关于 IBM Cloud Gateway Appliance
IBM Cloud® Gateway Appliance 允许您通过由 Ciena Vyatta NOS,Juniper 's Junos OS 或您选择的任何自安装操作系统 (BYOGWA) 的软件功能部件支持的全功能企业级防火墙,选择性地路由专用和公用网络流量。 这些功能包括使用定制防火墙策略的网络保护,IPSec VPN 隧道和远程访问,SSL VPN,动态路由 (BGP/OSPF),GRE 隧道,可定制的源和目标 NAT,常规网络故障诊断功能以及将可定制的云托管防火墙,路由器和 VPN 网关集成到现有网络基础结构中的扩展功能。 某些设备还提供更先进的以安全为中心的功能,如 IPS,WAF,Deep Packet Inspection 和 Antivirus。
通过在裸机服务器上运行的简单性,这些设备提供了性能,易于配置和维护优势。 硬件会调整大小,以处理多个 VLAN 的路由/安全负载,并且在订购时可以包含冗余网络链路和冗余 RAID 阵列。 所有设备功能均由客户管理。
Juniper vSRX Standard 和 Virtual Router Appliance (VRA) 均以两种不同的方式提供:单机或高可用性 (HA) 集群。
防火墙
IBM Cloud Gateway Appliance 部署可通过过滤专用和面向公共的流量来保护环境免受外部和内部威胁。 客户可以通过定义策略或规则来自行管理设备,以允许或拒绝入站或出站网络流量(还可以执行其他操作),从而保护其应用程序免受内部和外部用户的攻击。 IPv4 和 IPv6 堆栈均以有状态方式受到支持。
虚拟专用网 (VPN) 网关
通过供应 vSRX 或 VRA 作为网关设备,使用 VPN 隧道将现场数据中心或办公室连接到 IBM Cloud。 您可以使用 IPsec 站点间 VPN 隧道从企业数据中心或办公室到 IBM Cloud 网络的安全通信。 此外,还支持远程访问 IPSEC VPN。
网络地址转换 (NAT)
通过 IBM Cloud 网关设备,您可以供应没有公用网络接口的应用程序和数据库服务器,同时仍允许服务器使用源 NAT 访问因特网。 此外,还可以使用目标 NAT 将服务器隐藏在网关设备后面,以增强安全性。
企业级路由
对于不同隔离网络上的多层应用程序,网关设备支持以更大的灵活性在这些网络之间构建连接。 您可以使用边界网关协议 (BGP) 设置动态路由,这允许您向 IBM Cloud 路由器发布自己的公共 IP 空间。 BGP 在使用隧道和直接链路解决方案的混合时,还为定制专用网络配置提供了更多灵活性。
VLAN 和网关设备的角色
VLAN(虚拟 LAN)是用于将物理网络划分为多个虚拟分段的机制。 为了方便起见,可以通过单一网络电缆来传递来自多个所选 VLAN 的流量,这一过程通常称为“中继”。
IBM Cloud 网关设备在两个不同的接口中进行管理: 网关设备服务器和夹具。 网关设备服务器提供了一个接口 (GUI 和 API),用于选择要与 vSRX 或 VRA 关联的 VLAN。 通过将 VLAN 与 Gateway Appliance 关联,会将该 VLAN 及其所有子网重新路由(或“干线传输”)到您的设备,从而使您能够控制过滤、转发和保护。 关联 VLAN 中的服务器只能通过您的设备从其他 VLAN 进行访问;除非绕过 VLAN 或对其解除关联,否则无法避开您的设备。
缺省情况下,新的网关设备与两个不可移动的“传输”VLAN 相关联,每个 VLAN 用于 公用 和 专用 网络。 这些网络通常用于管理,并且可以通过网关设备命令单独进行保护。
vSRX 或 VRA 只能管理通过网关设备与其关联的 VLAN。
有关如何在网关设备详细信息屏幕中管理 VLAN 的信息,请参阅管理 VLAN 主题。