SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない！～All-in-one仮想FW vSRXとコンテナ型仮想FW cSRX～

ジュニパーネットワークス株式会社

2016年6月

Interop Tokyo 2016

Legal Disclaimer

本資料に記載されている機能や構成、ロードマップ情報などは、資料作成時点におけるジュニパーネットワークスの仕様や予定を示したものであり、事前の通告無しに内容が変更されることがあります。

本資料は技術情報の提供を目的としたものであり、機器、機器の機能、サービスなどに関して保証を行うものではありませんので、ご注意ください。

vSRX & cSRX2016年6月

ジュニパーネットワークス株式会社

ジュニパーネットワークスの概要

設立 1996年2月

本社所在地 アメリカ合衆国カリフォルニア州サニーベール市

CEO ラミ・ラヒム

事業概要 ネットワーク機器（ルータ、スイッチ、ファイアウォール等）の製造・販売

従業員数 8,800名以上

売上高 46億ドル (2014年度)

ジュニパーネットワークス株式会社

• 設立 1999年3月

• 所在地 東京都新宿区西新宿3-20-2オペラシティタワー45F

• 代表取締役社長 古屋知弘（ふるや ともひろ）

• 従業員数 130名

ジュニパー製品の最大の特長~全ての機器を1つのOSで

MXシリーズイーサネットルーター

SRXシリーズサービスゲートウェイ

QFXシリーズデータセンター

ファブリックスイッチ

EXシリーズイーサネットスイッチ

One OS

1Q12

12.1

4Q11

11.4

3Q11

11.3

One Release

Module X A

PI

One Architecture

多機能と安定性の実現

高い可用性

アップグレード工数削減

モジュラー型OS

容易な導入時検証

運用管理の容易さ

キャリアネットワークでの豊富な実績と高い信頼性

広範囲なセキュリティサービスを提供するSRXセキュリティソリューション群

SRX 基本サービス

次世代ファイアウォールサービス

ファイアウォール アドレス変換（NAT） VPN ルーティング

アプリケーションの可視化と制御

ユーザベースファイアウォール

Unified Threat Management (既知の脅威に対する対策)

アンチウィルス

不正侵入防御（IPS)ウェブ/コンテンツフィルタリング

アンチスパム

脅威インテリジェンスプラットフォーム

ボットネット/C&C

GEO-IP

独自のリスト, APT

マネージメント レポーティング 分析自動化

（オートメーション）

高度な脅威防御(ゼロデイ)

サンドボックス

Evasive Malware

豊富なレポーティングと分析機能

100G

共通のJUNOSオペレーティング・システム

業界トップクラスのスケーラビリティールーティング、スイッチング、セキュリティを１台に集約

1G

10G

SRX3400

ブランチ

1T

2T

Capacity

エッジ データセンター データセンターコア

SRX3600

SRX5600

SRX5800

SRX5400

vSRX 2.0(Virtual SRX)

最大2Tbpsファイアウォールスループットを実現1億同時セッション・サポート

SRX300SRX320

SRX340

SRX550

SRX345

SRX1500

SRX 製品ラインアップ

エンタープライズ向けSRXサービスゲートウェイSRX300 – 550HM

ルーティング、スイッチング、セキュリティを包括したオールインワン・ディバイス

アプリケーション・セキュリティ、IPSec、MAC-secなど様々なレイヤーに対応したセキュリティを提供

エンドユーザ・アプリケーション・エクスペリエンスとオペレーションの効率化を実現

• 12 x 1GE (Cu) + 4 x 1GE (SFP)

• 4 x 10GE (SFP+)

• 2x PIM slots (将来対応予定)

• 冗長用コントロール専用ポート (SFP)

• 管理専用ポート (1GE)

• 16G eSATA + 120G SSD

• 冗長電源供給 (AC / DC)

• 平均電力: 150W

• サイズ: 1 RU

• 前面⇒背面エアフロー

• Firewall (IMIX) : 5 Gbps

• VPN (IMIX): 1 Gbps

• IPS (recommended policy) : 3 Gbps

• NGFW : 1.5 Gbps

パフォーマンスモジュラータイプのインタフェース

ストレージ & 電力サイズ

エンタープライズ向け高速FW 上位モデルSRX1500

• 大規模キャンパス、大きな支社や支店向け

• ソフトウェア・セキュリティ・サービス• AppSecure（アプリ識別） / IPS

• アンチウィルス、ウェブフィルタリング

• 脅威インテリジェンス

• Spotlight Secure

• Sky Advanced Threat Prevention – ゼロデイ脅威防御

• 用途• 大型のセキュアルータ

• VPNコンセントレータ

• 小規模データセンター

• 次世代ファイアウォール

機能 SRX1500

オンボード Ethernet ポート16 x GE (12Cu +4SFP) 4 x

10GE (SFP+)

サポートJUNOSバージョン JUNOS 15.1X49

ファイアウォールスループット （ラージパケット） 10 Gbps

ファイアウォールスループット (IMIX) 5 Gbps

ファイアウォール(firewall + routing PPS 64byte)

2 Mpps

VPN パフォーマンス (IMIX)

(AES256+SHA-1, 3DES+SHA 1)1 Gbps

NGFW パフォーマンス (IPS, AppFW, logging) 1.5 Gbps

Intrusion Prevention System 3 Gbps

秒間新規セッション数 (CPS) 50 K

最大同時セッション数 2 M

冗長機能(専用冗長コントロールポート – SFP)

アクティブ/スタンバイまたはアクティブ/アクティブ

SRX1500

SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須

vSRX/cSRX

仮想ﾌｧｲｱｳｫｰﾙ

SRX Series

物理ﾌｧｲｱｳｫｰﾙ

ネットワーク・インフラストラクチャー

ネットワーク境界のセキュリティ確保1

アプリケーションレベルのセキュリティサービス

AppSecure, IPS, AV, Web Filtering, AS, APT

アプリケーションレイヤーの可視化と保護2

Juniper Threat Defense & Intelligence（クラウド上）

Sky Advanced Threat

Prevention

Spotlight Secure Threat

Intelligence

侵入を試みる新しいマルウェア・脅威を防御3

ポリシー, アプリ可視化, 脅威マップ, イベント管理

Security Director による集中管理

SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須

vSRX/cSRX

仮想ﾌｧｲｱｳｫｰﾙ

SRX Series

物理ﾌｧｲｱｳｫｰﾙ

ネットワーク・インフラストラクチャー

ネットワーク境界のセキュリティ確保1

アプリケーションレベルのセキュリティサービス

AppSecure, IPS, AV, Web Filtering, AS, APT

アプリケーションレイヤーの可視化と保護2

Juniper Threat Defense & Intelligence（クラウド上）

Sky Advanced Threat

Prevention

Spotlight Secure Threat

Intelligence

侵入を試みる新しいマルウェア・脅威を防御3

ポリシー, アプリ可視化, 脅威マップ, イベント管理

Security Director による集中管理

仮想環境・クラウド対応仮想ファイアウォール

100G vSRX(Virtual SRX)

vSRX VM

Hypervisors (VMware, KVM)

Physical X86 CPU, Memory, & Storage

Adv Services+

Flow Processing+

Packet FWD (JEXEC)

Junos Kernel

QEMU/KVM

Juniper Linux (Guest OS)

SRIOV

Junos Control Plane (JCP/vRE)

MGD RPD

HWアプライアンスSRXと同等の機能実装

(Including Firewall, AppSecure, UTM/IDP, Integrated User

Firewall, SSL Proxy, VPN, NAT, Routing, HA Cluster, etc.)

サポートプラットホーム

• VMWare 5.1,5.5, 6.0

• Ubuntu 14.04 (KVM)

vSRXキー・ハイライト

• Junos Version 15.1 Base

• DPDK 2.1

• SR-IOV

• VMXNET3 and VirtIO (Driver

updates)

• Linux Base OS

• 64Bit Flowd

• Dedicated management I/F

• SCSI Support

• SNMP enhancements

• VMTools

• Min 4G vRAM and 8G HD

vSRX 2.0

• CentOS 7.0 (KVM)

• Contrail 2.2

100GbpsのFWスループットを実現するvSRX

Hypervisors (VMware, KVM)

Physical X86 CPU, Memory, & Storage

Adv Services+

Flow Processing+

Packet FWD (JEXEC)Junos Kernel

QEMU/KVM

Linux (Guest OS)

SRIOV

Junos Control Plane (JCP/vRE)

MGD RPD

vCPU1vCPU0vCPU2

vCPU3

vCPU12

Intel 82599 NIC

RSS Hashing

vSRX機能特長:

• 最小2vCPUで15GbpsのFWスループットを確保

• 最大12vCPUで100GbpsのFWスループットを達成

• サーバ・パフォーマンス: • Intel Xeon-R CPU E5-2670

v3@ 2.3Ghz• 1 ソケット – 12 コア• Intel 82599ES 12x10G NIC

vSRX VM…

vSRX 2.0 パフォーマンスPerformance KVM with SRIOV KVM with SRIOV*

VSRX2.0 2 vCPU 12 vCPU

Firewall Throughput (Large Packet) 15.4 G 100 G

Firewall Throughput (IMIX) 3.1 G 25 G

TCP CPS 40K 240 K

IPSEC VPN Throughput (AES SHA1) 0.71 G 4 G

Appsecure Throughput 3.8 20 G

IPS (IDP Recommended) 1.5 G 9 G

Max concurrent Sessions 520K 2 M

*Note the above are preliminary performance numbers which are subject to change prior to FRS. Performance based on Intel Xeon CPU E5-2670 @2.3GHz

*AppFW, IPS performance are measured with HTTP 44KB payload

* IPS performance is based on data center use case (client-to-server protection) with the recommended IPS policy template.

JUNOSルーティングプロトコルおよびSDK

JUNOSベースの機能豊富で拡張可能なセキュリティスタック

JUNOS Space – Security Director & Virtual Director, CLI, JWEB, SNMP, HA/FT

Firewall

VPN

NAT

Routing

Anti-Virus

IPS

Web Filtering

Anti-Spam

AppID

AppFW

AppQoS

AppTrack

ベースセキュリティ コンテンツセキュリティ アプリケーションセキュリティ

vSRX – アドバンスセキュリティソフトウェア

B部門A部門

C部門 D部門

Other VM

Web VM

APPVM

DBVM

Other VM

Web VM

APPVM

DBVM

Other VM

Web VM

APPVM

DBVM

Other VM

Web VM

APPVM

DBVM

vSRX vSRX

vSRX vSRX

vCenterSecurity Director

Virtual Director

仮想環境／プライベートクラウド

物理サーバ

WAN

• vCPUを追加することで、リニアにパフォーマンスを拡張可能

• 高速FWとして、次世代FWとしてお客様のニーズに合わせた柔軟な利用用途

• DCエッジの20Gbps高速FWとして

• 5GbpsのIPS/アプリケーション・コントロール・トラフィックを制御

vSRXの適用事例（１）エンタープライズ・プライベートクラウド

Security Director は、物理および仮想どちらの環境においても、セキュリティポリシー設定と管理を可能にする。

CPE_B

Other VM

Web VM

APPVM

DBVM

IPSec VPN

CPE_C

Other VM

Web VM

APPVM

DBVM

IPSec VPN

Other VM

Web VM

APPVM

DBVM

CPE_D

IPSec VPN

ユーザB ユーザC ユーザD

IPSec VPN IPSec VPN IPSec VPN

Other VM

Web VM

APPVM

DBVM

IPSec VPN

CPE_A

ユーザA

IPSec VPN

• CPEとクラウドをセキュアに接続

• クラウドサービスのメリットをCPE環境でも活用

• ユーザ毎のセキュリティポリシー

• 1Gbpsを超えるIPSECパフォーマンスで、クラウドへの接続をサポート

vSRXの適用事例（2）マルチテナント・ネットワーク

vSRXはユーザのVMグループ毎に配置

cSRX(Container SRX)

仮想環境でサービスを提供する上での悩みサービスを提供する時、第一にコスト削減、即時にサービスの出し入れができる俊敏性と弾性を仮想セキュリティソリューションに求めている

既存仮想ベース・ソリューションの足かせ：

Heavy – ディスクスペース・メモリーの圧迫・枯渇

Slow – スピンアップ・ダウンによる遅い起動時間

Expensive – アプリケーション価格の高騰

Scale – 拡張性ゼロ cSRX: コンテナと

マイクロ・サービス

ジュニパーの解決策

http://www.lightreading.com/nfv/nfv-strategies/achieving-the-right-price-point-for-vcpe/a/d-id/720489

コンテナによるセキュリティ・マイクロ・サービス業界初のコンテナ型ファイアウォールcSRXの主要機能 – FW, IPS, アプリケーション・コントロールDockerベース統一された管理ツールContrail/Openstackへ対応

2.8 GB

Mgmt

nsd IPS AppId

flowd

Packet IO

Container100 MB*

CLI/Netconf/RESTCONF

IN OUT

Single Sourced Code base Systemdaemon

s

cSRXDocker Container

DST

vSRX VM

Hypervisors (VMware, KVM)

Physical X86 CPU, Memory, & Storage

Adv Services+

Flow Processing+

Packet FWD (JEXEC)

Junos Kernel

QEMU/KVM

Linux (Guest OS)

SRIOV

Junos Control Plane (JCP/vRE)

MGD RPD

cSRX採用のポイント

弾性

俊敏性

コスト削減 少ないリソース要求は、サーバにもやさしく、結果として、cSRXの導入は、コストの削減につながる

一秒以内の起動/再起動時間で、cSRXは、顧客インフラに、今までに無い俊敏性を提供する

少ないリソースとフットプリントで、 cSRXは、顧客の即時要求に対応し、類まれなる拡張性を提供する

cSRX と vSRXの比較

vSRX cSRX

利用用途ルーティング、FW、NAT、VPN、ハイパフォーマンス

L4-L7 セキュリティサービス(FW, IPS, AppFW)、少ないフットプリント

vCPU 要件 最小2vCPUの割り当てが必要• 割り当てる必要なし

• ワークロード・ベースの予約利用

メモリー要件 4GB 100MB

VPN/NAT・サポート サポート 未サポート

起動時間 7分以内 1秒未満

イメージサイズ 3 GB 150MB以下

ホスト要件ホストOSとアンダーレイのHWは、ネステッドVMのサポートが必須

ホストOSは、Dockerサポートが必須

cSRXの適用事例（１）クラウドCPE

MPLS VPN

顧客サイト1

顧客サイト2

顧客サイト4

MXL2/L3 Switch SRX QFX

顧客1 UTM

cSRX

顧客2IPS+AppSecure

cSRX

顧客4UTM+IPS

cSRX

MSSP仮想環境

顧客3All-in-One

cSRX

顧客2NW

顧客サイト3顧客3NW

顧客4NW

顧客1NWオペレーター・ネットワーク

NID

NID

NID

NID

管理・オーケストレーション・システム

Contrail

Security Director Service

OrchestrationJunos Space

• 少ないフットプリント• 高密度• 高い拡張性• マイクロ・サービス• 高い俊敏性

要件事項と

cSRX利用メリット

• マネージド・セキュリティ・

サービスを提供できる

– より低コストで

• 大規模加入者環境において

– より高密度にインスタン

スを提供できる

• 顧客毎に柔軟にサービス提供

ができる

cSRXの適用事例（１）Contrail マイクロ・セグメンテーション

マイクロ・セグメンテーション

• Contrailは、複合ワークロードで稼動

- VMとコンテナ

• L4-L7トラフィックは、cSRXに

リダイレクト

• Security Directorは、一元管理と

L2-L7のセキュリティポリシーの

可視化とコントロールを提供

境界FW

内部FW

財務部 人事部 技術部

APP

DMZ

DB

North

South

EastWest

L4-L7 セキュリティ

cSRX

cSRX

cSRX

L4-L7セキュリティ

L4-L7 セキュリティ

L4-L7 トラフィック

L4-L7トラフィック

Security Director

cSRX / vSRX製品選択フローチャート

ルーティング機能+

vSRX

Docker

サポート

cSRX

vSRX

はい

はい

いいえ

いいえ

cSRX 製品特長

• Dockerベース

• 少ないフットプリント

• 高密度

• 俊敏性

• 拡張性

• L2-L7 セキュリティサービス*

+ルーティング機能: L2, L3 ACLs, QoS, Route lookup, Multicast

* NATとVPN、UTMはロードマップ

アドバンスセキュリティと高性能ルーティング機能がオールインワン

Dockerコンテナをサポート

少ないフットプリントでアドバンスセキュリティを提供

コアあたり最高のパフォーマンス、更に100Gbpsを実現※

vSRXとcSRX – 特筆すべき4つのポイント

V

V

C

C

※2016年下期サポート予定

Thank you