VMware搭載vSRX仮想ファイアウォールを理解する

vSRX仮想ファイアウォールの概要

vSRX仮想ファイアウォールは、仮想 プライベートクラウド またはパブリッククラウド環境の境界またはエッジでセキュリティとネットワークサービスを提供する仮想セキュリティアプライアンスです。vSRX仮想ファイアウォールは、標準のx86サーバー上の仮想マシン(VM)として実行されます。vSRX仮想ファイアウォールは、Junosオペレーティングシステム(Junos OS)上に構築されており、SRXシリーズファイアウォールのソフトウェアリリースで利用可能なものと同様のネットワーク機能とセキュリティ機能を提供します。

vSRX仮想ファイアウォールは、コアファイアウォール、VPN、NAT、アプリケーションセキュリティ、侵入検知および防止(IPS)などの高度なレイヤー4からレイヤー7のセキュリティサービス、および強化Webフィルタリングやアンチウイルスなどのコンテンツセキュリティ機能を含む、完全な次世代ファイアウォール(NGFW)ソリューションを提供します。vSRX仮想ファイアウォールは、ATP Cloudと組み合わせることで、高度なマルウェアから保護するための動的分析を備えたクラウドベースの高度なアンチマルウェアサービスを提供し、組み込みの機械学習を提供することで、判定の有効性を高め、修復までの時間を短縮します。

図 1 は、アーキテクチャの概要を示しています。

図1:vSRX仮想ファイアウォールアーキテクチャ

vSRX仮想ファイアウォールには、データプレーンを構成するJunosコントロールプレーン(JCP)コンポーネントとパケット転送エンジン(PFE)コンポーネントが含まれています。vSRX仮想ファイアウォールは、JCPに1つの仮想CPU(vCPU)を使用し、PFEに少なくとも1つのvCPUを使用します。Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 以降、マルチコア vSRX仮想ファイアウォールは、vCPU と GB 仮想 RAM(vRAM)のスケーリングをサポートしています。パフォーマンス向上のため、データプレーンに追加のvCPUが適用されます。

Junos OS リリース 18.4R1 は、新しいソフトウェア アーキテクチャである vSRX仮想ファイアウォール 3.0 をサポートしており、既存の vSRX仮想ファイアウォール アーキテクチャのデュアル OS とネストされた仮想化の要件を取り除きます。

vSRX仮想ファイアウォール3.0アーキテクチャでは、FreeBSD 11.xをゲストOSとして使用し、ルーティングエンジンとパケット転送エンジンは、パフォーマンスと拡張性を向上させるために単一の仮想マシンとしてFreeBSD 11.x上で実行されます。vSRX仮想ファイアウォール3.0は、DPDKを使用してデータプレーン内のデータパケットを処理します。vSRX仮想ファイアウォールからvSRX仮想ファイアウォール3.0ソフトウェアへのJunosの直接アップグレードはサポートされていません。

vSRX仮想ファイアウォール3.0は、vSRX仮想ファイアウォールと比較して、以下のように強化されています。

• ハイパーバイザーで入れ子になった VM のサポートを必要とするという制限が削除されました。

• コントロールプレーンに接続されたポートで無作為検出モードを有効にする必要があるという制限が削除されました。

• 起動時間が改善され、管理操作中のコントロールプレーンの応答性が向上しました。

• ライブマイグレーションの改善。

図2 は、vSRX仮想ファイアウォール3.0のソフトウェアアーキテクチャの概要を示しています

図2:vSRX仮想ファイアウォール 3.0アーキテクチャ

vSRX仮想ファイアウォールのメリットとユースケース

標準x86サーバーでvSRX仮想ファイアウォールを使用すると、新しいサービスの迅速な導入、顧客へのカスタムサービスの提供、動的ニーズに基づくセキュリティサービスの拡張が可能になります。vSRX仮想ファイアウォールは、パブリッククラウド、プライベートクラウド、ハイブリッドクラウド環境に最適です。

仮想プライベートクラウドまたはパブリッククラウドのマルチテナント環境におけるvSRX仮想ファイアウォールの主なメリットには、次のようなものがあります。

• テナントエッジでのステートフルファイアウォール保護

• 新しいサイトへの仮想ファイアウォールの迅速な導入

• さまざまなハイパーバイザーやパブリッククラウドインフラストラクチャ上での実行が可能

• フルルーティング、 VPN、コアセキュリティ、ネットワーク機能

• アプリケーションセキュリティ機能(IPSおよびApp-Secureを含む)

• コンテンツセキュリティ機能(アンチウイルス、Webフィルタリング、アンチスパム、コンテンツフィルタリングを含む)

• Junos Space Security Directorによる一元管理とJ-Web Interfaceによるローカル管理

• ジュニパーネットワークスJuniper Advanced Threat Prevention Cloud(ATP Cloud)の統合

VMWare ESXi導入でのvSRX仮想ファイアウォール

VMware vSphereは、x86アーキテクチャをサポートするシステム用の仮想化環境です。VMware ESXi®は、ホストマシン上で仮想マシン(VM)および仮想アプライアンスを作成および実行するために使用されるハイパーバイザーです。VMware vCenter Server® は、複数の ESXi ホストのリソースを管理するサービスです。

VMware vSphere Web Clientは、vSRX仮想ファイアウォールVMの導入に使用します。

図3 は、vSRX仮想ファイアウォールを導入して、1台以上の仮想マシン上で実行されているアプリケーションにセキュリティを提供する方法の例を示しています。vSRX仮想ファイアウォール仮想スイッチは、物理アダプタ(アップリンク)に接続されているため、すべてのアプリケーショントラフィックはvSRX仮想ファイアウォールVMを経由して外部ネットワークに流れます。

図 3: vSRX仮想ファイアウォール展開の例

vSRX仮想ファイアウォールによるパフォーマンスのスケールアップ

表1 は、vSRX仮想ファイアウォールVMに適用されるvCPUとvRAMの数に基づいて、vSRX仮想ファイアウォールがパフォーマンスを拡張する様子を示しています。次の表は、VMwareにvSRX仮想ファイアウォールを展開するための特定のソフトウェア仕様が導入されたJunos OSリリースの概要を示しています。スケールアップパフォーマンス機能を利用するには、特定のJunos OSリリースをダウンロードする必要があります。

vSRX仮想ファイアウォールに割り当てられるvCPUの数とvRAMの量を増やすことで、vSRX仮想ファイアウォールインスタンスのパフォーマンスと容量を拡張できます。マルチコアvSRX仮想ファイアウォールは、起動時に適切なvCPUとvRAM値、およびNIC内のRSS(Receive Side Scaling)キューの数を自動的に選択します。vSRX仮想ファイアウォール仮想マシンに割り当てられたvCPUとvRAMの設定が現在利用可能なものと一致しない場合、vSRX仮想ファイアウォールはインスタンスでサポートされている最も近い値にスケールダウンします。たとえば、vSRX仮想ファイアウォールVMに3つのvCPUと8GBのvRAMがある場合、vSRX仮想ファイアウォールはより小さい方のvCPUサイズで起動するため、最低でも2つのvCPUが必要になります。vSRX仮想ファイアウォールインスタンスをより多くのvCPUとvRAMの量にスケールアップすることはできますが、既存のvSRX仮想ファイアウォールインスタンスをより小さな設定にスケールダウンすることはできません。

vSRX仮想ファイアウォールのセッション容量の増加

vSRX仮想ファイアウォールソリューションは、メモリを増やすことでセッション数を増やすように最適化されています。

メモリを増やしてセッション数を増やすことができるため、vSRX仮想ファイアウォールで以下を実現できます。

• モバイルネットワークの戦略的な場所に、拡張性、柔軟性、パフォーマンスに優れたセキュリティを提供します。

• サービスプロバイダがネットワークを拡張および保護するために必要なパフォーマンスを提供します。

show security flow session summary | grep maximumコマンドを実行して、セッションの最大数を表示します。

Junos OS リリース 18.4R1 以降、vSRX仮想ファイアウォールインスタンスでサポートされるフローセッション数は、使用される vRAM サイズに基づいて増加します。

Junos OS リリース 19.2R1 以降、vSRX仮想ファイアウォール 3.0 インスタンスでサポートされるフロー セッション数は、使用される vRAM サイズに基づいて増加します。

表 2 は、フロー セッションの容量を示しています。