Comprender el firewall virtual vSRX con VMware
En esta sección, se presenta una descripción general del firewall virtual vSRX en VMware
Descripción general del firewall virtual vSRX
El firewall virtual vSRX es un dispositivo de seguridad virtual que proporciona servicios de seguridad y red en el perímetro o borde en entornos de nube privada o pública virtualizadas. El firewall virtual vSRX se ejecuta como una máquina virtual (VM) en un servidor x86 estándar. El firewall virtual vSRX está construido sobre el sistema operativo Junos (Junos OS) y ofrece funciones de red y seguridad similares a las disponibles en las versiones de software para los firewalls de la serie SRX.
El firewall virtual vSRX le ofrece una solución completa de firewall de última generación (NGFW), que incluye firewall de núcleo, VPN, TDR, servicios de seguridad avanzados de la capa 4 a la capa 7, como seguridad de aplicaciones, detección y prevención de intrusiones (SPI), y funciones de seguridad de contenido, como filtrado web mejorado y antivirus. Combinado con ATP Cloud, el firewall virtual vSRX ofrece un servicio antimalware avanzado basado en la nube con análisis dinámico para proteger contra malware sofisticado, y ofrece aprendizaje automático integrado para mejorar la eficacia del veredicto y reducir el tiempo de reparación.
La Figura 1 muestra la arquitectura de alto nivel.
de firewall virtual vSRX
El firewall virtual vSRX incluye el plano de control (JCP) de Junos y los componentes del motor de reenvío de paquetes (PFE) que conforman el plano de datos. El firewall virtual vSRX usa una CPU virtual (vCPU) para el JCP y al menos una vCPU para el PFE. A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, el firewall virtual vSRX de varios núcleos admite el escalamiento de vCPU y GB de RAM virtual (vRAM). Se aplican vCPU adicionales al plano de datos para aumentar el rendimiento.
Junos OS versión 18.4R1 admite una nueva arquitectura de software vSRX Virtual Firewall 3.0 que elimina el sistema operativo dual y el requisito de virtualización anidada de la arquitectura existente de firewall virtual vSRX.
En la arquitectura del firewall virtual vSRX 3.0, FreeBSD 11.x se utiliza como so invitado y el motor de enrutamiento y el motor de reenvío de paquetes se ejecutan en FreeBSD 11.x como una sola máquina virtual para mejorar el rendimiento y la escalabilidad. El firewall virtual vSRX 3.0 utiliza DPDK para procesar los paquetes de datos en el plano de datos. No se admite una actualización directa de Junos del firewall virtual vSRX al software vSRX Virtual Firewall 3.0.
El firewall virtual vSRX 3.0 tiene las siguientes mejoras en comparación con el firewall virtual vSRX:
Se ha eliminado la restricción de requerir compatibilidad de VM anidada en los hipervisores.
Se eliminó la restricción de requerir puertos conectados al plano de control para tener habilitado el modo promiscuo.
Tiempo de arranque mejorado y capacidad de respuesta mejorada del plano de control durante las operaciones de administración.
Migración en vivo mejorada.
La Figura 2 muestra la arquitectura de software de alto nivel para el firewall virtual vSRX 3.0
de firewall virtual vSRX 3.0
Beneficios y casos de uso del firewall virtual vSRX
El firewall virtual vSRX en servidores x86 estándar le permite introducir rápidamente nuevos servicios, ofrecer servicios personalizados a los clientes y escalar los servicios de seguridad según las necesidades dinámicas. El firewall virtual vSRX es ideal para entornos de nube pública, privada e híbrida.
Algunas de las ventajas clave del firewall virtual vSRX en un entorno multiintenente privado o público virtualizado incluyen:
Protección de firewall de estado en el borde del inquilino
Despliegue más rápido de firewalls virtuales en nuevos sitios
Capacidad de ejecutarse sobre varios hipervisores e infraestructuras de nube pública
Capacidades completas de enrutamiento, VPN, seguridad central y redes
Funciones de seguridad de aplicaciones (como SPI y App-Secure)
Funciones de seguridad de contenido (como antivirus, filtrado web, antispam y filtrado de contenido)
Administración centralizada con Security Director de Junos Space y administración local con interfaz J-Web
Integración de la nube de prevención avanzada de amenazas de Juniper (NUBE ATP)
Implementación del firewall virtual vSRX en VMWare ESXi
VMware vSphere es un entorno de virtualización para sistemas compatibles con la arquitectura x86. VMware ESXi® es el hipervisor que se utiliza para crear y ejecutar máquinas virtuales (VM) y dispositivos virtuales en una máquina host. VMware vCenter Server® es un servicio que administra los recursos de varios hosts ESXi.
VMware vSphere Web Client se utiliza para implementar la máquina virtual de firewall vSRX.
La Figura 3 muestra un ejemplo de cómo se puede implementar el firewall virtual vSRX para proporcionar seguridad a las aplicaciones que se ejecutan en una o más máquinas virtuales. El conmutador virtual de firewall virtual vSRX tiene una conexión a un adaptador físico (el enlace ascendente) de modo que todo el tráfico de la aplicación fluye a través de la VM del firewall virtual vSRX a la red externa.
del firewall virtual vSRX
Firewall virtual vSRX escalar el rendimiento
La tabla 1 muestra el firewall virtual vSRX escalando el rendimiento según la cantidad de vCPU y vRAM aplicadas a una vm de firewall virtual vSRX. En la tabla se describe la versión de Junos OS en la que se introdujo una especificación de software específica para implementar el firewall virtual vSRX en VMware. Deberá descargar una versión específica de Junos OS para aprovechar ciertas funciones de rendimiento de escalabilidad vertical.
vCPU |
Vram |
Nics |
Lanzamiento de Junos OS |
|---|---|---|---|
2 vCPU |
4 GB |
|
Junos OS versión 15.1X49-D15 y Junos OS versión 17.3R1 |
5 vCPU |
8 GB |
|
Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1 |
9 vCPU |
16 GB |
Nota:
Sr-IOV (Mellanox ConnectX-3/ConnectX-3 Pro y Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) es necesario para escalar el rendimiento y la capacidad de un firewall virtual vSRX a 9 vCPU y vRAM de 16 GB. |
Junos OS versión 18.4R1 |
17 vCPU |
32 GB |
Nota:
Sr-IOV (Mellanox ConnectX-3/ConnectX-3 Pro y Mellanox ConnectX-4 EN/ConnectX-4 Lx EN) es necesario si pretende escalar el rendimiento y la capacidad de un firewall virtual vSRX a 17 vCPU y vRAM de 32 GB. |
Junos OS versión 18.4R1 |
| 1 vCPU | 4 GB |
SR-IOV en los adaptadores de la familia Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
| 4 vCPU | 8 GB |
SR-IOV en los adaptadores de la familia Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
| 8 vCPU | 16 Gb |
SR-IOV en los adaptadores de la familia Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
| 16 vCPU | 32 GB |
SR-IOV en los adaptadores de la familia Mellanox ConnectX-3 y ConnectX-4. |
Junos OS versión 21.2R1 |
Puede escalar el rendimiento y la capacidad de una instancia de firewall virtual vSRX aumentando la cantidad de vCPU y la cantidad de vRAM asignadas al firewall virtual vSRX. El firewall virtual vSRX de varios núcleos selecciona automáticamente las vCPU y los valores de vRAM adecuados durante el arranque, así como la cantidad de colas de escalado lateral de recepción (RSS) en la NIC. Si la configuración de vCPU y vRAM asignadas a una máquina virtual de firewall vSRX no coincide con lo que está disponible actualmente, el firewall virtual vSRX escala hacia abajo al valor compatible más cercano para la instancia. Por ejemplo, si una VM de firewall virtual vSRX tiene 3 vCPU y 8 GB de vRAM, el firewall virtual vSRX se inicia al tamaño de vCPU más pequeño, que requiere un mínimo de 2 vCPU. Puede escalar verticalmente una instancia de firewall virtual vSRX a una mayor cantidad de vCPU y cantidad de vRAM, pero no puede reducir la escala horizontal de una instancia existente de firewall virtual vSRX a una configuración más pequeña.
La cantidad de colas RSS normalmente coincide con la cantidad de vCPU del plano de datos de una instancia de firewall virtual vSRX. Por ejemplo, un firewall virtual vSRX con 4 vCPU de plano de datos debe tener 4 colas RSS.
Aumento de la capacidad de sesión del firewall virtual vSRX
La solución de firewall virtual vSRX está optimizada para aumentar el número de sesiones mediante el aumento de la memoria.
Con la capacidad de aumentar los números de sesión mediante el aumento de la memoria, puede habilitar el firewall virtual vSRX para:
Ofrezca seguridad altamente escalable, flexible y de alto rendimiento en ubicaciones estratégicas de la red móvil.
Ofrezca el rendimiento que los proveedores de servicios requieren para escalar y proteger sus redes.
Ejecute el show security flow session summary | grep maximum comando para ver el número máximo de sesiones.
A partir de Junos OS versión 18.4R1, la cantidad de sesiones de flujo compatibles con una instancia de firewall virtual vSRX aumenta según el tamaño de vRAM utilizado.
A partir de Junos OS versión 19.2R1, la cantidad de sesiones de flujo compatibles con una instancia de firewall virtual vSRX 3.0 aumenta según el tamaño de vRAM utilizado.
La tabla 2 enumera la capacidad de sesión de flujo.
vCPU |
Memoria |
Capacidad de sesión de flujo |
|---|---|---|
2 |
4 GB |
0.5M |
2 |
6 GB |
1 m |
2/5 |
8 GB |
2 millones |
2/5 |
10 GB |
2 millones |
2/5 |
12 GB |
2.5M |
2/5 |
14 GB |
3 M |
2/5/9 |
16 GB |
4 M |
2/5/9 |
20 GB |
6 M |
2/5/9 |
24 GB |
8 M |
2/5/9 |
28 GB |
10 M |
2/5/9/17 |
32 GB |
12 M |
2/5/9/17 |
40 GB |
16 M |
2/5/9/17 |
48 GB |
20 M |
2/5/9/17 |
56 GB |
24 M |
2/5/9/17 |
64 GB |
28 M |