FIREFLY PERIMETER 2014年03月 はじめに 本資料にあるロードマップの内容は、資料作成時点におけるジュニ パーネットワークスの予定を示したものであり、事前の通告無しに 内容が変更されることがあります。 またロードマップに描かれている機能や構成は、 購入時の条件になりませんので、ご注意ください。 Legal Disclaimer: This statement of product direction (formerly called“roadmap”) sets forth Juniper Networks' current intention, and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted on this statement. 2 Copyright © 2013 Juniper Networks, Inc. www.juniper.net JunosV Firefly Perimeter 3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net JUNOSV FIREFLY PERIMETERとは? 仮想化環境 VM1 VM2 VM3 VM4 Firefly Perimeter SRX & Junos • SRXに搭載されているJunos OSをベースにした仮想アプライアンス製品 • 2014年3月に正式販売開始 4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net FW/VPN製品ポートフォリオでのFIREFLY位置づけ Branch SRX High-End SRX Firefly Perimeter Firefly Host 支社、支店との接続 およびセキュリティ サイトレベルのセ キュリティに加え、 顧客の通信を分離す るゾーニング、PinHoldingのための ALG、内部脅威対策 の IDPなど マルチテナントセグメ ントにおける集約され たVMレベルセキュリ ティ VM間のセキュリ ティとすべてのVM を束ねた内向きの脅 威への対策 VM-A High-end SRX Branch SRX series VM-A VM-A A顧客向け 仮想インフラ Rack servers Firefly リモート オフィス vGW VM-B vGW VM-B vGW VM-B B顧客向け 仮想インフラ Firefly vGW 物理データセンター 5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net vGW vGW Firefly シリーズ 概要 Firefly Perimeter(旧 Firefly) カスタマー ポータル OSS/BSS Junos Space Security and Virtual Director • 仮想マシンとしてネットワークを保護 ソリューション • テナントネットワーク向けFW SRXシリーズ, Firefly Host, Firefly Perimeterに より、プライベート/パ ブリック関わらず、ク ラウドのネットワーク とアプリケーション環 境を保護 • 実績のある接続性(VPN, ルーティン グ、NATなど) Internet Firefly Host (旧 vGW) • ハイパーバイザ上で個々の仮想マシン を保護 • 仮想マシンの認識、アンチウィルス、 イントロスペクション、コンプライア ンス、ネットワーク監視 • 柔軟な防御(vNICごとのポリシー) • Inter VMの通信をコントロールする FW/IDSサービス(30Gbps以上) Firefly Perimeter MX Universal Router VM VM VM VM SRX 幅広いカバレッジ Enterprise MX WAN ハイブリッドクラウド 6 Hypervisor Firefly Host 柔軟な展開オプション 高い拡張性と運用の簡素化 仮想化されたホスト マルチテナント Copyright © 2013 Juniper Networks, Inc. www.juniper.net JUNOSV FIREFLY PERIMETERの概要 バーチャルマシンとしてセキュリティとルー ティングの機能を提供 Junos Routing Protocols and SDK ハイパーバイザーを選択し、仮想ア プライアンスとしてJunosをご提供 標準的x86ハードウェアの上で動作 多くの導入実績を持つJunosセキュリティと ルーティングプロトコルスイート 最適化された性能 SMPカーネル & 複数の仮想CPUs 上にマルチスレッドのflowd対応 ハイパーバイザーが提供する機能や Virtual Directorにより物理アプライアンス 以上に効果的な運用が可能 例: vMotion, スナップショット, HA/FT, ク ローニング, マネージメントなど 7 Junos Rich & Extensible Security Stack Perimeter Content Firewall Anti-Virus VPN IPS Full IDP Feature Set NAT Web Filtering Network Admission Control Application Application Awareness Identity Awareness Anti-Spam CLI, JWeb, SNMP, JSpace- SD, Hypervisor Mgmt, HA/FT Copyright © 2013 Juniper Networks, Inc. www.juniper.net FIREFLY PERIMETER – スケール & パフォーマンス Scale (VMware and KVM) Performance VMware KVM Firewall (UDP 1514B pkts) 4.9 Gbps (400 kpps) 1.1 Gbps (85 kpps) vRAM Required/Instance 2GB vCPUs Required/Instance 2 Max vNICs/Instance 10 Firewall (IMIX) 1.2 Gbps 242 Mbps Max Zones 128 Firewall Ramp Rate (TCP) 26K CPS 9K CPS Max Address Books 128 105 MicroSec 482 MicroSec Firewall Latency (512B UDP) Max Policies 10240 Max Policies With Count 1024 Firewall IPv6 (UDP 512B pkts) 1.7 Gbps 383 Mbps Max Applications/Policy 128 NAT (UDP 1514B pkts) 4.4 Gbps 1 Gbps Max Addresses/Policy 1024 NAT (IMIX) 1.1 Gbps 240 Mbps Max Addresses/Address-set 1024 NAT Ramp Rate (TCP) 20K CPS 8K CPS Max Firewall Sessions 256k Max PAT Sessions (Source NAT With PAT) 256k IPSec (3DES+SHA1, 1514B) 295 Mbps 241 Mbps IPSec (3DES+SHA1, IMIX) 66 Mbps 33 Mbps IPSec (3DES+SHA1, 64B) 78 kpps 23 kpps 2000 Tunnels (83 Tunnels/sec) 2000 Tunnels (48 Tunnels/sec) MAC/ARP Table Size 8k Max VLANS 4k Max OSPF Routes Max VRs Supported 160k 5 IKE Rate (3DES+SHA1, V1 or 2) # Firefly Perimeter Instances/Server (Function of network I/O, memory and CPU) – VMware Server Config 1: 8 Cores @ 2.66Ghz, 64GB RAM, 2x10G NICs 25 Server Config 2: 40 Cores @ 2.393Ghz, 256GB RAM, 4x10G NICs 100 (@ ~50 Mbps) Reference Platform for Performance: Dell PowerEdge R910 , ESXI 5.1, 40 Core, 2.393 Ghz CPUs, Junos 12.1X46D10.2 8 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 参考 仮想リソースの割り当て 仮想アプライアンスに割り当てるリソース vCPUs Required/Instance 2vCPU~ メモリ 2GB ストレージ 2GB NIC (VMware) NIC (KVM) 9 備考 REが1 vCPUを使用、Flowdは別のvCPUで動作 Intel 82371AB/EB/MB PIIX4 (IDE) Intel e1000 Virtio Copyright © 2013 Juniper Networks, Inc. www.juniper.net JUNOSV FIREFLY PERIMETER冗長構成 仮想化環境 仮想化環境 Firefly #1 (Active) Firefly#2 (Passive) VM VM ハイパーバイザ Firefly#1 (Passive) Firefly#2 (Active) VM VM ハイパーバイザ Firefly Perimeterは、自信の冗長機能となるChassis Clustering(Active/Passive および Active/Activeの両方)をサポート予定。これにより、処理中の全てのコ ネクションのステートフルフェールオーバ機能を提供。 クラスタメンバーを複数のハイパーバイザ上に動作させることも可能。 10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 中長期ROADMAP (2014年一月時点) 短期ロードマップ (~2014Q2リリース予定) L2 Trasnparent mode SCSI ストレージサポート UTM/IDPサポート (AppSecure除く) vSphere5.5サポート NSXサポート NetX distributionサポート 中長期ロードマップ (2014後半以降) vCPU追加によるリニアなスループット追加に対応 コードの最適化によるパフォーマンス効率の改善 e1000 ドライバを置き換えてパフォーマンス効率を改善 FlowdをLinuxへ移行し、パフォーマンス効率を改善 より大きなキャパシティを持たせるために64bit OS化 VPNアクセラレーションのため、Intel暗号化ライブラリへ対応 Intel DPDKへの対応 現時点で機能サポートの具体的な予定なし ethernet-switching, dynamic VPN (with Junos Pulse client), LAG/LACP, NSM, PPPoE 11 Copyright © 2013 Juniper Networks, Inc. www.juniper.net Backup Slides Firefly 管理ツール Junos Space Virtual Director 13 Copyright © 2013 Juniper Networks, Inc. www.juniper.net FIREFLYの容易な管理性 今日のセキュリティ ポリシー&デバイス管理 Virtual Director Firefly Perimeter(vSRX)向けツール Junos Space Security Director (API’s in 13.1) CLI + Junos Scripts Jweb Junos Space Virtual Director Junos Spaceプラットフォーム上のアプリの一つ 初期リリースでは、VMwareと連携(長期的には、 Firefly Host(旧vGW)向けツール Firefly Host Management Center Firefly Host Cloud SDK SCVMM, OpenStackなどと連携予定) 初期リリースのサポート機能: Fireflyのプロビジョニング (GUI & API) ブート処理 ベーシックな監視 どちらも使うツール JSA (ログに依る脅威管理とレポー ティング) 14 Copyright © 2013 Juniper Networks, Inc. www.juniper.net VIRTUAL DIRECTOR アーキテクチャー図 New! Security Director Virtual Director 仮想ネットワーク&管理システム 物理デバイス MAG (SSLVPN) Firefly STRM SRX WebApp Secure APP VM IDP DB VM Virtual Future! Virtual SSLVP N Virtual STRM WEB VM プロビジョニング(インストール) (Deploy Juniper virtual products) 15 モニタリング (状態、リソース利用率、 Introspectionデータ、など) Copyright © 2013 Juniper Networks, Inc. www.juniper.net バーチャル コネクター (管理システムへの接続) VIRTUAL DIRECTOR 初期機能 プロビジョニング 複数のvCenterサーバをサポート Firefly PerimeterのOVAファイルをVMware環境にインポートし、テンプレートを使用してインスタンスを作成 o どのテンプレートから、いくつのインスタンスを作成したいか? o どのような配置?(ホストマシン、ストレージの場所、ポートグループなどを指定) o インスタンスのバリエーションは?(vCPUの数や、vRAM量など) 使用されなくなったインスタンスを削除 初期稼働 新たにインスタンス化された仮想マシンにホスト名やIPアドレス、デフォルトゲートウェイ等を割り当てて、 Junos Spaceで管理できるように自動構成 モニタリング 16 Smart Groupの属性(vi.name や vi.portgroup など)により、作成されたFirefly Perimeterのインスタンスを グループ化 Firefly Perimeter 仮想マシンのインストール場所や、vCPUやvMemory等のリソースをどのくらい使用して いるかを表示 Copyright © 2013 Juniper Networks, Inc. www.juniper.net システム連携に不可欠なAPIを提供 カスタムアプリケーションやポータルなどとシステム連携できるよう、 3つのAPIセットを提供 XML-RPC SDK for Firefly Host (vGW) (https://www.juniper.net/support/products/vgw/#sw) Firefly Perimeterのポリシーを操作するための Junos Space Security Director API (http://www.juniper.net/techpubs/en_US/junos-space13.1/information-products/topic-collections/junos-space-securitydesigner/security-director-api.pdf) Firefly perimeterをインスタンス化するためのJunos Space Virtual Director API 17 Copyright © 2013 Juniper Networks, Inc. www.juniper.net Backup Slides 設定管理ツール Junos Space Security Director 18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net Junos Space Security Director 一つのユーザインタフェースで、セキュリティポリシーの全て をコントロール 対象ドメイン Edge 解決すべき課題 対応デバイス Data Center WAN Campus & Branch 時間がかかる、エラーに弱いセキュリティ管理 SRX シリーズサービスゲートウェイ ご提供価値 自動ポリシー管理、コンフィグレーション、 ネットワークに渡るセキュリティ機能の適用 利用ケース ウェブインタフェースから全てのセキュリティ ポリシーライフサイクルを管理 一つのGUIインタフェースから、セキュリティポリシーライフサイクルの全ての フェーズを迅速に管理 (Firewall, VPN, NAT, IPS, AppFW policies) End-to-Endネットワークに渡りセキュリティステートを短期間および容易に適 用 最小限のマニュアル操作により、短期間および容易にビジネスポリシーをネッ トワークコンフィグレーションへと落とし込むことが可能 19 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 高い拡張性 for Better Security Reach 15,000以上のデバイスと 広範なルールベース 効率的 正確かつコスト効果の高 いマネージメント 数千のVPNを数分で設定 早いレスポンス より容易な管理 セキュリティポリシーの全フェーズを容易に管理 モニタリング アップグレード 更新 維持 修正 ポリシーの更新 Take action IPSの有効化 AppFWの有効化 作成 Security Director ファイアウォール ポリシー VPNポリシー NATポリシー IPSポリシー AppFWポリシー 展開 監視 ロギングとレポーティング STRM シリーズとの連携 20 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 1000s of policies 数1000のポリシー 数1000のVPN ポリシーの生成 ポリシーの確認 ポリシーの展開 集中化、柔軟なポリシー管理により設定ミスを削減 Security Director 複数のセキュリティポリシーを 一つの画面から操作 全デバイス、デバイス グループ、各デバイス毎に ルールを設定可能 21 Copyright © 2013 Juniper Networks, Inc. www.juniper.net 直感的で応答の速いウェブインタフェースにより 容易な管理を実現 Security Director 22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net Junos Space Security Director 運用管理機能 機能豊富なセキュリティ運用管理 多彩なポリシーオプション LSYS機能をサポート 全デバイス向けFirewall/NATのポリシー NAT 送信元/宛先としてのバーチャル ルータ ユーザロールによるポリシー管理 編集ロックにより、同時編集による設定 ミスを軽減 ポリシーのバージョン管理と切り戻し ファイアウォールポリシー、オブジェク ト、VPN設定操作のためのAPIを提供 ポリシー適用に日時指定が可能 23 Copyright © 2013 Juniper Networks, Inc. 柔軟なIPS管理 IPS マニュアルモード インポート機能をサポート SRXから直接ポリシーをインポート NSMからポリシーをインポート 拡張されたVPN管理 ポリシーベースのVPN設定 エクストラネットVPN VPN動的ルーティング管理 証明書ベースのVPN www.juniper.net 階層化による柔軟なファイアウォールポリシー管理 1 全デバイスレベル Allow Secure Communication グループレベル 2 各デイバスレベル 3 2 コンプライアンスのより良い構造 3 デバイスをまたがるポリシーの再利用 Copyright © 2013 Juniper Networks, Inc. Allow Email Services 1 柔軟なポリシー制御 24 Deny Facebook www.juniper.net 評価の順番 DELEGATE AND CHECK POLICY WORK BEFORE PROVISIONING WITH PUBLISH WORKFLOW チェック ポリシー作成 VPN設定 NAT設定 IPS設定 シグネチャー スケジュールベースの アップデート 大量更新 柔軟性 機器状態 対象機器の表示 コマンドを表示 確認 最適化 設計 適用・更新 ワークフローの全ステージで2重チェックにより見落としを軽減 役割別にポリシー作業を分離し、設定ミスを軽減 展開前に実際のCLIコマンドを参照してポリシーを改善 25 Copyright © 2013 Juniper Networks, Inc. www.juniper.net IPSEC VPNトンネルの簡素化された管理 フルメッシュ ハブ&スポーク フルメッシュ、ハブ&スポークVPNの迅速な展開 大規模ハブ&スポークVPN構成の柔軟な展開 数千規模のサイト-to-サイトVPNをサポート 26 Copyright © 2013 Juniper Networks, Inc. www.juniper.net サイト-to-サイト ネットワークアドレス変換(NAT)ポリシーの管理 送信元 宛先 サービス NATポリシーの柔軟なコントロール 複雑なNATルールのより簡易な管理 デバイスをまたがるNATポリシーの再利用による管理の軽減 27 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
© Copyright 2024 ExpyDoc
