DATA SHEET vSRX サービスゲートウェイ製品概要製品説明 vSRX サービスゲートウェイ（旧データセンターでは、サービスをこれまでになく迅速に効率的に提供するために、サーバーを仮想化 Firefly Perimeter）は、高度なセキュする傾向が顕著になってきています。その一方で、仮想データセンターには、物理的資産に求められるリティー機能、堅牢なネットワーク機能以上のセキュリティー上の配慮が必要とされます。と仮想マシンライフサイクルの自動管理機能を含む、サービスプロバイダー仮想データセンターの仮想マシン（VM）は、頻繁に行われる追加、移動、変更によって大きく変動するおよび企業向けの完全な仮想ファイア可能性があります。このことが、持続的な法令順守のために必要な、VM のインスタンス化におけるウォールソリューションです。セキュリセキュリティーポリシーの適用や VM の移動時のセキュリティーポリシーの追跡を複雑にしていまティー担当者は vSRX を使用することす。つまり、動的で柔軟であるという仮想化の特性が原因で、物理的な世界では当然とされる可視性やで、変動性の高い環境でもファイアウ制御性が容易に失われてしまうということです。ォールによる防御態勢を導入して拡張できます。ネットワークやセキュリティーの専門家は、組織のセキュリティーを損なうことなく仮想化やクラウドの技術を活かすために、両方のバランスを慎重にとる必要があります。この課題に応えられるのは、進化する脅威に対抗しながら、信頼性、可視性、制御性を損なわずに仮想環境およびクラウド環境の俊敏性と拡張性にマッチする、新しいタイプのセキュリティーソリューションだけです。ジュニパーはこれらの課題に真正面から取り組み、受賞歴のあるジュニパーネットワークスの SRX シリーズサービスゲートウェイの機能に vSRX サービスゲートウェイを加えることで、仮想環境に対応しています。ジュニパーネットワークスの Junos® OS を備えた vSRX は、完全一体型の仮想セキュリティーソリューションを提供しており、サービスプロバイダや企業向けの高度な L4-L7 セキュリティーサービス、堅牢なネットワーク、ライフサイクルの自動管理機能を備えています。ネットワークとセキュリティー管理者は、仮想クラウド環境の変化するニーズに応じて、Junos Space Virtual Director による vSRX の自動プロビジョニング機能を活用することで、ファイアウォール保護メカニズムを迅速かつ効率的に導入して拡張できます。管理者は、vSRX のプロビジョニングアプリケーションを Junos Space Security Director の機能と組み合わせることによって、一元的な汎用プラットフォームから物理的資産と仮想資産の両方について、ポリシーの設定、管理、可視化の能力を大幅に向上させることができます。仮想ネットワークおよびセキュリティーサービス用の vSRX 製品はネットワーク機能仮想化（NFV）の使用事例に幅広く対応しているため、サービスに特化したアプリケーションをソフトウェアに導入することを検討中のサービスプロバイダや組織に適しています。また、vSRX はジュニパーネットワークス Contrail、ジュニパーネットワークス OpenContrail、その他のサードパーティーソリューションにも対応しており、さらに OpenStack のような次世代のクラウドオーケストレーションツールと直接または API を介して統合できます。 Your ideas. Connected.™ 1 vSRX サービスゲートウェイ DATA SHEET アーキテクチャと主要コンポーネント高度なセキュリティーサービス vSRX は、統合脅威管理（UTM）、侵入検知と防御（IDP）、AppSecure 2.0 今日の高度な攻撃に対抗することを目的として、従来のファイアウォール、個々のによるアプリケーション制御と可視化を含む、仮想環境に特化した用途のスタンドアロンアプライアンスやソフトウェアを中心に構築された、一体広い高度なセキュリティーサービスを提供します。化されていないレガシーシステムを導入する方法は、もはや適切とは言え統合脅威管理（UTM）ません。ジュニパーの高度なセキュリティーパッケージでは、ユーザーが現代の組織による進化する個別のニーズや常に変化する脅威に合わせて複数の技術を導入できます。技術やポリシーなどのセキュリティー機能はリアルタイムで更新され、常に最新の状態に保たれます。 vSRX は、最高レベルのアンチウィルス、アンチスパム、Web フィルタリングとコンテンツフィルタリングによる総合的なコンテンツセキュリティー機能を有し、マルウェア、ウィルス、フィッシング攻撃、侵入、スパム、その他の脅威に備えています。表 1：vSRX UTM の特長とメリット特長説明メリットアンチウィルス • POP3、HTTP、SMTP、IMAP、および FTP プロトコル上でスパイウェア、アドウェア、ウィルス、キーロガーなどのマルウェアを検知してブロックする、評判の高まったクラウドベースのアンチウィルス機能 • アンチマルウェア技術のリーダーである Sophos Labs との提携により実現したサービス • 一流のアンチウィルス専門家によって提供される高度な防御策により、データ漏えいや生産性の損失をもたらす可能性があるマルウェア攻撃に対抗します。 Web フィルタリング • 広範なカテゴリーオプション（90 種類以上のカテゴリー）や、第 1 級の Web セキュリティー専門プロバイダである Websense が提供するリアルタイムのスコアカードをはじめとした、拡張 Web フィルタリング機能 • 生産性の損失や、悪意のある URL による影響から保護すると同時に、ビジネスに不可欠なトラフィック用のネットワーク帯域幅を確保します。コンテンツフィルタリング • MIME タイプ、ファイル拡張子、プロトコルコマンドに基づく効果的なインバウンド/アウトバウンドコンテンツフィルタリング機能 • 不注意による、または悪意のあるファイル送信およびネットワーク上の悪意のあるコンテンツから保護し、侵害とデータ漏えいの危険を最小化します。アンチスパム • セキュリティー専門会社の Sophos Labs との連携により提供された、マルチレイヤー型のスパム防御、最新のフィッシング URL 検知、標準ベースの S/MIME、Open PGP、および TLS 暗号化、MIME タイプと拡張子に基づくブロッカーの機能 • 優れた電子メールフィルタリング機能とコンテンツブロッカー機能により、ソーシャルネットワーキング攻撃や最新のフィッシング詐欺による高度で永続的な脅威に対する防御を行います。侵入防御システム（IPS） vSRX の IPS は、データを調査し、影響を受ける前に発生中の攻撃をブロックしたり、ファイアウォールで一連のルールを作成したりすることで、IT ネットワークへのアクセスを制御し、システムを攻撃から保護します。IPS はジュニパーのセキュリティー機能とネットワークインフラストラクチャを密接に統合し、さまざまな攻撃や脆弱性に起因する脅威を緩和して阻止します。表 2：vSRX IPS の特長とメリット特長説明メリットステートフルシグネチャインスペクション適切なプロトコルコンテキストによって判別されたネットワークトラフィックの関連部分に限定して、シグネチャが適用されます。誤検知を最小限に抑え、柔軟なシグネチャ作成を可能にします。プロトコルデコード 65 を超えるプロトコルデコードと、500 を超えるコンテキストに対応し、プロトコルが適切に使用されるようにします。プロトコルの正確なコンテキストによって、シグネチャの精度が改善されます。シグネチャ異常や攻撃、スパイウェア、アプリケーションを特定するための 8,500 種類以上のシグネチャが存在します。攻撃が正確に特定され、既知の脆弱性を悪用しようという試みが検知されます。トラフィック正規化再構築、正規化、プロトコルデコードに対応します。難読化方式により、他の IPS 検知を迂回しようとする試みをシステムが無効にします。ゼロデイ防御プロトコル異常検知と、脆弱性が新しく発見された当日中の対応パッチの提供を実現します。ネットワークは、新しい攻撃に対してもすでに保護された状態になります。推奨ポリシー一般的なエンタープライズ環境を保護する重要な対応として、攻撃のシグネチャをジュニパーのセキュリティーチームが特定します。インストールとメンテナンスの簡素化と同時に、最高レベルのネットワークセキュリティーが確保されます。アクティブ/アクティブ構成のトラフィックモニタリング IPS モニタリングには、アクティブ/アクティブ構成の vSRX シャーシクラスタが含まれます。アクティブ/アクティブ構成の IPS モニタリングに対応しています。パケットキャプチャ IIPS ポリシーにより、ルールごとにパケットキャプチャのログを記録します。ユーザーは、関連トラフィックをさらに詳しく分析して、対象を保護する手順を決定できます。 2 vSRX サービスゲートウェイ DATA SHEET AppSecure 2.0 によるアプリケーションの可視化とコントロールを見つけるために、複数のテーブルを検索する必要のある従来のルーター AppSecure 2.0 は、vSRX および SRX シリーズサービスゲートウェイ向と比べて、セッショントラフィックのスループットと遅延を改善します。セッけの次世代型アプリケーションセキュリティーパッケージで、ネットワーク効率的なアルゴリズムは、セッション情報を検証してネクストホップルートションが確立すると、後に続くパケットではセッションと転送テーブルで 1 上で脅威の可視化、脅威からの保護、ポリシーの適用、制御を行います。回だけ検索が行われ、その後出力インターフェイスに転送されます。 Facebook のようなクラウドベースのアプリケーションにアクセスしていセキュリティーポリシーでは、1 つのゾーンから別のゾーンへのセッションるユーザーの数を毎日把握する必要がある場合でも、最も多くの帯域幅を使用しているアプリケーションを知る必要がある場合でも、AppSecure は高い可視性を提供し、アプリケーションの動きを継続して追跡できます。オープンシグネチャを使って特定のアプリケーションセットを監視し、計測し、コントロールすることで、組織のビジネス上の優先度に基づいてアプリケーションを適切に使用できます。の転送を許可するかどうかを決定します。vSRX はパケットを受信し、すべてのセッション、アプリケーション、ユーザーを継続して追跡します。VM は仮想環境またはクラウド環境内を移動しても、引き続き安全が確保された状態で、vSRX に処理の必要なパケットを送信します。セッションの最初のパケット処理セキュリティーポリシーの評価とネクストホップの検索表 3：AppSecure 2.0 for vSRX の特長とメリット特長説明メリット AppTrack アプリケーションデータを分析し、リスクレベル、ゾーン、送信元、宛先アドレスに基づいて分類します。アプリケーションの使用状況を追跡し、高リスクなアプリケーションの特定とトラフィックパターンの分析を行うことにより、ネットワークの管理と制御能力を向上させます。 AppFW AppQoS アプリケーションコントロールポリシーを作成し、アプリケーション名やグループ名に基づいてトラフィックを動的に許可または拒否できます。従来のポートやプロトコルの分析ではなく、アプリケーションに基づいたセキュリティーポリシーの作成と適用を可能にします。管理者が設定したアプリケーションセキュリティーポリシーに基づいて、トラフィックを計測してマークします。ネットワーク全体のパフォーマンス向上を目的として、アプリケーション情報とコンテキストに基づいてトラフィックの優先度を設定するとともに、帯域幅の制限と確保を行います。セッション/ 転送テーブル受信インターフェイスポリシーによる拒否：ドロップテーブルの更新許可されたトラフィックの転送許可されたトラフィックの転送図 1：vSRX のセッションベース転送アルゴリズム高可用性（HA） vSRX はアクティブ/アクティブモードとアクティブ/パッシブモード両方のシャーシクラスリングに対応し、必要不可欠な信頼性を提供します。HA 機能は、処理中のあらゆる接続およびハイパーバイザーをつなぐクラスターメンバーに対し、完全なステートフルフェイルオーバー機能を提供します。vSRX VM がクラスター内で設定されると、VM は接続/セッションの状態とフロー情報、IPsec セキュリティーアソシエーション、ネットワークアドレス変換（NAT）トラフィック、アドレスブック情報、設定変更などの情報を同期します。この結果、フェイルオーバー中もセッションが維持されシンプルな構成るだけでなく、セキュリティーも損なわれることなく維持されます。また不 vSRX はゾーンとポリシーという 2 つの基本機能を使用します。デフォル安定なネットワークでは、vSRX はリンクフラッピングの発生も抑えます。ト構成には、最低で「Trust」と「Untrust」ゾーンが含まれます。Trust ゾーパフォーマンスンは構成と内部ネットワークの vSRX への接続に使用されます。Untrust ゾーンは一般的に信頼されていないネットワーク用に使用されます。インストールプロセスを合理化し、設定を簡素化するために、既定のポリシーが設定されています。このポリシーは、Trust ゾーンから Untrust ゾーンへのトラフィックを許可する一方で、Untrust ゾーンから Trust ゾーンへのトラフィックをブロックします。従来のルーターは、ファイアウォール（セッションの認識）やポリシー（セッションの送信元と宛先）にかかわらず、すべてのトラフィックを転送します。さらに、vSRX が仮想であるという特性により、ユーザーはスナップショットやクローニングなどの関連する技術を活用ユーザーはこれまで拡張性とパフォーマンスのどちらかを選択する必要がありました。vSRX ソリューションは複数の仮想 CPU を活用するように最適化され、仮想環境におけるパケット処理と全体のスループットを最大化しています。各 vSRX VM にもさまざまな仮想ネットワークに接続可能な複数の仮想ネットワークインタフェースカード（vNIC）が搭載され、複数のネットワークセグメントを同時に保護しています。仮想構造で運用される vSRX は、仮想環境やクラウドベース環境で必要とされる強固なセキュリティーとパフォーマンスの両方を実現します。して、管理業務や運用業務を合理化できます。ルーターとファイアウォールの組み合わせによるスループットと遅延を最適化するために、Junos OS には従来のファイアウォールのセッション状態情報と従来のルーターのネクストホップ転送機能を 1 つの操作にまとめた、セッションベースの転送機能が実装されています。Junos OS では、転送ポリシーにより許可されたセッションがネクストホップルートへのポインターと共に、転送テーブルに追加されます。 3 vSRX サービスゲートウェイ DATA SHEET 表 4：vSRX サービスゲートウェイの重要なパフォーマンスメトリックパフォーマンス* VMware KVM ファイアウォール（UDP 1514 バイトプット） 4.35 Gbps 2.6 Gbps ファイアウォール（IMIX） 1.05 Gbps 620 Mbps ファイアウォールランプレート（TCP） 22,000 サイクル/秒 22,000 サイクル/秒ファイアウォール遅延（512 バイト UDP） 107 ミリ秒 87 ミリ秒ファイアウォール IPv6（UDP 512 バイトパケット） 1.46 Gbps 829 Mbps NAT（UDP 1514 バイトパケット） 4.3 Gbps 2.45 Gbps NAT（IMIX） 1.05 Gbps 630 Mbps NAT ランプレート（TCP） 19,000 サイクル/秒 19,000 サイクル/秒 IPsec（3DES+SHA1、1420 バイト） 290 Mbps 238 Mbps IPsec（3DES+SHA1、IMIX） 146 Mbps 88 Mbps IPsec（3DES+SHA1、64 バイト） 29 Mbps 21 Mbps インターネット鍵交換（IKE）レート（3DES+SHA1、 v1 または v2）最大 2,000 トンネル/71 トンネル/秒最大 2,000 トンネル/48 トンネル/秒 EWF（44 KB ファイル） 251 Mbps 4 Mbps SAV（Allscan 44 KB ファイル） 279 Mbps 385 Mbps IDP HTTP スループット** （レスポンスコンテンツ – 44 KB ファイル） 911 Mbps 8 Mbps IDP HTTP CPS** （レスポンスコンテンツ – 64 バイト） 6,300 サイクル/秒 6,000 サイクル/秒 IDP セッションスケーリング** 32,000 32,000 AppSecure HTTP スループット IPv4** 760 Mbps 290 Mbps AppSecure HTTP CPS IPv4** 5,600 3,100 * VMware パフォーマンスの参照プラットフォーム：Dell PowerEdge R910、ESXI 5.1.0, 40 コア、2.393 Ghz CPU（02/2015）。KVM パフォーマンスの参照プラットフォーム：KVM-Ubuntu-14.04。損失許容値：0.01%。すべてのパフォーマンス数値は「最大数値」であり、基盤のハードウェア構成によって変動します（一部のサーバー構成ではより高いパフォーマンスを示す場合もあります）。 ** IDP と AppSecure のパフォーマンスは Recommended IDP ポリシーテンプレートを使ったデータセンターの使用事例（client-to-server 型防御）によって変動します。AppSecure のパフォーマンス結果は AppFW、AppTrac、AppQos、IDP をすべて有効にした状態でのテストに基づいています。 Junos Space Virtual Director Junos Space Virtual Director は、vSRX 向けのフルライフサイクル管理アプリケーションで、組織による vSRX サービスゲートウェイ VM 主な特長とメリット • ステートフルなパケット処理とアプリケーションレイヤーのゲートウェイ機能をもつファイアウォールを仮想マシン形式で提供することで、マのプロビジョニングとリソース割り当ての自動化を可能にします。アプリルチテナントのプライベートクラウドおよび公開クラウド環境のセキケーションは、定評のあるジュニパーの Junos Space ネットワーク管理ュリティーを強化します。プラットフォーム上で実行され、vSRX VM インスタンスの設計、導入、監視、グループ化、レポート作成をサポートしています。ネットワークとセキュリティーの管理者は、Virtual Director の事前定義済み構成テンプレート、自動化ツール、ワークフローベースのタスク、直感的な GUI を使用することで、迅速にサービスを展開し、支障なく導入を実行できます。Virtual Director の RESTful API のオープンセットが、サードパーティ製オーケストレーションツールやエンドツーエンドの構成と管理用のカスタムアプリケーションに対して、単一のインタフェースを提供します。 Junos Space Security Director Junos Space Security Director は、直感的な一元管理の Web ベースインタフェースを介したセキュリティーポリシー管理機能を提供し、最近および従来のリスク要素に対してポリシーを適用します。Security Director は、Junos Space プラットフォームのアプリケーションとして、ネットワーク全体で広範なセキュリティ基準、きめ細かなポリシー • SRX シリーズサービスゲートウェイの同一で一貫した高度なセキュリティーおよびネットワーク機能（IPsec VPN、NAT、QoS、フルルーティング機能）を活用します。 • 強力な UTM、 IPS、アプリケーションの可視化とコントロール機能を統合し、総合的な脅威管理フレームワークを実現することにより、ますます巧妙化する脅威に対抗します。 • インテリジェントなライフサイクル自動管理アプリケーション、 Junos Space Virtual Director を使って管理機能を簡素化できます（追加料金はありません）。 • オープン RESTful API でサードパーティー管理ツールやクラウドオーケストレーションツールとの統合を可能にし、管理上の柔軟性を高めることができます。 • Junos Space Security Director を活用して、仮想環境と物理環制御、多様なポリシーを提供します。管理者はステートフルファイアウ境全体におけるファイアウォールセキュリティーポリシーの設定とォール、UTM、IPS、AppFW、VPN、NAT のセキュリティポリシーライフ管理状況に対する可視性とコントロールを強化します。サイクルにおけるあらゆる段階を迅速に管理できます。統合管理 • Contrail や OpenContrail などのサードパーティーソリューションとの統合により、SDN と NFV に対応します。管理者は、Junos Space Security Director の機能を Junos Space Security Virtual Director と組み合わせることによって、一元的な汎用プラットフォームから物理的資産と仮想資産の両方について、ポリシーの設定、管理、可視化の能力を大幅に向上させることができます。 4 vSRX サービスゲートウェイ DATA SHEET ジュニパーネットワークスのサービスとサポートジュニパーネットワークスは、高性能なサービス分野のリーダーであり、高性能ネットワークの高速化、拡張、最適化を目指しています。当社のサービスを利用することで、コストを削減し、リスクを最小限に抑えながら、生産性を最大限高め、より高速なネットワークを構築し、価値を高めることができます。また、ネットワークを最適化することで、必要な性能レベルや信頼性、可用性を維持し、卓越した運用を保証します。詳細については、 www.juniper.net/jp/jp/products-services をご覧ください。仕様以下の表に、仕様の概要を示します。完全なリストについては、製品マニュアルを参照してください。表 5：vSRX サービスゲートウェイの仕様プロトコル IP アドレスの管理セキュリティー SLA、測定、監視ハイパーバイザー • IPv4、IPv6、MPLS、ISO コネクションレス型ネットワークサービス（CLNS） • 静的 • ファイアウォール • 静的ルート • 動的ホスト構成プロトコル（DHCP） • ファイアウォール、ゾーン、スクリーニング、ポリシー • RPM（リアルタイムパフォーマンス監視） • RIPv2 +v1 • 内部 DHCP サーバー、DHCP リレー • ステートフルファイアウォール、ステートレスフィルター • OSPF/OSPFv3 • アドレス変換 • ネットワーク攻撃検知 • BGP • ポートアドレス変換（PAT） • DoS と DDoS（分散型 DoS）攻を伴うソース NAT 撃からの防御態勢をチェック（異常検知） • 静的 NAT • VMware vSphere 5.0、 5.1、 5.5、 KVM CentOS 63、Ubuntu 14.04 および Contrail に対応 • IS-IS • マルチキャスト（インターネットグループ管理プロトコル、PIM、セッション記述プロトコル） • MPLS • VPLS • PAT を使用するディスティネーション NAT • 永続的 NAT、NAT64 • カプセル化 • イーサネット • 802.1q VLAN サポート • リプレイ攻撃の防御、アンチリプレイ • 統合型アクセスコントロール（UAC） • フラグメントパケット攻撃防御のための TCP パケット再構築 • 総当たり攻撃緩和 • Syn Cookie 防御 • ゾーンベース IP スプーフィング • 異常パケット攻撃防御 • セッション、パケット、帯域幅の使用量 • IP 監視 • ログ作成 • システムロギング • Traceroute • コントロールプレーンとデータプレーンの広範な構造化/非構造化システムログの管理 • Junos Space Security Director に対応 • Juniper Networks Secure Analytics • Juniper Networks Advanced Insight Solution に対応 • 管理者用外部データベース（RADIUS、LDAP、SecureID） • VPN • 自動構成 • トンネル（一般ルーティングのカプセル化、IP-IP） • 設定ロールバック • ボタンによるレスキュー設定 • IPsec、DES（データ暗号化規格）（56 ビット）、3DES（トリプルデータ暗号化規格）（168 ビット）、AES（次世代標準暗号）（128 ビット）による暗号化 • 変更コミット確認 • Message Digest 5（MD5）、 SHA-1、SHA-128、 SHA-256 による認証 • 診断自動記録 • ソフトウェアアップグレード • J-Web • CLI • IPv6 注文情報ジュニパーネットワークス vSRX サービスゲートウェイについての詳細は、www.juniper.net/jp/ をご覧いただくか、お近くのジュニパーネットワークスの営業担当者にお問い合わせください。 5 vSRX サービスゲートウェイ DATA SHEET ジュニパーネットワークスについてジュニパーネットワークスは、ネットワークイノベーションに取り組んでいます。デバイスからデータセンターまで、そしてコンシューマーからクラウドプロバイダにいたるまで、ジュニパーネットワークスは、ネットワークのエクスペリエンスや経済性を変革するソフトウェア、シリコン、システムを提供しています。ジュニパーネットワークスは、世界中のお客様とパートナー企業のために尽力しています。詳細については、www.juniper.net/jp/ をご覧ください。米国本社アジアパシフィック、ヨーロッパ、中東、アフリカ Juniper Networks, Inc. Juniper Networks International B.V. 1133 Innovation Way Boeing Avenue 240 Sunnyvale, CA 94089 USA 1119 PZ Schiphol-Rijk 電話： 888.JUNIPER（888.586.4737） Amsterdam, The Netherlands または +1.408.745.2000 電話： +31.0.207.125.700 FAX： +1.408.745.2100 FAX： +31.0.207.125.701 www.juniper.net Copyright 2015 Juniper Networks, Inc. All rights reserved. Juniper Networks、Juniper Networks ロゴ、Junos、QFabric は、米国およびその他の国における Juniper Networks, Inc. の登録商標です。その他すべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。 1000489-004-JP 2015 年 2 月