Présentation du pare-feu virtuel vSRX

RÉSUMÉ Dans cette rubrique, vous découvrirez l’architecture du pare-feu virtuel vSRX et ses avantages.

Le pare-feu virtuel vSRX est une appliance de sécurité virtuelle qui fournit des services de sécurité et de mise en réseau au niveau du périmètre ou de la périphérie dans des environnements de cloud privé ou public virtualisés. Le pare-feu virtuel vSRX s’exécute en tant que machine virtuelle (VM) sur un serveur x86 standard. Le pare-feu virtuel vSRX repose sur le système d’exploitation Junos (Junos OS) et offre des fonctionnalités de mise en réseau et de sécurité similaires à celles disponibles sur les versions logicielles des pare-feu SRX Series.

Le pare-feu virtuel vSRX vous offre une solution complète de pare-feu de nouvelle génération (NGFW), comprenant un pare-feu principal, un VPN, un NAT et des services de sécurité avancés des couches 4 à 7 tels que la sécurité des applications, la détection et la prévention des intrusions (IPS), ainsi que des fonctionnalités de sécurité du contenu, notamment le filtrage Web amélioré et l’antivirus. Associé à ATP Cloud, le pare-feu virtuel vSRX offre un service cloud avancé de protection contre les programmes malveillants avec analyse dynamique pour vous protéger contre les logiciels malveillants sophistiqués, et fournit un machine learning intégré pour améliorer l’efficacité des verdicts et réduire le temps nécessaire à la correction.

La figure 1 illustre l’architecture de haut niveau.

Figure 1 : architecture du pare-feu virtuel vSRX

Le pare-feu virtuel vSRX comprend le plan de contrôle Junos (JCP) et le moteur de transfert de paquets (PFE) qui composent le plan de données. Le pare-feu virtuel vSRX utilise un CPU virtuel (vCPU) pour le JCP et au moins un vCPU pour le PFE. À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, le pare-feu virtuel vSRX multicœur prend en charge la mise à l’échelle des vCPU et de la RAM virtuelle (vRAM). Des vCPU supplémentaires sont appliqués au plan de données pour augmenter les performances.

Junos OS s’exécute en tant que machine virtuelle sur le pare-feu virtuel vSRX. Junos OS n’a pas d’accès direct à la carte réseau et dispose uniquement d’un accès de carte réseau virtuelle fourni par l’hyperviseur qui peut être partagé avec d’autres machines virtuelles exécutées sur la même machine hôte. Cet accès virtuel est livré avec certaines restrictions telles qu’un mode spécial appelé mode de confiance, l’accès en mode peut ne pas être réalisable en raison de problèmes de sécurité possibles. Pour permettre au modèle RETH de fonctionner dans de tels environnements, le comportement de réécriture MAC MAC est modifié Au lieu de copier l’adresse MAC virtuelle parente pour les enfants, nous gardons l’adresse MAC physique des enfants intacte et coptons l’adresse MAC physique de l’enfant appartenant à l’actif ; nœud du cluster au MAC actuel de l’interface reth. De cette façon, l’accès à la réécriture MAC n’est pas nécessaire lorsque le mode de confiance est désactivé.

La définition du mode de confiance pour les VF (fonctions virtuelles) permet à l’hôte de modifier l’adresse MAC de l’invité pendant l’exécution. Cela permet aux interfaces du pare-feu virtuel vSRX de découvrir plusieurs voisins IPv6 et d’améliorer leurs performances dans des conditions de mise à l’échelle. L’apprentissage ND sur les interfaces de pare-feu virtuel vSRX est limité à 10 voisins IPv6. Pour le paramètre Linux pour le mode de confiance VF, exécutez la commande sur la ip link set dev enp134s0f1 vf 0 trust on machine hôte.

Vérifiez la configuration :

user@host :~# lien IP

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.