دریافت مقالات

امنیت

آشنایی با vSRX Services Gateway و ویژگی های آن – قسمت دوم (پایانی)

107 مشاهده ۱۲ تیر, ۱۳۹۶ 4

آشنایی با vSRX Services Gateway و مزایای آن

با توجه به گسترش روزافزون شبکه‌ها همراه با پیچیده‌تر شدن تهدیدات امنیتی، دیگر راهکارهای قدیمی قادر به تامین امنیت مورد نیاز شبکه‌های سازمانی بزرگ نمی‌باشند و نیاز به راهکارهای هوشمند‌تر و جدیدتر بیش از پیش حس می‌گردد. شرکت Juniper به عنوان یکی از بزرگترین شرکت‌ها در حوزه‌ی امنیت، اقدام به ارائه‌ی محصول vSRX Services Gateway نموده است. در قسمت اول از این سری مقالات به بررسی معماری و ویژگی‌های این محصول پرداختیم. در این مقاله که قسمت دوم (پایانی) می‌باشد، به بررسی سایر ویژگی‌ها و قابلیت‌های این محصول امنیتی می‌پردازیم.

سهولت در پیکربندیِ vSRX Services Gateway 

vSRX از دو ویژگی اصلی Zoneها و Policyها استفاده می‌نماید و در پیکربندی پیش‌فرض آن یک Trust Zone و یک Untrusted Zone وجود دارد. Trust Zone برای پیکربندی و اضافه نمودن شبکه‌ داخلی به vSRX به کار رفته و Untrust Zone معمولا برای شبکه‌های Untrust استفاده می‌شود. همچنین یک Policy پیش‌فرض برای ساده‌سازی فرآیندهای نصب و پیکربندی وجود دارد که انتقال ترافیک ایجادشده در Trust Zone به Untrust Zone را امکانپذیر ساخته و در عین حال انتقال جریان ترافیک ایجادشده در Untrust Zone را به Trust Zone مسدود می‌نماید. در روترهای قدیمی، تمامی ترافیک بدون توجه به فایروال (آگاهی از Session) یا Policy (مبدا و مقصد یک Session) منتقل می‌گردد. علاوه بر این، مشتریان به دلیل ماهیت مجازی vSRX می‌توانند از Snapshot‌ها، Cloning و تکنولوژی‌های مرتبط برای ساده‌ نمودن امور عملیاتی و نگهداری بهره‌مند گردند.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

Junos OS با هدف بهینه‌سازی توان عملیاتی و میزان تاخیر (Latency) روتر و فایروال در ترکیب با یکدیگر، به اجرای فرآیند انتقال مبتنی بر Session می‌پردازد؛ ابتکاری که اطلاعات مربوط به وضعیت Session در یک فایروال قدیمی و فرآیند انتقال اطلاعات از یک روتر قدیمی را در یک عملیات واحد ترکیب می‌‌نماید. با کمک این تکنولوژی، Session مجازشده به واسطه Policyهای انتقال همراه با یک Next Hop Route به Forwarding Table اضافه می‌شود.

این الگوریتم کارآمد موجب بهبود توان عملیاتی شده و میزان تاخیر در ترافیک Session را در مقایسه با روترهای قدیمی کاهش می‌دهد؛ بدین ترتیب برای تایید اطلاعات Session و یافتن Route Next-Hop، چندین فرآیند جستجو در جدول صورت می‌گیرد. Packet‌های بعدی در Session به یک فرآیند جستجوی واحد در Forwarding Table و Session نیاز داشته و سپس به واسط خروجی انتقال می‌یابند.

با استفاده از Policy‌های امنیتی مشخص می‌شود که می‌توان Session را در یک Zone ایجاد کرده و سپس به Zone دیگری منتقل نمود. vSRX از سوی دیگر Packet‌ها را دریافت نموده و هر یک از Session‌ها، برنامه‌های کاربردی و کاربران را مورد بررسی قرار می‌دهد. ماشین‌های مجازی (VM) نیز در حین جابجایی در یک فضای مجازی یا Cloud همچنان Packet‌ها را جهت پردازش و برقراری ارتباط مستمر و ایمن به vSRX ارسال می‌نمایند.

آشنایی با vSRX Services Gateway و مزایای آن

الگوریتم انتقال مبتنی بر Session در vSRX

دسترس‌پذیری بالا (HA) در vSRX Services Gateway 

vSRX به ارائه قابلیت اطمینان می‌پردازد که به لحاظ عملیاتی حائز اهمیت بوده و از فرآیند Chassis Clustering به دو صورت Active-Active و Active-Passive پشتیبانی می‌نماید. همچنین عملکرد HA می‌تواند امکان Failover Stateful را برای هر یک از Connectionهای پردازش شده و اعضای Cluster با هدف توسعه Hypervisor‌ها فراهم نماید. در صورت پیکربندی VMهایvSRX  در قالب یک Cluster، ماشین مجازی اقدام به انجام فرآیند همسان‌سازی (Synchronize) وضعیت Connection/Session، جریان اطلاعات، ارتباطات امنیتی مبتنی بر IPsec، ترافیک NAT، اطلاعات Address Book، تغییرات در پیکربندی و موارد دیگر می‌پردازد. در نتیجه علاوه بر حفظ Session در طول Failover، امنیت نیز به خوبی تامین می‌گردد. همچنین vSRX در یک شبکه‌ی ناپایدار موجب کاهش Link Flapping (نوسان لینک) می‌شود.

عملکرد یا Perfomance

از گذشته مشتریان ناگزیر به ایجاد تعادل بین دو قابلیت مقیاس‌پذیری (Scalability) و عملکرد (Performance) بوده‌اند. راهکار vSRX با هدف کاربرد چندین CPU مجازی بهینه‌سازی می‌شود تا فرآیند پردازش Packet و توان عملیاتیِ کلی در محیط مجازی را به حداکثر برساند. ضمن اینکه هر vSRX VM دارای چندین Virtual Network Interface Card یا به اختصار vNIC می‌باشد که قابلیت اتصال به شبکه‌های مجازی مختلف برای محافظت همزمان از بخش‌های مختلف شبکه را دارا می‌باشد. vSRX با عملکرد در ساختار مجازی می‌تواند سطح بالایی از امنیت را برای یک محیط مجازی‌سازی‌شده یا‌ مبتنی بر Cloud فراهم آورد.

 بررسی vSRX چند هسته‌ای یا Multi-Core vSRX

Multi-Core vSRX با بهره‌مندی از یک مدل Scale-Up می‌تواند بدون ایجاد پیچیدگی‌های بیشتر در زیرساخت شبکه به تقاضای رو به رشد برای عملکرد مربوط به توان عملیاتی پاسخ ‌دهد. این نسخه چند هسته‌ا‌ی از vSRX به ارائه یک مقیاس خطی از عملکرد برای هر یک از هسته‌های اضافه شده به حداقل دو vCPU می‌پردازد که با به کارگیری 12 عدد vCPU از یک Socket واحد، به عملکرد 100 گیگابایت بر ثانیه دست می‌یابد.

بررسی Junos Space Virtual Director

Junos Space Virtual Director به عنوان یک برنامه جامع مدیریت چرخه‌ی عمر برای vSRX به سازمان‌ها این امکان را می‌دهد تا فرآیند آماده‌سازی و تخصیص منابع در vSRX Services Gateway VMs را به صورت خودکار انجام دهند. این برنامه‌ی کاربردی برروی پلتفرمJunos Space Network Management  متعلق به Juniper اجرا شده و از مواردی همچون طراحی، پیاده‌سازی، مانیتورینگ، گروه‌بندی و گزارش‌دهیِ Instance‌های vSRX VM پشتیبانی می‌کند. مدیران امنیت و شبکه می‌توانند با استفاده از مواردی همچون الگوهای از پیش تعریف‌شده‌ی Virtual Director، ابزارهای خودکارسازی، امور مرتبط با جریان‌کاری و GUI با قابلیت درک و شناسایی آسان از مزایای اجرای سریع سرویس و پیاده‌سازی‌های بدون خطا بهره‌مند گردند. به علاوه Virtual Director امکان استفاده از مجموعه‌های RESful API‌ را فراهم می‌نماید که به ارائه یک واسط کاربری واحد برای تمام ابزارهای Third-Party جهت تنظیم (Orchestration) و برنامه‌های کاربردی سفارشی برای مدیریت و پیکربندی به صورت End-to-End می‌پردازد.

بررسی Junos Space Security Director

Junos Space Security Director می‌تواند قابلیت مدیریت Policyهای امنیتی را از طریق یک واسط کاربریِ متمرکز و مبتنی بر وب فراهم نماید که زمینه اجرای آن را در مسیرهای پرخطر قدیمی و جدید میسر می‌نماید. Security Director به عنوان یک برنامه کاربردی در پلتفرمJunos Space  می‌تواند به عرضه‌ی مقیاس‌پذیری امنیتی گسترده، کنترل Policy به صورت Granular و گستردگی عملکرد Policy در سراسر شبکه بپردازد. این برنامه‌ی کاربردی به مدیران کمک می‌کند تا تمامی مراحل در چرخه‌ی عمر Policy امنیتی را برای فایروال‌های Stateful، UTM، IPS، AppFW، VPN و NAT به سرعت مدیریت نمایند.

 

مدیریت یکپارچه

مدیران با ادغام قابلیت‌های Junos Space Security Director با Junos Space Virtual Director می‌توانند پیکربندیPolicy، مدیریت و قابلیت دید نسبت به منابع فیزیکی و مجازی را از طریق یک پلتفرم مشترک و متمرکز بهبود بخشند.

ویژگی‌ها و مزایای اصلی

  • تامین امنیت در محیط‌های Multitenant Cloud، از هردو نوع Public و Private که از طریق عرضه یک فایروال کامل همراه با قابلیت‌های پردازش Packet Stateful و Gateway Application-Layer می‌باشد.
  • بهره‌مندی از ویژگی‌های یکسان، هماهنگ و پیشرفته برای امنیت و شبکه (IPsec VPN، NAT، QoS و قابلیت‌های مسیریابی کامل) در SRX Series Services Gateways
  • دفاع در برابر تهدیدات پیچیده از طریق یکپارچه‌سازی UTM قدرتمند، IPS و قابلیت‌های دید و کنترل در برنامه کاربردی با هدف ایجاد یک چارچوب مدیریتی جامع در مقابل تهدیدات
  • ساده‌سازی کارکردهای مدیریتی با Junos Space Virtual Director، به عنوان یک برنامه‌ی کاربردی هوشمند برای مدیریت خودکار چرخه عمر بدون ایجاد هزینه‌ی اضافی
  • بهبود در قابلیت انعطاف‌پذیری مدیریت از طریق RESTful API‌ها، به منظور پشتیبانی از یکپارچه‌سازی با مدیریت Third-Party و ابزارهای تنظیمCloud
  • گسترش قابلیت دید و کنترل بر فرآیند مدیریت و پیکربندی Policyهای امنیتیِ فایروال در تمامی محیط‌های مجازی و غیرمجازی با Junos Space Security Director
  • پشتیبانی از SDN و NFV از طریق یکپارچه‌سازی با Contrail، OpenContrail و سایر راهکارهای Third-Party

ــــــــــــــــ

آشنایی با vSRX Services Gateway و ویژگی های آن – قسمت اول

آشنایی با vSRX Services Gateway و ویژگی های آن – قسمت دوم (پایانی)

 

مطلب مفید بود؟


?