IBM Cloud Docs
Informationen zu IBM Cloud Gateway Appliance

Informationen zu IBM Cloud Gateway Appliance

IBM Cloud® Gateway-Appliances ermöglichen Ihnen die selektive Weiterleitung von privatem und öffentlichem Netzverkehr über eine voll ausgestattete Firewall auf Unternehmensebene, die auf den Softwarefunktionen von Ciena Vyatta NOS, Juniper Junos OS oder einem beliebigen selbst installierten Betriebssystem (BYOGWA) Ihrer Wahl basiert. Zu diesen Features gehören Netzschutz mit angepassten Firewallrichtlinien, IPSec VPN-Tunnel und Fernzugriff, SSL VPN, dynamisches Routing (BGP/OSPF), GRE-Tunnel, anpassbare Quellen-und Ziel-NAT, allgemeine Fehlerbehebungsfunktionen für Netze und erweiterte Funktionalität für die Integration einer anpassbaren Cloud-gehosteten Firewall, eines Routers und eines VPN-Gateways in Ihre vorhandene Netzinfrastruktur. Bestimmte Appliances bieten auch noch erweiterte sicherheitsorientierte Funktionen wie IPS, WAF, Deep Packet Inspection und Antivirus.

Das Appliance bietet Vorteile in Bezug auf Leistung, leichte Konfiguration und Wartung bei gleichzeitiger einfacher Anwendung auf einem Bare-Metal-Server. Die Hardware hat eine angepasste Größe, um die für das Routing und die Sicherheit erforderliche Arbeitslast mehrerer VLANs zu handhaben, und sie kann mit redundanten Netzlinks und redundanten RAID-Arrays bestellt werden. Alle Appliance-Features werden vom Kunden verwaltet.

Sowohl Juniper vSRX Standard als auch Virtual Router Appliance (VRA) werden in zwei unterschiedlichen Modi angeboten: als eigenständige Lösung und als Hochverfügbarkeitscluster (HA-Cluster).

Firewall

Durch die Bereitstellung von IBM Cloud Gateway Appliance-Einheiten wird Ihre Umgebung vor externen und internen Bedrohungen geschützt, da sowohl der private als auch der öffentliche Datenverkehr gefiltert wird. Kunden können die Appliances selbst verwalten, indem sie Richtlinien und Regeln definieren, um eingehenden oder ausgehenden Netzverkehr zu ermöglichen oder zu verweigern (sowie weitere Aktionen durchzuführen) und so die eigenen Anwendungen vor internen und externen Benutzern zu schützen. Sowohl IPv4- als auch IPv6-Stacks werden statusabhängig unterstützt.

Gateway für Virtual Private Network (VPN)

Verbinden Sie Ihr Rechenzentrum oder Ihre Niederlassung vor Ort mithilfe von VPN-Tunnelung mit IBM Cloud, indem Sie Ihr vSRX oder VRA als Netzgateway-Einheit bereitstellen. Sie können einen IPsec-Site-zu-Site-VPN-Tunnel für die sichere Kommunikation von Ihrem Unternehmensrechenzentrum oder Ihrer Niederlassung zu Ihrem IBM Cloud-Netz verwenden. IPSec-VPN über Fernzugriff wird ebenfalls unterstützt.

Network Address Translation (NAT)

Mithilfe von IBM Cloud Gateway Appliance-Einheiten können Sie Anwendungs- und Datenbankserver ohne Schnittstellen zum öffentlichen Netz bereitstellen und gleichzeitig Ihren Servern über Source NAT weiterhin den Zugriff auf das Internet ermöglichen. Für zusätzliche Sicherheit können Sie Ihre Server auch mithilfe der zielseitigen Netzadressumsetzung (Destination NAT) hinter der Gateway-Einheit verbergen.

Auf Unternehmen abgestimmtes Routing

Bei mehrstufigen Anwendungen in verschiedenen isolierten Netzwerken ermöglichen Ihnen die Appliances eine flexiblere Gestaltung der Konnektivität zwischen diesen Netzwerken. Mithilfe von Border Gateway Protocol (BGP) können Sie dynamisches Routing einrichten, was es Ihnen ermöglicht, den IBM Cloud-Routern gegenüber einen eigenen öffentlichen IP-Bereich zu deklarieren. BGP bietet außerdem größere Flexibilität für angepasste Konfigurationen privater Netze, wenn eine Kombination aus Tunnellösungen und Lösungen mit direkten Verbindungen (Direct Links) verwendet wird.

VLAN-Konzepte und die Rolle der Gateway-Appliance

Ein VLAN (virtuelles LAN) ist ein Mechanismus, mit dem ein physisches Netz in viele virtuelle Segmente aufgliedert wird. Für mehr Komfort kann der Datenverkehr mehrerer ausgewählter VLANs über ein einziges Netzkabel übermittelt werden; dieser Prozess wird allgemein als 'Trunking' bezeichnet.

IBM Cloud Gateway Appliance-Einheiten werden in zwei verschiedenen Schnittstellen verwaltet. Hierbei handelt es sich um einen oder mehrere Gateway-Appliance-Server und die Gateway-Appliance-Einheit. Der Gateway Appliance Server bildet eine Schnittstelle (GUI und API) für die Auswahl der VLANs, die Sie mit Ihrem vSRX oder VRA verknüpfen möchten. Durch die Verknüpfung eines VLANs mit einer Gateway-Appliance werden dieses VLAN und alle seine Subnetze zu Ihrem vSRX umgeleitet (oder "getrunkt"), sodass Sie die Kontrolle über Filterung, Weiterleitung und Schutz behalten. Auf Server in einem zugeordneten VLAN kann von anderen VLANs aus nur über Ihre Appliance zugegriffen werden; es ist nicht möglich, die Appliance zu umgehen, es sei denn, Sie umgehen das VLAN oder heben die zugehörige Zuordnung auf.

Standardmäßig wird eine neue Gateway-Appliance zwei nicht entfernbaren "Transit" -VLANs zugeordnet, jeweils einem für Ihre allgemein zugänglichen und nicht allgemeinen -Netze. Diese Netze werden in der Regel zur Verwaltung verwendet und können mithilfe von Gateway-Appliance-Befehlen separat geschützt werden.

Die Komponente vSRX bzw. VRA kann nur diejenigen VLANs verwalten, die ihr über die Gateway-Appliance zugeordnet wurden.

Weitere Informationen über die Verwaltung von VLANs vom Bildschirm Gateway Appliances Details aus finden Sie im Abschnitt Manage VLANs.