Visão geral do firewall virtual vSRX

RESUMO Neste tópico, você aprende sobre a arquitetura do firewall virtual vSRX e seus benefícios.

O firewall virtual vSRX é um dispositivo de segurança virtual que fornece serviços de segurança e rede no perímetro ou borda em ambientes virtualizados de nuvem privada ou pública. O firewall virtual vSRX é executado como uma máquina virtual (VM) em um servidor x86 padrão. O firewall virtual vSRX é construído no sistema operacional Junos (Junos OS) e oferece recursos de rede e segurança semelhantes aos disponíveis nas versões de software para firewalls da Série SRX.

O firewall virtual vSRX oferece uma solução completa de firewall de próxima geração (NGFW), incluindo firewall de núcleo, VPN, NAT, serviços avançados de segurança de Camada 4 a Camada 7, como segurança de aplicativos, detecção e prevenção de invasões (IPS) e recursos de segurança de conteúdo, incluindo filtragem aprimorada de Web e antivírus. Combinado com o ATP Cloud, o firewall virtual vSRX oferece um serviço avançado anti-malware baseado em nuvem com análise dinâmica para proteger contra malwares sofisticados, e fornece aprendizado de máquina integrado para melhorar a eficácia do veredicto e diminuir o tempo de correção.

A Figura 1 mostra a arquitetura de alto nível.

Figura 1: arquitetura de firewall virtual vSRX

O firewall virtual vSRX inclui o plano de controle Junos (JCP) e os componentes do mecanismo de encaminhamento de pacotes (PFE) que compõem o plano de dados. O firewall virtual vSRX usa uma CPU virtual (vCPU) para o JCP e pelo menos um vCPU para o PFE. A partir do Junos OS Release 15.1X49-D70 e do Junos OS Release 17.3R1, o firewall virtual vSRX multi-core oferece suporte ao dimensionamento de vCPUs e RAM virtual (vRAM). VCPUs adicionais são aplicadas ao plano de dados para aumentar o desempenho.

O Junos OS é executado como um VM no firewall virtual vSRX. O Junos OS não tem acesso direto à NIC e só tem um acesso NIC virtual fornecido pelo hipervisor que pode ser compartilhado com outras VMs em execução na mesma máquina de host. Esse acesso virtual vem com certas restrições, como um modo especial chamado modo trust, o acesso de modo pode não ser viável devido a possíveis problemas de segurança. Para permitir que o modelo RETH funcione nesses ambientes, o comportamento de reescrita do MAC é modificado Em vez de copiar o endereço MAC virtual dos pais para as crianças, mantemos o endereço MAC físico das crianças intacto e copiamos o endereço MAC físico da criança pertencente à ativa; nó do cluster para o MAC atual da interface de reth. Dessa forma, o acesso de reescrita mac não é necessário quando o modo de confiança é desativado.

Definir o modo Trust para VFs (funções virtuais) permite que o host altere o endereço MAC do convidado durante o período de execução. Isso ajuda as interfaces de firewall virtual vSRX a descobrir vários vizinhos IPv6 e a ter um desempenho melhor em condições de escalabilidade. O aprendizado de ND nas interfaces de firewall virtual vSRX é limitado a apenas 10 vizinhos IPv6. Para a configuração do Linux para o modo VF trust, execute o ip link set dev enp134s0f1 vf 0 trust on comando na máquina de host.

Verifique a configuração:

user@host:~# link ip

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.