【Interop Tokyo 2016】 SDN/Cloud...
-
Upload
juniper-networks- -
Category
Technology
-
view
188 -
download
1
Transcript of 【Interop Tokyo 2016】 SDN/Cloud...
SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!~All-in-one仮想FW vSRXとコンテナ型仮想FW cSRX~
ジュニパーネットワークス株式会社
2016年6月
Interop Tokyo 2016
Legal Disclaimer
本資料に記載されている機能や構成、ロードマップ情報などは、資料作成時点におけるジュニパーネットワークスの仕様や予定を示したものであり、事前の通告無しに内容が変更されることがあります。
本資料は技術情報の提供を目的としたものであり、機器、機器の機能、サービスなどに関して保証を行うものではありませんので、ご注意ください。
vSRX & cSRX2016年6月
ジュニパーネットワークス株式会社
ジュニパーネットワークスの概要
設立 1996年2月
本社所在地 アメリカ合衆国カリフォルニア州サニーベール市
CEO ラミ・ラヒム
事業概要 ネットワーク機器(ルータ、スイッチ、ファイアウォール等)の製造・販売
従業員数 8,800名以上
売上高 46億ドル (2014年度)
ジュニパーネットワークス株式会社
• 設立 1999年3月
• 所在地 東京都新宿区西新宿3-20-2オペラシティタワー45F
• 代表取締役社長 古屋知弘(ふるや ともひろ)
• 従業員数 130名
ジュニパー製品の最大の特長~全ての機器を1つのOSで
MXシリーズイーサネットルーター
SRXシリーズサービスゲートウェイ
QFXシリーズデータセンター
ファブリックスイッチ
EXシリーズイーサネットスイッチ
One OS
1Q12
12.1
4Q11
11.4
3Q11
11.3
One Release
Module X A
PI
One Architecture
多機能と安定性の実現
高い可用性
アップグレード工数削減
モジュラー型OS
容易な導入時検証
運用管理の容易さ
キャリアネットワークでの豊富な実績と高い信頼性
広範囲なセキュリティサービスを提供するSRXセキュリティソリューション群
SRX 基本サービス
次世代ファイアウォールサービス
ファイアウォール アドレス変換(NAT) VPN ルーティング
アプリケーションの可視化と制御
ユーザベースファイアウォール
Unified Threat Management (既知の脅威に対する対策)
アンチウィルス
不正侵入防御(IPS)ウェブ/コンテンツフィルタリング
アンチスパム
脅威インテリジェンスプラットフォーム
ボットネット/C&C
GEO-IP
独自のリスト, APT
マネージメント レポーティング 分析自動化
(オートメーション)
高度な脅威防御(ゼロデイ)
サンドボックス
Evasive Malware
豊富なレポーティングと分析機能
100G
共通のJUNOSオペレーティング・システム
業界トップクラスのスケーラビリティールーティング、スイッチング、セキュリティを1台に集約
1G
10G
SRX3400
ブランチ
1T
2T
Capacity
エッジ データセンター データセンターコア
SRX3600
SRX5600
SRX5800
SRX5400
vSRX 2.0(Virtual SRX)
最大2Tbpsファイアウォールスループットを実現1億同時セッション・サポート
SRX300SRX320
SRX340
SRX550
SRX345
SRX1500
SRX 製品ラインアップ
エンタープライズ向けSRXサービスゲートウェイSRX300 – 550HM
ルーティング、スイッチング、セキュリティを包括したオールインワン・ディバイス
アプリケーション・セキュリティ、IPSec、MAC-secなど様々なレイヤーに対応したセキュリティを提供
エンドユーザ・アプリケーション・エクスペリエンスとオペレーションの効率化を実現
• 12 x 1GE (Cu) + 4 x 1GE (SFP)
• 4 x 10GE (SFP+)
• 2x PIM slots (将来対応予定)
• 冗長用コントロール専用ポート (SFP)
• 管理専用ポート (1GE)
• 16G eSATA + 120G SSD
• 冗長電源供給 (AC / DC)
• 平均電力: 150W
• サイズ: 1 RU
• 前面⇒背面エアフロー
• Firewall (IMIX) : 5 Gbps
• VPN (IMIX): 1 Gbps
• IPS (recommended policy) : 3 Gbps
• NGFW : 1.5 Gbps
パフォーマンスモジュラータイプのインタフェース
ストレージ & 電力サイズ
エンタープライズ向け高速FW 上位モデルSRX1500
• 大規模キャンパス、大きな支社や支店向け
• ソフトウェア・セキュリティ・サービス• AppSecure(アプリ識別) / IPS
• アンチウィルス、ウェブフィルタリング
• 脅威インテリジェンス
• Spotlight Secure
• Sky Advanced Threat Prevention – ゼロデイ脅威防御
• 用途• 大型のセキュアルータ
• VPNコンセントレータ
• 小規模データセンター
• 次世代ファイアウォール
機能 SRX1500
オンボード Ethernet ポート16 x GE (12Cu +4SFP) 4 x
10GE (SFP+)
サポートJUNOSバージョン JUNOS 15.1X49
ファイアウォールスループット (ラージパケット) 10 Gbps
ファイアウォールスループット (IMIX) 5 Gbps
ファイアウォール(firewall + routing PPS 64byte)
2 Mpps
VPN パフォーマンス (IMIX)
(AES256+SHA-1, 3DES+SHA 1)1 Gbps
NGFW パフォーマンス (IPS, AppFW, logging) 1.5 Gbps
Intrusion Prevention System 3 Gbps
秒間新規セッション数 (CPS) 50 K
最大同時セッション数 2 M
冗長機能(専用冗長コントロールポート – SFP)
アクティブ/スタンバイまたはアクティブ/アクティブ
SRX1500
SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須
vSRX/cSRX
仮想ファイアウォール
SRX Series
物理ファイアウォール
ネットワーク・インフラストラクチャー
ネットワーク境界のセキュリティ確保1
アプリケーションレベルのセキュリティサービス
AppSecure, IPS, AV, Web Filtering, AS, APT
アプリケーションレイヤーの可視化と保護2
Juniper Threat Defense & Intelligence(クラウド上)
Sky Advanced Threat
Prevention
Spotlight Secure Threat
Intelligence
侵入を試みる新しいマルウェア・脅威を防御3
ポリシー, アプリ可視化, 脅威マップ, イベント管理
Security Director による集中管理
SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須
vSRX/cSRX
仮想ファイアウォール
SRX Series
物理ファイアウォール
ネットワーク・インフラストラクチャー
ネットワーク境界のセキュリティ確保1
アプリケーションレベルのセキュリティサービス
AppSecure, IPS, AV, Web Filtering, AS, APT
アプリケーションレイヤーの可視化と保護2
Juniper Threat Defense & Intelligence(クラウド上)
Sky Advanced Threat
Prevention
Spotlight Secure Threat
Intelligence
侵入を試みる新しいマルウェア・脅威を防御3
ポリシー, アプリ可視化, 脅威マップ, イベント管理
Security Director による集中管理
仮想環境・クラウド対応仮想ファイアウォール
100G vSRX(Virtual SRX)
vSRX VM
Hypervisors (VMware, KVM)
Physical X86 CPU, Memory, & Storage
Adv Services+
Flow Processing+
Packet FWD (JEXEC)
Junos Kernel
QEMU/KVM
Juniper Linux (Guest OS)
SRIOV
Junos Control Plane (JCP/vRE)
MGD RPD
HWアプライアンスSRXと同等の機能実装
(Including Firewall, AppSecure, UTM/IDP, Integrated User
Firewall, SSL Proxy, VPN, NAT, Routing, HA Cluster, etc.)
サポートプラットホーム
• VMWare 5.1,5.5, 6.0
• Ubuntu 14.04 (KVM)
vSRXキー・ハイライト
• Junos Version 15.1 Base
• DPDK 2.1
• SR-IOV
• VMXNET3 and VirtIO (Driver
updates)
• Linux Base OS
• 64Bit Flowd
• Dedicated management I/F
• SCSI Support
• SNMP enhancements
• VMTools
• Min 4G vRAM and 8G HD
vSRX 2.0
• CentOS 7.0 (KVM)
• Contrail 2.2
100GbpsのFWスループットを実現するvSRX
Hypervisors (VMware, KVM)
Physical X86 CPU, Memory, & Storage
Adv Services+
Flow Processing+
Packet FWD (JEXEC)Junos Kernel
QEMU/KVM
Linux (Guest OS)
SRIOV
Junos Control Plane (JCP/vRE)
MGD RPD
vCPU1vCPU0vCPU2
vCPU3
vCPU12
Intel 82599 NIC
RSS Hashing
vSRX機能特長:
• 最小2vCPUで15GbpsのFWスループットを確保
• 最大12vCPUで100GbpsのFWスループットを達成
• サーバ・パフォーマンス: • Intel Xeon-R CPU E5-2670
v3@ 2.3Ghz• 1 ソケット – 12 コア• Intel 82599ES 12x10G NIC
vSRX VM…
vSRX 2.0 パフォーマンスPerformance KVM with SRIOV KVM with SRIOV*
VSRX2.0 2 vCPU 12 vCPU
Firewall Throughput (Large Packet) 15.4 G 100 G
Firewall Throughput (IMIX) 3.1 G 25 G
TCP CPS 40K 240 K
IPSEC VPN Throughput (AES SHA1) 0.71 G 4 G
Appsecure Throughput 3.8 20 G
IPS (IDP Recommended) 1.5 G 9 G
Max concurrent Sessions 520K 2 M
*Note the above are preliminary performance numbers which are subject to change prior to FRS. Performance based on Intel Xeon CPU E5-2670 @2.3GHz
*AppFW, IPS performance are measured with HTTP 44KB payload
* IPS performance is based on data center use case (client-to-server protection) with the recommended IPS policy template.
JUNOSルーティングプロトコルおよびSDK
JUNOSベースの機能豊富で拡張可能なセキュリティスタック
JUNOS Space – Security Director & Virtual Director, CLI, JWEB, SNMP, HA/FT
Firewall
VPN
NAT
Routing
Anti-Virus
IPS
Web Filtering
Anti-Spam
AppID
AppFW
AppQoS
AppTrack
ベースセキュリティ コンテンツセキュリティ アプリケーションセキュリティ
vSRX – アドバンスセキュリティソフトウェア
B部門A部門
C部門 D部門
Other VM
Web VM
APPVM
DBVM
Other VM
Web VM
APPVM
DBVM
Other VM
Web VM
APPVM
DBVM
Other VM
Web VM
APPVM
DBVM
vSRX vSRX
vSRX vSRX
vCenterSecurity Director
Virtual Director
仮想環境/プライベートクラウド
物理サーバ
WAN
• vCPUを追加することで、リニアにパフォーマンスを拡張可能
• 高速FWとして、次世代FWとしてお客様のニーズに合わせた柔軟な利用用途
• DCエッジの20Gbps高速FWとして
• 5GbpsのIPS/アプリケーション・コントロール・トラフィックを制御
vSRXの適用事例(1)エンタープライズ・プライベートクラウド
Security Director は、物理および仮想どちらの環境においても、セキュリティポリシー設定と管理を可能にする。
CPE_B
Other VM
Web VM
APPVM
DBVM
IPSec VPN
CPE_C
Other VM
Web VM
APPVM
DBVM
IPSec VPN
Other VM
Web VM
APPVM
DBVM
CPE_D
IPSec VPN
ユーザB ユーザC ユーザD
IPSec VPN IPSec VPN IPSec VPN
Other VM
Web VM
APPVM
DBVM
IPSec VPN
CPE_A
ユーザA
IPSec VPN
• CPEとクラウドをセキュアに接続
• クラウドサービスのメリットをCPE環境でも活用
• ユーザ毎のセキュリティポリシー
• 1Gbpsを超えるIPSECパフォーマンスで、クラウドへの接続をサポート
vSRXの適用事例(2)マルチテナント・ネットワーク
vSRXはユーザのVMグループ毎に配置
cSRX(Container SRX)
仮想環境でサービスを提供する上での悩みサービスを提供する時、第一にコスト削減、即時にサービスの出し入れができる俊敏性と弾性を仮想セキュリティソリューションに求めている
既存仮想ベース・ソリューションの足かせ:
Heavy – ディスクスペース・メモリーの圧迫・枯渇
Slow – スピンアップ・ダウンによる遅い起動時間
Expensive – アプリケーション価格の高騰
Scale – 拡張性ゼロ cSRX: コンテナと
マイクロ・サービス
ジュニパーの解決策
http://www.lightreading.com/nfv/nfv-strategies/achieving-the-right-price-point-for-vcpe/a/d-id/720489
コンテナによるセキュリティ・マイクロ・サービス業界初のコンテナ型ファイアウォールcSRXの主要機能 – FW, IPS, アプリケーション・コントロールDockerベース統一された管理ツールContrail/Openstackへ対応
2.8 GB
Mgmt
nsd IPS AppId
flowd
Packet IO
Container100 MB*
CLI/Netconf/RESTCONF
IN OUT
Single Sourced Code base Systemdaemon
s
cSRXDocker Container
DST
vSRX VM
Hypervisors (VMware, KVM)
Physical X86 CPU, Memory, & Storage
Adv Services+
Flow Processing+
Packet FWD (JEXEC)
Junos Kernel
QEMU/KVM
Linux (Guest OS)
SRIOV
Junos Control Plane (JCP/vRE)
MGD RPD
cSRX採用のポイント
弾性
俊敏性
コスト削減 少ないリソース要求は、サーバにもやさしく、結果として、cSRXの導入は、コストの削減につながる
一秒以内の起動/再起動時間で、cSRXは、顧客インフラに、今までに無い俊敏性を提供する
少ないリソースとフットプリントで、 cSRXは、顧客の即時要求に対応し、類まれなる拡張性を提供する
cSRX と vSRXの比較
vSRX cSRX
利用用途ルーティング、FW、NAT、VPN、ハイパフォーマンス
L4-L7 セキュリティサービス(FW, IPS, AppFW)、少ないフットプリント
vCPU 要件 最小2vCPUの割り当てが必要• 割り当てる必要なし
• ワークロード・ベースの予約利用
メモリー要件 4GB 100MB
VPN/NAT・サポート サポート 未サポート
起動時間 7分以内 1秒未満
イメージサイズ 3 GB 150MB以下
ホスト要件ホストOSとアンダーレイのHWは、ネステッドVMのサポートが必須
ホストOSは、Dockerサポートが必須
cSRXの適用事例(1)クラウドCPE
MPLS VPN
顧客サイト1
顧客サイト2
顧客サイト4
MXL2/L3 Switch SRX QFX
顧客1 UTM
cSRX
顧客2IPS+AppSecure
cSRX
顧客4UTM+IPS
cSRX
MSSP仮想環境
顧客3All-in-One
cSRX
顧客2NW
顧客サイト3顧客3NW
顧客4NW
顧客1NWオペレーター・ネットワーク
NID
NID
NID
NID
管理・オーケストレーション・システム
Contrail
Security Director Service
OrchestrationJunos Space
• 少ないフットプリント• 高密度• 高い拡張性• マイクロ・サービス• 高い俊敏性
要件事項と
cSRX利用メリット
• マネージド・セキュリティ・
サービスを提供できる
– より低コストで
• 大規模加入者環境において
– より高密度にインスタン
スを提供できる
• 顧客毎に柔軟にサービス提供
ができる
cSRXの適用事例(1)Contrail マイクロ・セグメンテーション
マイクロ・セグメンテーション
• Contrailは、複合ワークロードで稼動
- VMとコンテナ
• L4-L7トラフィックは、cSRXに
リダイレクト
• Security Directorは、一元管理と
L2-L7のセキュリティポリシーの
可視化とコントロールを提供
境界FW
内部FW
財務部 人事部 技術部
APP
DMZ
DB
North
South
EastWest
L4-L7 セキュリティ
cSRX
cSRX
cSRX
L4-L7セキュリティ
L4-L7 セキュリティ
L4-L7 トラフィック
L4-L7トラフィック
Security Director
cSRX / vSRX製品選択フローチャート
ルーティング機能+
vSRX
Docker
サポート
cSRX
vSRX
はい
はい
いいえ
いいえ
cSRX 製品特長
• Dockerベース
• 少ないフットプリント
• 高密度
• 俊敏性
• 拡張性
• L2-L7 セキュリティサービス*
+ルーティング機能: L2, L3 ACLs, QoS, Route lookup, Multicast
* NATとVPN、UTMはロードマップ
アドバンスセキュリティと高性能ルーティング機能がオールインワン
Dockerコンテナをサポート
少ないフットプリントでアドバンスセキュリティを提供
コアあたり最高のパフォーマンス、更に100Gbpsを実現※
vSRXとcSRX – 特筆すべき4つのポイント
V
V
C
C
※2016年下期サポート予定
Thank you