vSRX 虚拟防火墙概述
总结 在本主题中,您将了解 vSRX 虚拟防火墙架构及其优势。
vSRX 虚拟防火墙是一种虚拟安全设备,可在虚拟化私有云或公共 云 环境的外围或边缘提供安全和网络服务。vSRX 虚拟防火墙在标准 x86 服务器上作为虚拟机 (VM) 运行。vSRX 虚拟防火墙基于 Junos 操作系统 (Junos OS) 构建,提供与 SRX 系列防火墙软件版本类似的网络和安全功能。
vSRX 虚拟防火墙为您提供完整的新一代防火墙 (NGFW) 解决方案,包括核心防火墙、VPN、NAT、高级第 4 层到第 7 层安全服务(如应用程序安全、入侵检测和防御 (IPS))以及内容安全功能(包括增强型 Web 过滤和防病毒)。vSRX 虚拟防火墙与 ATP 云相结合,提供基于云的高级反恶意软件服务及动态分析功能,可抵御复杂的恶意软件,并提供内置机器学习功能,以提高判定效率并缩短修复时间。
图 1 显示了高级体系结构。
vSRX 虚拟防火墙包括构成数据平面的 Junos 控制平面 (JCP) 和数据包转发引擎 (PFE) 组件。vSRX 虚拟防火墙对 JCP 使用一个虚拟 CPU (vCPU),对 PFE 使用至少一个虚拟 CPU。从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,多核 vSRX 虚拟防火墙支持扩展 vCPU 和虚拟 RAM (vRAM)。其他 vCPU 将应用于数据平面以提高性能。
Junos OS 在 vSRX 虚拟防火墙上作为虚拟机运行。Junos OS 没有对 NIC 的直接访问权限,只有虚拟机管理程序提供的虚拟 NIC 访问权限,该访问可能与在同一主机上运行的其他 VM 共享。这种虚拟访问带有某些限制,例如称为信任模式的特殊模式,由于可能存在的安全问题,模式访问可能不可行。为了使 RETH 模型能够在此类环境中工作,修改了 MAC 重写行为 我们不是将父虚拟 MAC 地址复制到子项,而是保持子项的物理 MAC 地址不变,并复制属于活动项的子项的物理 MAC 地址;节点连接到 reth 接口的当前 MAC。这样,当禁用信任模式时,不需要 MAC 重写访问权限。
为 VF(虚拟功能)设置信任模式,使主机能够在运行时更改客户机的 MAC 地址。这有助于 vSRX 虚拟防火墙接口发现多个 IPv6 邻居,并在扩展条件下获得更好的性能。vSRX 虚拟防火墙接口上的 ND 学习仅限于 10 个 IPv6 邻居。对于 VF 信任模式的 Linux 设置,请在主机上运行 ip link set dev enp134s0f1 vf 0 trust on 命令。
验证配置:
user@host:~# IP 链接
enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000
link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff
vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.
好处
标准 x86 服务器上的 vSRX 虚拟防火墙使您能够快速引入新服务,为客户提供定制服务,并根据动态需求扩展安全服务。vSRX 虚拟防火墙是公有云、私有云和混合云环境的理想选择。
在虚拟化私有云或公共云多租户环境中,vSRX 虚拟防火墙的一些主要优势包括:
租户边缘的状态防火墙保护
更快地将虚拟防火墙部署到新站点
能够在各种虚拟机管理程序和公共云基础架构上运行
全面的路由、 VPN、核心安全和网络功能
应用程序安全功能(包括 IPS 和应用程序安全)
内容安全功能(包括防病毒、Web 过滤、反垃圾邮件和内容过滤)
使用 Junos Space Security Director 进行集中管理,通过 J-Web 界面进行本地管理
瞻博网络瞻博网络高级威胁防御云(ATP 云)集成