Verstehen der virtuellen Firewall vSRX mit VMware
In diesem Abschnitt erhalten Sie einen Überblick über die virtuelle vSRX-Firewall auf VMware
Virtuelle Firewall vSRX – Überblick
Die virtuelle Firewall vSRX ist eine virtuelle Sicherheits-Appliance, die Sicherheits- und Netzwerkservices am Perimeter oder Edge in virtualisierten privaten oder öffentlichen Cloud-Umgebungen bereitstellt. Die virtuelle Firewall vSRX wird als virtuelle Maschine (VM) auf einem Standard-x86-Server ausgeführt. Die virtuelle Firewall vSRX basiert auf dem Betriebssystem Junos (Junos OS) und bietet Netzwerk- und Sicherheitsfunktionen, die auf den Softwareversionen der Firewalls der SRX-Serie verfügbar sind.
Die virtuelle Firewall vSRX bietet Ihnen eine vollständige Firewall-Lösung der nächsten Generation (NGFW), einschließlich Core-Firewall, VPN, NAT, erweiterten Layer 4- bis Layer 7-Sicherheitsservices wie Anwendungssicherheit, Intrusion Detection and Prevention (IPS) und Content Security-Funktionen einschließlich erweiterter Webfilterung und Virenschutz. In Kombination mit der ATP-Cloud bietet die virtuelle Firewall vSRX einen Cloud-basierten erweiterten Anti-Malware-Service mit dynamischen Analysen zum Schutz vor ausgeklügelter Malware und bietet integriertes maschinelles Lernen, um die Wirksamkeit von Urteilen zu verbessern und die Zeit bis zur Behebung zu verkürzen.
Abbildung 1 zeigt die übergeordnete Architektur.
vSRX
Die virtuelle Firewall vSRX umfasst die Junos Control Plane (JCP) und die Packet Forwarding Engine (PFE)-Komponenten, aus denen sich die Datenebene befindet. Die virtuelle Firewall vSRX verwendet eine virtuelle CPU (vCPU) für die JCP und mindestens eine vCPU für die PFE. Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 unterstützt die virtuelle Multi-Core-Firewall vSRX die Skalierung von vCPUs und GB Virtual RAM (vRAM). Zur Steigerung der Leistung werden zusätzliche vCPUs auf die Data Plane angewendet.
Junos OS Version 18.4R1 unterstützt eine neue Softwarearchitektur vSRX Virtual Firewall 3.0, die die Anforderungen an duale Betriebssysteme und geschachtelte Virtualisierung der bestehenden virtuellen vSRX-Firewall-Architektur beseitigt.
In der vSRX Virtual Firewall 3.0-Architektur wird FreeBSD 11.x als Gastbetriebssystem verwendet, und die Routing-Engine und die Packet Forwarding Engine laufen auf FreeBSD 11.x als einzelne virtuelle Maschine für verbesserte Leistung und Skalierbarkeit. Die virtuelle Firewall vSRX 3.0 verarbeitet die Datenpakete mithilfe von DPDK in der Datenebene. Ein direktes Junos-Upgrade von der virtuellen Firewall vSRX auf die Software vSRX Virtual Firewall 3.0 wird nicht unterstützt.
Die virtuelle Firewall vSRX 3.0 verfügt im Vergleich zur virtuellen Firewall vSRX über die folgenden Verbesserungen:
Beseitigt die Einschränkung, dass geschachtelte VM-Unterstützung in Hypervisoren erforderlich ist.
Beseitigt die Beschränkung, dass Ports, die mit der Steuerungsebene verbunden sind, den Promiscuous-Modus aktiviert haben müssen.
Verbesserte Startzeit und verbesserte Reaktionsfähigkeit der Steuerungsebene während des Managementbetriebs.
Verbesserte Live-Migration.
Abbildung 2 zeigt die übergeordnete Softwarearchitektur für vSRX Virtual Firewall 3.0
vSRX 3.0
Vorteile und Anwendungsfälle der virtuellen Firewall vSRX
Die virtuelle Firewall vSRX auf Standard-x86-Servern ermöglicht Ihnen die schnelle Einführung neuer Services, die Bereitstellung angepasster Services für Kunden und die Skalierung von Sicherheitsservices basierend auf dynamischen Anforderungen. Die virtuelle Firewall vSRX eignet sich ideal für öffentliche, private und Hybrid-Cloud-Umgebungen.
Zu den wichtigsten Vorteilen der virtuellen vSRX-Firewall in einer virtualisierten privaten oder öffentlichen Cloud-Umgebung mit mehreren Mandanten gehören:
Zustandsbehafteter Firewall-Schutz am Mandanten-Edge
Schnellere Bereitstellung virtueller Firewalls an neuen Standorten
Fähigkeit, auf verschiedenen Hypervisoren und öffentlichen Cloud-Infrastrukturen ausgeführt zu werden
Vollständige Routing-, VPN-, Core-Sicherheits- und Netzwerkfunktionen
Anwendungssicherheitsfunktionen (einschließlich IPS und App-Secure)
Inhaltssicherheitsfunktionen (einschließlich Antivirus, Webfilterung, Antispam und Inhaltsfilterung)
Zentralisierte Verwaltung mit Junos Space Security Director und lokales Management mit J-Web Interface
Integration von Juniper Networks Juniper Advanced Threat Prevention Cloud (ATP Cloud)
Virtuelle Firewall vSRX auf VMWare ESXi-Bereitstellung
VMware vSphere ist eine Virtualisierungsumgebung für Systeme, die die x86-Architektur unterstützen. VMware ESXi® ist der Hypervisor, der zum Erstellen und Ausführen virtueller Maschinen (VMs) und virtueller Appliances auf einer Hostmaschine verwendet wird. Der VMware vCenter Server® ist ein Service, der die Ressourcen mehrerer ESXi-Hosts verwaltet.
Der VMware vSphere Web Client wird für die Bereitstellung der virtuellen vSRX-Firewall-VM verwendet.
Abbildung 3 zeigt ein Beispiel dafür, wie die virtuelle Firewall vSRX bereitgestellt werden kann, um Sicherheit für Anwendungen bereitzustellen, die auf einer oder mehreren virtuellen Maschinen ausgeführt werden. Der virtuelle vSRX-Firewall-Switch verfügt über eine Verbindung zu einem physischen Adapter (dem Uplink), sodass der gesamte Anwendungsdatenverkehr über die virtuelle vSRX-Firewall-VM zum externen Netzwerk fließt.
Firewall vSRX
Virtuelle Firewall vSRX – Skalierbare Leistung
Tabelle 1 zeigt die Skalierungsleistung der virtuellen vSRX-Firewall basierend auf der Anzahl der vCPUs und vRAM, die auf eine virtuelle vSRX-Firewall-VM angewendet werden. In der Tabelle wird die Version von Junos OS dargestellt, in der eine bestimmte Softwarespezifikation für die Bereitstellung der virtuellen Firewall vSRX auf VMware eingeführt wurde. Sie müssen eine bestimmte Junos OS-Version herunterladen, um bestimmte Funktionen für die Skalierung zu nutzen.
vCPUs |
Vram |
Nics |
Junos OS-Version eingeführt |
|---|---|---|---|
2 vCPUs |
4 GB |
|
Junos OS-Version 15.1X49-D15 und Junos OS-Version 17.3R1 |
5 vCPUs |
8 GB |
|
Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 |
9 vCPUs |
16 GB |
Hinweis:
Sr-IOV (Mellanox ConnectX-3/ConnectX-3 Pro und Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) ist erforderlich, wenn Sie die Leistung und Kapazität einer virtuellen vSRX-Firewall auf 9 vCPUs und 16 GB vRAM skalieren möchten. |
Junos OS-Version 18.4R1 |
17 vCPUs |
32 GB |
Hinweis:
Sr-IOV (Mellanox ConnectX-3/ConnectX-3 Pro und Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) ist erforderlich, wenn Sie die Leistung und Kapazität einer virtuellen vSRX-Firewall auf 17 vCPUs und 32 GB vRAM skalieren möchten. |
Junos OS-Version 18.4R1 |
| 1 vCPU | 4 GB |
SR-IOV auf den Adaptern Mellanox ConnectX-3 und ConnectX-4. |
Junos OS-Version 21.2R1 |
| 4 vCPUs | 8 GB |
SR-IOV auf den Adaptern Mellanox ConnectX-3 und ConnectX-4. |
Junos OS-Version 21.2R1 |
| 8 vCPUs | 16 GB |
SR-IOV auf den Adaptern Mellanox ConnectX-3 und ConnectX-4. |
Junos OS-Version 21.2R1 |
| 16 vCPUs | 32 GB |
SR-IOV auf den Adaptern Mellanox ConnectX-3 und ConnectX-4. |
Junos OS-Version 21.2R1 |
Sie können die Leistung und Kapazität einer virtuellen vSRX-Firewall-Instanz skalieren, indem Sie die Anzahl der vCPUs und die Anzahl der der virtuellen vSRX-Firewall zugewiesenen vRAM erhöhen. Die virtuelle Multi-Core-Firewall vSRX wählt beim Start automatisch die entsprechenden vCPUs- und vRAM-Werte sowie die Anzahl der receive-side Scaling (RSS)-Warteschlangen in der Netzwerkkarte aus. Wenn die vCPU- und vRAM-Einstellungen, die einer virtuellen vSRX-Firewall-VM zugewiesen wurden, nicht mit den derzeit verfügbaren Einstellungen übereinstimmen, wird die virtuelle vSRX-Firewall auf den am nächsten unterstützten Wert für die Instanz skaliert. Wenn beispielsweise eine virtuelle vSRX-Firewall-VM 3 vCPUs und 8 GB vRAM hat, startet die virtuelle vSRX-Firewall auf der kleineren vCPU-Größe, die mindestens 2 vCPUs erfordert. Sie können eine virtuelle vSRX-Firewall-Instanz auf eine höhere Anzahl von vCPUs und vRAM skalieren, aber Sie können eine vorhandene virtuelle vSRX-Firewall-Instanz nicht auf eine kleinere Einstellung skalieren.
Die Anzahl der RSS-Warteschlangen entspricht in der Regel der Anzahl der Data Plane-vCPUs einer virtuellen vSRX-Firewall-Instanz. Beispielsweise sollte eine virtuelle vSRX-Firewall mit 4 Data Plane-vCPUs 4 RSS-Warteschlangen haben.
Erhöhung der Kapazität der virtuellen Firewall vSRX
Die virtuelle Firewall-Lösung vSRX ist optimiert, um die Sitzungszahlen durch Erhöhung des Arbeitsspeichers zu erhöhen.
Mit der Möglichkeit, die Sitzungsanzahl durch Vergrößern des Arbeitsspeichers zu erhöhen, können Sie die virtuelle Firewall vSRX für Folgendes aktivieren:
Bieten Sie hoch skalierbare, flexible und leistungsstarke Sicherheit an strategischen Standorten im mobilen Netzwerk.
Bieten Sie die Leistung, die Service Provider benötigen, um ihre Netzwerke zu skalieren und zu schützen.
Führen Sie den show security flow session summary | grep maximum Befehl aus, um die maximale Anzahl von Sitzungen anzuzeigen.
Ab Junos OS Version 18.4R1 wird die Anzahl der auf einer virtuellen vSRX-Firewall-Instanz unterstützten Datenflusssitzungen basierend auf der verwendeten vRAM-Größe erhöht.
Ab Junos OS Version 19.2R1 wird die Anzahl der auf einer vSRX Virtual Firewall 3.0-Instanz unterstützten Datenstromsitzungen je nach verwendeter vRAM-Größe erhöht.
Tabelle 2 listet die Kapazität der Datenstromsitzung auf.
vCPUs |
Speicher |
Flow-Sitzungskapazität |
|---|---|---|
2 |
4 GB |
0,5 m |
2 |
6 GB |
1 m |
2/5 |
8 GB |
2 m |
2/5 |
10 GB |
2 m |
2/5 |
12 GB |
2,5 m |
2/5 |
14 GB |
3 M |
2/5/9 |
16 GB |
4 m |
2/5/9 |
20 GB |
6 m |
2/5/9 |
24 GB |
8 m |
2/5/9 |
28 GB |
10 m |
2/5/9/17 |
32 GB |
12 m |
2/5/9/17 |
40 GB |
16 m |
2/5/9/17 |
48 GB |
20 m |
2/5/9/17 |
56 GB |
24 m |
2/5/9/17 |
64 GB |
28 m |