防火墙

vSRX 部署为通过过滤面向专用和面向公共的流量，保护环境免受外部和内部威胁。 客户可以通过定义策略和规则以允许或拒绝（以及执行其他操作）入站或出站网络流量来自行管理 vSRX，从而保护其应用程序免被内部和外部访问。 IPv4 和 IPv6 堆栈均以有状态方式受到支持。

虚拟专用网 (VPN) 网关

通过将 vSRX 作为网关设备供应，使用 VPN 隧道将现场数据中心或办公室连接到 IBM Cloud。 可以使用 IPsec 站点到站点 VPN 隧道来保护从企业数据中心或办公室到 IBM Cloud 网络的通信。 此外，还支持远程访问 IPSEC VPN。

有关 VPN 的详细配置指南，请参阅 使用 VPN 中提供的链接。

网络地址转换 (NAT)

通过 vSRX 网关设备，您可以供应没有公用网络接口的应用程序和数据库服务器，并且仍然允许您的服务器使用 _源 NAT_访问因特网。 为了增强安全性，您可以使用 _目标 NAT_来保护网关设备背后的服务器。

企业级路由

通过 vSRX，您可以更灵活地在运行于不同隔离网络上的多层应用程序之间建立连接。 您可以使用 BGP 设置动态路由，这允许您向 IBM Cloud 路由器公布自己的公共 IP 空间。 此外，BGP 在混合使用隧道和直接链路解决方案时，为定制专用网络配置提供了更大的灵活性。

关于 VLAN 和网关设备角色的概念

VLAN（虚拟局域网）是用于将物理网络划分为多个虚拟分段的机制。 为了方便起见，可以使用通常称为“干线”的过程通过一根网线来传递来自多个所选 VLAN 的流量。

vSRX 在两个不同的接口中进行管理: vSRX 服务器和 Gateway Appliance 夹具。 网关设备提供的界面（GUI 和 API）可用于选择要与 vSRX 关联的 VLAN。 通过将 VLAN 与网关设备相关联，可将 VLAN 及其所有子网重新路由（或“中继”）到 vSRX，从而为您提供对过滤、转发和保护操作的控制权。 只能通过 vSRX从其他 VLAN 访问关联 VLAN 中的服务器。 除非绕过或解除 VLAN 关联，否则无法绕过 vSRX。

缺省情况下，新网关设备与两个不可移动的“传输”VLAN 相关联，每个 VLAN 用于 公用 和 专用 网络。 这些网络通常用于管理，并可由 vSRX 命令单独保护。

vSRX 只能管理通过网关设备与其关联的 VLAN。

有关更多信息，请参阅 使用网关设备管理 VLAN。