cSRX 컨테이너 방화벽에서 지원되는 Junos OS 기능
cSRX 컨테이너 방화벽은 컨테이너화된 환경에서 레이어 4에서 7까지의 보안 서비스를 제공합니다.
이 섹션에서는 cSRX 컨테이너 방화벽의 Junos OS 기능에 대한 개요를 제공합니다.
cSRX 컨테이너 방화벽에서 지원되는 SRX 시리즈 기능
표 1 은 cSRX 컨테이너 방화벽에서 지원되는 기능 범주와 모든 기능 고려 사항에 대한 높은 수준의 요약을 제공합니다.
cSRX 컨테이너 방화벽에서 지원되는 Junos OS 기능을 확인하려면 Junos OS 기능 정보를 탐색하고 비교하여 네트워크에 적합한 소프트웨어 릴리스 및 하드웨어 플랫폼을 찾을 수 있도록 도와주는 웹 기반 애플리케이션인 주니퍼 네트웍스 기능 탐색기를 사용하십시오. 기능 탐색기를 참조하십시오.
기능 |
고려 사항 |
---|---|
애플리케이션 방화벽(AppFW) |
|
애플리케이션 식별(AppID) |
|
애플리케이션 추적(AppTrack) |
|
기본 방화벽 정책 |
|
무차별 대입 공격 완화 |
|
중앙 관리 |
CLI만 해당됩니다. J-Web 지원 없음. |
디도스(DDoS |
|
DoS 보호 |
|
인터페이스 |
cSRX 컨테이너 방화벽 컨테이너는 다음과 같은 17개의 인터페이스를 지원합니다.
|
침입 탐지 및 방지(IDP) |
SRX 시리즈 IPS 구성에 대한 자세한 내용은 다음을 참조하십시오. |
IPv4 및 IPv6 |
|
점보 프레임 |
|
잘못된 패킷 보호 |
|
네트워크 주소 변환(NAT) |
다음과 같이 cSRX 컨테이너 방화벽 플랫폼의 모든 네트워크 주소 변환(NAT) 기능을 지원합니다.
SRX 시리즈 네트워크 주소 변환(NAT) 구성에 대한 자세한 내용은 다음을 참조하십시오. |
라우팅 |
VLAN을 사용한 기본 레이어 3 포워딩. 레이어 2 - 3 포워딩 기능: 보안 와이어 포워딩 또는 정적 라우팅 포워딩 |
SYN 쿠키 보호 |
|
시스템 로그 및 실시간 로그 |
Junos OS 릴리스 20.1R1부터 시스템 로그 및 RTlogs를 사용하여 트래픽을 모니터링할 수 있습니다. |
사용자 방화벽 |
다음과 같이 cSRX 컨테이너 방화벽 플랫폼의 모든 사용자 방화벽 기능을 지원합니다.
SRX 시리즈 사용자 방화벽 구성에 대한 자세한 내용은 다음을 참조하십시오. |
컨텐트 보안 |
다음과 같이 cSRX 컨테이너 방화벽 플랫폼의 모든 컨텐츠 보안 기능을 지원합니다.
SRX 시리즈 콘텐츠 보안 구성에 대한 자세한 내용은 다음을 참조하십시오. SRX 시리즈 콘텐츠 보안 안티스팸 구성에 대한 자세한 내용은 다음을 참조하십시오. |
영역 및 영역 기반 IP 스푸핑 |
기능 |
cSRX에서 지원 |
|
---|---|---|
IKE 기능 |
사전 공유 키 |
예 |
인증서 인증 |
예 |
|
IKEv1(주 모드/적극적인 모드) |
아니요 |
|
IKEv2 |
예 |
|
경로 기반 VPN |
예 |
|
사이트 간 VPN |
예 |
|
자동 VPN |
예 |
|
동적 엔드포인트 VPN |
예 |
|
포인트 투 포인트 터널 인터페이스 |
예 |
|
Point-to-Multipoint 터널 인터페이스 |
아니요 |
|
번호가 매겨진 터널 인터페이스 |
아니요 |
|
번호가 지정되지 않은 터널 인터페이스 |
예 |
|
사이트 간 VPN에 대한 허브 앤 스포크 시나리오 |
예 |
|
유니캐스트 정적 및 동적(RIP, OSPF, BGP) 라우팅 명시적 st0 인터페이스 |
아니요 |
|
가상 라우터 |
아니요 |
|
IKED 충돌 복구 |
예 |
|
섀시 클러스터 |
아니요 |
|
HA 링크 암호화 |
아니요 |
|
로컬 주소 선택 |
예 |
|
루프백 주소 종료 |
아니요 |
|
IKE 게이트웨이 주소로서의 DNS 이름 |
예 |
|
IPv4 IKE(Internet Key Exchange) 피어에 대한 NAT-Traversal(NAT-T) |
예 |
|
DPD(Dead Peer Detection) |
예 |
|
IPv4 및 IPv6에 대한 일반 제안 및 정책 |
예 |
|
일반 IKE(Internet Key Exchange) ID |
예 |
|
단일 프록시 ID 쌍 |
아니요 |
|
다중 트래픽 선택기 쌍 |
예 |
|
단일 물리적 인터페이스를 통한 이중 스택(병렬 IPv4 및 IPv6 터널) |
예 |
|
인증 알고리즘 - md5, sha1, sha-256, sha-384, sha-512 |
예 |
|
암호화 알고리즘 - des-cbc, 3des-cbc, aes-128-cbc, aes-128-gcm, aes-192-cbc, aes-256-cbc, aes-256-gcm |
예 |
|
IKE(Internet Key Exchange) 제안 세트 - 기본, 호환, 표준, prime-128, prime-256, suiteb-gcm-128, suiteb-gcm-256 |
예 |
|
DH 그룹 - 1,2,5,14,15,16,19,20,21,24 |
예 |
|
로컬 ID - 고유 이름, 호스트 이름, ipv4/v6 주소, user-at-hostname, key-id |
예 |
|
원격 ID - 고유 이름, 호스트 이름, ipv4/v6 주소, user-at-hostname, key-id |
예 |
|
IKE(Internet Key Exchange) 재인증(개시자 및 응답자) |
예 |
|
구성 페이로드 |
아니요 |
|
Eap |
아니요 |
|
원격 액세스 – NCP/라이센싱 |
아니요 |
|
터널 설정 - 즉시, 온트래픽, 응답자 전용 및 응답자 전용-키 재입력 없음 모드 |
예 |
|
배포 프로필 |
아니요 |
|
터널 재분배 |
아니요 |
|
IKEv2 단편화 |
예 |
|
SNMP 관리 정보 베이스(MIB) |
아니요 |
|
통계, 로그, 터널별 디버깅 |
예 |
|
lo0 인터페이스의 IKE 종료 |
아니요 |
|
IPsec/데이터 플레인 기능 |
ESP 및 AH 터널 모드 |
예 |
확장 시퀀스 번호
|
예 |
|
IKE 또는 IPsec SA의 수명(초)
|
예 |
|
암호화 알고리즘 – des-cbc, 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc, aes-gcm-128, aes-gcm-256 예 |
예 |
|
인증 알고리즘 - hmac-sha1-96, hmac-md5-96, hmac-sha-256-128, hmac-sha-384, hmac-sha-512
|
예 |
|
Don't Fragment bit |
예 |
|
IPv6 확장 헤더
|
예 |
|
IPsec 단편화 및 리어셈블리 |
예 |
|
세션 선호도 |
아니요 |
|
전원 모드 IPsec |
예 |
|
구성 가능한 안티리플레이 창 |
예 |
|
DSCP 복사 |
예 |
|
키 재입력된 아웃바운드 SA의 구성 가능한 지연 설치
|
예 |
|
st0의 Cos |
아니요 |
cSRX 컨테이너 방화벽에서 지원되지 않는 SRX 시리즈 기능
표 3 에는 컨테이너화된 환경에 적용되지 않거나, 현재 지원되지 않거나, cSRX 컨테이너 방화벽에서 적격 지원을 제공하는 SRX 시리즈 기능이 나와 있습니다.
|
SRX 시리즈 기능 |
---|---|
애플리케이션 레이어 게이트웨이 | |
|
어바이어 H.323 |
IC 시리즈 디바이스를 통한 인증 | |
|
UAC 구축에서 계층 2 적용
참고:
UAC-IDP 및 UAC-Content Security도 지원되지 않습니다. |
서비스 등급 | |
|
SPC의 높은 우선 순위 대기열 |
|
터널 |
데이터 플레인 보안 로그 메시지(스트림 모드) | |
|
TLS 프로토콜 |
진단 도구 | |
|
플로우 모니터링 cflowd 버전 9 |
|
핑 이더넷(CFM) |
|
트레이스라우트 이더넷(CFM) |
DNS 프록시 | |
|
동적 DNS |
이더넷 링크 어그리게이션 | |
|
독립형 또는 섀시 클러스터 모드의 LACP |
|
라우팅된 포트의 레이어 3 LAG |
|
독립형 또는 섀시 클러스터 모드의 정적 LAG |
이더넷 링크 장애 관리 | |
|
물리적 인터페이스(캡슐화) |
|
|
|
|
|
인터페이스 패밀리 |
|
|
|
|
플로우 기반 및 패킷 기반 처리 | |
|
엔드 투 엔드 패킷 디버깅 |
|
네트워크 프로세서 번들링 |
|
서비스 오프로딩 |
인터페이스 | |
|
어그리게이션 이더넷 인터페이스 |
|
IEEE 802.1X 동적 VLAN 할당 |
|
IEEE 802.1X MAC 바이패스 |
|
IEEE 802.1X 포트 기반 인증 제어(멀티서플리컨트 지원) |
|
MLFR을 사용한 인터리빙 |
|
Poe |
|
PPP 인터페이스 |
|
PPPoE 기반 무선-라우터 프로토콜 |
|
PPPoE 인터페이스 |
|
인터페이스의 무차별 모드 |
Vpn | |
|
아카디아 - 클라이언트리스 VPN |
|
증권 시세 표시기 |
|
AutoVPN을 위한 멀티캐스트 |
IPv6 지원 | |
|
DS-Lite 집중 장치(AFTR이라고도 함) |
|
DS-Lite 이니시에이터(B4라고도 함) |
시스템(컨트롤 플레인) 로그의 로그 파일 형식 | |
|
바이너리 형식(binary) |
|
웰프 |
기타 | |
|
AppQoS |
|
섀시 클러스터 |
|
Gprs |
|
하드웨어 가속 |
|
고가용성 |
|
J-웹 |
|
논리적 시스템 |
|
Mpls |
|
아웃바운드 SSH |
|
원격 인스턴스 액세스 |
|
레스트컨프 |
|
ATP 클라우드 |
|
Snmp |
|
Spotlight Secure 통합 |
|
USB 모뎀 |
|
무선 LAN |
Mpls | |
|
CCC 및 TCC |
|
이더넷 연결을 위한 레이어 2 VPN |
네트워크 주소 변환 | |
|
영구 NAT 바인딩 최대화 |
패킷 캡처 | |
|
패킷 캡처
참고:
, , 과 st0같은 grip물리적 인터페이스 및 터널 인터페이스에서만 지원됩니다. 패킷 캡처는 중복 이더넷 인터페이스(reth)에서 지원되지 않습니다. |
라우팅 | |
|
IPv6에 대한 BGP 확장 |
|
BGP Flowspec |
|
BGP 경로 리플렉터 |
|
BGP용 BFD(Bidirectional Forwarding Detection) |
|
증권 시세 표시기 |
전환 | |
|
레이어 3 Q-in-Q VLAN 태깅 |
지원되지 않는 시스템 로그 및 실시간 로그 기능 |
cSRX 컨테이너 방화벽은 제한된 CPU 성능과 디스크 용량으로 인해 다른 SRX 시리즈 방화벽 또는 vSRX 가상 방화벽 인스턴스에서 지원되는 모든 로그 기능을 지원하지 않습니다. cSRX 컨테이너 방화벽에서 지원되지 않는 시스템 로그 및 실시간 로그 기능은 다음과 같습니다.
|
투명 모드 | |
|
컨텐트 보안 |
컨텐트 보안 | |
|
익스프레스 AV |
|
카스퍼 스키 AV |
업그레이드 및 재부팅 | |
|
자동 복구 |
|
부트 인스턴스 구성 |
|
부팅 인스턴스 복구 |
|
이중 루트 파티셔닝 |
|
OS 롤백 |
사용자 인터페이스 | |
|
Nsm |
|
SRC 애플리케이션 |
|
Junos Space 가상 디렉터 |
애플리케이션 보안 | |
|
SSL 프록시 |