Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entenda o firewall virtual vSRX com VMware

Esta seção apresenta uma visão geral do firewall virtual vSRX no VMware

Visão geral do firewall virtual vSRX

O firewall virtual vSRX é um dispositivo de segurança virtual que fornece serviços de segurança e rede no perímetro ou borda em ambientes virtualizados de nuvem privada ou pública. O firewall virtual vSRX é executado como uma máquina virtual (VM) em um servidor x86 padrão. O firewall virtual vSRX é construído no sistema operacional Junos (Junos OS) e oferece recursos de rede e segurança semelhantes aos disponíveis nas versões de software para firewalls da Série SRX.

O firewall virtual vSRX oferece uma solução completa de firewall de próxima geração (NGFW), incluindo firewall de núcleo, VPN, NAT, serviços avançados de segurança de Camada 4 a Camada 7, como segurança de aplicativos, detecção e prevenção de invasões (IPS) e recursos de segurança de conteúdo, incluindo filtragem aprimorada de Web e antivírus. Combinado com o ATP Cloud, o firewall virtual vSRX oferece um serviço avançado anti-malware baseado em nuvem com análise dinâmica para proteger contra malwares sofisticados, e fornece aprendizado de máquina integrado para melhorar a eficácia do veredicto e diminuir o tempo de correção.

A Figura 1 mostra a arquitetura de alto nível.

Figura 1: arquitetura vSRX Virtual Firewall Architecture de firewall virtual vSRX

O firewall virtual vSRX inclui o plano de controle Junos (JCP) e os componentes do mecanismo de encaminhamento de pacotes (PFE) que compõem o plano de dados. O firewall virtual vSRX usa uma CPU virtual (vCPU) para o JCP e pelo menos um vCPU para o PFE. A partir do Junos OS Release 15.1X49-D70 e do Junos OS Release 17.3R1, o firewall virtual vSRX multi-core oferece suporte ao dimensionamento de vCPUs e RAM virtual GB (vRAM). VCPUs adicionais são aplicadas ao plano de dados para aumentar o desempenho.

O Junos OS Release 18.4R1 oferece suporte a uma nova arquitetura de software vSRX Virtual Firewall 3.0 que remove o sistema operacional duplo e o requisito de virtualização aninhada da arquitetura de firewall virtual vSRX existente.

Na arquitetura vSRX Virtual Firewall 3.0, o FreeBSD 11.x é usado como o sistema operacional convidado e o mecanismo de roteamento e o mecanismo de encaminhamento de pacotes são executados no FreeBSD 11.x como uma única máquina virtual para melhorar o desempenho e a escalabilidade. O firewall virtual vSRX 3.0 usa DPDK para processar os pacotes de dados no plano de dados. Um upgrade direto do Junos do firewall virtual vSRX para o software vSRX Virtual Firewall 3.0 não é suportado.

O firewall virtual vSRX 3.0 tem os seguintes aprimoramentos em comparação com o firewall virtual vSRX:

  • Removeu a restrição de exigir suporte AV aninhado em hipervisores.

  • Removeu a restrição de exigir que portas conectadas ao plano de controle tivessem o modo Promíscuo ativado.

  • Melhor tempo de inicialização e maior responsividade do plano de controle durante as operações de gerenciamento.

  • Migração ao vivo aprimorada.

A Figura 2 mostra a arquitetura de software de alto nível para firewall virtual vSRX 3.0

Figura 2: arquitetura vSRX Virtual Firewall 3.0 vSRX Virtual Firewall 3.0 Architecture

Benefícios e casos de uso do firewall virtual vSRX

O firewall virtual vSRX nos servidores x86 padrão permite que você introduza rapidamente novos serviços, entregue serviços personalizados aos clientes e dimensione serviços de segurança com base nas necessidades dinâmicas. O firewall virtual vSRX é ideal para ambientes de nuvem públicas, privadas e híbridas.

Alguns dos principais benefícios do firewall virtual vSRX em um ambiente multilocatário virtualizado de nuvem privada ou pública incluem:

  • Proteção de firewall stateful na borda do tenant

  • Implantação mais rápida de firewalls virtuais em novos sites

  • Capacidade de executar em cima de vários hipervisores e infraestruturas de nuvem pública

  • Roteamento completo, VPN, segurança de núcleo e recursos de rede

  • Recursos de segurança de aplicativos (incluindo IPS e App-Secure)

  • Recursos de segurança de conteúdo (incluindo antivírus, filtragem de web, anti spam e filtragem de conteúdo)

  • Gerenciamento centralizado com o Junos Space Security Director e o gerenciamento local com a J-Web Interface

  • Integração da Juniper Networks Juniper Advanced Threat Prevention Cloud (ATP Cloud)

Firewall virtual vSRX na implantação do VMWare ESXi

VMware vSphere é um ambiente de virtualização para sistemas que oferecem suporte à arquitetura x86. O VMware ESXi® é o hipervisor usado para criar e executar máquinas virtuais (VMs) e dispositivos virtuais em uma máquina de host. O VMware vCenter Server® é um serviço que gerencia os recursos de vários hosts ESXi.

O VMware vSphere Web Client é usado para implantar o VM de firewall virtual vSRX.

A Figura 3 mostra um exemplo de como o firewall virtual vSRX pode ser implantado para fornecer segurança para aplicativos em execução em uma ou mais máquinas virtuais. O switch virtual de firewall virtual vSRX tem uma conexão com um adaptador físico (o uplink) para que todo o tráfego de aplicativos flua pelo VM do firewall virtual vSRX para a rede externa.

Figura 3: Exemplo da implantação Example of vSRX Virtual Firewall Deployment do firewall virtual vSRX

O firewall virtual vSRX amplia o desempenho

A Tabela 1 mostra o firewall virtual vSRX dimensionar o desempenho com base no número de vCPUs e vRAM aplicados a um VM de firewall virtual vSRX. A tabela descreve a versão do Junos OS na qual foi introduzida uma especificação de software específica para a implantação do firewall virtual vSRX no VMware. Você precisará baixar uma versão específica do Junos OS para aproveitar determinados recursos de desempenho scale up.

Tabela 1: o firewall virtual vSRX amplia o desempenho

vCPUs

Vram

Nics

Versão do Junos OS lançada

2 vCPUs

4 GB

  • SR-IOV (Intel 82599, X520/X540)

  • VMNET3

Junos OS Versão 15.1X49-D15 e Junos OS Versão 17.3R1

5 vCPUs

8 GB

  • SR-IOV (Intel 82599, X520/X540)

  • VMNET3

Junos OS Versão 15.1X49-D70 e Junos OS Versão 17.3R1

9 vCPUs

16 GB

  • SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

Nota:

O SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) é necessário para dimensionar o desempenho e a capacidade de um firewall virtual vSRX para 9 vCPUs e vRAM de 16 GB.

Versão do Junos OS 18.4R1

17 vCPUs

32 GB

  • SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)

Nota:

O SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro e Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) é necessário para dimensionar o desempenho e a capacidade de um firewall virtual vSRX para 17 vCPUs e vRAM de 32 GB.

Versão do Junos OS 18.4R1

1 vCPU

4 GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão do Junos OS 21.2R1

4 vCPUs

8 GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão do Junos OS 21.2R1

8 vCPUs

16GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão do Junos OS 21.2R1

16 vCPUs

32 GB

SR-IOV nos adaptadores da família Mellanox ConnectX-3 e ConnectX-4.

Versão do Junos OS 21.2R1

Você pode dimensionar o desempenho e a capacidade de uma instância do firewall virtual vSRX aumentando o número de vCPUs e a quantidade de vRAM alocada no firewall virtual vSRX. O firewall virtual vSRX multi-core seleciona automaticamente os valores apropriados de vCPUs e vRAM na hora do inicialização, bem como o número de filas de Escala Lateral de Recebimento (RSS) na NIC. Se as configurações de vCPU e vRAM alocadas em uma VM de firewall virtual vSRX não corresponderem ao que está disponível atualmente, o firewall virtual vSRX se reduzirá ao valor mais próximo suportado para a instância. Por exemplo, se um VM vM de firewall virtual vSRX tiver 3 vCPUs e 8 GB de vRAM, o firewall virtual vSRX vai até o menor tamanho de vCPU, o que requer um mínimo de 2 vCPUs. Você pode dimensionar uma instância de firewall virtual vSRX para um número maior de vCPUs e quantidade de vRAM, mas você não pode reduzir uma instância de firewall virtual vSRX existente para uma configuração menor.

Nota:

O número de filas RSS normalmente combina com o número de vCPUs de plano de dados de uma instância de firewall virtual vSRX. Por exemplo, um firewall virtual vSRX com 4 vCPUs de plano de dados deve ter 4 filas RSS.

Aumento da capacidade da sessão de firewall virtual vSRX

A solução de firewall virtual vSRX é otimizada para aumentar os números de sessão aumentando a memória.

Com a capacidade de aumentar os números de sessão aumentando a memória, você pode habilitar o firewall virtual vSRX a:

  • Forneça segurança altamente escalável, flexível e de alto desempenho em locais estratégicos da rede móvel.

  • Entregue o desempenho que os provedores de serviços precisam para dimensionar e proteger suas redes.

Execute o show security flow session summary | grep maximum comando para ver o número máximo de sessões.

A partir do Junos OS Release 18.4R1, o número de sessões de fluxo suportadas em uma instância do firewall virtual vSRX é aumentado com base no tamanho da vRAM usada.

A partir do Junos OS Release 19.2R1, o número de sessões de fluxo suportadas em uma instância do firewall virtual vSRX 3.0 é aumentado com base no tamanho da vRAM usada.

A Tabela 2 lista a capacidade da sessão de fluxo.

Tabela 2: Firewall virtual vSRX e firewall virtual vSRX 3.0 Detalhes da capacidade da sessão de fluxo

vCPUs

Memória

Capacidade de sessão de fluxo

2

4 GB

0,5 M

2

6 GB

1 M

2/5

8 GB

2 M

2/5

10 GB

2 M

2/5

12 GB

2,5 M

2/5

14 GB

3 M

2/5/9

16 GB

4 M

2/5/9

20 GB

6 M

2/5/9

24 GB

8 M

2/5/9

28 GB

10 M

2/5/9/17

32 GB

12 M

2/5/9/17

40 GB

16 M

2/5/9/17

48 GB

20 M

2/5/9/17

56 GB

24 M

2/5/9/17

64 GB

28 M

Tabela de histórico de lançamento
Lançamento
Descrição
19.2R1
A partir do Junos OS Release 19.2R1, o número de sessões de fluxo suportadas em uma instância do firewall virtual vSRX 3.0 é aumentado com base no tamanho da vRAM usada.
18.4R1
A partir do Junos OS Release 18.4R1, o número de sessões de fluxo suportadas em uma instância do firewall virtual vSRX é aumentado com base no tamanho da vRAM usada.
15,1X49-D70
A partir do Junos OS Release 15.1X49-D70 e do Junos OS Release 17.3R1, o firewall virtual vSRX multi-core oferece suporte ao dimensionamento de vCPUs e RAM virtual GB (vRAM). VCPUs adicionais são aplicadas ao plano de dados para aumentar o desempenho.