vSRX仮想ファイアウォールの概要

概要 このトピックでは、vSRX仮想ファイアウォールのアーキテクチャとそのメリットについて説明します。

vSRX仮想ファイアウォールは、仮想化されたプライベートクラウドまたはパブリック クラウド 環境の境界またはエッジでセキュリティおよびネットワークサービスを提供する仮想セキュリティアプライアンスです。vSRX仮想ファイアウォールは、標準のx86サーバー上の仮想マシン(VM)として稼働します。vSRX仮想ファイアウォールは、Junosオペレーティングシステム(Junos OS)上に構築されており、SRXシリーズファイアウォールのソフトウェアリリースで利用可能なものと同様のネットワークおよびセキュリティ機能を提供します。

vSRX仮想ファイアウォールは、コアファイアウォール、VPN、NAT、アプリケーションセキュリティ、侵入検知および防止(IPS)などの高度なレイヤー4からレイヤー7のセキュリティサービス、および拡張Webフィルタリングやアンチウイルスなどのコンテンツセキュリティ機能を含む、完全な次世代ファイアウォール(NGFW)ソリューションを提供します。vSRX仮想ファイアウォールは、ATPクラウドと組み合わせることで、動的分析を備えたクラウドベースの高度なマルウェア対策サービスを提供し、高度なマルウェアから保護し、組み込みの機械学習を提供して判定の有効性を向上させ、修復時間を短縮します。

図 1 に、アーキテクチャの概要を示します。

vSRX仮想ファイアウォールには、データプレーンを構成するJunosコントロールプレーン(JCP)コンポーネントとパケット転送エンジン(PFE)コンポーネントが含まれています。vSRX仮想ファイアウォールは、JCP用に1つの仮想CPU(vCPU)を使用し、PFE用に少なくとも1つのvCPUを使用します。Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、マルチコアvSRX仮想ファイアウォールは、vCPUと仮想RAM(vRAM)のスケーリングをサポートしています。追加の vCPU がデータ プレーンに適用され、パフォーマンスが向上します。

Junos OSは、vSRX仮想ファイアウォール上のVMとして稼働します。Junos OS は NIC に直接アクセスできず、ハイパーバイザーによって提供される仮想 NIC アクセスのみを有し、同じホスト マシン上で実行されている他の VM と共有される可能性があります。この仮想アクセスには、信頼モードと呼ばれる特別なモードなどの特定の制限があり、セキュリティの問題が発生する可能性があるため、モードアクセスを実現できない場合があります。このような環境でRETHモデルを機能させるために、MAC書き換え動作が変更されます 親仮想MACアドレスを子にコピーする代わりに、子の物理MACアドレスをそのまま保持し、アクティブに属する子の物理MACアドレスをコピーします。rethインターフェイスの現在のMACへのクラスタのノード。このようにすると、信頼モードが無効になっている場合、MAC書き換えアクセスは必要ありません。

VF (仮想関数) の信頼モードを設定すると、ホストは実行時にゲストの MAC アドレスを変更できます。これにより、vSRX仮想ファイアウォールインターフェイスが複数のIPv6ネイバーを検出し、スケーリング条件下でのパフォーマンスを向上させることができます。vSRX仮想ファイアウォールインターフェイスでのND学習は、10のIPv6ネイバーに制限されています。VF 信頼モードの Linux 設定の場合は、 ip link set dev enp134s0f1 vf 0 trust on ホスト コンピューターでコマンドを実行します。

設定の確認:

user@host:~# IPリンク

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.