VMware를 통한 vSRX 가상 방화벽 이해
이 섹션에서는 VMware의 vSRX 가상 방화벽 대한 개요를 제공합니다.
vSRX 가상 방화벽 개요
vSRX 가상 방화벽 가상화된 프라이빗 클라우드 또는 퍼블릭 클라우드 환경의 경계 또는 에지에서 보안 및 네트워킹 서비스를 제공하는 가상 보안 어플라이언스입니다. vSRX 가상 방화벽 표준 x86 서버에서 가상 머신(VM)으로 실행됩니다. vSRX 가상 방화벽 Junos 운영체제(Junos OS)를 기반으로 구축되었으며 SRX 시리즈 방화벽용 소프트웨어 릴리스에서 사용할 수 있는 것과 유사한 네트워킹 및 보안 기능을 제공합니다.
이 vSRX 가상 방화벽 코어 방화벽, VPN, NAT, 애플리케이션 보안, 침입 탐지 및 방지(IPS)와 같은 고급 레이어 4~레이어 7 보안 서비스, Enhanced Web 필터링 및 바이러스 차단을 포함한 콘텐츠 보안 기능을 포함한 완전한 차세대 방화벽(NGFW) 솔루션을 제공합니다. ATP 클라우드와 결합된 이 vSRX 가상 방화벽 정교한 멀웨어로부터 보호하기 위한 동적 분석을 제공하는 클라우드 기반 고급 멀웨어 방지 서비스를 제공하며, 기본 내장 머신러닝을 제공하여 판결 효율성을 개선하고 문제 해결 시간을 단축합니다.
그림 1 은 높은 수준의 아키텍처를 보여줍니다.
vSRX 가상 방화벽 데이터 플레인을 구성하는 Junos 컨트롤 플레인(JCP)과 패킷 전달 엔진(PFE) 구성 요소를 포함합니다. vSRX 가상 방화벽 JCP 위해 하나의 가상 CPU(vCPU)를 사용하고 PFE에는 최소 1개의 vCPU를 사용합니다. Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 멀티코어 vSRX 가상 방화벽 vCPU 및 GB 가상 RAM(vRAM)을 지원합니다. 성능 향상을 위해 데이터 플레인에 추가 vCPU를 적용합니다.
Junos OS 릴리스 18.4R1은 기존 vSRX 가상 방화벽 아키텍처의 이중 OS 및 내포된 가상화 요구 사항을 제거하는 새로운 소프트웨어 아키텍처 vSRX 가상 방화벽 3.0을 지원합니다.
vSRX 가상 방화벽 3.0 아키텍처에서 FreeBSD 11.x는 게스트 OS로 사용되며, 성능 및 확장성을 향상하기 위해 FreeBSD 11.x에서 게스트 OS로 라우팅 엔진 및 패킷 전달 엔진 실행됩니다. vSRX 가상 방화벽 3.0은 DPDK를 사용하여 데이터 플레인에서 데이터 패킷을 처리합니다. vSRX 가상 방화벽 vSRX 가상 방화벽 3.0 소프트웨어로의 직접 Junos 업그레이드는 지원되지 않습니다.
vSRX 가상 방화벽 3.0은 vSRX 가상 방화벽 비해 다음과 같은 개선 사항을 제공합니다.
하이퍼바이저에서 내포된 VM 지원 요구 제한을 제거했습니다.
컨트롤 플레인에 연결된 포트가 무차별 모드를 사용하도록 요구하는 제한을 제거했습니다.
관리 작업 중 컨트롤 플레인의 부팅 시간 및 반응성 향상.
실시간 마이그레이션 개선.
그림 2 는 vSRX 가상 방화벽 3.0용 고급 소프트웨어 아키텍처를 보여줍니다.
vSRX 가상 방화벽 이점 및 사용 사례
표준 x86 서버의 vSRX 가상 방화벽 통해 새로운 서비스를 신속하게 도입하고 고객에게 맞춤형 서비스를 제공하며 동적 요구에 따라 보안 서비스를 확장할 수 있습니다. vSRX 가상 방화벽 퍼블릭, 프라이빗 및 하이브리드 클라우드 환경에 적합합니다.
가상화된 프라이빗 또는 퍼블릭 클라우드 멀티테넌트 환경에서 vSRX 가상 방화벽 얻을 수 있는 주요 이점은 다음과 같습니다.
테넌트 에지에서 스테이트풀 방화벽 보호
새로운 사이트에 가상 방화벽을 더 빠르게 구축할 수 있습니다.
다양한 하이퍼바이저 및 퍼블릭 클라우드 인프라를 기반으로 실행할 수 있는 기능
완전한 라우팅, VPN, 코어 보안 및 네트워킹 기능
애플리케이션 보안 기능(IPS 및 App-Secure 포함)
컨텐츠 보안 기능(바이러스 차단, 웹 필터링, 스팸 차단, 컨텐츠 필터링 포함)
J-Web 인터페이스를 통한 Junos Space Security Director 및 로컬 관리를 통한 중앙 집중식 관리
주니퍼 네트웍스 Juniper ATP 클라우드(Advanced Threat Prevention Cloud) 통합
VMWare ESXi 구축에 대한 vSRX 가상 방화벽
VMware vSphere는 x86 아키텍처를 지원하는 시스템을 위한 가상화 환경입니다. VMware ESXi®는 호스트 머신에서 가상 머신(VM) 및 가상 어플라이언스를 생성하고 실행하는 데 사용되는 하이퍼바이저입니다. VMware vCenter Server®는 여러 ESXi 호스트의 리소스를 관리하는 서비스입니다.
VMware vSphere 웹 클라이언트는 vSRX 가상 방화벽 VM을 구축하는 데 사용됩니다.
그림 3 은 하나 이상의 가상 머신에서 실행되는 애플리케이션에 보안을 제공하기 위해 vSRX 가상 방화벽 구축하는 방법에 대한 예를 보여줍니다. vSRX 가상 방화벽 가상 스위치 물리적 어댑터(업링크)와 연결되어 있어 모든 애플리케이션 트래픽이 vSRX 가상 방화벽 VM을 통해 외부 네트워크로 흐릅니다.
vSRX 가상 방화벽 스케일업 성능
표 1 은 vSRX 가상 방화벽 VM에 적용된 vCPU 및 vRAM 수를 기반으로 vSRX 가상 방화벽 확장 성능을 보여줍니다. 이 표에서는 VMware에 vSRX 가상 방화벽 구축하는 특정 소프트웨어 사양이 도입된 Junos OS 릴리스에 대해 간략하게 설명합니다. 특정 스케일업 성능 기능을 활용하려면 특정 Junos OS 릴리스를 다운로드해야 합니다.
vCPU |
Vram |
Nic |
Junos OS 릴리스 소개 |
---|---|---|---|
vCPU 2개 |
4gb |
|
Junos OS 릴리스 15.1X49-D15 및 Junos OS 릴리스 17.3R1 |
vCPU 5개 |
8GB |
|
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1 |
vCPU 9개 |
16GB |
참고:
vSRX 가상 방화벽 9개 vCPU 및 16GB vRAM으로 성능과 용량을 확장하려면 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 및 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)가 필요합니다. |
Junos OS 릴리스 18.4R1 |
vCPU 17개 |
32gb |
참고:
vSRX 가상 방화벽 17개 vCPU 및 32GB vRAM으로 성능과 용량을 확장하려면 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 및 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)가 필요합니다. |
Junos OS 릴리스 18.4R1 |
vCPU 1대 | 4gb |
Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
vCPU 4개 | 8GB |
Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
vCPU 8개 | 16 기가바이트 |
Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
vCPU 16개 | 32gb |
Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV. |
Junos OS 릴리스 21.2R1 |
vCPU의 수와 vSRX 가상 방화벽 할당된 vRAM 양을 증가시켜 vSRX 가상 방화벽 인스턴스의 성능과 용량을 확장할 수 있습니다. 멀티코어 vSRX 가상 방화벽 부팅 시 적절한 vCPU 및 vRAM 값과 NIC의 수신 측 확장(RSS) 대기열 수를 자동으로 선택합니다. vSRX 가상 방화벽 VM에 할당된 vCPU 및 vRAM 설정이 현재 사용 가능한 값과 일치하지 않으면 vSRX 가상 방화벽 인스턴스에서 가장 가까운 지원 값으로 확장됩니다. 예를 들어, vSRX 가상 방화벽 VM에 vCPU 3개와 vRAM 8GB가 있는 경우, vSRX 가상 방화벽 최소 2개의 vCPU가 필요한 더 작은 vCPU 크기로 부팅합니다. vSRX 가상 방화벽 인스턴스를 더 많은 수의 vCPU와 vRAM으로 확장할 수 있지만 기존 vSRX 가상 방화벽 인스턴스를 더 작은 설정으로 축소할 수는 없습니다.
RSS 대기열 수는 일반적으로 vSRX 가상 방화벽 인스턴스의 데이터 플레인 vCPU 수와 일치합니다. 예를 들어, 데이터 플레인 vCPU가 4개인 vSRX 가상 방화벽 RSS 대기열이 4개 있어야 합니다.
vSRX 가상 방화벽 세션 용량 증가
vSRX 가상 방화벽 솔루션은 메모리를 늘려 세션 수를 늘리도록 최적화되어 있습니다.
메모리를 늘려 세션 수를 늘리는 기능을 통해 다음과 같은 vSRX 가상 방화벽 활성화할 수 있습니다.
모바일 네트워크의 전략적 위치에 고도로 확장 가능하고 유연한 고성능 보안을 제공합니다.
서비스 프로바이더가 네트워크를 확장하고 보호하는 데 필요한 성능을 제공하십시오.
show security flow session summary | grep maximum
최대 세션 수를 보려면 명령을 실행합니다.
릴리스 18.4R1 Junos OS vSRX 가상 방화벽 인스턴스에서 지원되는 플로우 세션 수는 사용된 vRAM 크기에 따라 증가합니다.
릴리스 19.2R1 Junos OS vSRX 가상 방화벽 3.0 인스턴스에서 지원되는 플로우 세션 수는 사용된 vRAM 크기에 따라 증가합니다.
표 2 에는 플로우 세션 용량이 나열됩니다.
vCPU |
메모리 |
플로우 세션 용량 |
---|---|---|
2 |
4gb |
0.5M |
2 |
6GB |
1M |
2/5 |
8GB |
2M |
2/5 |
10GB |
2M |
2/5 |
12GB |
2.5M |
2/5 |
14GB |
3M |
2/5/9 |
16GB |
4M |
2/5/9 |
20GB |
6M |
2/5/9 |
24GB |
8M |
2/5/9 |
28GB |
10M |
2/5/9/17 |
32gb |
12M |
2/5/9/17 |
40GB |
16M |
2/5/9/17 |
48GB |
20M |
2/5/9/17 |
56GB |
24M |
2/5/9/17 |
64gb |
28M |