vSRX仮想ファイアウォールの概要
概要 このトピックでは、vSRX 仮想ファイアウォール アーキテクチャとそのメリットについて説明します。
vSRX仮想ファイアウォールは、仮想プライベートクラウドまたはパブリック クラウド 環境の境界またはエッジでセキュリティとネットワークサービスを提供する仮想セキュリティアプライアンスです。vSRX 仮想ファイアウォールは、標準 x86 サーバー上の仮想マシン(VM)として実行されます。vSRX 仮想ファイアウォールは Junos オペレーティング システム(Junos OS)上に構築され、SRX シリーズ ファイアウォールのソフトウェア リリースと同様のネットワーク機能とセキュリティ機能を提供します。
vSRX仮想ファイアウォールは、コアファイアウォール、VPN、NAT、アプリケーションセキュリティ、侵入検出および防止(IPS)などの高度なレイヤー4〜レイヤー7セキュリティサービス、および拡張Webフィルタリングやアンチウイルスなどのコンテンツセキュリティ機能を含む、次世代ファイアウォール(NGFW)の完全なソリューションを提供します。vSRX仮想ファイアウォールは、ATPクラウドと組み合わせることで、クラウドベースの高度なアンチマルウェアサービスと動的分析を提供し、高度なマルウェアから保護し、見分け効果を改善し、修復時間を短縮する組み込みの機械学習を提供します。
図 1 は、アーキテクチャの概要を示しています。
vSRX 仮想ファイアウォールには、データ プレーンを構成する Junos コントロール プレーン(JCP)とパケット転送エンジン(PFE)コンポーネントが含まれています。vSRX仮想ファイアウォールは、JCPに1つの仮想CPU(vCPU)を使用し、PFEには少なくとも1つのvCPUを使用します。Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 以降、マルチコア vSRX 仮想ファイアウォールは、vCPU と仮想 RAM(vRAM)の拡張をサポートしています。パフォーマンスを向上させるために、データ プレーンに追加の vCPU が適用されます。
Junos OSは、vSRX仮想ファイアウォール上のVMとして動作します。Junos OSはNICに直接アクセスする必要がなく、ハイパーバイザーが提供する仮想NICアクセスのみを持ち、同じホストマシン上で実行されている他のVMと共有することができます。この仮想アクセスには、トラストモードと呼ばれる特別なモードなど、特定の制限が付いていますが、セキュリティの問題が発生する可能性があるため、モードアクセスが実現できない可能性があります。このような環境で RETH モデルを動作させるために、MAC 書き換え動作が変更されます。親仮想 MAC アドレスを子にコピーする代わりに、子の物理 MAC アドレスをそのまま保持し、アクティブに属する子の物理 MAC アドレスをコピーします。クラスタのノードをリスインターフェイスの現在のMACに接続します。このように、トラストモードが無効になっている場合、MAC書き換えアクセスは必要ありません。
VF(仮想機能)の信頼モードを設定することで、ホストは実行時にゲストのMACアドレスを変更できます。これにより、vSRX仮想ファイアウォールインターフェイスが複数のIPv6ネイバーを検出し、スケーリング条件下でより優れたパフォーマンスを発揮できます。vSRX 仮想ファイアウォール インターフェイスでの ND 学習は、わずか 10 個の IPv6 ネイバーに制限されます。VF信頼モードのLinux設定では、 ip link set dev enp134s0f1 vf 0 trust on
ホストマシンで コマンドを実行します。
設定を確認します。
user@host:~# ip リンク
enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000
link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff
vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.
利点
標準x86サーバー上のvSRX仮想ファイアウォールにより、新しいサービスを迅速に導入し、カスタマイズされたサービスを顧客に提供し、動的なニーズに基づいてセキュリティサービスを拡張できます。vSRX 仮想ファイアウォールは、パブリック クラウド、プライベート クラウド、ハイブリッド クラウド環境に最適です。
仮想プライベートまたはパブリッククラウドのマルチテナント環境におけるvSRX仮想ファイアウォールの主なメリットには、以下のものがあります。
テナント エッジでのステートフル ファイアウォール保護
新しいサイトへの仮想ファイアウォールの迅速な導入
さまざまなハイパーバイザーやパブリッククラウドインフラストラクチャ上で実行できる機能
フルルーティング、 VPN、コアセキュリティ、ネットワーク機能
アプリケーション セキュリティ機能(IPS と App-Secure を含む)
コンテンツセキュリティ機能(アンチウイルス、Webフィルタリング、アンチスパム、コンテンツフィルタリングを含む)
Junos Space Security Director による一元管理と J-Web インターフェイスによるローカル管理
ジュニパーネットワークスのJuniper Advanced Threat Prevention Cloud(ATP Cloud)の統合