بررسی قابلیت های فایروال‌های Juniper سری cSRX

بررسی قابلیت های فایروال‌های Juniper سری cSRX

فایروال‌های جدید کمپانی Juniper‌ سری cSRX ، به عنوان یک راهکار جدید و کامل در حوزه‌ی فایروال‌های مجازی به شمار می‌رود که امنیت در سطح پیشرفته، چرخه عمر خودکار و قابلیت‌های مدیریت Policy را برای سرویس‌دهندگان و سازمان‌ها فراهم می‌نماید. با استفاده از cSRX متخصصان امنیتی قادر خواهند بود فایروال را برای محافظت در محیط‌های کاملا Dynamic پیاده‌سازی نموده و توسعه دهند.

معرفی تکنولوژی فایروال‌های سری  cSRX

سازمان ها به منظور دستیابی به چابکی در کسب‌وکار، بیش از پیش از چارچوب SDN برای معرفی سرویس مجازی Private Cloud در شرایط مقتضی استفاده می‌نمایند. پیاده‌سازی خودکار شبکه‌ها و Workloadها، مستلزم آن است که عملکرد شبکه از سرعت مناسبی برخوردار باشد. در هر صورت وضعیت امنیتی پایدار یکی از شرایط مهم برای سرویس مجازی Cloud می‌باشد، چه این سرویس به صورت Private ایجاد شده باشد و چه در محیط‌های Hostشده و به صورت Public باشد.

پیاده‌سازی Virtualized Network Function یا به اختصار VNF، به روند دستیابی به یک وضعیت امنیتی مطلوب و پایدار کمک می‌نماید. با این وجود اکثر VNFها به دلیل اندازه و زمان Boot شدن خصوصا در هنگام ارائه برای سرویس‌های امنیتی، جهت پیاده‌سازی‌های سریع مناسب نخواهند بود. VNF در یک بازه زمانی سه دقیقه‌ای Boot شده و نیاز به تخصیص منابعی مانند vCPU و vRAM به صورت Static دارد. هرچند ممکن است این موضوع برای محیط‌های فعلی قابل قبول باشد، اما اغلب مشتریان، به دنبال افزایش وسعت پوشش‌دهی امنیتی زیرساخت خود بوده و VNFهای امنیتی کوچک‌تر و سریع‌تری را ترجیح می‌دهند که فضای کمتری را نیز اشغال می‌کنند.

سرویس‌دهندگان به ارائه سرویس‌های امنیتی متفاوتی برای طیف گسترده‌ای از مشترکان خود می‌پردازند که به دنبال تراکم بالاتر نسبت به آنچه توسط فایروال‌های مبتنی بر ماشین مجازی ارائه می‌شود، می‌باشد. به کمک انطباق با یک رویکرد میکروسرویس، تنها برای سرویس‌های مورد استفاده هزینه پرداخت شده و نیاز به پیاده‌سازی راهکا‌رهای امنیتی پرتراکم در زیرساخت کاهش می‌یابد؛ بنابراین سرویس‌دهندگان می‌توانند هزینه سرمایه و هزینه عملیاتی را کاهش دهند.

Juniper با ارائه سرویس امنیتی VNF در یک نسخه Container شده از Networks SRX Series Services Gateways، به پوشش این نیازها می‌پردازد. فایروال cSRX Container به سازمان‌ها و سرویس‌دهندگان اجازه می‌دهد تا چابکی و میزان پیاده‌سازی سرویس‌های امنیتی پیشرفته را افزایش دهد.

cSRX با بهره‌مندی از Docker به عنوان راهکاری برای مدیریت Container، به ارائه گزینه‌هایی جهت پیاده‌سازی انعطاف‌پذیر، ساده و کاملا مقیاس‌پذیر می‌پردازد که می‌تواند طیف وسیعی از نیاز‌های مشتریان را پاسخگو باشد. همچنین cSRX از طریق Juniper Networks Contrail، OpenContrail  و سایر راهکارهای Third-Party از SDN پشتیبانی نموده و قابلیت ادغام با سایر ابزارهای نسل بعد برای Cloud Orchestration مانند OpenStack را به صورت مستقیم یا از طریق APIها دارا می‌باشد.

معماری و اجزای مهم فایروال cSRX

سرویس‌های امنیتی پیشرفته

در حال حاضر اجرای سیستم‌های قدیمیِ فاقد یکپارچگی که در فایروال‌های سنتی، تجهیزات و نرم‌افزارها ایجاد می‌شوند، برای محافظت در برابر حملات پیچیده کنونی کافی نخواهد بود. مجموعه امنیتی پیشرفته متعلق به شرکت Juniper به کاربران امکان پیاده‌سازی چندین تکنولوژی را داده و بدین ترتیب نیازهای منحصربه فرد و در حال تکامل سازمان‌های امروزی و چارچوبِ همواره در حال تغییر تهدیدات را پاسخ می‌دهد. علاوه بر این، به روزرسانی‌های Real-Time تضمین می‌کند که تکنولوژی‌ها، Policyها و سایر اقدامات امنیتی همواره جدید و به‌روز می‌باشند.

فایروالcSRX Container  به ارائه یک مجموعه قدرتمند و مبتنی بر مجازی‌سازی از سرویس‌های امنیتی پیشرفته می‌پردازد که شامل مدیریت یکپارچه تهدیدات (UTM)، شناسایی موارد نفوذی و پیشگیری از آن (IDP) و کنترل برنامه و سرویس‌های دارای قابلیت دید از طریق AppSecure می‌باشد.

سهولت در پیکربندی

فایروال cSRX Container  فقط از پیاده‌سازی Bump-in-the-Wire L2 که شامل دو ویژگی اصلی Zoneها و Policyها می‌باشد، پشتیبانی می‌نماید. پیکربندی پیش‌فرض در حداقل‌ترین حالت شامل Zoneهای Trust و Untrust می‌باشد. Trust Zone برای پیکربندی و پیوستن شبکه‌های داخلی به cSRX به کار می‌رود در حالی که Untrust Zone معمولا برای شبکه‌های غیرمطمئن مورد استفاده قرار می‌گیرد. Policy پیش فرض جهت تسهیل فرآیند نصب و ساده نمودن روند پیکربندی اجازه می‌دهد ترافیک ایجاد شده در Trust Zone به Untrust Zone جریان یابد اما مسیر عبور ترافیک از Untrust به Trust مسدود می‌گردد. لازم به ذکر است که Policyهای امنیتی مشخص می‌کنند که آیا یک Session می‌تواند در یک Zone ایجاد و به Zoneهای دیگر ارسال گردد یا خیر. cSRX، Packetها را دریافت نموده و مسیر هر Session، برنامه کاربردی و کاربران را ردیابی می‌نماید؛ با وجود اینکه بارهای کاری در یک محیط Cloud یا مجازی‌سازی شده حرکت می‌کنند اما همچنان Packetها را برای پردازش و ایجاد ارتباط مستمر در یک شرایط ایمن به cSRX ارسال خواهد کرد.

بررسی Junos Space Security Director

Juniper Networks Junos Space Director به ارائه روند مدیریت مربوط به Policyهای امنیتی برای فایروال cSRX Container  از طریق یک واسط کاربری متمرکز و تحت وب می‌پردازد که پیاده‌سازی و اجرا بر اساس شاخص‌های قدیمی ریسک را ارائه می‌نماید. Security Director به عنوان یک برنامه‌ کاربردی بر روی پلتفرم Junos Space به ارائه یک مقیاس امنیتی گسترده، کنترل Policy به صورت دقیق و جزء به جزء و گسترش Policy در سراسر شبکه می‌پردازد؛ همچنین در مدیریت سریع تمامی فازهای چرخه عمر Policyهای امنیتی به مدیران کمک می‌نماید.

ویژگی‌ها و مزایای استفاده از cSRX Container Firewall

cSRX Container Firewall از ویژگی‌ها و مزایای زیر برخوردار می‌باشد:

• تاثیرات کوچکی به جا گذاشته و سرویس‌های امنیتی بسیار پیشرفته‌ای را به صورت Container شده، ایجاد می‌نماید.
• مانند SRX Series Services Gateways از ویژگی‌های امنیتی پیشرفته و پایداری برخوردار می‌باشد.
• این تکنولوژی با ادغام UTM، IPS، قابلیت دید و کنترل برنامه‌های کاربردی برای چارچوب مدیریت جامع تهدیدات، در مقابل چارچوب‌های تهدیدات پیشرفته به دفاع می‌پردازد.
• قابلیت انعطاف‌پذیری در مدیریت را با کمک APIهای باز RESTful بهبود می‌بخشد تا از فرآیند یکپارچه‌سازی با ابزارهای Orchestration Cloud و مدیریت Third-Party پشتیبانی نماید.
• قابلیت دید و کنترل فرآیند پیکربندی و مدیریت Policyهای امنیتی در سراسر محیط‌های مجازی و غیرمجازی را با Junos Space Security Director توسعه می‌بخشد.
• از طریق ادغام با Contrail ،OpenContrail و سایر راهکارهای Third-Party، از SDN و NFV پشتیبانی می‌نماید.