了解使用 VMware 的 vSRX 虚拟防火墙
本节概述 VMware 上的 vSRX 虚拟防火墙
vSRX 虚拟防火墙概述
vSRX 虚拟防火墙是一种虚拟安全设备,可在虚拟化私有云或公共 云 环境中的外围或边缘提供安全和网络服务。vSRX 虚拟防火墙在标准 x86 服务器上作为虚拟机 (VM) 运行。vSRX 虚拟防火墙 基于 Junos作系统 (Junos OS) 构建,提供与 SRX 系列 防火墙软件版本类似的网络和安全功能。
vSRX 虚拟防火墙为您提供完整的新一代防火墙 (NGFW) 解决方案,包括核心防火墙、VPN、NAT、高级第 4 层至第 7 层安全服务(如应用安全、入侵检测和防御 (IPS))以及内容安全功能(包括增强型 Web 过滤和防病毒)。vSRX 虚拟防火墙与 ATP 云相结合,提供基于云的高级反恶意软件服务和动态分析,以防范复杂的恶意软件,并提供内置机器学习来提高判定效力并缩短补救时间。
图 1 显示了高级架构。
vSRX 虚拟防火墙包括组成数据平面的 Junos 控制平面 (JCP) 和数据包转发引擎 (PFE) 组件。vSRX 虚拟防火墙对 JCP 使用一个虚拟 CPU (vCPU),对 PFE 使用至少一个 vCPU。从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,多核 vSRX 虚拟防火墙支持扩展 vCPU 和 GB 虚拟 RAM (vRAM)。额外的 vCPU 将应用于数据平面以提高性能。
Junos OS 18.4R1 版支持新的软件架构 vSRX 虚拟防火墙 3.0,它消除了现有 vSRX 虚拟防火墙架构的双作系统和嵌套虚拟化要求。
在 vSRX 虚拟防火墙 3.0 架构中,FreeBSD 11.x 用作客户机作系统,路由引擎和数据包转发引擎作为单个虚拟机在 FreeBSD 11.x 上运行,以提高性能和可扩展性。vSRX 虚拟防火墙 3.0 使用 DPDK 处理数据平面中的数据包。不支持从 vSRX 虚拟防火墙直接升级到 vSRX 虚拟防火墙 3.0 软件。
与 vSRX 虚拟防火墙相比,vSRX 虚拟防火墙 3.0 具有以下增强功能:
删除了在虚拟机管理程序中要求嵌套虚拟机支持的限制。
删除了要求连接到控制平面的端口启用混合模式的限制。
在管理作期间缩短了启动时间并增强了控制平面的响应能力。
改进了实时迁移。
图 2 显示了 vSRX 虚拟防火墙 3.0 的高级软件架构
vSRX 虚拟防火墙的优势和用例
标准 x86 服务器上的 vSRX 虚拟防火墙使您能够快速推出新服务、向客户提供自定义服务以及根据动态需求扩展安全服务。vSRX 虚拟防火墙是公共云、私有云和混合云环境的理想选择。
vSRX 虚拟防火墙在虚拟化私有云或公共云多租户环境中的部分关键优势包括:
租户边缘的状态防火墙保护
更快地将虚拟防火墙部署到新站点
能够在各种虚拟机管理程序和公共云基础架构之上运行
完整的路由、 VPN、核心安全和网络功能
应用安全功能(包括 IPS 和 App-Secure)
内容安全功能(包括防病毒、Web 过滤、反垃圾邮件和内容过滤)
借助 Junos Space Security Director 进行集中管理,借助 J-Web 界面进行本地管理
瞻博网络与瞻博网络高级威胁防御云(ATP 云)集成
VMWare ESXi 部署上的 vSRX 虚拟防火墙
VMware vSphere 是面向支持 x86 架构的系统的虚拟化环境。VMware ESXi® 是用于在主机上创建和运行虚拟机 (VM) 和虚拟设备的虚拟机管理程序。VMware vCenter Server® 是一项管理多个 ESXi 主机资源的服务。
VMware vSphere Web Client 用于部署 vSRX 虚拟防火墙 VM。
图 3 显示了如何部署 vSRX 虚拟防火墙的示例,以便为在一个或多个虚拟机上运行的应用提供安全性。vSRX 虚拟防火墙虚拟交换机与物理适配器(上行链路)建立了连接,以便所有应用流量都通过 vSRX 虚拟防火墙 VM 流向外部网络。
示例
vSRX 虚拟防火墙 纵向扩展性能
表 1 显示了 vSRX 虚拟防火墙如何根据应用于 vSRX 虚拟防火墙虚拟机的 vCPU 和 vRAM 数量来扩展性能。下表概述了 Junos OS 版本,其中引入了用于在 VMware 上部署 vSRX 虚拟防火墙的特定软件规范。您需要下载特定的 Junos OS 版本才能利用某些纵向扩展性能功能。
vCPU |
虚拟RAM |
NIC |
推出 Junos OS 版本 |
|---|---|---|---|
2 个 vCPU |
4 GB |
|
Junos OS 15.1X49-D15 版和 Junos OS 17.3R1 版 |
5 个 vCPU |
8 千兆字节 |
|
Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版 |
9 个 vCPU |
16 千兆字节 |
注意:
如果打算将 vSRX 虚拟防火墙的性能和容量扩展到 9 个 vCPU 和 16 GB vRAM,则需要 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 和 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)。 |
Junos OS 18.4R1 版 |
17 个 vCPU |
32 千兆字节 |
注意:
如果打算将 vSRX 虚拟防火墙的性能和容量扩展到 17 个 vCPU 和 32 GB vRAM,则需要 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 和 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)。 |
Junos OS 18.4R1 版 |
| 1 个 vCPU | 4 GB |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 4 个 vCPU | 8 千兆字节 |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 8 个 vCPU | 16GB |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
| 16 个 vCPU | 32 千兆字节 |
Mellanox ConnectX-3 和 ConnectX-4 系列适配器上的 SR-IOV。 |
Junos OS 21.2R1 版 |
您可以通过增加分配给 vSRX 虚拟防火墙的 vCPU 数量和 vRAM 量来扩展 vSRX 虚拟防火墙实例的性能和容量。多核 vSRX 虚拟防火墙会在启动时自动选择适当的 vCPU 和 vRAM 值,以及 NIC 中的接收端扩展 (RSS) 队列数。如果分配给 vSRX 虚拟防火墙 VM 的 vCPU 和 vRAM 设置与当前可用值不匹配,则 vSRX 虚拟防火墙会缩小到实例最接近的支持值。例如,如果 vSRX 虚拟防火墙虚拟机有 3 个 vCPU 和 8 GB 的 vRAM,则 vSRX 虚拟防火墙会引导至较小的 vCPU 大小,至少需要 2 个 vCPU。您可以将 vSRX 虚拟防火墙实例纵向扩展至更高数量的 vCPU 和 vRAM,但无法将现有 vSRX 虚拟防火墙实例缩减到较小的设置。
RSS 队列的数量通常与 vSRX 虚拟防火墙实例的数据平面 vCPU 数量相匹配。例如,具有 4 个数据平面 vCPU 的 vSRX 虚拟防火墙应具有 4 个 RSS 队列。
vSRX 虚拟防火墙会话容量提升
vSRX 虚拟防火墙解决方案经过优化,可通过增加内存来增加会话数。
由于能够通过增加内存来增加会话数,因此您可以启用 vSRX 虚拟防火墙,以便:
在移动网络的重要位置提供高度可扩展、灵活和高性能的安全。
提供服务提供商扩展和保护其网络所需的性能。
show security flow session summary | grep maximum运行命令以查看最大会话数。
从 Junos OS 18.4R1 版开始,vSRX 虚拟防火墙实例上支持的流会话数将根据使用的 vRAM 大小增加。
从 Junos OS 19.2R1 版开始,vSRX 虚拟防火墙 3.0 实例上支持的流会话数将根据使用的 vRAM 大小增加。
表 2 列出了流会话容量。
vCPU |
记忆 |
流会话容量 |
|---|---|---|
2 |
4 GB |
0.5 米 |
2 |
6 千兆字节 |
1 米 |
2/5 |
8 千兆字节 |
2 米 |
2/5 |
10 千兆字节 |
2 米 |
2/5 |
12 千兆字节 |
2.5 米 |
2/5 |
14 千兆字节 |
3 米 |
2/5/9 |
16 千兆字节 |
4 米 |
2/5/9 |
20 千兆字节 |
6 米 |
2/5/9 |
24 千兆字节 |
8 米 |
2/5/9 |
28 千兆字节 |
10 米 |
2/5/9/17 |
32 千兆字节 |
12 米 |
2/5/9/17 |
40 千兆字节 |
16 米 |
2/5/9/17 |
48 千兆字节 |
20 米 |
2/5/9/17 |
56 千兆字节 |
24 米 |
2/5/9/17 |
64 千兆字节 |
28 米 |
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。