Acerca de IBM Cloud Gateway Appliance
IBM Cloud® Gateway Appliances le permite direccionar de forma selectiva el tráfico de red privada y pública a través de un cortafuegos de nivel empresarial con todas las características de software de Ciena Vyatta NOS, Junos OS de Juniper o cualquier sistema operativo autoinstalado (BYOGWA) de su elección. Estas características incluyen la protección de red utilizando políticas de cortafuegos personalizadas, túneles IPSec VPN y acceso remoto, SSL VPN, direccionamiento dinámico (BGP/OSPF), túneles GRE, NAT de origen y destino personalizable, prestaciones generales de resolución de problemas de red y prestaciones ampliadas para integrar un cortafuegos alojado en la nube personalizable, direccionador y pasarela VPN en la infraestructura de red existente. Ciertos aparatos también ofrecen características aún más avanzadas enfocadas a la seguridad, como IPS, WAF, Deep Packet Inspección y Antivirus.
Los dispositivos proporcionan rendimiento, facilidad de configuración y ventajas de mantenimiento con la simplicidad de ejecutarse en un servidor nativo. El hardware tiene el tamaño para manejar la carga de direccionamiento y de seguridad para varias VLAN y puede ordenarse con enlaces de red redundantes y matrices RAID redundantes. El cliente gestiona todas las características del dispositivo.
Tanto Juniper vSRX Standard como Virtual Router Appliance (VRA) se ofrecen en dos modalidades distintas: como dispositivo autónomo o como clúster de alta disponibilidad (HA).
Cortafuegos
Los dispositivos IBM Cloud Gateway Appliance protegen su entorno frente a amenazas externas e internas mediante el filtrado del tráfico tanto privado como público. Los clientes pueden gestionar dispositivos ellos mismos mediante la definición de políticas y reglas para permitir o denegar (entre otras acciones) el tráfico de red de entrada o de salida, protegiendo sus aplicaciones frente a usuarios internos y externos. Tanto las pilas IPv4 como las pilas IPv6 reciben soporte con estado.
Pasarela de red privada virtual (VPN)
Conecte su centro de datos u oficina local a IBM Cloud mediante un túnel VPN suministrando su vSRX o VRA como dispositivo de pasarela de red. Puede utilizar un túnel VPN de sitio a sitio de IPsec para establecer una comunicación segura entre la oficina o el centro de datos de su empresa y la red de IBM Cloud. También se da soporte a VPN IPsec de acceso remoto.
Conversiones de dirección de red (NAT)
Con IBM Cloud Gateway Appliances, puede suministrar servidores de aplicaciones y de bases de datos sin interfaces de red pública, y seguir permitiendo el acceso de los servidores a Internet mediante NAT de origen. También puede ocultar los servidores detrás del dispositivo de pasarela con NAT de destino para mejorar la seguridad.
Direccionamiento de nivel empresarial
Para aplicaciones de varios niveles en distintas redes aisladas, los dispositivos le permiten establecer conectividad entre dichas redes con mayor flexibilidad. Puede configurar el direccionamiento dinámico mediante el protocolo de pasarela fronteriza (BGP - Border Gateway Protocol), lo que le permitirá anunciar su propio espacio de IP pública a los direccionadores de IBM Cloud. BGP también ofrece más flexibilidad para las configuraciones de red privada personalizadas cuando se utiliza una combinación de túneles y soluciones de enlace directo.
Rol de las VLAN y del dispositivo de pasarela
Una VLAN (LAN virtual) es un mecanismo que segrega una red física en muchos segmentos virtuales. Por su comodidad, el tráfico de varias VLAN seleccionadas puede suministrarse mediante un solo cable de red, proceso comúnmente denominado "conexión troncal".
Los dispositivos IBM Cloud Gateway Appliance se gestiona en dos interfaces distintas: el servidor o servidores de dispositivo de pasarela y el elemento fijo. El servidor de dispositivo de pasarela proporciona una interfaz (GUI y API) para seleccionar las VLAN que desea asociar a vSRX o VRA. La asociación de una VLAN con un dispositivo de pasarela redirecciona (o define "redes troncales") dicha VLAN y todas sus subredes a su dispositivo, lo que le ofrece control sobre el filtrado, el reenvío y la protección. Solo se puede acceder a los servidores de una VLAN asociada desde otras VLAN pasando por el dispositivo; no es posible rodear el dispositivo a no ser que se omita o desasocie la VLAN.
De forma predeterminada, un dispositivo de pasarela nuevo está asociado con dos VLAN de "tránsito" no extraíbles, cada una para las correspondientes redes públicas y privadas. Estas redes se suelen utilizar para la administración y pueden protegerse por separado mediante mandatos del dispositivo de pasarela.
vSRX o VRA solo pueden gestionar las VLAN que están asociadas con ellos mediante el dispositivo de pasarela.
Para obtener información acerca de cómo gestionar VLAN desde la pantalla Detalles de dispositivos de pasarela, consulte el tema Gestionar VLAN.