Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

cSRX 컨테이너 방화벽에서 지원되는 Junos OS 기능

cSRX 컨테이너 방화벽은 컨테이너화된 환경에서 레이어 4에서 7까지의 보안 서비스를 제공합니다.

이 섹션에서는 cSRX 컨테이너 방화벽의 Junos OS 기능에 대한 개요를 제공합니다.

cSRX 컨테이너 방화벽에서 지원되는 SRX 시리즈 기능

표 1 은 cSRX 컨테이너 방화벽에서 지원되는 기능 범주와 모든 기능 고려 사항에 대한 높은 수준의 요약을 제공합니다.

cSRX 컨테이너 방화벽에서 지원되는 Junos OS 기능을 확인하려면 Junos OS 기능 정보를 탐색하고 비교하여 네트워크에 적합한 소프트웨어 릴리스 및 하드웨어 플랫폼을 찾을 수 있도록 도와주는 웹 기반 애플리케이션인 주니퍼 네트웍스 기능 탐색기를 사용하십시오. 기능 탐색기를 참조하십시오.

표 1: cSRX 컨테이너 방화벽에서 지원되는 SRX 시리즈 기능

기능

고려 사항

애플리케이션 방화벽(AppFW)

응용 프로그램 방화벽 개요Application Firewall Overview

애플리케이션 식별(AppID)

애플리케이션 식별 기술 이해

애플리케이션 추적(AppTrack)

AppTrack 이해하기

기본 방화벽 정책

보안 기본 사항 이해

무차별 대입 공격 완화

중앙 관리

CLI만 해당됩니다. J-Web 지원 없음.

디도스(DDoS

DoS 공격 개요

DoS 보호

DoS 공격 개요

인터페이스

cSRX 컨테이너 방화벽 컨테이너는 다음과 같은 17개의 인터페이스를 지원합니다.

  • 1 대역 외 관리 인터페이스(eth0)

  • 16개의 인밴드 인터페이스(ge-0/0/0 to ge-0/0/15).

네트워크 인터페이스

침입 탐지 및 방지(IDP)

SRX 시리즈 IPS 구성에 대한 자세한 내용은 다음을 참조하십시오.

SRX 시리즈의 침입 탐지 및 방지 이해

IPv4 및 IPv6

IPv4 주소 지정 이해

IPv6 주소 공간 이해

점보 프레임

이더넷 인터페이스에 대한 점보 프레임 지원 이해하기

잘못된 패킷 보호

네트워크 주소 변환(NAT)

다음과 같이 cSRX 컨테이너 방화벽 플랫폼의 모든 네트워크 주소 변환(NAT) 기능을 지원합니다.

  • 소스 NAT

  • 대상 NAT

  • 정적 네트워크 주소 변환(NAT)

  • 영구 NAT 및 NAT64

  • NAT 헤어핀

  • 멀티캐스트 플로우를 위한 NAT

SRX 시리즈 네트워크 주소 변환(NAT) 구성에 대한 자세한 내용은 다음을 참조하십시오.

NAT 소개

라우팅

VLAN을 사용한 기본 레이어 3 포워딩.

레이어 2 - 3 포워딩 기능: 보안 와이어 포워딩 또는 정적 라우팅 포워딩

SYN 쿠키 보호

SYN 쿠키 보호 이해하기

시스템 로그 및 실시간 로그

Junos OS 릴리스 20.1R1부터 시스템 로그 및 RTlogs를 사용하여 트래픽을 모니터링할 수 있습니다.

사용자 방화벽

다음과 같이 cSRX 컨테이너 방화벽 플랫폼의 모든 사용자 방화벽 기능을 지원합니다.

  • 일치하는 소스 ID 기준으로 정책 시행

  • 소스 ID 정보를 사용하여 로깅

  • Active Directory와 통합된 사용자 방화벽

  • 로컬 인증

SRX 시리즈 사용자 방화벽 구성에 대한 자세한 내용은 다음을 참조하십시오.

통합 사용자 방화벽 개요

컨텐트 보안

다음과 같이 cSRX 컨테이너 방화벽 플랫폼의 모든 컨텐츠 보안 기능을 지원합니다.

  • 안티스팸

  • 소포스 안티 바이러스

  • 웹 필터링

  • 컨텐츠 필터링

SRX 시리즈 콘텐츠 보안 구성에 대한 자세한 내용은 다음을 참조하십시오.

Unified Threat Management 개요

SRX 시리즈 콘텐츠 보안 안티스팸 구성에 대한 자세한 내용은 다음을 참조하십시오.

스팸 차단 필터링 개요

영역 및 영역 기반 IP 스푸핑

IP 스푸핑 이해
표 2: IKE(Internet Key Exchange) 및 IPsec 기능

기능

cSRX에서 지원

IKE 기능

사전 공유 키

인증서 인증

IKEv1(주 모드/적극적인 모드)

아니요

IKEv2

경로 기반 VPN

사이트 간 VPN

자동 VPN

동적 엔드포인트 VPN

포인트 투 포인트 터널 인터페이스

Point-to-Multipoint 터널 인터페이스

아니요

번호가 매겨진 터널 인터페이스

아니요

번호가 지정되지 않은 터널 인터페이스

사이트 간 VPN에 대한 허브 앤 스포크 시나리오

유니캐스트 정적 및 동적(RIP, OSPF, BGP) 라우팅 명시적 st0 인터페이스

아니요

가상 라우터

아니요

IKED 충돌 복구

섀시 클러스터

아니요

HA 링크 암호화

아니요

로컬 주소 선택

루프백 주소 종료

아니요

IKE 게이트웨이 주소로서의 DNS 이름

IPv4 IKE(Internet Key Exchange) 피어에 대한 NAT-Traversal(NAT-T)

DPD(Dead Peer Detection)

IPv4 및 IPv6에 대한 일반 제안 및 정책

일반 IKE(Internet Key Exchange) ID

단일 프록시 ID 쌍

아니요

다중 트래픽 선택기 쌍

단일 물리적 인터페이스를 통한 이중 스택(병렬 IPv4 및 IPv6 터널)

인증 알고리즘 - md5, sha1, sha-256, sha-384, sha-512

암호화 알고리즘 - des-cbc, 3des-cbc, aes-128-cbc, aes-128-gcm, aes-192-cbc, aes-256-cbc, aes-256-gcm

IKE(Internet Key Exchange) 제안 세트 - 기본, 호환, 표준, prime-128, prime-256, suiteb-gcm-128, suiteb-gcm-256

DH 그룹 - 1,2,5,14,15,16,19,20,21,24

로컬 ID - 고유 이름, 호스트 이름, ipv4/v6 주소, user-at-hostname, key-id

원격 ID - 고유 이름, 호스트 이름, ipv4/v6 주소, user-at-hostname, key-id

IKE(Internet Key Exchange) 재인증(개시자 및 응답자)

구성 페이로드

아니요

Eap

아니요

원격 액세스 – NCP/라이센싱

아니요

터널 설정 - 즉시, 온트래픽, 응답자 전용 및 응답자 전용-키 재입력 없음 모드

배포 프로필

아니요

터널 재분배

아니요

IKEv2 단편화

SNMP 관리 정보 베이스(MIB)

아니요

통계, 로그, 터널별 디버깅

lo0 인터페이스의 IKE 종료

아니요

IPsec/데이터 플레인 기능

ESP 및 AH 터널 모드

확장 시퀀스 번호

IKE 또는 IPsec SA의 수명(초)

암호화 알고리즘 – des-cbc, 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc, aes-gcm-128, aes-gcm-256 예

인증 알고리즘 - hmac-sha1-96, hmac-md5-96, hmac-sha-256-128, hmac-sha-384, hmac-sha-512

Don't Fragment bit

IPv6 확장 헤더

IPsec 단편화 및 리어셈블리

세션 선호도

아니요

전원 모드 IPsec

구성 가능한 안티리플레이 창

DSCP 복사

키 재입력된 아웃바운드 SA의 구성 가능한 지연 설치

st0의 Cos

아니요

cSRX 컨테이너 방화벽에서 지원되지 않는 SRX 시리즈 기능

표 3 에는 컨테이너화된 환경에 적용되지 않거나, 현재 지원되지 않거나, cSRX 컨테이너 방화벽에서 적격 지원을 제공하는 SRX 시리즈 기능이 나와 있습니다.

표 3: cSRX 컨테이너 방화벽에서 지원되지 않는 SRX 시리즈 기능

                                              

SRX 시리즈 기능
애플리케이션 레이어 게이트웨이

어바이어 H.323
IC 시리즈 디바이스를 통한 인증

UAC 구축에서 계층 2 적용

참고:

UAC-IDP 및 UAC-Content Security도 지원되지 않습니다.
서비스 등급

SPC의 높은 우선 순위 대기열

터널
데이터 플레인 보안 로그 메시지(스트림 모드)

TLS 프로토콜
진단 도구

플로우 모니터링 cflowd 버전 9

핑 이더넷(CFM)

트레이스라우트 이더넷(CFM)
DNS 프록시

동적 DNS
이더넷 링크 어그리게이션

독립형 또는 섀시 클러스터 모드의 LACP

라우팅된 포트의 레이어 3 LAG

독립형 또는 섀시 클러스터 모드의 정적 LAG
이더넷 링크 장애 관리

물리적 인터페이스(캡슐화)

ethernet-cccethernet-tcc

extended-vlan-cccextended-vlan-tcc

인터페이스 패밀리

ccc, tcc

ethernet-switching
플로우 기반 및 패킷 기반 처리

엔드 투 엔드 패킷 디버깅

네트워크 프로세서 번들링

서비스 오프로딩
인터페이스

어그리게이션 이더넷 인터페이스

IEEE 802.1X 동적 VLAN 할당

IEEE 802.1X MAC 바이패스

IEEE 802.1X 포트 기반 인증 제어(멀티서플리컨트 지원)

MLFR을 사용한 인터리빙

Poe

PPP 인터페이스

PPPoE 기반 무선-라우터 프로토콜

PPPoE 인터페이스

인터페이스의 무차별 모드

Vpn

아카디아 - 클라이언트리스 VPN

증권 시세 표시기

AutoVPN을 위한 멀티캐스트
IPv6 지원

DS-Lite 집중 장치(AFTR이라고도 함)

DS-Lite 이니시에이터(B4라고도 함)
시스템(컨트롤 플레인) 로그의 로그 파일 형식

바이너리 형식(binary)

웰프
기타

AppQoS

섀시 클러스터

Gprs

하드웨어 가속

고가용성

J-웹

논리적 시스템

Mpls

아웃바운드 SSH

원격 인스턴스 액세스

레스트컨프

ATP 클라우드

Snmp

Spotlight Secure 통합

USB 모뎀

무선 LAN
Mpls

CCC 및 TCC

이더넷 연결을 위한 레이어 2 VPN
네트워크 주소 변환

영구 NAT 바인딩 최대화
패킷 캡처

패킷 캡처

참고:

, , 과 st0같은 grip물리적 인터페이스 및 터널 인터페이스에서만 지원됩니다. 패킷 캡처는 중복 이더넷 인터페이스(reth)에서 지원되지 않습니다.
라우팅

IPv6에 대한 BGP 확장

BGP Flowspec

BGP 경로 리플렉터

BGP용 BFD(Bidirectional Forwarding Detection)

증권 시세 표시기
전환

레이어 3 Q-in-Q VLAN 태깅

지원되지 않는 시스템 로그 및 실시간 로그 기능

cSRX 컨테이너 방화벽은 제한된 CPU 성능과 디스크 용량으로 인해 다른 SRX 시리즈 방화벽 또는 vSRX 가상 방화벽 인스턴스에서 지원되는 모든 로그 기능을 지원하지 않습니다.

cSRX 컨테이너 방화벽에서 지원되지 않는 시스템 로그 및 실시간 로그 기능은 다음과 같습니다.

  • 바이너리 로그

  • 박스 로그(LLMD 데몬은 이식되지 않습니다.)

  • 박스 보고서(LLMD 데몬은 이식되지 않습니다.)

  • TLS는 스트림 모드 보안 로그를 원격 로그 서버로 보내는 데 지원되지 않습니다.

  • LSYS 및 테넌트 관련 기능.
투명 모드

컨텐트 보안
컨텐트 보안

익스프레스 AV

카스퍼 스키 AV
업그레이드 및 재부팅

자동 복구

부트 인스턴스 구성

부팅 인스턴스 복구

이중 루트 파티셔닝

OS 롤백
사용자 인터페이스

Nsm

SRC 애플리케이션

Junos Space 가상 디렉터
애플리케이션 보안

SSL 프록시