発生した場合にすぐにサービスに配置できるバックアップ コンポーネント)と同様に、データ損失に対する保護を強化するために利用できます。vSRX 仮想ファイアウォールごとに最大 4 台のディスクを使用できます。RAID構成がミラーリングされるため、RAID構成の「ディスクサイズ」は使用可能なディスクサイズです。

  8. [ ネットワーク インターフェイス] セクションで、 アップリンク ポート速度を選択します。デフォルトの選択は単一のインターフェイスですが、冗長化とプライベートのみのオプションもあります。お客様のニーズに最適なソリューションをお選びください。

    ネットワークインターフェイス アドオン セクションでは、必要に応じてIPv6アドレスを選択でき、追加で含まれるデフォルトオプションが表示されます。

  9. 選択内容を確認し、サードパーティーサービス契約が読み取っていることを確認し、[ 作成] をクリックします。注文は自動的に検証されます。

ご注文が承認されると、IBM Cloud™ Juniper vSRX 仮想ファイアウォール ゲートウェイのプロビジョニングが自動的に開始されます。プロビジョニングプロセスが完了すると、新しいvSRX仮想ファイアウォールが ゲートウェイアプライアンス リストページに表示されます。ゲートウェイ名をクリックして[ゲートウェイの詳細]ページを開きます。デバイスのIPアドレス、ログインユーザー名、パスワードが表示されます。ゲートウェイを IBM クラウド・カタログから注文して構成した後、同じ設定でデバイス自体も構成する必要があることを忘れないでください。