Présentation du pare-feu virtuel vSRX

RÉSUMÉ Dans cette rubrique, vous découvrirez l’architecture de pare-feu virtuel vSRX et ses avantages.

Le pare-feu virtuel vSRX est une appliance de sécurité virtuelle qui fournit des services de sécurité et de mise en réseau au niveau du périmètre ou de la périphérie dans des environnements de cloud privé ou public virtualisés. Le pare-feu virtuel vSRX s’exécute comme une machine virtuelle (VM) sur un serveur x86 standard. Le pare-feu virtuel vSRX est basé sur le système d’exploitation Junos (Junos OS) et offre des fonctionnalités de mise en réseau et de sécurité similaires à celles disponibles dans les versions logicielles pour les pare-feu SRX Series.

Le pare-feu virtuel vSRX vous fournit une solution complète de pare-feu de nouvelle génération (NGFW), comprenant un pare-feu central, un VPN, un NAT, des services de sécurité avancés de couche 4 à 7 tels que la sécurité des applications, la détection et la prévention des intrusions (IPS), et des fonctionnalités de sécurité du contenu, y compris le filtrage Web amélioré et l’antivirus. Associé à ATP Cloud, le pare-feu virtuel vSRX offre un service cloud avancé de lutte contre les programmes malveillants avancé avec une analyse dynamique pour une protection contre les logiciels malveillants sophistiqués, et fournit un machine learning intégré pour améliorer l’efficacité du verdict et réduire le temps de résolution.

La figure 1 montre l’architecture de haut niveau.

Figure 1 : architecture de pare-feu virtuel vSRX

Le pare-feu virtuel vSRX comprend le plan de contrôle Junos (JCP) et le moteur de transfert de paquets (PFE) qui composent le plan de données. Le pare-feu virtuel vSRX utilise un processeur virtuel (vCPU) pour la JCP et au moins un vCPU pour le PFE. À partir de La version 15.1X49-D70 de Junos OS et de la version 17.3R1 de Junos OS, le pare-feu virtuel vSRX multicœur prend en charge l’évolutivité des vCPU et de la RAM virtuelle (vRAM). Des vCPU supplémentaires sont appliqués au plan de données pour augmenter les performances.

Junos OS s’exécute en tant que VM sur le pare-feu virtuel vSRX. Junos OS n’a pas d’accès direct à la carte réseau et dispose uniquement d’un accès NIC virtuel fourni par l’hyperviseur qui peut être partagé avec d’autres machines virtuelles s’exécutant sur la même machine hôte. Cet accès virtuel s’accompagne de certaines restrictions telles qu’un mode spécial appelé mode de confiance, l’accès en mode peut ne pas être faisable en raison de problèmes de sécurité éventuels. Pour permettre au modèle RETH de fonctionner dans de tels environnements, le comportement de réécriture MAC est modifié Au lieu de copier l’adresse MAC virtuelle des parents aux enfants, nous gardons l’adresse MAC physique des enfants intacte et copieons l’adresse MAC physique de l’enfant appartenant à l’actif ; du cluster vers le MAC actuel de l’interface reth. De cette façon, l’accès de réécriture MAC n’est pas requis lorsque le mode de confiance est désactivé.

En définissant le mode Confiance pour les fonctions virtuelles (VF), l’hôte peut modifier l’adresse MAC de l’invité pendant le temps d’exécution. Cela permet aux interfaces du pare-feu virtuel vSRX de découvrir plusieurs voisins IPv6 et d’améliorer leurs performances dans des conditions d’évolutivité. L’apprentissage ND sur les interfaces de pare-feu virtuel vSRX est limité à 10 voisins IPv6 seulement. Pour les paramètres Linux pour le mode de confiance VF, exécutez la ip link set dev enp134s0f1 vf 0 trust on commande sur la machine hôte.

Vérifiez la configuration :

user@host:~# lien IP

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.