Hướng dẫn triển khai kiến trúc NGFW sử dụng Firewall SRX Series

Hướng dẫn triển khai kiến trúc NGFW sử dụng Firewall SRX Series

Bài viết này Datech sẽ mô tả và hướng dẫn A/C về kiến trúc triển khai tường lửa thế hệ tiếp theo (NGFW) dành cho NGFW độc lập sử dụng thiết bị Firewall SRX Series.

Kiến trúc NGFW

Kiến trúc NGFW cung cấp các dịch vụ bảo mật mạnh mẽ cho các chi nhánh từ xa, đồng thời đảm bảo kết nối WAN. Khi bạn sử dụng thiết bị dòng SRX tại một site chi nhánh (spoke site) tại chỗ như một NGFW độc lập, các chức năng định tuyến WAN sẽ được thực hiện ngay trên thiết bị SRX đó. Với kiến trúc này, thiết bị SRX có thể thực hiện tất cả các chức năng bảo mật tích hợp sẵn của nó (như tường lửa và NAT), đồng thời cung cấp khả năng quan sát và quản lý các mạng LAN tại các chi nhánh. Hình 1 minh họa thiết bị dòng SRX được kết nối đồng thời với mạng WAN và mạng LAN tại chỗ.

Hình 1: NGFW

Như đã đề cập trước đó, một site NGFW có thể tồn tại độc lập hoặc được mở rộng sau này bằng cách bổ sung các switch LAN dòng EX Series hoặc sử dụng tính năng Virtual Chassis bất cứ lúc nào sau khi đã cấu hình và triển khai.

Thiết bị NGFW

Các thiết bị dòng SRX có thể được sử dụng như tường lửa độc lập và được quản lý bởi CSO (Contrail Service Orchestration) trong mạng LAN của khách hàng. CSO hỗ trợ các thiết bị bảo mật như SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500, SRX4100, SRX4200 cũng như vSRX cho mục đích này. rong kịch bản tường lửa thế hệ tiếp theo (NGFW), thiết bị SRX hoạt động như một thiết bị CPE (Customer Premises Equipment), nhưng không cung cấp các chức năng truyền thông site-to-site hoặc site-to-hub như trong giải pháp SD-WAN.

Lưu ý khi triển khai NGFW

Với kiến trúc NGFW, bạn có thể:

• Kích hoạt kết nối WAN cho các site – Khi bạn cấu hình khả năng dịch vụ NGFW cho một tenant, bất kỳ site nào thuộc tenant đó đều có thể sử dụng thiết bị NGFW như là liên kết WAN quay về hệ thống CSO.
• Kích hoạt tự động kết nối LAN – Thiết bị NGFW có thể cung cấp địa chỉ IP cho mạng LAN kết nối thông qua máy chủ DHCP tích hợp sẵn.
• Tạo chữ ký ứng dụng tùy chỉnh trong chính sách tường lửa – CSO hỗ trợ việc thêm chữ ký ứng dụng tùy chỉnh vào các chính sách tường lửa, ngoài các chữ ký sẵn có trong chính sách SD-WAN.
• Tạo và quản lý chữ ký IPS tùy chỉnh, nhóm tĩnh và nhóm động – Bạn có thể tạo, sửa đổi hoặc xóa các chữ ký hệ thống ngăn chặn xâm nhập (IPS), nhóm tĩnh và nhóm động. Ngoài ra, bạn có thể sao chép các chữ ký IPS (định nghĩa sẵn hoặc tùy chỉnh), nhóm tĩnh và nhóm động để sử dụng trong hồ sơ IPS, nơi chứa một hoặc nhiều quy tắc IPS hoặc quy tắc loại trừ.
• Nhập cấu hình chính sách – CSO hỗ trợ việc nhập cấu hình chính sách từ các thiết bị NGFW, bao gồm:
• Quản lý các site NGFW cho khách hàng doanh nghiệp với hạ tầng hiện có (brown field deployments).
• Phát hiện cấu hình chính sách hiện tại khi thêm thiết bị NGFW vào hệ thống (không cần bật Zero Touch Provisioning - ZTP).
• Nhập cấu hình từ các trang cấu hình chính sách Firewall và NAT.
• Triển khai chính sách sau khi nhập vào hệ thống CSO.

Bạn có thể kích hoạt triển khai NGFW trong CSO thông qua Cổng Khách Hàng (Customer Portal) bằng cách thêm một site NGFW. Tenant được gán cho site NGFW đó phải có dịch vụ NGFW sẵn sàng. Để thêm dịch vụ NGFW, quản trị viên tenant sẽ đưa dịch vụ NGFW vào cấu hình của tenant trong quá trình onboarding (tích hợp ban đầu).

Chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc. Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo!