了解 vSRX 虚拟防火墙与 VMware
本节概述 VMware 上的 vSRX 虚拟防火墙
vSRX 虚拟防火墙概述
vSRX 虚拟防火墙是一款虚拟安全设备,在虚拟化私有云或公共 云 环境中的外围或边缘提供安全和网络服务。vSRX 虚拟防火墙在标准 x86 服务器上作为虚拟机 (VM) 运行。vSRX 虚拟防火墙基于 Junos 操作系统 (Junos OS) 构建,提供的网络和安全功能与 SRX 系列防火墙软件版本上提供的功能类似。
vSRX 虚拟防火墙为您提供完整的新一代防火墙 (NGFW) 解决方案,包括核心防火墙、VPN、NAT、高级第 4 层到第 7 层安全服务(如应用程序安全、入侵检测和防御 (IPS),以及包括增强型 Web 过滤和防病毒在内的内容安全功能。vSRX 虚拟防火墙与 ATP 云相结合,提供基于云的高级反恶意软件服务,具有动态分析功能,可抵御复杂的恶意软件,并提供内置的机器学习来提高判决效力并缩短修复时间。
图 1 显示了高级架构。
vSRX 虚拟防火墙包括组成数据平面的 Junos 控制平面 (JCP) 和数据包转发引擎 (PFE) 组件。vSRX 虚拟防火墙对JCP使用一个虚拟 CPU (vCPU),为 PFE 使用至少一个 vCPU。从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,多核 vSRX 虚拟防火墙支持扩展 vCPU 和 GB 虚拟 RAM (vRAM)。额外的 vCPU 会应用于数据平面,以提高性能。
Junos OS 18.4R1 版支持新的软件架构 vSRX 虚拟防火墙 3.0,消除了现有 vSRX 虚拟防火墙架构的双操作系统和嵌套虚拟化要求。
在 vSRX 虚拟防火墙 3.0 架构中,FreeBSD 11.x 用作访客操作系统,路由引擎和数据包转发引擎作为单个虚拟机在 FreeBSD 11.x 上运行,以提高性能和可扩展性。vSRX 虚拟防火墙 3.0 使用 DPDK 来处理数据平面中的数据包。不支持 Junos 从 vSRX 虚拟防火墙直接升级到 vSRX 虚拟防火墙 3.0 软件。
与 vSRX 虚拟防火墙相比,vSRX 虚拟防火墙 3.0 具有以下增强功能:
消除了要求虚拟机管理程序中支持嵌套虚拟机的限制。
消除了要求连接到控制平面的端口启用混杂模式的限制。
改善了管理操作期间的启动时间并增强了控制平面的响应能力。
改进实时迁移。
图 2 显示了 vSRX 虚拟防火墙 3.0 的高级软件架构
vSRX 虚拟防火墙的优势和用例
标准 x86 服务器上的 vSRX 虚拟防火墙使您能够快速推出新服务,向客户提供定制服务,并根据动态需求扩展安全服务。vSRX 虚拟防火墙是公共云、私有云和混合云环境的理想选择。
vSRX 虚拟防火墙在虚拟化的私有云或公共云多租户环境中具有的一些关键优势包括:
租户边缘的有状态防火墙保护
更快地将虚拟防火墙部署到新站点
能够在各种虚拟机管理程序和公共云基础架构上运行
完整的路由、 VPN、核心安全和网络功能
应用程序安全功能(包括 IPS 和应用程序安全)
内容安全功能(包括防病毒、Web 过滤、反垃圾邮件和内容过滤)
使用 Junos Space Security Director 进行集中管理和使用 J-Web 界面进行本地管理
瞻博网络瞻博网络高级威胁防御云 (ATP 云) 集成
VMWare ESXi 部署上的 vSRX 虚拟防火墙
VMware vSphere 是一个虚拟化环境,适用于支持 x86 架构的系统。VMware ESXi® 是用于在主机上创建和运行虚拟机 (VM) 和虚拟设备的虚拟机管理程序。VMware vCenter 服务器®是管理多个 ESXi 主机的资源的服务。
VMware vSphere Web 客户端用于部署 vSRX 虚拟防火墙虚拟机。
图 3 显示了如何部署 vSRX 虚拟防火墙为一个或多个虚拟机上运行的应用程序提供安全性的示例。vSRX 虚拟防火墙虚拟交换机与物理适配器(上行链路)有连接,因此所有应用程序流量都可以通过 vSRX 虚拟防火墙虚拟机流向外部网络。
示例
vSRX 虚拟防火墙纵向扩展性能
表 1 显示了 vSRX 虚拟防火墙根据应用于 vSRX 虚拟防火墙虚拟机的 vCPU 和 vRAM 数量来纵向扩展性能。下表概述了 Junos OS 版本,其中介绍了用于在 VMware 上部署 vSRX 虚拟防火墙的特定软件规格。您需要下载特定的 Junos OS 版本,以利用某些纵向扩展性能功能。
vCPU |
vRAM |
Nic |
推出 Junos OS 版本 |
|---|---|---|---|
2 个 vCPU |
4 GB |
|
Junos OS 15.1X49-D15 版和 Junos OS 17.3R1 版 |
5 个 vCPU |
8 GB |
|
Junos OS 15.1X49-D70 和 Junos OS 17.3R1 版 |
9 个 vCPU |
16 GB |
注意:
如果您希望将 vSRX 虚拟防火墙的性能和容量扩展到 9 个 vCPU 和 16 GB vRAM,需要 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 和 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)。 |
Junos OS 18.4R1 版 |
17 个 vCPU |
32 GB |
注意:
如果您希望将 vSRX 虚拟防火墙的性能和容量扩展到 17 个 vCPU 和 32 GB vRAM,需要 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 和 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)。 |
Junos OS 18.4R1 版 |
| 1 个 vCPU | 4 GB |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 4 个 vCPU | 8 GB |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 8 个 vCPU | 16GB |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 16 个 vCPU | 32 GB |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
您可以通过增加 vSRX 虚拟防火墙的数量和分配给 vSRX 虚拟防火墙的 vRAM 数量来扩展 vSRX 虚拟防火墙实例的性能和容量。多核 vSRX 虚拟防火墙会在启动时自动选择相应的 vCPU 和 vRAM 值,以及 NIC 中的接收端扩展 (RSS) 队列数量。如果分配给 vSRX 虚拟防火墙虚拟机的 vCPU 和 vRAM 设置与当前可用设置不匹配,vSRX 虚拟防火墙会缩减为实例支持的最近值。例如,如果一个 vSRX 虚拟防火墙虚拟机有 3 个 vCPU 和 8 GB 的 vRAM,vSRX 虚拟防火墙将启动到较小的 vCPU 大小,这至少需要 2 个 vCPU。您可以将 vSRX 虚拟防火墙实例纵向扩展为更多数量的 vCPU 和 vRAM 数量,但不能将现有 vSRX 虚拟防火墙实例缩减为更小的设置。
RSS 队列的数量通常与 vSRX 虚拟防火墙实例的数据平面 vCPU 数量匹配。例如,具有 4 个数据平面 vCPU 的 vSRX 虚拟防火墙应具有 4 个 RSS 队列。
vSRX 虚拟防火墙会话容量增加
vSRX 虚拟防火墙解决方案经过优化,可以通过增加内存来增加会话数量。
通过增加内存来增加会话数的能力,您可以启用 vSRX 虚拟防火墙以:
在移动网络的战略位置提供高度可扩展、灵活和高性能的安全性。
提供服务提供商扩展和保护网络所需的性能。
运行 show security flow session summary | grep maximum 命令以查看最大会话数。
从 Junos OS 18.4R1 版开始,vSRX 虚拟防火墙实例支持的流会话数会根据使用的 vRAM 大小增加。
从 Junos OS 19.2R1 版开始,vSRX 虚拟防火墙 3.0 实例支持的流会话数会根据使用的 vRAM 大小增加。
表 2 列出了流会话容量。
vCPU |
记忆 |
流会话容量 |
|---|---|---|
2 |
4 GB |
0.5 米 |
2 |
6 GB |
1 米 |
2/5 |
8 GB |
2 米 |
2/5 |
10 GB |
2 米 |
2/5 |
12 GB |
250 万 |
2/5 |
14 GB |
3 米 |
2/5/9 |
16 GB |
4 米 |
2/5/9 |
20 GB |
6 米 |
2/5/9 |
24 GB |
8 米 |
2/5/9 |
28 GB |
10 米 |
2/5/9/17 |
32 GB |
12 米 |
2/5/9/17 |
40 GB |
1,600 万 |
2/5/9/17 |
48 GB |
20 米 |
2/5/9/17 |
56 GB |
24 米 |
2/5/9/17 |
64 GB |
28 米 |