cSRX en un servidor Linux sin sistema operativo
El firewall de contenedor cSRX es una versión en contenedores del firewall de la serie SRX con una baja huella de memoria. cSRX se basa en el sistema operativo Junos® (Junos OS) y ofrece funciones de red y seguridad similares a las disponibles en las versiones de software de la serie SRX. cSRX proporciona servicios de seguridad avanzados, incluyendo seguridad de contenido, AppSecure y Content Security en un factor de forma de contenedor. Un servidor Linux sin sistema operativo utiliza un contenedor Docker para permitir que el firewall de contenedor cSRX reduzca sustancialmente la sobrecarga. Esta eficiencia se produce porque cada contenedor comparte el kernel del sistema operativo del host Linux. Independientemente de la cantidad de contenedores que aloje un servidor Linux, solo una instancia del sistema operativo puede estar en uso. Además, debido al peso ligero de los contenedores, un servidor puede alojar muchas más instancias de contenedor que las máquinas virtuales (VM), lo que produce enormes mejoras en la utilización. Con su tamaño reducido y Docker como sistema de gestión de contenedores, el cSRX permite el despliegue de un servicio de seguridad ágil y de alta densidad.
El cSRX le permite introducir rápidamente nuevos servicios de firewall, personalizar los servicios según sus requisitos y escalar los servicios de seguridad en función de las necesidades dinámicas. El cSRX difiere de las máquinas virtuales en varios aspectos. El cSRX no requiere un SO invitado para funcionar. Tiene una huella de memoria notablemente menor y es más fácil de migrar o descargar. El cSRX no requiere un SO invitado para funcionar. Tiene una huella de memoria notablemente menor y es más fácil de migrar o descargar. El tiempo de arranque se reduce de varios minutos con un entorno basado en VM a menos de unos pocos segundos con el contenedor cSRX. El cSRX es ideal para entornos de nube pública, privada e híbrida.
Visión general
El cSRX se ejecuta como un contenedor único en un servidor Linux bare metal que sirve como plataforma de alojamiento para el entorno de contenedor Docker. Los paquetes contenedores cSRX comprenden todos los procesos dependientes (demonios) y bibliotecas para admitir los diferentes métodos de distribución de host de Linux (Ubuntu, Red Hat Enterprise Linux o CentOS). Puede usar comandos estándar de Docker para administrar el contenedor cSRX.
Cuando el cSRX se activa, varios demonios dentro del contenedor Docker se inician automáticamente. Algunos demonios admiten características de Linux, proporcionando los mismos servicios que proporcionan cuando se ejecutan en un host Linux (por ejemplo, sshd, rsyslogd y monit). Puede compilar y migrar otros demonios de Junos OS para realizar trabajos de configuración y control para el servicio de seguridad (por ejemplo, etc.). SRX PFE es el demonio de plano de datos que recibe y envía paquetes desde los puertos de ingresos de un contenedor cSRX. El cSRX utiliza srxpfe para las funciones de reenvío de la Capa 2 a la Capa 3 (reenvío por cable seguro o reenvío de enrutamiento estático), así como para los servicios de seguridad de red de la Capa 4 a la Capa 7.
El cSRX permite una seguridad avanzada en el borde de la red en un entorno virtualizado de múltiples inquilinos. cSRX proporciona funciones de seguridad avanzadas, de capa 4 a capa 7, como firewall, IPS y AppSecure. Cuando cSRX está en modo de cable seguro de capa 2, las tramas de capa 2 entrantes desde una interfaz pasan por el procesamiento de capa 4 a capa 7 según los servicios cSRX configurados. A continuación, cSRX envía las tramas fuera de la otra interfaz.
Inicie la instancia de cSRX en modo de conexión segura mediante el siguiente comando:
root@csrx-ubuntu3:~/csrx# docker run -d --privileged --network=mgt_bridge -e CSRX_FORWARD_MODE="wire" --name=<csrx-container-name> <csrx-image-name>
Como parte de la configuración del contenedor Docker, debe conectar el contenedor cSRX a tres redes virtuales: una red virtual para sesiones de administración fuera de banda y dos para recibir y transmitir tráfico de datos. Consulte Instalación de cSRX en un servidor Linux sin sistema operativo.
La figura 1 ilustra el funcionamiento de cSRX en modo de cable seguro. Es un ejemplo de cómo un contenedor cSRX se une a una red externa. En esta ilustración, cSRX eth1 se puentea con la NIC física del host eth1 y cSRX eth2 se puentea con la NIC física del host eth2.
de cable seguro
La figura 2 ilustra el funcionamiento de cSRX en modo de enrutamiento.
enrutamiento
A partir de Junos OS versión 19.2R1, en el modo de enrutamiento, con el aumento del número de interfaces compatibles, la asignación de interfaces ge se reordena como:
Antes de Junos OS versión 19.2R1, en el modo de enrutamiento, eth0 se asignaba como interfaz de administración fuera de banda: eth1 como ge-0/0/1 y eth2 como ge-0/0/0.
A partir de Junos OS versión 19.2R1, en el modo de enrutamiento, el número predeterminado de interfaces admitidas es 3 y el número máximo de interfaces admitidas es 17 (1 interfaz de administración y 16 interfaces de datos). Con este aumento en el número de interfaces soportadas, la asignación de interfaces ge se reordena como:
ETH0 - Interfaz de administración fuera de banda
eth1 - ge-0/0/0
ETH2 - GE-0/0/1
ETH3 - GE-0/0/2
eth4 - ge-0/0/3 y así sucesivamente
Beneficios y usos del firewall de contenedor cSRX
Algunos de los beneficios clave de cSRX Container Firewall en un entorno multiinquilino de nube privada o pública en contenedores incluyen:
Protección de firewall con estado en el borde del inquilino.
Despliegue más rápido de servicios de firewall en contenedores en sitios nuevos.
Con una huella pequeña y requisitos mínimos de reserva de recursos, el cSRX puede escalar fácilmente para mantenerse al día con la demanda máxima de los clientes.
Proporciona una densidad significativamente mayor sin necesidad de reserva de recursos en el host que la que ofrecen las soluciones de firewall basadas en VM.
Flexibilidad para ejecutarse en un servidor Linux sin sistema operativo o en Juniper Networks Contrail.
En la plataforma en la nube de Contrail Networking, cSRX se puede utilizar para proporcionar servicios de seguridad diferenciados de capa 4 a 7 para múltiples inquilinos como parte de una cadena de servicios.
Con Contrail Orchestrator, cSRX se puede desplegar como un servicio de seguridad a gran escala.
Funciones de seguridad de aplicaciones (incluidos IPS y AppSecure).
Funciones de seguridad de contenido (como antispam, Sophos Antivirus, filtrado web y filtrado de contenido).
Funciones de autenticación y firewall de usuario integrado.
Aunque las características de servicios de seguridad entre cSRX y vSRX Virtual Firewall son similares, hay escenarios en los que cada producto es la opción óptima en su entorno. Por ejemplo, el cSRX no admite instancias y protocolos de enrutamiento, características de conmutación, aplicaciones MPLS y MPLS, clúster de chasis y características de actualización de software. Para entornos que requieren enrutamiento o conmutación, una máquina virtual vSRX Virtual Firewall proporciona el mejor conjunto de características. Para entornos centrados en servicios de seguridad en una implementación en contenedores de Docker, cSRX es una mejor opción.
Consulte Características de firewall de la serie SRX compatibles en el firewall de contenedor cSRX para obtener un resumen de las categorías de características admitidas en cSRX, y también para obtener un resumen de las características no compatibles con cSRX.
Puede implementar cSRX en los siguientes escenarios:
CPE en la nube: para proveedores de servicios (SP) y proveedores de servicios de seguridad administrados (MSSP) en los que hay una gran base de suscriptores de sucursales o suscriptores residenciales. Los MSSP pueden ofrecer servicios diferenciados a suscriptores individuales.
Microsegmentación de Contrail: dentro de un entorno de Contrail que ejecuta cargas de trabajo mixtas de VM y contenedores, cSRX puede proporcionar seguridad para el tráfico de las capas 4 a 7, administrado por Security Director.
Nubes privadas: cSRX puede proporcionar servicios de seguridad en una nube privada que ejecuta cargas de trabajo en contenedores y puede incluir la integración de Contrail.
Descripción general de Docker
Docker es una plataforma de software de código abierto que simplifica la creación, administración y desmontaje de un contenedor virtual que puede ejecutarse en cualquier servidor Linux. Un contenedor Docker empaqueta aplicaciones en "contenedores" haciéndolas portátiles entre cualquier sistema que ejecute el sistema operativo Linux.
La figura 3 proporciona una descripción general de un entorno típico de contenedor de Docker.
de contenedor de Docker
Rendimiento de escalabilidad vertical del firewall de contenedor cSRX
Puede escalar el rendimiento y la capacidad de un contenedor de firewall de contenedor cSRX aumentando la cantidad asignada de memoria virtual o el número de sesiones de flujo. En la Tabla 1 se muestra el rendimiento de escalabilidad vertical de cSRX aplicado a un contenedor cSRX en función de sus tamaños admitidos. El tamaño predeterminado para un contenedor cSRX es grande.
Consulte Cambio del tamaño de un contenedor cSRX para conocer el procedimiento sobre cómo escalar el rendimiento y la capacidad de un contenedor cSRX cambiando el tamaño del contenedor.
| Tamaño del firewall de contenedor cSRX |
Especificación |
Presentación de la versión de Junos OS |
|---|---|---|
| vCPUs/Memoria | 2 vCPU / 4 GB RAM |
Junos OS versión 23.2R1 |
| 4 vCPU / 8 GB RAM |
||
| 6 vCPU / 12 GB RAM |
||
| 8 vCPU / 16 GB RAM |
||
| 12 vCPU / 24 GB RAM |
||
| 16 vCPU / 32 GB RAM |
||
| 20 vCPU / 48 GB RAM |
||
| 32 vCPU / 64 GB RAM |