VMware를 통한 vSRX 가상 방화벽 이해

vSRX 가상 방화벽 개요

vSRX 가상 방화벽은 가상화된 프라이빗 또는 퍼블릭 클라우드 환경의 경계 또는 에지에서 보안 및 네트워킹 서비스를 제공하는 가상 보안 어플라이언스입니다. vSRX 가상 방화벽은 표준 x86 서버에서 가상 머신(VM)으로 실행됩니다. vSRX 가상 방화벽은 Junos 운영체제(Junos OS)를 기반으로 구축되어 SRX 시리즈 방화벽용 소프트웨어 릴리스에서 제공되는 것과 유사한 네트워킹 및 보안 기능을 제공합니다.

vSRX 가상 방화벽은 코어 방화벽, VPN, NAT, 애플리케이션 보안, 침입 탐지 및 방지(IPS), 강화된 웹 필터링 및 안티바이러스와 같은 콘텐츠 보안 기능과 같은 고급 레이어 4-7 보안 서비스를 포함한 완벽한 차세대 방화벽(NGFW) 솔루션을 제공합니다. ATP 클라우드와 결합된 vSRX 가상 방화벽은 정교한 멀웨어를 차단하기 위한 동적 분석 기능을 갖춘 클라우드 기반의 고급 안티 멀웨어 서비스를 제공하며, 내장형 머신러닝을 제공하여 판정 효과를 개선하고 교정 시간을 단축합니다.

그림 1 은 상위 수준 아키텍처를 보여줍니다.

vSRX 가상 방화벽에는 데이터 플레인을 구성하는 Junos 컨트롤 플레인(JCP) 및 패킷 전달 엔진(PFE) 구성 요소가 포함되어 있습니다. vSRX 가상 방화벽은 JCP에 대해 하나의 가상 CPU(vCPU)를 사용하고 PFE에 대해 최소 하나의 vCPU를 사용합니다. Junos OS 릴리즈 15.1X49-D70 및 Junos OS 릴리즈 17.3R1부터 멀티코어 vSRX 가상 방화벽은 vCPU 및 GB 가상 RAM(vRAM) 확장을 지원합니다. 성능 향상을 위해 추가 vCPU가 데이터부에 적용됩니다.

Junos OS 릴리스 18.4R1은 새로운 소프트웨어 아키텍처인 vSRX 가상 방화벽 3.0을 지원하며, 이 아키텍처는 기존 vSRX 가상 방화벽 아키텍처의 듀얼 OS 및 중첩 가상화 요구 사항을 제거합니다.

vSRX 가상 방화벽 3.0 아키텍처에서, FreeBSD 11.x는 게스트 OS로 사용되며, 라우팅 엔진 및 패킷 포워딩 엔진은 성능 및 확장성 향상을 위해 FreeBSD 11.x에서 단일 가상 머신으로 실행됩니다. vSRX 가상 방화벽 3.0은 DPDK를 사용하여 데이터 플레인의 데이터 패킷을 처리합니다. vSRX 가상 방화벽에서 vSRX 가상 방화벽 3.0 소프트웨어로의 직접 Junos 업그레이드는 지원되지 않습니다.

vSRX 가상 방화벽 3.0은 vSRX 가상 방화벽에 비해 다음과 같은 개선 사항이 있습니다.

• 하이퍼바이저에서 중첩된 VM 지원을 요구하는 제한이 제거되었습니다.

• 컨트롤 플레인에 연결된 포트가 무차별 모드를 사용하도록 설정해야 하는 제한이 제거되었습니다.

• 부팅 시간이 개선되고 관리 작업 중 컨트롤 플레인의 응답성이 향상됩니다.

• 실시간 마이그레이션이 개선되었습니다.

그림 2 는 vSRX 가상 방화벽 3.0을 위한 고급 소프트웨어 아키텍처를 보여줍니다

vSRX 가상 방화벽 이점 및 사용 사례

표준 x86 서버에서 vSRX 가상 방화벽을 사용하면 새로운 서비스를 신속하게 도입하고, 고객에게 맞춤형 서비스를 제공하고, 동적 요구에 따라 보안 서비스를 확장할 수 있습니다. vSRX 가상 방화벽은 퍼블릭, 프라이빗 및 하이브리드 클라우드 환경에 적합합니다.

가상화된 프라이빗 또는 퍼블릭 클라우드 멀티테넌트 환경에서 vSRX 가상 방화벽의 주요 이점은 다음과 같습니다.

• 테넌트 에지에서 스테이트풀 방화벽 보호

• 새로운 사이트에 가상 방화벽을 보다 신속하게 구축

• 다양한 하이퍼바이저 및 퍼블릭 클라우드 인프라에서 실행할 수 있는 능력

• 전체 라우팅, VPN, 핵심 보안 및 네트워킹 기능

• 애플리케이션 보안 기능(IPS 및 App-Secure 포함)

• 콘텐츠 보안 기능(바이러스 차단, 웹 필터링, 스팸 차단, 콘텐츠 필터링 포함)

• Junos Space Security Director를 통한 중앙 관리 및 J-Web Interface를 통한 로컬 관리

• 주니퍼 네트웍스 주니퍼 ATP(Advanced Threat Prevention) 클라우드) 통합

VMWare ESXi 구축 기반 vSRX 가상 방화벽

VMware vSphere는 x86 아키텍처를 지원하는 시스템을 위한 가상화 환경입니다. VMware ESXi®는 호스트 시스템에서 VM(가상 머신) 및 가상 어플라이언스를 생성하고 실행하는 데 사용되는 하이퍼바이저입니다. VMware vCenter Server®는 여러 ESXi 호스트의 리소스를 관리하는 서비스입니다.

VMware vSphere Web Client는 vSRX 가상 방화벽 VM을 구축하는 데 사용됩니다.

그림 3 은 vSRX 가상 방화벽을 구축하여 하나 이상의 가상 머신에서 실행되는 애플리케이션에 보안을 제공하는 방법의 예를 보여줍니다. vSRX 가상 방화벽 가상 스위치는 모든 애플리케이션 트래픽이 vSRX 가상 방화벽 VM을 통해 외부 네트워크로 흐르도록 물리적 어댑터(업링크)에 연결되어 있습니다.

vSRX 가상 방화벽 스케일업 성능

표 1 에는 vSRX 가상 방화벽 VM에 적용된 vCPU 및 vRAM 수를 기반으로 성능을 스케일 업하는 vSRX 가상 방화벽이 나와 있습니다. 이 표에는 VMware에 vSRX 가상 방화벽을 구축하기 위한 특정 소프트웨어 사양이 도입된 Junos OS 릴리스가 요약되어 있습니다. 특정 스케일업 성능 기능을 활용하려면 특정 Junos OS 릴리스를 다운로드해야 합니다.

표 1: vSRX 가상 방화벽 스케일 업 성능

vCPU	v램	NIC	Junos OS 릴리스 발표
vCPU 2개	4 기가바이트	SR-IOV(Intel 82599, X520/X540) VMNET3	Junos OS 릴리스 15.1X49-D15 및 Junos OS 릴리스 17.3R1
vCPU 5개	8 기가바이트	SR-IOV(Intel 82599, X520/X540) VMNET3	Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1
vCPU 9개	16 기가바이트	SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 및 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) 메모: vSRX 가상 방화벽의 성능과 용량을 9개의 vCPU 및 16GB vRAM으로 확장하려면 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 및 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)가 필요합니다.	Junos OS 릴리스 18.4R1
vCPU 17개	32 기가바이트	SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 및 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) 메모: vSRX 가상 방화벽의 성능과 용량을 17개의 vCPU 및 32GB vRAM으로 확장하려면 SR-IOV(Mellanox ConnectX-3/ConnectX-3 Pro 및 Mellanox ConnectX-4 EN/ConnectX-4 Lx EN)가 필요합니다.	Junos OS 릴리스 18.4R1
vCPU 1개	4 기가바이트	Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV.	Junos OS 릴리스 21.2R1
vCPU 4개	8 기가바이트	Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV.	Junos OS 릴리스 21.2R1
vCPU 8개	16기가바이트	Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV.	Junos OS 릴리스 21.2R1
vCPU 16개	32 기가바이트	Mellanox ConnectX-3 및 ConnectX-4 제품군 어댑터의 SR-IOV.	Junos OS 릴리스 21.2R1

vCPU 수와 vSRX 가상 방화벽에 할당된 vRAM 양을 늘려 vSRX 가상 방화벽 인스턴스의 성능과 용량을 확장할 수 있습니다. 멀티코어 vSRX 가상 방화벽은 부팅 시 적절한 vCPU 및 vRAM 값과 NIC의 RSS(수신측 스케일링) 대기열 수를 자동으로 선택합니다. vSRX 가상 방화벽 VM에 할당된 vCPU 및 vRAM 설정이 현재 사용 가능한 설정과 일치하지 않으면 vSRX 가상 방화벽은 인스턴스에 대해 지원되는 가장 가까운 값으로 축소됩니다. 예를 들어 vSRX 가상 방화벽 VM에 3개의 vCPU와 8GB의 vRAM이 있는 경우 vSRX 가상 방화벽은 최소 2개의 vCPU가 필요한 더 작은 vCPU 크기로 부팅됩니다. vSRX 가상 방화벽 인스턴스를 더 많은 수의 vCPU와 vRAM 양으로 확장할 수 있지만 기존 vSRX 가상 방화벽 인스턴스를 더 작은 설정으로 축소할 수는 없습니다.

메모:

RSS 대기열 수는 일반적으로 vSRX 가상 방화벽 인스턴스의 데이터 플레인 vCPU 수와 일치합니다. 예를 들어 데이터 플레인 vCPU가 4개인 vSRX 가상 방화벽에는 4개의 RSS 대기열이 있어야 합니다.

vSRX 가상 방화벽 세션 용량 증대

vSRX 가상 방화벽 솔루션은 메모리를 늘려 세션 수를 늘리도록 최적화되어 있습니다.

메모리를 늘려 세션 수를 늘릴 수 있는 기능으로 vSRX 가상 방화벽을 활성화하여 다음과 같은 이점을 얻을 수 있습니다.

• 모바일 네트워크의 전략적 위치에 확장성과 유연성이 뛰어난 고성능 보안을 제공합니다.

• 서비스 프로바이더가 네트워크를 확장하고 보호하는 데 필요한 성능을 제공합니다.

show security flow session summary | grep maximum 명령을 실행하여 최대 세션 수를 확인합니다.

Junos OS 릴리스 18.4R1부터 vSRX 가상 방화벽 인스턴스에서 지원되는 플로우 세션의 수는 사용된 vRAM 크기에 따라 증가합니다.

Junos OS 릴리스 19.2R1부터 vSRX 가상 방화벽 3.0 인스턴스에서 지원되는 플로우 세션 수는 사용된 vRAM 크기에 따라 증가합니다.

표 2 에는 플로우 세션 용량이 나와 있습니다.

표 2: vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 플로우 세션 용량 세부 정보

vCPU	기억	플로우 세션 용량
2	4 기가바이트	0.5 미터
2	6 기가바이트	1개 M
2/5	8 기가바이트	2개 m
2/5	10 기가바이트	2개 m
2/5	12 기가바이트	2.5 미터
2/5	14 기가바이트	3개 M
2/5/9	16 기가바이트	4개 M
2/5/9	20 기가바이트	6개 M
2/5/9	24 기가바이트	8개 m 거리
2/5/9	28 기가바이트	10개 M
2/5/9/17	32 기가바이트	12 미터
2/5/9/17	40 기가바이트	16 m 거리
2/5/9/17	48 기가바이트	20개 M 거리
2/5/9/17	56 기가바이트	24 m 거리
2/5/9/17	64 기가바이트	28 m 거리