vSRX 가상 방화벽 개요

요약 이 주제에서는 vSRX 가상 방화벽 아키텍처와 그 이점에 대해 알아봅니다.

vSRX 가상 방화벽 가상화된 프라이빗 클라우드 또는 퍼블릭 클라우드 환경의 경계 또는 에지에서 보안 및 네트워킹 서비스를 제공하는 가상 보안 어플라이언스입니다. vSRX 가상 방화벽 표준 x86 서버에서 가상 머신(VM)으로 실행됩니다. vSRX 가상 방화벽 Junos 운영체제(Junos OS)를 기반으로 구축되었으며 SRX 시리즈 방화벽용 소프트웨어 릴리스에서 사용할 수 있는 것과 유사한 네트워킹 및 보안 기능을 제공합니다.

이 vSRX 가상 방화벽 코어 방화벽, VPN, NAT, 애플리케이션 보안, 침입 탐지 및 방지(IPS)와 같은 고급 레이어 4~레이어 7 보안 서비스, Enhanced Web 필터링 및 바이러스 차단을 포함한 콘텐츠 보안 기능을 포함한 완전한 차세대 방화벽(NGFW) 솔루션을 제공합니다. ATP 클라우드와 결합된 이 vSRX 가상 방화벽 정교한 멀웨어로부터 보호하기 위한 동적 분석을 제공하는 클라우드 기반 고급 멀웨어 방지 서비스를 제공하며, 기본 내장 머신러닝을 제공하여 판결 효율성을 개선하고 문제 해결 시간을 단축합니다.

그림 1 은 높은 수준의 아키텍처를 보여줍니다.

vSRX 가상 방화벽 데이터 플레인을 구성하는 Junos 컨트롤 플레인(JCP)과 패킷 전달 엔진(PFE) 구성 요소를 포함합니다. vSRX 가상 방화벽 JCP 위해 하나의 가상 CPU(vCPU)를 사용하고 PFE에는 최소 1개의 vCPU를 사용합니다. Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 멀티코어 vSRX 가상 방화벽 vCPU 및 가상 RAM(vRAM)을 지원합니다. 성능 향상을 위해 데이터 플레인에 추가 vCPU를 적용합니다.

Junos OS vSRX 가상 방화벽 VM으로 실행됩니다. Junos OS NIC에 직접 액세스할 수 없으며 하이퍼바이저에서 제공하는 가상 NIC 액세스만 가지고 있으며, 이는 동일한 호스트 머신에서 실행되는 다른 VM과 공유할 수 있습니다. 이 가상 액세스에는 신뢰 모드라는 특수 모드와 같은 특정 제한이 있으며 보안 문제 발생 가능성 때문에 모드 액세스가 실현 가능하지 않을 수 있습니다. RETH 모델이 이러한 환경에서 작동하도록 활성화하기 위해 MAC 재작성 동작은 부모 가상 MAC 주소 어린이에게 복사하는 대신 수정됩니다. 당사는 자녀의 물리적 MAC 주소 그대로 유지하고 활성에 속한 하위의 물리적 MAC 주소 복사합니다. 클러스터의 노드를 reth 인터페이스의 현재 MAC에 연결합니다. 이렇게 하면 신뢰 모드가 비활성화되면 MAC 재작성 액세스가 필요하지 않습니다.

VF에 대한 신뢰 모드(가상 기능)를 설정하면 호스트가 런타임 동안 게스트의 MAC 주소 변경할 수 있습니다. 이는 인터페이스를 vSRX 가상 방화벽 여러 IPv6 이웃을 발견하고 확장 조건에서 더 나은 성능을 발휘하는 데 도움이 됩니다. vSRX 가상 방화벽 인터페이스에서의 ND 학습은 10개의 IPv6 이웃으로만 제한됩니다. VF 트러스트 모드에 대한 Linux 설정의 ip link set dev enp134s0f1 vf 0 trust on 경우 호스트 머신에서 명령을 실행합니다.

구성 확인:

user@host:~# IP 링크

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.