2024年5月3日发(作者:)
产品简介
与传统的数据中心一样,虚拟化数
据中心也会存在网络漏洞。虚拟化架
构还带来了新的网元,它们有着比
物理数据中心更高的安全要求。要应
对这些新的挑战,我们需要能够无
缝地集成到虚拟化和云环境中、并能
为虚拟资产提供实时安全保护的解决
方案。
Firefly Perimeter能够应对上述的这
些挑战,它将瞻博网络屡获殊荣的安
全产品的功能扩展到了虚拟环境,使
管理员能够动态部署和扩展防火墙,
而不会影响相关的性能、可用性和控
制能力。
产品说明
瞻博网络的Firefly Perimeter提供了一种新型虚拟防火墙,它超越了传统的安全设备,
采用虚拟机(VM)形式,并且基于瞻博网络的Junos操作系统和SRX业务网关。Firefly
Perimeter提供可扩展、高可用和细粒度的安全保护,其分区功能能够在部门、业务
线、用户组、应用类型和多种连接特性(如NAT、路由和VPN)之间划出明确的界线。
Firefly Perimeter能够运行在虚拟化fabric中,利用多级策略控制来提供多层防御和安全
连接,以保护工作负载、流量和内容中的动态变化,允许企业和电信运营商为其内部和
外部的客户安全而高效地提供IT服务。
特性和优势
Firefly Perimeter能够提供防火墙保护,并在虚拟机级别应用策略。Firefly Perimeter
的特性包括:
• 完整的防火墙,采用灵活的虚拟机格式,具有状态分组处理和应用层网关(ALG)特性
• 丰富的连接特性,具有广泛的路由功能、NAT和VPN,并基于强大的Junos操作系统
• 利用瞻博网络的Junos Space Security Director为物理和虚拟防火墙提供业内领先
的管理,利用Junos Space Virtual Director来进行部署和监控。Junos Space还提
供一套丰富的API,支持与第三方管理平台的自定义集成。
易于配置
Firefly Perimeter使用了二种特性—分区和策略。默认的配置至少包含一个“信任”分区
和一个“不信任”分区。此“信任”分区用于配置和将内部网络连接到Firefly Perimeter。
“不信任”分区一般用于不信任的网络。为了简化安装和方便配置,一个默认的策略将
允许来自“信任”分区的流量流向“不信任”分区。该策略将阻止来自“不信任”分区
的流量流向“信任”分区。传统的路由器在转发所有流量时不会考虑防火墙(会话感
知)或策略(会话的起点和终点)。而且,因为Firefly Perimeter的虚拟性,客户可以
充分利用快照、复制和相关的技术来简化运维任务。
1
高可用性(HA)
Firefly Perimeter具有关键任务型可靠性,能够为主用/主用模
式和主用/备用模式提供机箱集群支持。这种支持可以为任何正
处理的连接提供完整的有状态故障切换。此外,集群成员还可
能跨hypervisor。当Firefly Perimeter虚拟机被配置成一个集
群时,它能够同步连接/会话状态和流量信息、IPsec安全性关
联、NAT流量、地址簿信息、配置变化等。因此,在故障切换时
不仅能够保持会话,而且不会影响安全性。在一个不稳定的网络
中,Firefly Perimeter还能减轻链路摆动。图1所示为高可用性
部署模式。
说明:目前仅在VMware平台上具有高可用性。
虚拟环境虚拟环境
会话初始分组处理
评估安全策略和查找下一跳
会话和转发表
输入接口
表更新
转发允许的流量
输出接口
如果策略不允许: 丢弃
图2:基于会话的转发算法
图2显示了基于会话的转发算法。当建立一个新会话时,Junos
操作系统内基于会话的架构会验证转发策略是否允许该会话。如
果该会话得到允许,Junos操作系统将在路由表中查找下一跳路
由。然后,它将把该会话和下一跳路由插入到会话和转发表中,
并转发数据包。对于已建立会话的后续数据包,只需在会话和转
VM
VM
Firefly Perim
客户1 (备用)
Firefly Perim
客户2(主用)
VM
VM
发表中进行一次查找,然后就被转发到输出接口。
Firefly Perim
客户 1 (主用)
Firefly Perim
客户2(备用)
利用一致的安全策略对物理和虚拟网络进行智能化管理
要处理不同的hypervisor主机和租户的多个Firefly虚拟机,需要
无缝地集中管理虚拟机(从配置到删除)。必须为工作负载提供
一致的安全保护,而且,应用于物理工作负载的策略还必须应用
于虚拟工作负载,无论它们处于何处都是如此。
Junos Space Virtual Director是一种智能、全面和自动化的虚
拟机管理应用。管理员能够自动配置Firefly Perimeter虚拟机
并为其分配资源,可以轻松扩展它们来满足动态需求。Firefly
Perimeter与Virtual Director配合使用,还提供流量、容量利用
率和安全层健康状态方面的信息。
利用Junos Space Security Director,管理员能够为物理和虚
拟防火墙轻松创建一系列安全策略,以控制流量在分区内部和分
区之间的流动。在最宽松的情况下,允许来自安全分区中任何源
的各种流量流向所有其它分区中的任何目的地,没有任何限制。
在最严格的情况下,可创建相应的策略,在预定时段内仅允许
一个分区中的某个系统和另一个分区中的某个系统之间进行流量
流动。
Firefly Perimeter还为防火墙、IPsec VPN、NAT和初始化设置
提供向导,以简化配置。基于策略的VPN支持更为复杂的、需要
进行动态寻址和分割隧道的安全架构。
Junos Space以及它上面运行的应用提供了一组丰富的API,以
便轻松集成到第三方定制化应用和管理平台,并支持SDN和网络
功能虚拟化(NFV)。
瞻博网络能够同时为物理和虚拟部署提供防火墙服务,从而为你
特定的使用场景提供最佳的部署选择。
HYPERVISORHYPERVISOR
图1:能够跨hypervisor的机箱集群
性能
一直以来,客户需要在可扩展性和性能之间进行折衷。Firefly
Perimeter解决方案为充分利用多个虚拟CPU进行了优化,以便
在虚拟环境下最大程度地增加分组处理能力和总体吞吐率。每个
Firefly Perimeter虚拟机还有多个虚拟网络接口卡(vNIC),它
们能够连接到多个虚拟网络,从而同时保护多个区域的相似虚拟
机。瞻博网络 Firefly Perimeter运行于虚拟化 fabric中,能够提
供虚拟环境所需的强大安全保护和性能。
安全策略能够决定一个会话能否从一个区穿越到另一个区。
Firefly Perimeter可以接收数据包,并了解每个会话、每个应用
和每个用户。当一个虚拟机在云环境中迁移时,它仍然可以将其
数据包发送给Firefly Perimeter进行处理,从而一直安全地保持
通信。
为了优化相连的路由器和防火墙的吞吐率和延迟,Junos操作系
统实施基于会话的转发操作,这种创新技术将传统防火墙的会话
状态信息与典型路由器的下一跳转发合并成了单一的操作。利用
Junos操作系统,转发策略允许的会话将与下一跳路由的指针一
起被添加到转发表中。已建立的会话只需在表中进行一次查找,
就能验证该会话是否已经被允许和找到下一跳。与执行多次查表
来验证会话信息,然后查找下一跳路由的传统路由器相比,这种
高效的算法提高了会话吞吐量,并缩短了会话延迟。
2
规格
下表介绍了高级规格。要了解完整的列表,请查看相应的产品文档。
协议
• IPv4, IPv6, MPLS, ISO无
连接网络服务(CLNS)
• 静态路由
• RIPv2 +v1
• OSPF/OSPFv3
• BGP
• IS-IS
• 多播(互联网组管理协议,
PIM, 会话描述协议)
• MPLS
• VPLS
IP地址管理
• 静态
• 内部DHCP服务器, DHCP
中继
• 地址转换
• 源NAT与端口地址转换
(PAT)
• 静态NAT
• 目的地NAT与PAT
• 持续NAT, NAT64
• 封装
• 以太网
• 802.1q VLAN支持
安全
• 防火墙
• 状态防火墙, 无状态过滤器
• 网络攻击检测
• DoS和DDoS防护(基于异
常情况)
• 重播攻击防护; 防重播
• 统一接入控制(UAC)
• 用于保护片段数据包的
TCP流重组
• 强行攻击缓解
• SYN cookie防护
• 基于分区的IP欺骗防护
• 异常数据包防护
• VPN
SLA , 测量和监控
• 实时性能监控(RPM)
• 会话、分组和带宽使用
• IP监控
• 日志记录
• 系统日志记录
• 路由跟踪
• 大量控制和数据平面的结构
化和非结构化系统日志管理
• Junos Space Security
Director支持
• 瞻博网络STRM系列安全威
胁响应管理器支持
• 瞻博网络Advanced
Insight Solutions支持
Hypervisor
Firefly Perimeter支持
VMware vSphere 5.0和5.1
、KVM CentOS 6.3.
• 动态主机配置协议(DHCP)• 防火墙, 分区, 过滤, 策略
• 外部管理员数据库
(RADIUS, LDAP,
• 隧道(通用路由封装, IP-IP)
SecureID)
• IPsec, Data Encryption
• 自动配置
Standard (DES) (56位),
• 配置回退
triple Data Encryption
• 使用按钮进行援救配置
Standard (3DES)
(168位), Advanced • 对变化提交确认
Encryption Standard
• 自动诊断记录
(AES) (128位以上)加密
• 软件升级
• Message Digest 5
• Junos Web
(MD5), SHA-1, SHA-128,
• CLI
SHA-256 验证
• IPv6
表1:Firefly Perimeter的扩展性和性能
扩展性(VMware ad KVM)
要求的vRAM/实例
要求的vCPU/实例
最大vNIC/实例
最大分区数量
最大地址薄数量
最大策略数量
带有计数的最大策略数量
最大应用数量/每策略
最大地址数量/每策略
最大地址数量/每地址集
最大防火墙会话数量
最大PAT会话(源NAT带有PAT) 数量
MAC/ARP表大小
最大VLAN数量
最大OSPF路由数量
支持的最大VR数量
2 GB
2
10
128
128
10240
1024
128
1024
1024
256k
256k
8k
4k
160k
5
IKE率(3DES+SHA1, V1或2)
防火墙IPv6 (UDP 512B pkts)
NAT (UDP 1514B pkts)
NAT (IMIX)
NAT新建会话数(TCP)
IPsec (3DES+SHA1, 1514B)
IPsec (3DES+SHA1, IMIX)
IPsec (3DES+SHA1, 64B)
1.7 Gbps
4.4 Gbps
1.1 Gbps
20K CPS
295 Mbps
66 Mbps
78 kpps
2000个隧道
(83个隧道/秒)
383 Mbps
1 Gbps
240 Mbps
8K CPS
241 Mbps
33 Mbps
23 kpps
2000个隧道
(48个隧道/秒)
防火墙(IMIX)
防火墙新建会话数(TCP)
防火墙延迟 (512B UDP)
性能
防火墙 (UDP 1514B pkts)
VMware
4.9 Gbps
(400 kpps)
1.2 Gbps
26K CPS
105 MicroSec
KVM
1.1 Gbps
(85 kpps)
242 Mbps
9K CPS
482 MicroSec
3
瞻博网络服务与支持
瞻博网络是为确保卓越性能而提供服务与支持的领导者,旨在
帮助您加速、扩展并优化高性能网络。这些服务能够帮助客户
加速提供在线的可创收功能,以便提高生产率、加速部署全新
业务模式和机会、扩展市场覆盖范围,同时提高客户满意度。
此外,瞻博网络还能帮助您通过优化网络来满足性能、可靠性
和可用性要求,从而确保运行卓越性。欲知详情,请访问:
/cn/zh/products-services/。
关于瞻博网络
瞻博网络是一家致力于网络创新的公司。从设备到数据中心,从
消费者到云计算供应商,瞻博网络提供创新的软件、芯片和系
统,改变着网络连接的体验和经济性。更多信息,请访问瞻博网
络网站()或关注瞻博网络微博(/
junipernetworks)。
北京代表处
北京市东城区东长安街1号
东方经贸城西三办公楼15层1508室
邮政编码:100738
电话:8610-5812-6000
传真:8610-8518-2626
Http://
Http:///cn/zh/
上海代表处
上海市淮海中路333号
瑞安广场1102-1104室
邮政编码:200021
电话:8621-6141-5000
传真:8621-6141-5090
广州代表处
广州市天河区天河路228号
广晟大厦28楼03-05单元
邮政编码:510620
电话:8620-8511-5900
传真:8620-8511-5901
成都代表处
成都市科华北路62号
力宝大厦南楼15楼
邮政编码:610041
电话:8628-6281-8797
传真:8628-6281-8790
Copyright 2014, Juniper Networks, Inc.版权所有,保留所有权利。Juniper Networks,Juniper Networks标识,Junos,NetScreen和ScreenOS是瞻博网络(Juniper
Networks)在美国和其他国家的注册商标。Junos是瞻博网络(Juniper Networks)所属商标。所有其他的商标、服务标记、注册商标或注册的服务标记均为其各自公司的财
产。瞻博网络(Juniper Networks)不承担由本资料中的任何不准确性而引起的任何责任,瞻博网络(Juniper Networks)保留不做另行通知的情况下对本资料进行变更、修
改、转换或以其他方式修订的权利。
文档编号:1000489-001-SC 2014年1月
4
发布者:admin,转转请注明出处:http://www.yc00.com/web/1714672394a2492654.html
评论列表(0条)