Comprendre le pare-feu virtuel vSRX avec VMware
Cette section présente le pare-feu virtuel vSRX sur VMware
Présentation du pare-feu virtuel vSRX
Le pare-feu virtuel vSRX est une appliance de sécurité virtuelle qui fournit des services de sécurité et de mise en réseau au niveau du périmètre ou de la périphérie dans des environnements de cloud privé ou public virtualisés. Le pare-feu virtuel vSRX s’exécute comme une machine virtuelle (VM) sur un serveur x86 standard. Le pare-feu virtuel vSRX est basé sur le système d’exploitation Junos (Junos OS) et offre des fonctionnalités de mise en réseau et de sécurité similaires à celles disponibles dans les versions logicielles pour les pare-feu SRX Series.
Le pare-feu virtuel vSRX vous fournit une solution complète de pare-feu de nouvelle génération (NGFW), comprenant un pare-feu central, un VPN, un NAT, des services de sécurité avancés de couche 4 à 7 tels que la sécurité des applications, la détection et la prévention des intrusions (IPS), et des fonctionnalités de sécurité du contenu, y compris le filtrage Web amélioré et l’antivirus. Associé à ATP Cloud, le pare-feu virtuel vSRX offre un service cloud avancé de lutte contre les programmes malveillants avancé avec une analyse dynamique pour une protection contre les logiciels malveillants sophistiqués, et fournit un machine learning intégré pour améliorer l’efficacité du verdict et réduire le temps de résolution.
La figure 1 montre l’architecture de haut niveau.
Le pare-feu virtuel vSRX comprend le plan de contrôle Junos (JCP) et le moteur de transfert de paquets (PFE) qui composent le plan de données. Le pare-feu virtuel vSRX utilise un processeur virtuel (vCPU) pour la JCP et au moins un vCPU pour le PFE. À partir de la version 15.1X49-D70 de Junos OS et de la version 17.3R1 de Junos OS, le pare-feu virtuel vSRX multicœur prend en charge l’évolutivité des vCPU et des Go de RAM virtuelle (vRAM). Des vCPU supplémentaires sont appliqués au plan de données pour augmenter les performances.
La version 18.4R1 de Junos OS prend en charge une nouvelle architecture logicielle vSRX Virtual Firewall 3.0 qui supprime les exigences de double système d’exploitation et de virtualisation imbriquée de l’architecture de pare-feu virtuel vSRX existante.
Dans l’architecture vSRX Virtual Firewall 3.0, FreeBSD 11.x est utilisé comme système d’exploitation invité, tandis que le moteur de routage et le moteur de transfert de paquets s’exécutent sur FreeBSD 11.x en tant que machine virtuelle unique pour améliorer les performances et l’évolutivité. Le pare-feu virtuel vSRX 3.0 utilise DPDK pour traiter les paquets de données du plan de données. Une mise à niveau directe de Junos du pare-feu virtuel vSRX vers le logiciel vSRX Virtual Firewall 3.0 n’est pas prise en charge.
Par rapport au pare-feu virtuel vSRX 3.0, le pare-feu virtuel vSRX présente les améliorations suivantes :
Suppression de la restriction relative à la prise en charge des machines virtuelles imbriquées dans les hyperviseurs.
Supprimé la restriction d’activation des ports connectés au plan de contrôle.
Amélioration du temps de démarrage et de la réactivité du plan de contrôle pendant les opérations de gestion.
Migration en direct améliorée.
La figure 2 illustre l’architecture logicielle de haut niveau pour le pare-feu virtuel vSRX 3.0
Avantages et cas d’utilisation du pare-feu virtuel vSRX
Le pare-feu virtuel vSRX sur les serveurs x86 standard vous permet d’introduire rapidement de nouveaux services, de fournir des services personnalisés aux clients et d’adapter les services de sécurité en fonction des besoins dynamiques. Le pare-feu virtuel vSRX est idéal pour les environnements cloud publics, privés et hybrides.
Voici quelques-uns des principaux avantages du pare-feu virtuel vSRX dans un environnement multi-utilisateur de cloud privé ou public virtualisé :
Protection de pare-feu dynamique à la périphérie du locataire
Déploiement plus rapide des pare-feu virtuels sur de nouveaux sites
Capacité à s’exécuter sur divers hyperviseurs et infrastructures de cloud public
Routage complet, VPN, sécurité centrale et fonctionnalités réseau
Fonctionnalités de sécurité des applications (y compris IPS et App-Secure)
Fonctionnalités de sécurité du contenu (notamment l’antivirus, le filtrage Web, l’antispam et le filtrage de contenu)
Gestion centralisée avec Junos Space Security Director et gestion locale avec interface J-Web
Intégration Juniper Networks Juniper Advanced Threat Prevention Cloud (ATP Cloud)
Pare-feu virtuel vSRX sur le déploiement VMWare ESXi
VMware vSphere est un environnement de virtualisation pour les systèmes prenant en charge l’architecture x86. VMware ESXi® est l’hyperviseur utilisé pour créer et exécuter des machines virtuelles (VM) et des appliances virtuelles sur une machine hôte. VMware vCenter Server® est un service qui gère les ressources de plusieurs hôtes ESXi.
VMware vSphere Web Client est utilisé pour déployer la vm de pare-feu virtuel vSRX.
La figure 3 montre comment le pare-feu virtuel vSRX peut être déployé pour sécuriser les applications s’exécutant sur une ou plusieurs machines virtuelles. Le commutateur virtuel du pare-feu virtuel vSRX est connecté à un adaptateur physique (la liaison montante) de sorte que tout le trafic applicatif transite par la VM du pare-feu virtuel vSRX vers le réseau externe.
Pare-feu virtuel vSRX améliorez les performances
Le tableau 1 présente les performances du pare-feu virtuel vSRX en fonction du nombre de vCPU et de vRAM appliqués à une vm de pare-feu virtuel vSRX. Le tableau présente la version Junos OS dans laquelle une spécification logicielle particulière pour le déploiement du pare-feu virtuel vSRX sur VMware a été introduite. Vous devrez télécharger une version Spécifique de Junos OS pour tirer parti de certaines fonctionnalités de performance à l’évolutivité.
vCPU |
Vram |
Nic |
Lancement de junos OS |
|---|---|---|---|
2 processeurs virtuels |
4 Go |
|
Version Junos OS 15.1X49-D15 et Junos OS version 17.3R1 |
5 processeurs virtuels |
8 Go |
|
Version Junos OS 15.1X49-D70 et Junos OS 17.3R1 |
9 processeurs virtuels |
16 Go |
Note:
Un SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro et Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) est requis si vous avez l’intention d’adapter les performances et la capacité d’un pare-feu virtuel vSRX à 9 vCPU et 16 Go de vRAM. |
Version Junos OS 18.4R1 |
17 processeurs virtuels |
32 Go |
Note:
Sr-IOV (Mellanox ConnectX-3/ConnectX-3 Pro et Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) est requis si vous avez l’intention de faire évoluer les performances et la capacité d’un pare-feu virtuel vSRX vers 17 vCPU et 32 Go de vRAM. |
Version Junos OS 18.4R1 |
| 1 processeur virtuel | 4 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Version Junos OS 21.2R1 |
| 4 processeurs virtuels | 8 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Version Junos OS 21.2R1 |
| 8 processeurs virtuels | 16 Gb |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Version Junos OS 21.2R1 |
| 16 processeurs virtuels | 32 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Version Junos OS 21.2R1 |
Vous pouvez faire évoluer les performances et la capacité d’une instance de pare-feu virtuel vSRX en augmentant le nombre de vCPU et la quantité de vRAM allouée au pare-feu virtuel vSRX. Le pare-feu virtuel vSRX multi-cœur sélectionne automatiquement les vCPU et les valeurs vRAM appropriées au moment du démarrage, ainsi que le nombre de files d’attente RSS (Receive Side Scaling) dans la carte réseau. Si les paramètres vCPU et vRAM alloués à une VM de pare-feu virtuel vSRX ne correspondent pas à ce qui est actuellement disponible, le pare-feu virtuel vSRX évolue jusqu’à la valeur prise en charge la plus proche pour l’instance. Par exemple, si une VM de pare-feu virtuel vSRX dispose de 3 vCPU et de 8 Go de vRAM, le pare-feu virtuel vSRX démarre à la taille plus petite du vCPU, ce qui nécessite un minimum de 2 processeurs virtuels. Vous pouvez faire évoluer une instance de pare-feu virtuel vSRX vers un nombre plus élevé de vCPU et une quantité de vRAM plus élevée, mais vous ne pouvez pas réduire une instance de pare-feu virtuel vSRX existante à un paramètre plus petit.
Le nombre de files d’attente RSS correspond généralement au nombre de vCPU de plan de données d’une instance de pare-feu virtuel vSRX. Par exemple, un pare-feu virtuel vSRX avec 4 vCPU de plan de données doit comporter 4 files d’attente RSS.
Augmentation de la capacité des sessions du pare-feu virtuel vSRX
La solution de pare-feu virtuel vSRX est optimisée pour augmenter le nombre de sessions en augmentant la mémoire.
Avec la possibilité d’augmenter le nombre de sessions en augmentant la mémoire, vous pouvez activer le pare-feu virtuel vSRX pour :
Offrez une sécurité hautement évolutive, flexible et hautes performances sur les sites stratégiques du réseau mobile.
Fournissez les performances dont les fournisseurs de services ont besoin pour faire évoluer et protéger leurs réseaux.
Exécutez la show security flow session summary | grep maximum commande pour afficher le nombre maximal de sessions.
À partir de la version 18.4R1 de Junos OS, le nombre de sessions de flux prises en charge sur une instance de pare-feu virtuel vSRX augmente en fonction de la taille de la vRAM utilisée.
À partir de la version 19.2R1 de Junos OS, le nombre de sessions de flux prises en charge sur une instance vSRX Virtual Firewall 3.0 augmente en fonction de la taille de la vRAM utilisée.
Le tableau 2 répertorie la capacité des sessions de flux.
vCPU |
Mémoire |
Capacité des sessions de flux |
|---|---|---|
2 |
4 Go |
0,5 M |
2 |
6 Go |
1 M |
2/5 |
8 Go |
2 M |
2/5 |
10 Go |
2 M |
2/5 |
12 Go |
2,5 M |
2/5 |
14 Go |
3 M |
2/5/9 |
16 Go |
4 M |
2/5/9 |
20 Go |
6 M |
2/5/9 |
24 Go |
8 M |
2/5/9 |
28 Go |
10 M |
2/5/9/17 |
32 Go |
12 M |
2/5/9/17 |
40 Go |
16 M |
2/5/9/17 |
48 Go |
20 M |
2/5/9/17 |
56 Go |
24 M |
2/5/9/17 |
64 Go |
28 M |