Descripción general del firewall virtual vSRX

RESUMEN En este tema, aprenda acerca de la arquitectura del firewall virtual vSRX y sus beneficios.

El firewall virtual vSRX es un dispositivo de seguridad virtual que proporciona servicios de seguridad y red en el perímetro o borde en entornos de nube privada o pública virtualizadas. El firewall virtual vSRX se ejecuta como una máquina virtual (VM) en un servidor x86 estándar. El firewall virtual vSRX está construido sobre el sistema operativo Junos (Junos OS) y ofrece funciones de red y seguridad similares a las disponibles en las versiones de software para los firewalls de la serie SRX.

El firewall virtual vSRX le ofrece una solución completa de firewall de última generación (NGFW), que incluye firewall de núcleo, VPN, TDR, servicios de seguridad avanzados de la capa 4 a la capa 7, como seguridad de aplicaciones, detección y prevención de intrusiones (SPI), y funciones de seguridad de contenido, como filtrado web mejorado y antivirus. Combinado con ATP Cloud, el firewall virtual vSRX ofrece un servicio antimalware avanzado basado en la nube con análisis dinámico para proteger contra malware sofisticado, y ofrece aprendizaje automático integrado para mejorar la eficacia del veredicto y reducir el tiempo de reparación.

La Figura 1 muestra la arquitectura de alto nivel.

Figura 1: Arquitectura de firewall virtual vSRX

El firewall virtual vSRX incluye el plano de control (JCP) de Junos y los componentes del motor de reenvío de paquetes (PFE) que conforman el plano de datos. El firewall virtual vSRX usa una CPU virtual (vCPU) para el JCP y al menos una vCPU para el PFE. A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, el firewall virtual vSRX multinúcleo admite escalar vCPU y RAM virtual (vRAM). Se aplican vCPU adicionales al plano de datos para aumentar el rendimiento.

Junos OS se ejecuta como una máquina virtual en el firewall virtual vSRX. Junos OS no tiene acceso directo a la NIC y solo tiene un acceso NIC virtual proporcionado por el hipervisor que podría compartirse con otras máquinas virtuales que se ejecutan en la misma máquina host. Este acceso virtual viene con ciertas restricciones, como un modo especial llamado modo de confianza, el acceso al modo puede no ser factible debido a posibles problemas de seguridad. Para permitir que el modelo RETH funcione en dichos entornos, se modifica el comportamiento de reescritura MAC En lugar de copiar la dirección MAC virtual principal a los hijos, mantenemos intacta la dirección MAC física de los niños y copiamos la dirección MAC física del hijo que pertenece al activo; nodo del clúster a la MAC actual de la interfaz reth. De esta manera, el acceso de reescritura MAC no es necesario cuando el modo de confianza está deshabilitado.

La configuración del modo de confianza para VF (funciones virtuales) permite que el host cambie la dirección MAC del invitado durante el tiempo de ejecución. Esto ayuda a que las interfaces del firewall virtual vSRX descubran varios vecinos IPv6 y funcionen mejor en condiciones de escalabilidad. El aprendizaje de ND en interfaces de firewall virtual vSRX está limitado a solo 10 vecinos IPv6. Para la configuración de Linux para el modo de confianza VF, ejecute el ip link set dev enp134s0f1 vf 0 trust on comando en la máquina host.

Compruebe la configuración:

user@host:~# vínculo ip

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.