Comprender el firewall virtual vSRX con VMware
En esta sección se presenta una descripción general del firewall virtual vSRX en VMware
Descripción general del firewall virtual vSRX
El firewall virtual vSRX es un dispositivo de seguridad virtual que proporciona servicios de seguridad y redes en el perímetro o el borde en entornos de nube pública o privada virtualizada. El Firewall virtual vSRX se ejecuta como una máquina virtual (VM) en un servidor x86 estándar. El firewall virtual vSRX se basa en el sistema operativo Junos (Junos OS) y ofrece funciones de red y seguridad similares a las disponibles en las versiones de software para los firewalls de la serie SRX.
El firewall virtual vSRX le ofrece una solución completa de firewall de última generación (NGFW), que incluye firewall central, VPN, NAT, servicios avanzados de seguridad de capa 4 a capa 7, como seguridad de aplicaciones, detección y prevención de intrusiones (IPS) y funciones de seguridad de contenido, incluido el filtrado web mejorado y antivirus. Combinado con ATP Cloud, el firewall virtual vSRX ofrece un servicio antimalware avanzado basado en la nube con análisis dinámico para proteger contra malware sofisticado, y proporciona aprendizaje automático integrado para mejorar la eficacia del veredicto y reducir el tiempo de corrección.
La figura 1 muestra la arquitectura de alto nivel.
del firewall virtual vSRX
El Firewall virtual vSRX incluye el plano de control de Junos (JCP) y los componentes del motor de reenvío de paquetes (PFE) que componen el plano de datos. El firewall virtual vSRX utiliza una CPU virtual (vCPU) para el JCP y al menos una vCPU para el PFE. A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, el firewall virtual vSRX multinúcleo admite escalar vCPU y GB de RAM virtual (vRAM). Se aplican vCPU adicionales al plano de datos para aumentar el rendimiento.
Junos OS versión 18.4R1 admite una nueva arquitectura de software vSRX Virtual Firewall 3.0 que elimina el sistema operativo dual y los requisitos de virtualización anidada de la arquitectura existente de vSRX Virtual Firewall.
En la arquitectura de vSRX Virtual Firewall 3.0, FreeBSD 11.x se utiliza como el SO invitado y el motor de enrutamiento y el motor de reenvío de paquetes se ejecutan en FreeBSD 11.x como una sola máquina virtual para mejorar el rendimiento y la escalabilidad. El firewall virtual vSRX 3.0 utiliza DPDK para procesar los paquetes de datos en el plano de datos. No se admite una actualización directa de Junos desde el firewall virtual vSRX al software del firewall virtual vSRX 3.0.
vSRX Virtual Firewall 3.0 tiene las siguientes mejoras en comparación con vSRX Virtual Firewall:
Se ha eliminado la restricción de requerir compatibilidad con máquinas virtuales anidadas en hipervisores.
Se ha eliminado la restricción de requerir que los puertos conectados al plano de control tengan habilitado el modo promiscuo.
Tiempo de arranque mejorado y capacidad de respuesta mejorada del plano de control durante las operaciones de administración.
Migración en vivo mejorada.
La figura 2 muestra la arquitectura de software de alto nivel para vSRX Virtual Firewall 3.0
Beneficios y casos de uso del firewall virtual vSRX
El Firewall virtual vSRX en servidores x86 estándar le permite introducir rápidamente nuevos servicios, ofrecer servicios personalizados a los clientes y escalar los servicios de seguridad según necesidades dinámicas. El firewall virtual vSRX es ideal para entornos de nube pública, privada e híbrida.
Algunos de los beneficios clave de vSRX Virtual Firewall en un entorno virtualizado de nube privada o pública multiinquilino incluyen:
Protección de firewall con estado en el borde del inquilino
Despliegue más rápido de firewalls virtuales en nuevos sitios
Capacidad para ejecutarse sobre varios hipervisores e infraestructuras de nube pública
Capacidades completas de enrutamiento, VPN, seguridad central y redes
Funciones de seguridad de aplicaciones (incluidas IPS y App-Secure)
Funciones de seguridad de contenido (incluidos antivirus, filtrado web, antispam y filtrado de contenido)
Administración centralizada con Junos Space Security Director y administración local con J-Web Interface
Juniper Networks Integración de la nube de prevención avanzada de amenazas (ATP Cloud) de Juniper Networks
Implementación del firewall virtual vSRX en VMWare ESXi
VMware vSphere es un entorno de virtualización para sistemas compatibles con la arquitectura x86. VMware ESXi® es el hipervisor que se utiliza para crear y ejecutar máquinas virtuales (VM) y dispositivos virtuales en una máquina host. VMware vCenter Server® es un servicio que administra los recursos de varios hosts ESXi.
VMware vSphere Web Client se utiliza para implementar la máquina virtual del firewall virtual vSRX.
La figura 3 muestra un ejemplo de cómo se puede implementar el firewall virtual vSRX para proporcionar seguridad a las aplicaciones que se ejecutan en una o más máquinas virtuales. El conmutador virtual del Firewall virtual vSRX tiene una conexión a un adaptador físico (el vínculo ascendente) para que todo el tráfico de la aplicación fluya a través de la máquina virtual del Firewall virtual vSRX hacia la red externa.
del firewall virtual vSRX
Rendimiento de escalabilidad vertical del firewall virtual vSRX
En la tabla 1 se muestra el rendimiento de escalabilidad vertical del firewall virtual vSRX en función de la cantidad de vCPU y vRAM aplicadas a una máquina virtual del firewall virtual vSRX. En la tabla se describe la versión de Junos OS en la que se introdujo una especificación de software específica para implementar vSRX Virtual Firewall en VMware. Deberá descargar una versión específica de Junos OS para aprovechar determinadas funciones de rendimiento de escalabilidad vertical.
vCPU |
vRAM |
NIC |
Presentación de la versión de Junos OS |
|---|---|---|---|
2 vCPU |
4 GB |
|
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 |
5 vCPU |
8 GB |
|
Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1 |
9 vCPU |
16 GB |
Nota:
Se requiere SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro y Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) si desea escalar el rendimiento y la capacidad de un firewall virtual vSRX a 9 vCPU y 16 GB de vRAM. |
Junos OS versión 18.4R1 |
17 vCPU |
32 GB |
Nota:
Se requiere SR-IOV (Mellanox ConnectX-3/ConnectX-3 Pro y Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) si desea escalar el rendimiento y la capacidad de un firewall virtual vSRX a 17 vCPU y 32 GB de vRAM. |
Junos OS versión 18.4R1 |
| 1 vCPU | 4 GB |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
| 4 vCPU | 8 GB |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
| 8 vCPU | 16 GB |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
| 16 vCPU | 32 GB |
SR-IOV en los adaptadores de las familias Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
Puede escalar el rendimiento y la capacidad de una instancia de firewall virtual vSRX aumentando la cantidad de vCPU y la cantidad de vRAM asignada al firewall virtual vSRX. El firewall virtual vSRX multinúcleo selecciona automáticamente los valores adecuados de vCPU y vRAM en el momento del arranque, así como el número de colas de escala en lado de recepción (RSS) en la NIC. Si la configuración de vCPU y vRAM asignada a una máquina virtual de vSRX Virtual Firewall no coincide con la que está disponible actualmente, vSRX Virtual Firewall se reduce al valor admitido más cercano para la instancia. Por ejemplo, si una máquina virtual de vSRX Virtual Firewall tiene 3 vCPU y 8 GB de vRAM, vSRX Virtual Firewall arranca en el tamaño de vCPU más pequeño, que requiere un mínimo de 2 vCPU. Puede escalar verticalmente una instancia de vSRX Virtual Firewall a un mayor número de vCPU y cantidad de vRAM, pero no puede reducir una instancia de vSRX Virtual Firewall existente a una configuración más pequeña.
El número de colas RSS suele coincidir con el número de vCPU del plano de datos de una instancia de vSRX Virtual Firewall. Por ejemplo, un firewall virtual vSRX con 4 vCPU de plano de datos debe tener 4 colas RSS.
Aumento de la capacidad de la sesión del firewall virtual vSRX
La solución de firewall virtual vSRX está optimizada para aumentar el número de sesiones mediante el aumento de la memoria.
Con la capacidad de aumentar el número de sesiones aumentando la memoria, puede habilitar el Firewall virtual vSRX para:
Proporcione seguridad altamente escalable, flexible y de alto rendimiento en ubicaciones estratégicas de la red móvil.
Ofrezca el rendimiento que los proveedores de servicios requieren para escalar y proteger sus redes.
Ejecute el show security flow session summary | grep maximum comando para ver el número máximo de sesiones.
A partir de Junos OS versión 18.4R1, la cantidad de sesiones de flujo admitidas en una instancia de firewall virtual vSRX aumenta en función del tamaño de vRAM utilizado.
A partir de Junos OS versión 19.2R1, el número de sesiones de flujo admitidas en una instancia de vSRX Virtual Firewall 3.0 aumenta en función del tamaño de vRAM utilizado.
La Tabla 2 muestra la capacidad de la sesión de flujo.
vCPU |
Memoria |
Capacidad de sesión de flujo |
|---|---|---|
2 |
4 GB |
0,5 m |
2 |
6 GB |
1 M |
2/5 |
8 GB |
2 M |
2/5 |
10 GB |
2 M |
2/5 |
12 GB |
2,5 m |
2/5 |
14 GB |
3 M |
2/5/9 |
16 GB |
4 M |
2/5/9 |
20 GB |
6 M |
2/5/9 |
24 GB |
8 M |
2/5/9 |
28 GB |
10 M |
2/5/9/17 |
32 GB |
12 M |
2/5/9/17 |
40 GB |
16 metros |
2/5/9/17 |
48 GB |
20 m |
2/5/9/17 |
56 GB |
24 metros |
2/5/9/17 |
64 GB |
28 metros |
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.