Entenda o firewall virtual vSRX com VMware
Esta seção apresenta uma visão geral do firewall virtual vSRX no VMware
Visão geral do firewall virtual vSRX
O firewall virtual vSRX é um dispositivo de segurança virtual que fornece serviços de segurança e rede no perímetro ou borda em ambientes virtualizados de nuvem privada ou pública. O firewall virtual vSRX é executado como uma máquina virtual (VM) em um servidor x86 padrão. O firewall virtual vSRX é construído no sistema operacional Junos (Junos OS) e oferece recursos de rede e segurança semelhantes aos disponíveis nas versões de software para firewalls da Série SRX.
O firewall virtual vSRX oferece uma solução completa de firewall de próxima geração (NGFW), incluindo firewall de núcleo, VPN, NAT, serviços avançados de segurança de Camada 4 a Camada 7, como segurança de aplicativos, detecção e prevenção de invasões (IPS) e recursos de segurança de conteúdo, incluindo filtragem aprimorada de Web e antivírus. Combinado com o ATP Cloud, o firewall virtual vSRX oferece um serviço avançado anti-malware baseado em nuvem com análise dinâmica para proteger contra malwares sofisticados, e fornece aprendizado de máquina integrado para melhorar a eficácia do veredicto e diminuir o tempo de correção.
A Figura 1 mostra a arquitetura de alto nível.
O firewall virtual vSRX inclui o plano de controle Junos (JCP) e os componentes do mecanismo de encaminhamento de pacotes (PFE) que compõem o plano de dados. O firewall virtual vSRX usa uma CPU virtual (vCPU) para o JCP e pelo menos um vCPU para o PFE. A partir do Junos OS Release 15.1X49-D70 e do Junos OS Release 17.3R1, o firewall virtual vSRX multi-core oferece suporte ao dimensionamento de vCPUs e RAM virtual GB (vRAM). VCPUs adicionais são aplicadas ao plano de dados para aumentar o desempenho.
O Junos OS Release 18.4R1 oferece suporte a uma nova arquitetura de software vSRX Virtual Firewall 3.0 que remove o sistema operacional duplo e o requisito de virtualização aninhada da arquitetura de firewall virtual vSRX existente.
Na arquitetura vSRX Virtual Firewall 3.0, o FreeBSD 11.x é usado como o sistema operacional convidado e o mecanismo de roteamento e o mecanismo de encaminhamento de pacotes são executados no FreeBSD 11.x como uma única máquina virtual para melhorar o desempenho e a escalabilidade. O firewall virtual vSRX 3.0 usa DPDK para processar os pacotes de dados no plano de dados. Um upgrade direto do Junos do firewall virtual vSRX para o software vSRX Virtual Firewall 3.0 não é suportado.
O firewall virtual vSRX 3.0 tem os seguintes aprimoramentos em comparação com o firewall virtual vSRX:
Removeu a restrição de exigir suporte AV aninhado em hipervisores.
Removeu a restrição de exigir que portas conectadas ao plano de controle tivessem o modo Promíscuo ativado.
Melhor tempo de inicialização e maior responsividade do plano de controle durante as operações de gerenciamento.
Migração ao vivo aprimorada.
A Figura 2 mostra a arquitetura de software de alto nível para firewall virtual vSRX 3.0
Benefícios e casos de uso do firewall virtual vSRX
O firewall virtual vSRX nos servidores x86 padrão permite que você introduza rapidamente novos serviços, entregue serviços personalizados aos clientes e dimensione serviços de segurança com base nas necessidades dinâmicas. O firewall virtual vSRX é ideal para ambientes de nuvem públicas, privadas e híbridas.
Alguns dos principais benefícios do firewall virtual vSRX em um ambiente multilocatário virtualizado de nuvem privada ou pública incluem:
Proteção de firewall stateful na borda do tenant
Implantação mais rápida de firewalls virtuais em novos sites
Capacidade de executar em cima de vários hipervisores e infraestruturas de nuvem pública
Roteamento completo, VPN, segurança de núcleo e recursos de rede
Recursos de segurança de aplicativos (incluindo IPS e App-Secure)
Recursos de segurança de conteúdo (incluindo antivírus, filtragem de web, anti spam e filtragem de conteúdo)
Gerenciamento centralizado com o Junos Space Security Director e o gerenciamento local com a J-Web Interface
Integração da Juniper Networks Juniper Advanced Threat Prevention Cloud (ATP Cloud)
Firewall virtual vSRX na implantação do VMWare ESXi
VMware vSphere é um ambiente de virtualização para sistemas que oferecem suporte à arquitetura x86. O VMware ESXi® é o hipervisor usado para criar e executar máquinas virtuais (VMs) e dispositivos virtuais em uma máquina de host. O VMware vCenter Server® é um serviço que gerencia os recursos de vários hosts ESXi.
O VMware vSphere Web Client é usado para implantar o VM de firewall virtual vSRX.
A Figura 3 mostra um exemplo de como o firewall virtual vSRX pode ser implantado para fornecer segurança para aplicativos em execução em uma ou mais máquinas virtuais. O switch virtual de firewall virtual vSRX tem uma conexão com um adaptador físico (o uplink) para que todo o tráfego de aplicativos flua pelo VM do firewall virtual vSRX para a rede externa.
O firewall virtual vSRX amplia o desempenho
A Tabela 1 mostra o firewall virtual vSRX dimensionar o desempenho com base no número de vCPUs e vRAM aplicados a um VM de firewall virtual vSRX. A tabela descreve a versão do Junos OS na qual foi introduzida uma especificação de software específica para a implantação do firewall virtual vSRX no VMware. Você precisará baixar uma versão específica do Junos OS para aproveitar determinados recursos de desempenho scale up.
vCPUs |
Vram |
Nics |
Versão do Junos OS lançada |
---|---|---|---|
2 vCPUs |
4 GB |
|
Junos OS Versão 15.1X49-D15 e Junos OS Versão 17.3R1 |
5 vCPUs |
8 GB |
|
Junos OS Versão 15.1X49-D70 e Junos OS Versão 17.3R1 |
9 vCPUs |
16 GB |
Nota:
O SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) é necessário para dimensionar o desempenho e a capacidade de um firewall virtual vSRX para 9 vCPUs e vRAM de 16 GB. |
Versão do Junos OS 18.4R1 |
17 vCPUs |
32 GB |
Nota:
O SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) é necessário para dimensionar o desempenho e a capacidade de um firewall virtual vSRX para 17 vCPUs e vRAM de 32 GB. |
Versão do Junos OS 18.4R1 |
1 vCPU | 4 GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4. |
Versão do Junos OS 21.2R1 |
4 vCPUs | 8 GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4. |
Versão do Junos OS 21.2R1 |
8 vCPUs | 16GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4. |
Versão do Junos OS 21.2R1 |
16 vCPUs | 32 GB |
SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4. |
Versão do Junos OS 21.2R1 |
Você pode dimensionar o desempenho e a capacidade de uma instância do firewall virtual vSRX aumentando o número de vCPUs e a quantidade de vRAM alocada no firewall virtual vSRX. O firewall virtual vSRX multi-core seleciona automaticamente os valores apropriados de vCPUs e vRAM na hora do inicialização, bem como o número de filas de Escala Lateral de Recebimento (RSS) na NIC. Se as configurações de vCPU e vRAM alocadas em uma VM de firewall virtual vSRX não corresponderem ao que está disponível atualmente, o firewall virtual vSRX se reduzirá ao valor mais próximo suportado para a instância. Por exemplo, se um VM vM de firewall virtual vSRX tiver 3 vCPUs e 8 GB de vRAM, o firewall virtual vSRX vai até o menor tamanho de vCPU, o que requer um mínimo de 2 vCPUs. Você pode dimensionar uma instância de firewall virtual vSRX para um número maior de vCPUs e quantidade de vRAM, mas você não pode reduzir uma instância de firewall virtual vSRX existente para uma configuração menor.
O número de filas RSS normalmente combina com o número de vCPUs de plano de dados de uma instância de firewall virtual vSRX. Por exemplo, um firewall virtual vSRX com 4 vCPUs de plano de dados deve ter 4 filas RSS.
Aumento da capacidade da sessão de firewall virtual vSRX
A solução de firewall virtual vSRX é otimizada para aumentar os números de sessão aumentando a memória.
Com a capacidade de aumentar os números de sessão aumentando a memória, você pode habilitar o firewall virtual vSRX a:
Forneça segurança altamente escalável, flexível e de alto desempenho em locais estratégicos da rede móvel.
Entregue o desempenho que os provedores de serviços precisam para dimensionar e proteger suas redes.
Execute o show security flow session summary | grep maximum
comando para ver o número máximo de sessões.
A partir do Junos OS Release 18.4R1, o número de sessões de fluxo suportadas em uma instância do firewall virtual vSRX é aumentado com base no tamanho da vRAM usada.
A partir do Junos OS Release 19.2R1, o número de sessões de fluxo suportadas em uma instância do firewall virtual vSRX 3.0 é aumentado com base no tamanho da vRAM usada.
A Tabela 2 lista a capacidade da sessão de fluxo.
vCPUs |
Memória |
Capacidade de sessão de fluxo |
---|---|---|
2 |
4 GB |
0,5 M |
2 |
6 GB |
1 M |
2/5 |
8 GB |
2 M |
2/5 |
10 GB |
2 M |
2/5 |
12 GB |
2,5 M |
2/5 |
14 GB |
3 M |
2/5/9 |
16 GB |
4 M |
2/5/9 |
20 GB |
6 M |
2/5/9 |
24 GB |
8 M |
2/5/9 |
28 GB |
10 M |
2/5/9/17 |
32 GB |
12 M |
2/5/9/17 |
40 GB |
16 M |
2/5/9/17 |
48 GB |
20 M |
2/5/9/17 |
56 GB |
24 M |
2/5/9/17 |
64 GB |
28 M |