Comprendre le pare-feu virtuel vSRX avec VMware
Cette section présente une vue d’ensemble du pare-feu virtuel vSRX sur VMware
Présentation du pare-feu virtuel vSRX
Le pare-feu virtuel vSRX est une appliance de sécurité virtuelle qui fournit des services de sécurité et de mise en réseau au niveau du périmètre ou de la périphérie dans les environnements de cloud privé ou public virtualisés. Pare-feu virtuel vSRX s’exécute en tant que machine virtuelle (VM) sur un serveur x86 standard. Le pare-feu virtuel vSRX est basé sur le système d’exploitation Junos (Junos OS) et offre des fonctionnalités de mise en réseau et de sécurité similaires à celles disponibles dans les versions logicielles des pare-feu SRX Series.
Le pare-feu virtuel vSRX vous offre une solution complète de pare-feu de nouvelle génération (NGFW), qui comprend un pare-feu central, un VPN, un NAT, des services de sécurité avancés de couche 4 à 7 tels que la sécurité des applications, la détection et la prévention des intrusions (IPS), et des fonctionnalités de sécurité du contenu, notamment un filtrage Web amélioré et un antivirus. Associé à ATP Cloud, le pare-feu virtuel vSRX offre un service anti-malware avancé basé sur le cloud avec analyse dynamique pour vous protéger contre les logiciels malveillants sophistiqués, et fournit un apprentissage automatique intégré pour améliorer l’efficacité des verdicts et réduire le temps de résolution.
La figure 1 illustre l’architecture de haut niveau.
du pare-feu virtuel vSRX
Le pare-feu virtuel vSRX comprend le plan de contrôle Junos (JCP) et le moteur de transfert de paquets (PFE) qui composent le plan de données. Le pare-feu virtuel vSRX utilise un processeur virtuel (vCPU) pour le JCP et au moins un processeur virtuel pour le PFE. À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, le pare-feu virtuel vSRX multicœur prend en charge la mise à l’échelle des vCPU et des Go de RAM virtuelle (vRAM). Des vCPU supplémentaires sont appliqués au plan de données pour augmenter les performances.
La version 18.4R1 de Junos OS prend en charge une nouvelle architecture logicielle, le pare-feu virtuel vSRX 3.0, qui supprime les exigences de double système d’exploitation et de virtualisation imbriquée de l’architecture existante du pare-feu virtuel vSRX.
Dans l’architecture du pare-feu virtuel vSRX 3.0, FreeBSD 11.x est utilisé comme système d’exploitation invité et le moteur de routage et le moteur de transfert de paquets fonctionnent sur FreeBSD 11.x en tant que machine virtuelle unique pour des performances et une évolutivité améliorées. Pare-feu virtuel vSRX 3.0 utilise DPDK pour traiter les paquets de données dans le plan de données. Il n’est pas possible de procéder à une mise à niveau directe de Junos du pare-feu virtuel vSRX vers le logiciel pare-feu virtuel vSRX 3.0.
Le pare-feu virtuel vSRX 3.0 présente les améliorations suivantes par rapport au pare-feu virtuel vSRX :
Suppression de la restriction d’exiger la prise en charge des machines virtuelles imbriquées dans les hyperviseurs.
Suppression de la restriction d’obligation d’activer le mode Promiscuité sur les ports connectés au plan de contrôle.
Amélioration du temps de démarrage et de la réactivité du plan de contrôle lors des opérations de gestion.
Migration dynamique améliorée.
La figure 2 illustre l’architecture logicielle de haut niveau du pare-feu virtuel vSRX 3.0
Avantages et cas d’utilisation du pare-feu virtuel vSRX
Sur les serveurs x86 standard, le pare-feu virtuel vSRX vous permet d’introduire rapidement de nouveaux services, de fournir des services personnalisés aux clients et d’adapter les services de sécurité en fonction de vos besoins dynamiques. Le pare-feu virtuel vSRX est idéal pour les environnements de cloud hybride public, privé et public.
Voici quelques-uns des principaux avantages du pare-feu virtuel vSRX dans un environnement multilocataire virtualisé de cloud privé ou public :
Protection par pare-feu dynamique à la périphérie du locataire
Déploiement plus rapide de pare-feu virtuels sur de nouveaux sites
Capacité à fonctionner sur divers hyperviseurs et infrastructures de cloud public
Fonctionnalités complètes de routage, de VPN, de sécurité centrale et de mise en réseau
Fonctionnalités de sécurité des applications (notamment IPS et App-Secure)
Fonctionnalités de sécurité du contenu (y compris l’antivirus, le filtrage Web, l’antispam et le filtrage de contenu)
Gestion centralisée avec Junos Space Security Director et gestion locale avec l’interface J-Web
Intégration de Juniper Networks à Juniper Advanced Threat Prevention Cloud (ATP Cloud)
Pare-feu virtuel vSRX sur le déploiement VMWare ESXi
VMware vSphere est un environnement de virtualisation des systèmes prenant en charge l’architecture x86. VMware ESXi® est l’hyperviseur utilisé pour créer et exécuter des machines virtuelles (VM) et des appliances virtuelles sur une machine hôte. VMware vCenter Server® est un service qui gère les ressources de plusieurs hôtes ESXi.
VMware vSphere Web Client est utilisé pour déployer la machine virtuelle de pare-feu virtuel vSRX.
La figure 3 montre comment le pare-feu virtuel vSRX peut être déployé pour sécuriser des applications s’exécutant sur une ou plusieurs machines virtuelles. Le commutateur virtuel du pare-feu virtuel vSRX est connecté à une carte physique (la liaison montante) afin que tout le trafic applicatif transite par la machine virtuelle pare-feu virtuel vSRX vers le réseau externe.
Pare-feu virtuel vSRX : augmentez les performances
Le tableau 1 montre que les performances du pare-feu virtuel vSRX augmentent en fonction du nombre de vCPU et de vRAM appliqués à une machine virtuelle de pare-feu virtuel vSRX. Le tableau présente la version de Junos OS dans laquelle une spécification logicielle particulière pour le déploiement du pare-feu virtuel vSRX sur VMware a été introduite. Vous devrez télécharger une version spécifique de Junos OS pour profiter de certaines fonctionnalités d’évolutivité accrue.
vCPU |
vRAM (en anglais) |
Cartes réseau |
Lancement de la version de Junos OS |
|---|---|---|---|
2 vCPU |
4 Go |
|
Junos OS version 15.1X49-D15 et Junos OS version 17.3R1 |
5 vCPU |
8 Go |
|
Junos OS version 15.1X49-D70 et Junos OS version 17.3R1 |
9 vCPU |
16 Go |
Note:
Le SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro et Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) est requis si vous souhaitez faire passer les performances et la capacité d’un pare-feu virtuel vSRX à 9 vCPU et 16 Go de vRAM. |
Junos OS version 18.4R1 |
17 vCPU |
32 Go |
Note:
Le SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro et Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) est requis si vous souhaitez faire passer les performances et la capacité d’un pare-feu virtuel vSRX à 17 vCPU et 32 Go de vRAM. |
Junos OS version 18.4R1 |
| 1 vCPU | 4 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Junos OS version 21.2R1 |
| 4 vCPU | 8 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Junos OS version 21.2R1 |
| 8 vCPU | 16 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Junos OS version 21.2R1 |
| 16 vCPU | 32 Go |
SR-IOV sur les adaptateurs de la famille Mellanox ConnectX-3 et ConnectX-4. |
Junos OS version 21.2R1 |
Vous pouvez augmenter les performances et la capacité d’une instance de pare-feu virtuel vSRX en augmentant le nombre de vCPU et la quantité de vRAM allouée au pare-feu virtuel vSRX. Le pare-feu virtuel vSRX multicœur sélectionne automatiquement les vCPU et les valeurs de vRAM appropriés au démarrage, ainsi que le nombre de files d’attente RSS (Receive Side Scaling) sur la carte réseau. Si les paramètres vCPU et vRAM alloués à une machine virtuelle de pare-feu virtuel vSRX ne correspondent pas à ce qui est actuellement disponible, le pare-feu virtuel vSRX est réduit à la valeur prise en charge la plus proche pour l’instance. Par exemple, si une machine virtuelle pare-feu virtuel vSRX possède 3 vCPU et 8 Go de vRAM, le pare-feu virtuel vSRX démarre avec la plus petite taille de vCPU, ce qui nécessite un minimum de 2 vCPU. Vous pouvez réduire la taille d’une instance de pare-feu virtuel vSRX à un nombre plus élevé de vCPU et à une quantité de vRAM plus élevée, mais vous ne pouvez pas réduire la taille d’une instance de pare-feu virtuel vSRX existante à un paramètre plus petit.
Le nombre de files d’attente RSS correspond généralement au nombre de vCPU de plan de données d’une instance de pare-feu virtuel vSRX. Par exemple, un pare-feu virtuel vSRX avec 4 vCPU de plan de données doit avoir 4 files d’attente RSS.
Augmentation de la capacité de session du pare-feu virtuel vSRX
La solution de pare-feu virtuel vSRX est optimisée pour augmenter le nombre de sessions en augmentant la mémoire.
Si vous pouvez augmenter le nombre de sessions en augmentant la mémoire, vous pouvez activer le pare-feu virtuel vSRX pour :
Assurez une sécurité hautement évolutive, flexible et performante aux emplacements stratégiques du réseau mobile.
Offrez les performances dont les fournisseurs de services ont besoin pour faire évoluer et protéger leurs réseaux.
Exécutez la show security flow session summary | grep maximum commande pour afficher le nombre maximal de sessions.
À partir de Junos OS version 18.4R1, le nombre de sessions de flux prises en charge sur une instance de pare-feu virtuel vSRX augmente en fonction de la taille de vRAM utilisée.
À partir de Junos OS version 19.2R1, le nombre de sessions de flux prises en charge sur une instance de pare-feu virtuel vSRX 3.0 augmente en fonction de la taille de la vRAM utilisée.
Le Tableau 2 répertorie la capacité de session de flux.
vCPU |
Mémoire |
Capacité de session de flux |
|---|---|---|
2 |
4 Go |
0,5 M |
2 |
6 Go |
1 M |
2/5 |
8 Go |
2 M |
2/5 |
10 Go |
2 M |
2/5 |
12 Go |
2,5 millions |
2/5 |
14 Go |
3 millions |
2/5/9 |
16 Go |
4 M |
2/5/9 |
20 Go |
6 millions |
2/5/9 |
24 Go |
8 millions |
2/5/9 |
28 Go |
10 M |
2/5/9/17 |
32 Go |
12 M |
2/5/9/17 |
40 Go |
16 M |
2/5/9/17 |
48 Go |
20 M |
2/5/9/17 |
56 Go |
24 M |
2/5/9/17 |
64 Go |
28 M |
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.