【Interop Tokyo 2016】...
-
Upload
juniper-networks- -
Category
Technology
-
view
381 -
download
3
Transcript of 【Interop Tokyo 2016】...
![Page 1: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/1.jpg)
ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ~業界最速100Gインタフェース搭載、SRXシリーズ最高峰SRX5000ファミリーのご紹介~
ジュニパーネットワークス株式会社
2016年6月
Interop Tokyo 2016
![Page 2: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/2.jpg)
Legal Disclaimer
本資料に記載されている機能や構成、ロードマップ情報などは、資料作成時点におけるジュニパーネットワークスの仕様や予定を示したものであり、事前の通告無しに内容が変更されることがあります。
本資料は技術情報の提供を目的としたものであり、機器、機器の機能、サービスなどに関して保証を行うものではありませんので、ご注意ください。
![Page 3: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/3.jpg)
ジュニパーネットワークスの概要
設立 1996年2月
本社所在地 アメリカ合衆国カリフォルニア州サニーベール市
CEO ラミ・ラヒム
事業概要 ネットワーク機器(ルータ、スイッチ、ファイアウォール等)の製造・販売
従業員数 8,800名以上
売上高 46億ドル (2014年度)
ジュニパーネットワークス株式会社
• 設立 1999年3月
• 所在地 東京都新宿区西新宿3-20-2オペラシティタワー45F
• 代表取締役社長 古屋知弘(ふるや ともひろ)
• 従業員数 130名
![Page 4: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/4.jpg)
ジュニパー製品の最大の特長~全ての機器を1つのOSで
MXシリーズイーサネットルーター
SRXシリーズサービスゲートウェイ
QFXシリーズデータセンター
ファブリックスイッチ
EXシリーズイーサネットスイッチ
One OS
1Q12
12.1
4Q11
11.4
3Q11
11.3
One Release
Module X A
PI
One Architecture
多機能と安定性の実現
高い可用性
アップグレード工数削減
モジュラー型OS
容易な導入時検証
運用管理の容易さ
キャリアネットワークでの豊富な実績と高い信頼性
![Page 5: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/5.jpg)
広範囲なセキュリティサービスを提供するSRXセキュリティソリューション群
SRX 基本サービス
次世代ファイアウォールサービス
ファイアウォール アドレス変換(NAT) VPN ルーティング
アプリケーションの可視化と制御
ユーザベースファイアウォール
Unified Threat Management (既知の脅威に対する対策)
アンチウィルス
不正侵入防御(IPS)ウェブ/コンテンツフィルタリング
アンチスパム
脅威インテリジェンスプラットフォーム
ボットネット/C&C
GEO-IP
独自のリスト, APT
マネージメント レポーティング 分析自動化
(オートメーション)
高度な脅威防御(ゼロデイ)
サンドボックス
Evasive Malware
豊富なレポーティングと分析機能
![Page 6: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/6.jpg)
100G
共通のJUNOSオペレーティング・システム
業界トップクラスのスケーラビリティールーティング、スイッチング、セキュリティを1台に集約
1G
10G
SRX3400
ブランチ
1T
2T
Capacity
エッジ データセンター データセンターコア
SRX3600
SRX5600
SRX5800
SRX5400
vSRX 2.0(Virtual SRX)
最大2Tbpsファイアウォールスループットを実現1億同時セッション・サポート
SRX300SRX320
SRX340
SRX550
SRX345
SRX1500
SRX 製品ラインアップ
![Page 7: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/7.jpg)
エンタープライズ向けSRXサービスゲートウェイSRX300 – 550HM
ルーティング、スイッチング、セキュリティを包括したオールインワン・ディバイス
アプリケーション・セキュリティ、IPSec、MAC-secなど様々なレイヤーに対応したセキュリティを提供
エンドユーザ・アプリケーション・エクスペリエンスとオペレーションの効率化を実現
![Page 8: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/8.jpg)
• 12 x 1GE (Cu) + 4 x 1GE (SFP)
• 4 x 10GE (SFP+)
• 2x PIM slots (将来対応予定)
• 冗長用コントロール専用ポート (SFP)
• 管理専用ポート (1GE)
• 16G eSATA + 120G SSD
• 冗長電源供給 (AC / DC)
• 平均電力: 150W
• サイズ: 1 RU
• 前面⇒背面エアフロー
• Firewall (IMIX) : 5 Gbps
• VPN (IMIX): 1 Gbps
• IPS (recommended policy) : 3 Gbps
• NGFW : 1.5 Gbps
パフォーマンスモジュラータイプのインタフェース
ストレージ & 電力サイズ
エンタープライズ向け高速FW 上位モデルSRX1500
![Page 9: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/9.jpg)
• 大規模キャンパス、大きな支社や支店向け
• ソフトウェア・セキュリティ・サービス• AppSecure(アプリ識別) / IPS
• アンチウィルス、ウェブフィルタリング
• 脅威インテリジェンス
• Spotlight Secure
• Sky Advanced Threat Prevention – ゼロデイ脅威防御
• 用途• 大型のセキュアルータ
• VPNコンセントレータ
• 小規模データセンター
• 次世代ファイアウォール
機能 SRX1500
オンボード Ethernet ポート16 x GE (12Cu +4SFP) 4 x
10GE (SFP+)
サポートJUNOSバージョン JUNOS 15.1X49
ファイアウォールスループット (ラージパケット) 10 Gbps
ファイアウォールスループット (IMIX) 5 Gbps
ファイアウォール(firewall + routing PPS 64byte)
2 Mpps
VPN パフォーマンス (IMIX)
(AES256+SHA-1, 3DES+SHA 1)1 Gbps
NGFW パフォーマンス (IPS, AppFW, logging) 1.5 Gbps
Intrusion Prevention System 3 Gbps
秒間新規セッション数 (CPS) 50 K
最大同時セッション数 2 M
冗長機能(専用冗長コントロールポート – SFP)
アクティブ/スタンバイまたはアクティブ/アクティブ
SRX1500
![Page 10: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/10.jpg)
SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須
vSRX/cSRX
仮想ファイアウォール
SRX Series
物理ファイアウォール
ネットワーク・インフラストラクチャー
ネットワーク境界のセキュリティ確保1
アプリケーションレベルのセキュリティサービス
AppSecure, IPS, AV, Web Filtering, AS, APT
アプリケーションレイヤーの可視化と保護2
Juniper Threat Defense & Intelligence(クラウド上)
Sky Advanced Threat
Prevention
Spotlight Secure Threat
Intelligence
侵入を試みる新しいマルウェア・脅威を防御3
ポリシー, アプリ可視化, 脅威マップ, イベント管理
Security Director による集中管理
![Page 11: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/11.jpg)
SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須
vSRX/cSRX
仮想ファイアウォール
SRX Series
物理ファイアウォール
ネットワーク・インフラストラクチャー
ネットワーク境界のセキュリティ確保1
アプリケーションレベルのセキュリティサービス
AppSecure, IPS, AV, Web Filtering, AS, APT
アプリケーションレイヤーの可視化と保護2
Juniper Threat Defense & Intelligence(クラウド上)
Sky Advanced Threat
Prevention
Spotlight Secure Threat
Intelligence
侵入を試みる新しいマルウェア・脅威を防御3
ポリシー, アプリ可視化, 脅威マップ, イベント管理
Security Director による集中管理
![Page 12: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/12.jpg)
加速し続ける唯一無二の業界最速ファイアウォール
![Page 13: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/13.jpg)
200万新規セッション・サポート
SRX5000シリーズサービスゲートウェイ
SRX5000を象徴する3つのキーワード
100Gインタフェース
2TB FWスループット
![Page 14: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/14.jpg)
SRX 40G/100Gインタフェース
• 高帯域をサポートするインタフェースラインナップ
業界初40G/100Gインタフェースを搭載したFW
商用初の100GインタフェースFW実績
100Gインタフェース
100Gインタフェース
![Page 15: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/15.jpg)
SRX5000-IOC3 高速インタフェースカード
24x10G SFP+ 6x40GE QSFP+
2x100GE CFP2 4x10G SFP+
100Gインタフェース
![Page 16: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/16.jpg)
Dynamic service architectureによるパフォーマンス拡張
FW/IPS/VPN
スループット要件(Gbps)
通信トラフィック量
時間現在 将来
50
10
従来のFWデバイス
従来(他社)のファイアウォール製品
•構成変更検討&事前テストの負荷: HIGH
•ラッキングとケーブリング検討の負荷: HIGH
•投資費用: HIGH
•運用費用: HIGH
•サービス変更に対応するまでの時間: SLOW!!!
通信トラフィック量
時間現在 将来
200
50
SRXによるDynamicService
Architecture
•構成変更検討&事前テストの負荷: LOW
•ラッキングとケーブリング検討の負荷: NONE
•投資費用: LOW
•運用費用: LOW
•サービス変更に対応するまでの時間: FAST!!!
SRX(Dynamic Service Architecture)の場合
SPCモジュールの追加のみでパフォーマンスを柔軟に拡張可能
![Page 17: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/17.jpg)
時代は、2TBFWへハイパフォーマンスセキュリティリーダーとして
RSAカンファレンス2015にて、IXIA様協力の元、次世代IOCを利用し、2TBFWライブデモンストレーションを実施
https://www.youtube.com/watch?v=D3w0XN2SzSA
2TB FWスループット
![Page 18: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/18.jpg)
SRX エクスプレス・パス概要超低遅延を実現する技術
Express path data path Fast data pathFirst packet path
NG -SPC
NG -SPCSCB 1
NG -IOC
Traffic
10 x100 G
+
4x40G+
4x10 G
=1200 G
=1.2 Tbps
NG -IOCNG-IOC
100 /40 /10 G/1GMIC
100 /40/10G/1GMIC
XF
1x100 G or2x40 G or
10 x10 GLU
LU
SCB 0 NG-SPC
CP
SPU
SPU
SPU
LULU
XM
Security Services Offloaded from SPU to IOC
First packet Fast data path Express (hardware fast) path
2TB FWスループット
![Page 19: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/19.jpg)
10Gbps @ 64byte line rate ~14MPPS 1xSPCIIHardware Pricelist Qty Subtotal
SRX5400E-B1-AC $xxx,xxx 1 $xxx,xxx
TOTAL $xxx,xxx
10Gbps @ 64byte line rate ~14MPPS 3xSPCIIHardware Pricelist Qty Subtotal
SRX5600BASE-HC-AC $xx,xxx 1 $xx,xxx
SRX5K-SPC-4-15-320 $xxx,xxx 3 $xxx,xxx
SRX5K-MPC $xx,xxx 1 $xx,xxx
SRX-MIC-10XG-SFPP $xx,xxx 1 $xx,xxxTOTAL $xxx,xxx
金融取引環境での利用事例
証券会社A
コンテンツプロバイダー コンテンツプロバイダー コンテンツプロバイダー
金融サービス・プロバイダー
SRX
証券会社B
SRX
証券会社C
SRX
金融取引アプリケーションのセキュリティに適合
パケットパスの遅延を7-9マイクロ秒以内に抑える
64バイト10Gラインレートサポート14MPPSが要求事項
コンプライアンスのために、IPSなどのレイヤ7のサービスは、SPCで有効化
2TB FWスループット
![Page 20: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/20.jpg)
100G/40Gbps エレファント・フローの利用事例
10G/ 40G/ 100G リンク
サイト/キャンパスLAN
データ転送クラスター(DTC)
SRX
プロジェクトY DTN
プロジェクトX データ転送ノード
(DTN)
研究機関DMZ スイッチ/ルータ
エリア・ボーダールータ エンタプライズ・ボーダーFW
サイト/キャンパスは、研究機関のDMZリソースへアクセス
10G/ 40G/ 100G リンク
ハイパフォーマンスが要求される研究機関のアプリケーションセキュリティに適合
100G/40G シングル・エレファント・フロー
DTN/DTC用のラージTCPフローデータ
コストパフォーマンスが求められる
100Gbps Large Packet 3xSPCII
Hardware Pricelist Qty SubtotalSRX5600BASE-HC-AC $xx,xxx 1 $xx,xxx
SRX5K-SPC-4-15-320 $xxx,xxx 3 $xxx,xxx
SRX5K-MPC $xx,xxx 1 $xx,xxx
SRX-MIC-10XG-SFPP $xx,xxx 1 $xx,xxxTOTAL $xxx,xxx
100Gbps Large Packet 1xSPCIIHardware Pricelist Qty Subtotal
SRX5400E-B1-AC $xxx,xxx 1 $xxx,xxxTOTAL $xxx,xxx
![Page 21: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/21.jpg)
SRX5400 SRX5600 SRX5800
Normal Mode 65 130 320
Express Path(SOF) 480 960 2000
0
500
1000
1500
2000
2500
Max
Th
rou
hp
ut(
Gb
ps)
エクスプレス・パス無効時(青)と有効時(黒)のパフォーマンス比較
エクスプレス・パスパフォーマンス
2Tbps
960Gbps
480Gbps
2TB FWスループット
![Page 22: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/22.jpg)
エクスプレス・パスの遅延測定
@50% @50% @50%
64B 512B 1514B
Inter-PFE Latency(Between 2x100G IOCII)
15 17 17.8
15
17
17.8
13.5
14
14.5
15
15.5
16
16.5
17
17.5
18
18.5
Late
ncy
in m
icro
seco
nd
s
Inter-PFE(PFE外部折り返し)遅延 :100G-MIC 2x IOC2
@50% @90% @50% @90% @50% @90%
64B 512B 1514B
Intra-PFE Latency (with 1xIOCII) 7 7.4 7 8.5 7.5 9.5
77.4
7
8.5
7.5
9.5
0
1
2
3
4
5
6
7
8
9
10
Late
ncy
in m
icro
seco
nd
s
Intra-PFE (PFE内部折り返し)遅延:100G-MIC 1xIOC2
*1セッションでテストを実施
2TB FWスループット
![Page 23: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/23.jpg)
200万新規セッションを実現するCP-LITE
SPC
I
Central Point(CP)
SPU
SPU
SPU
以前の実装
SPC
I
APPCP
SPU
FLOW CP
SPU
FLOW CP
SPU
FLOW CP
Cp-liteの実装 • Central Point (CP):
– CPは、ロードバランシングの役割を担う (セッションの分配・管理) また、グローバル・リソースとランタイム・オブジェクト管理も含む (ALG, NAT, Screen)
– SRXのパフォーマンスとスケール拡張において、シングルCPでは、 限界が見えた
• Distributed Central Point (DCP):
– リソース管理・スケールの拡張
– 各々のSPUが、 CP-session/SPU-sessionを管理
• メリット:
– 200万新規セッションサポート(当社比5倍)
– 2億5800万同時セッションサポート(当社比2.5倍)
200万新規セッション
![Page 24: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/24.jpg)
CP-liteのスケーリングとパフォーマンス
– Performance tested with TCP and 1byte payload, firewall only no logging.
1 2 3 4 5 6 7 8 9 10 11
CP-Lite TCP CPS (K) 230 496 790 1050 1340 1594 1815 2240 2500
X49-D10 TCP CPS 213 420 420 420 420
0
500
1000
1500
2000
2500
3000
TCP
CP
S (K
)
CP-Lite TCP CPS Performance
SRX58002.5M
SRX5400496K
SRX56001.3M
200万新規セッション
新規セッション200万超
![Page 25: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/25.jpg)
CP-liteのスケーリングとパフォーマンス
同時セッション数の性能向上
• シングルCPでは、同時セッション数1億セッションが上限
• CP-liteでは、セッションDBを各々のSPUにシェアすることにより性能が向上:
– SPU一枚あたり600万セッションをサポート
– 2億3400万セッション (10 SPC2/ 1 IOC3) または、 2億5800万セッション (11 SPC2/ 1 IOC2)サポート
– IPv6においても性能は同等
X49-D10 CP-Lite
Sessions 100 245
0
50
100
150
200
250
300
SESS
ION
S IN
K
CapacitySPC2x7枚の構成で比較すると、約2.5倍の性能向上を実現!!
![Page 26: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/26.jpg)
新規セッションの重要性を忘れずに
SRX5000シリーズサービスゲートウェイ
本セッションのポイント
高速大容量インタフェースに対応した機器選定を
FWがボトルネックにならない環境を
100Gインタフェース
2TB FWスループット
200万新規セッション
![Page 27: 【Interop Tokyo 2016】 ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ](https://reader034.fdocument.pub/reader034/viewer/2022051318/5871adba1a28abda6a8b5f93/html5/thumbnails/27.jpg)
Thank you