Übersicht über die virtuelle vSRX-Firewall

ZUSAMMENFASSUNG In diesem Thema erfahren Sie mehr über die Architektur der virtuellen vSRX-Firewall und ihre Vorteile.

Die virtuelle vSRX Firewall ist eine virtuelle Sicherheits-Appliance, die Sicherheits- und Netzwerkservices am Perimeter oder Edge in virtualisierten privaten oder öffentlichen Cloud-Umgebungen bereitstellt. Die virtuelle vSRX-Firewall wird als virtuelle Maschine (VM) auf einem standardmäßigen x86-Server ausgeführt. Die virtuelle vSRX-Firewall basiert auf dem Junos-Betriebssystem (Junos OS) und bietet Netzwerk- und Sicherheitsfunktionen, die denen ähneln, die in den Softwareversionen für die Firewalls der SRX-Serie verfügbar sind.

Die virtuelle vSRX-Firewall bietet Ihnen eine komplette Firewall-Lösung der nächsten Generation (NGFW), einschließlich Core-Firewall, VPN, NAT, erweiterten Layer-4- bis Layer-7-Sicherheitsdiensten wie Anwendungssicherheit, Intrusion Detection and Prevention (IPS) und Content Security-Funktionen wie erweiterte Webfilterung und Virenschutz. In Kombination mit ATP Cloud bietet die virtuelle vSRX-Firewall einen Cloud-basierten, erweiterten Anti-Malware-Service mit dynamischer Analyse zum Schutz vor ausgeklügelter Malware und integriertem maschinellem Lernen, um die Wirksamkeit von Urteilen zu verbessern und die Zeit bis zur Behebung zu verkürzen.

Abbildung 1 zeigt die High-Level-Architektur.

Abbildung 1: Architektur der virtuellen vSRX-Firewall

Die virtuelle vSRX-Firewall umfasst die Komponenten Junos Control Plane (JCP) und Packet Forwarding Engine (PFE), aus denen die Data Plane besteht. Die virtuelle vSRX-Firewall verwendet eine virtuelle CPU (vCPU) für den JCP und mindestens eine vCPU für die PFE. Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 unterstützt die virtuelle Multi-Core-vSRX-Firewall die Skalierung von vCPUs und virtuellem RAM (vRAM). Zusätzliche vCPUs werden auf die Datenebene angewendet, um die Leistung zu erhöhen.

Junos OS wird als VM auf der virtuellen vSRX-Firewall ausgeführt. Junos OS hat keinen direkten Zugriff auf die Netzwerkkarte und verfügt nur über einen vom Hypervisor bereitgestellten virtuellen Netzwerkkartenzugriff, der mit anderen VMs auf demselben Hostcomputer geteilt werden kann. Dieser virtuelle Zugriff ist mit bestimmten Einschränkungen verbunden, z. B. einem speziellen Modus namens Vertrauensmodus, der aufgrund möglicher Sicherheitsprobleme möglicherweise nicht möglich ist. Damit das RETH-Modell in solchen Umgebungen funktioniert, wird das MAC-Umschreibungsverhalten geändert Anstatt die übergeordnete virtuelle MAC-Adresse auf die untergeordneten Elemente zu kopieren, lassen wir die physische MAC-Adresse der untergeordneten Elemente intakt und kopieren die physische MAC-Adresse des untergeordneten Elements, das zum aktiven gehört. Knoten des Clusters auf die aktuelle MAC der reth-Schnittstelle. Auf diese Weise ist kein MAC-Rewrite-Zugriff erforderlich, wenn der Vertrauensmodus deaktiviert ist.

Durch Festlegen des Trust-Modus für VFs (virtuelle Funktionen) kann der Host die MAC-Adresse des Gasts während der Laufzeit ändern. Dadurch können vSRX-Schnittstellen der virtuellen Firewall mehrere IPv6-Nachbarn erkennen und unter Skalierungsbedingungen eine bessere Leistung erbringen. Das ND-Lernen auf Schnittstellen der virtuellen vSRX-Firewall ist auf nur 10 IPv6-Nachbarn beschränkt. Führen Sie für die Linux-Einstellung für den VF-Vertrauensmodus den ip link set dev enp134s0f1 vf 0 trust on Befehl auf dem Hostcomputer aus.

Überprüfen Sie die Konfiguration:

user@host:~# IP-Link

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.