Informationen zur virtuellen Firewall vSRX mit VMware
Dieser Abschnitt gibt einen Überblick über die virtuelle Firewall vSRX auf VMware
Virtuelle Firewall vSRX – Überblick
Die virtuelle Firewall vSRX ist eine virtuelle Sicherheits-Appliance, die Sicherheits- und Netzwerkservices am Perimeter oder Edge in virtualisierten privaten oder öffentlichen Cloud-Umgebungen bereitstellt. Die virtuelle Firewall vSRX wird als virtuelle Maschine (VM) auf einem standardmäßigen x86-Server ausgeführt. Die virtuelle Firewall vSRX basiert auf dem Betriebssystem Junos (Junos OS) und bietet Netzwerk- und Sicherheitsfunktionen, die denen der Softwareversionen für die Firewalls der SRX-Serie ähneln.
Die virtuelle Firewall vSRX bietet Ihnen eine komplette Firewall-Lösung der nächsten Generation (NGFW), einschließlich Core-Firewall, VPN, NAT, erweiterten Layer-4- bis Layer-7-Sicherheitsservices wie Anwendungssicherheit, Intrusion Detection and Prevention (IPS) und Content Security-Funktionen wie erweiterte Webfilterung und Antivirus. In Kombination mit ATP Cloud bietet die Virtuelle Firewall vSRX einen Cloud-basierten, fortschrittlichen Anti-Malware-Service mit dynamischer Analyse zum Schutz vor ausgefeilter Malware und bietet integriertes maschinelles Lernen, um die Wirksamkeit von Urteilen zu verbessern und die Zeit bis zur Behebung zu verkürzen.
Abbildung 1 zeigt die allgemeine Architektur.
der Virtuelle Firewall vSRX
Die virtuelle Firewall vSRX umfasst die Junos Control Plane (JCP) und die Komponenten der Packet Forwarding Engine (PFE), aus denen die Data Plane besteht. Die virtuelle Firewall vSRX verwendet eine virtuelle CPU (vCPU) für den JCP und mindestens eine vCPU für die PFE. Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 unterstützt die virtuelle Firewall vSRX mit mehreren Kernen die Skalierung von vCPUs und virtuellem GB RAM (vRAM). Zusätzliche vCPUs werden auf die Datenebene angewendet, um die Leistung zu erhöhen.
Junos OS Version 18.4R1 unterstützt die neue Softwarearchitektur Virtuelle Firewall vSRX 3.0, die Dual-OS- und verschachtelte Virtualisierungsanforderungen der bestehenden Virtuelle Firewall vSRX-Architektur beseitigt.
In der Virtuelle Firewall vSRX 3.0 Architektur wird FreeBSD 11.x als Gastbetriebssystem verwendet und die Routing-Engine und die Packet Forwarding Engine laufen auf FreeBSD 11.x als einzelne virtuelle Maschine, um die Leistung und Skalierbarkeit zu verbessern. Die virtuelle Firewall vSRX 3.0 verwendet DPDK, um die Datenpakete in der Datenebene zu verarbeiten. Ein direktes Junos Upgrade von Virtuelle Firewall vSRX auf Virtuelle Firewall vSRX 3.0 wird nicht unterstützt.
Die virtuelle Firewall vSRX 3.0 weist im Vergleich zur virtuellen Firewall vSRX die folgenden Verbesserungen auf:
Die Einschränkung, dass Unterstützung für geschachtelte VMs in Hypervisoren erforderlich ist, wurde entfernt.
Es wurde die Einschränkung entfernt, dass für Ports, die mit der Steuerungsebene verbunden sind, der promiskuitive Modus aktiviert sein müssen.
Verbesserte Startzeit und verbesserte Reaktionsfähigkeit der Steuerungsebene während Verwaltungsvorgängen.
Verbesserte Live-Migration.
Abbildung 2 zeigt die allgemeine Softwarearchitektur für die Virtuelle Firewall vSRX 3.0
Vorteile und Anwendungsszenarien der Virtuelle Firewall vSRX
Die Virtuelle Firewall vSRX auf standardmäßigen x86-Servern ermöglicht Ihnen die schnelle Einführung neuer Services, die Bereitstellung kundenspezifischer Services für Kunden und die Skalierung von Sicherheitsservices auf der Grundlage dynamischer Anforderungen. Die virtuelle Firewall vSRX ist ideal für öffentliche, private und Hybrid-Cloud-Umgebungen.
Einige der wichtigsten Vorteile der Virtuelle Firewall vSRX in einer virtualisierten privaten oder öffentlichen Cloud-mandantenfähigen Umgebung sind:
Zustandsbehafteter Firewall-Schutz am Mandanten-Edge
Schnellere Bereitstellung virtueller Firewalls an neuen Standorten
Möglichkeit zur Nutzung auf verschiedenen Hypervisoren und öffentlichen Cloud-Infrastrukturen
Vollständige Routing-, VPN-, Core-Sicherheits- und Netzwerkfunktionen
Anwendungssicherheitsfunktionen (einschließlich IPS und App-Secure)
Inhaltssicherheitsfunktionen (einschließlich Virenschutz, Webfilterung, Anti-Spam und Inhaltsfilterung)
Zentralisierte Verwaltung mit Junos Space Security Director und lokale Verwaltung mit J-Web Interface
Juniper Networks Juniper Advanced Threat Prevention Cloud (ATP Cloud)-Integration
Virtuelle Firewall vSRX auf VMWare ESXi-Bereitstellung
VMware vSphere ist eine Virtualisierungsumgebung für Systeme, die die x86-Architektur unterstützen. VMware ESXi® ist der Hypervisor, der zum Erstellen und Ausführen virtueller Maschinen (VMs) und virtueller Appliances auf einer Hostmaschine verwendet wird. Der VMware vCenter Server® ist ein Dienst, der die Ressourcen mehrerer ESXi-Hosts verwaltet.
Der VMware vSphere Web Client wird zum Bereitstellen der VM "Virtuelle Firewall vSRX" verwendet.
Abbildung 3 zeigt ein Beispiel dafür, wie die virtuelle Firewall vSRX bereitgestellt werden kann, um die Sicherheit von Anwendungen zu gewährleisten, die auf einer oder mehreren virtuellen Maschinen ausgeführt werden. Der virtuelle Switch der virtuellen Firewall vSRX verfügt über eine Verbindung zu einem physischen Adapter (dem Uplink), sodass der gesamte Anwendungsdatenverkehr über die VM der virtuellen Firewall vSRX zum externen Netzwerk fließt.
der virtuellen Firewall vSRX
Virtuelle Firewall vSRX Skalierte Leistung
Tabelle 1 zeigt die Skalierung der Leistung der Virtuelle Firewall vSRX basierend auf der Anzahl der vCPUs und vRAM, die auf eine VM der Virtuellen Firewall vSRX angewendet werden. Die Tabelle gibt einen Überblick über die Junos OS-Version, in der eine bestimmte Softwarespezifikation für die Bereitstellung der virtuellen Firewall vSRX auf VMware eingeführt wurde. Sie müssen eine bestimmte Version von Junos OS herunterladen, um bestimmte Leistungsfunktionen für die horizontale Skalierung nutzen zu können.
vCPUs |
vRAM |
NICs |
Junos OS-Version vorgestellt |
|---|---|---|---|
2 vCPUs |
4 GB |
|
Junos OS Version 15.1X49-D15 und Junos OS Version 17.3R1 |
5 vCPUs |
8 GB |
|
Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 |
9 vCPUs |
16 GB |
Anmerkung:
SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro und Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) ist erforderlich, wenn Sie die Leistung und Kapazität einer Virtuelle Firewall vSRX auf 9 vCPUs und 16 GB vRAM skalieren möchten. |
Junos OS Version 18.4R1 |
17 vCPUs |
32 GB |
Anmerkung:
SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro und Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) ist erforderlich, wenn Sie die Leistung und Kapazität einer Virtuelle Firewall vSRX auf 17 vCPUs und 32 GB vRAM skalieren möchten. |
Junos OS Version 18.4R1 |
| 1 vCPU | 4 GB |
SR-IOV auf den Adaptern der Mellanox ConnectX-3- und ConnectX-4-Familie. |
Junos OS-Version 21.2R1 |
| 4 vCPUs | 8 GB |
SR-IOV auf den Adaptern der Mellanox ConnectX-3- und ConnectX-4-Familie. |
Junos OS-Version 21.2R1 |
| 8 vCPUs | 16 GB |
SR-IOV auf den Adaptern der Mellanox ConnectX-3- und ConnectX-4-Familie. |
Junos OS-Version 21.2R1 |
| 16 vCPUs | 32 GB |
SR-IOV auf den Adaptern der Mellanox ConnectX-3- und ConnectX-4-Familie. |
Junos OS-Version 21.2R1 |
Sie können die Leistung und Kapazität einer Instanz der virtuellen Firewall vSRX skalieren, indem Sie die Anzahl der vCPUs und die Menge an vRAM erhöhen, die der virtuellen Firewall vSRX zugewiesen sind. Die virtuelle Multi-Core-Firewall vSRX wählt beim Booten automatisch die entsprechenden vCPUs- und vRAM-Werte sowie die Anzahl der RSS-Warteschlangen (Receive Side Scaling) in der Netzwerkkarte aus. Wenn die vCPU- und vRAM-Einstellungen, die einer VM der virtuellen Firewall vSRX zugewiesen sind, nicht mit den derzeit verfügbaren Einstellungen übereinstimmen, skaliert die virtuelle Firewall vSRX auf den nächsten unterstützten Wert für die Instanz herunter. Beispiel: Wenn eine VM der virtuellen Firewall vSRX über 3 vCPUs und 8 GB vRAM verfügt, startet die virtuelle Firewall vSRX mit der kleineren vCPU-Größe, für die mindestens 2 vCPUs erforderlich sind. Sie können eine virtuelle Firewall vSRX-Instanz auf eine höhere Anzahl von vCPUs und vRAM hochskalieren, aber Sie können eine vorhandene Instanz der virtuellen Firewall vSRX nicht auf eine kleinere Einstellung herunterskalieren.
Die Anzahl der RSS-Warteschlangen stimmt in der Regel mit der Anzahl der Data Plane vCPUs einer Virtuelle Firewall vSRX-Instanz überein. Beispielsweise sollte eine virtuelle Firewall vSRX mit 4 Data Plane-vCPUs über 4 RSS-Warteschlangen verfügen.
Erhöhung der Sitzungskapazität der Virtuelle Firewall vSRX
Die Virtuelle Firewall vSRX ist optimiert, um die Anzahl der Sitzungen durch Vergrößerung des Speichers zu erhöhen.
Mit der Möglichkeit, die Anzahl der Sitzungen durch Vergrößern des Arbeitsspeichers zu erhöhen, können Sie die Virtuelle Firewall vSRX für Folgendes aktivieren:
Bieten Sie hoch skalierbare, flexible und leistungsstarke Sicherheit an strategischen Standorten im Mobilfunknetz.
Stellen Sie die Leistung bereit, die Service Provider zum Skalieren und Schützen ihrer Netzwerke benötigen.
Führen Sie den show security flow session summary | grep maximum Befehl aus, um die maximale Anzahl von Sitzungen anzuzeigen.
Ab Junos OS Version 18.4R1 wird die Anzahl der Datenflusssitzungen, die auf einer Instanz der Virtuelle Firewall vSRX unterstützt werden, basierend auf der verwendeten vRAM-Größe erhöht.
Ab Junos OS Version 19.2R1 wird die Anzahl der Datenflusssitzungen, die auf einer Instanz der virtuellen Firewall vSRX 3.0 unterstützt werden, basierend auf der verwendeten vRAM-Größe erhöht.
In Tabelle 2 ist die Kapazität der Durchflusssitzung aufgeführt.
vCPUs |
Gedächtnis |
Kapazität der Datenstromsitzungen |
|---|---|---|
2 |
4 GB |
0,5 m |
2 |
6 GB |
1 m |
2/5 |
8 GB |
2 Mio |
2/5 |
10 GB |
2 Mio |
2/5 |
12 GB |
2,5 m |
2/5 |
14 GB |
3 m |
2/5/9 |
16 GB |
4 Mio |
2/5/9 |
20 GB |
6 Mio |
2/5/9 |
24 GB |
8 Mio |
2/5/9 |
28 GB |
ca. 10 m |
2/5/9/17 |
32 GB |
ca. 12 m |
2/5/9/17 |
40 GB |
16 m |
2/5/9/17 |
48 GB |
ca. 20 m |
2/5/9/17 |
56 GB |
ca. 24 m |
2/5/9/17 |
64 GB |
28 M |
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.