ギガビット・ファイアウォールは、もう古い。時代は、テラビット・ファイアウォールへ~業界最速100Gインタフェース搭載、SRXシリーズ最高峰SRX5000ファミリーのご紹介~
ジュニパーネットワークス株式会社
2016年6月
Interop Tokyo 2016
Legal Disclaimer
本資料に記載されている機能や構成、ロードマップ情報などは、資料作成時点におけるジュニパーネットワークスの仕様や予定を示したものであり、事前の通告無しに内容が変更されることがあります。
本資料は技術情報の提供を目的としたものであり、機器、機器の機能、サービスなどに関して保証を行うものではありませんので、ご注意ください。
ジュニパーネットワークスの概要
設立 1996年2月
本社所在地 アメリカ合衆国カリフォルニア州サニーベール市
CEO ラミ・ラヒム
事業概要 ネットワーク機器(ルータ、スイッチ、ファイアウォール等)の製造・販売
従業員数 8,800名以上
売上高 46億ドル (2014年度)
ジュニパーネットワークス株式会社
• 設立 1999年3月
• 所在地 東京都新宿区西新宿3-20-2オペラシティタワー45F
• 代表取締役社長 古屋知弘(ふるや ともひろ)
• 従業員数 130名
ジュニパー製品の最大の特長~全ての機器を1つのOSで
MXシリーズイーサネットルーター
SRXシリーズサービスゲートウェイ
QFXシリーズデータセンター
ファブリックスイッチ
EXシリーズイーサネットスイッチ
One OS
1Q12
12.1
4Q11
11.4
3Q11
11.3
One Release
Module X A
PI
One Architecture
多機能と安定性の実現
高い可用性
アップグレード工数削減
モジュラー型OS
容易な導入時検証
運用管理の容易さ
キャリアネットワークでの豊富な実績と高い信頼性
広範囲なセキュリティサービスを提供するSRXセキュリティソリューション群
SRX 基本サービス
次世代ファイアウォールサービス
ファイアウォール アドレス変換(NAT) VPN ルーティング
アプリケーションの可視化と制御
ユーザベースファイアウォール
Unified Threat Management (既知の脅威に対する対策)
アンチウィルス
不正侵入防御(IPS)ウェブ/コンテンツフィルタリング
アンチスパム
脅威インテリジェンスプラットフォーム
ボットネット/C&C
GEO-IP
独自のリスト, APT
マネージメント レポーティング 分析自動化
(オートメーション)
高度な脅威防御(ゼロデイ)
サンドボックス
Evasive Malware
豊富なレポーティングと分析機能
100G
共通のJUNOSオペレーティング・システム
業界トップクラスのスケーラビリティールーティング、スイッチング、セキュリティを1台に集約
1G
10G
SRX3400
ブランチ
1T
2T
Capacity
エッジ データセンター データセンターコア
SRX3600
SRX5600
SRX5800
SRX5400
vSRX 2.0(Virtual SRX)
最大2Tbpsファイアウォールスループットを実現1億同時セッション・サポート
SRX300SRX320
SRX340
SRX550
SRX345
SRX1500
SRX 製品ラインアップ
エンタープライズ向けSRXサービスゲートウェイSRX300 – 550HM
ルーティング、スイッチング、セキュリティを包括したオールインワン・ディバイス
アプリケーション・セキュリティ、IPSec、MAC-secなど様々なレイヤーに対応したセキュリティを提供
エンドユーザ・アプリケーション・エクスペリエンスとオペレーションの効率化を実現
• 12 x 1GE (Cu) + 4 x 1GE (SFP)
• 4 x 10GE (SFP+)
• 2x PIM slots (将来対応予定)
• 冗長用コントロール専用ポート (SFP)
• 管理専用ポート (1GE)
• 16G eSATA + 120G SSD
• 冗長電源供給 (AC / DC)
• 平均電力: 150W
• サイズ: 1 RU
• 前面⇒背面エアフロー
• Firewall (IMIX) : 5 Gbps
• VPN (IMIX): 1 Gbps
• IPS (recommended policy) : 3 Gbps
• NGFW : 1.5 Gbps
パフォーマンスモジュラータイプのインタフェース
ストレージ & 電力サイズ
エンタープライズ向け高速FW 上位モデルSRX1500
• 大規模キャンパス、大きな支社や支店向け
• ソフトウェア・セキュリティ・サービス• AppSecure(アプリ識別) / IPS
• アンチウィルス、ウェブフィルタリング
• 脅威インテリジェンス
• Spotlight Secure
• Sky Advanced Threat Prevention – ゼロデイ脅威防御
• 用途• 大型のセキュアルータ
• VPNコンセントレータ
• 小規模データセンター
• 次世代ファイアウォール
機能 SRX1500
オンボード Ethernet ポート16 x GE (12Cu +4SFP) 4 x
10GE (SFP+)
サポートJUNOSバージョン JUNOS 15.1X49
ファイアウォールスループット (ラージパケット) 10 Gbps
ファイアウォールスループット (IMIX) 5 Gbps
ファイアウォール(firewall + routing PPS 64byte)
2 Mpps
VPN パフォーマンス (IMIX)
(AES256+SHA-1, 3DES+SHA 1)1 Gbps
NGFW パフォーマンス (IPS, AppFW, logging) 1.5 Gbps
Intrusion Prevention System 3 Gbps
秒間新規セッション数 (CPS) 50 K
最大同時セッション数 2 M
冗長機能(専用冗長コントロールポート – SFP)
アクティブ/スタンバイまたはアクティブ/アクティブ
SRX1500
SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須
vSRX/cSRX
仮想ファイアウォール
SRX Series
物理ファイアウォール
ネットワーク・インフラストラクチャー
ネットワーク境界のセキュリティ確保1
アプリケーションレベルのセキュリティサービス
AppSecure, IPS, AV, Web Filtering, AS, APT
アプリケーションレイヤーの可視化と保護2
Juniper Threat Defense & Intelligence(クラウド上)
Sky Advanced Threat
Prevention
Spotlight Secure Threat
Intelligence
侵入を試みる新しいマルウェア・脅威を防御3
ポリシー, アプリ可視化, 脅威マップ, イベント管理
Security Director による集中管理
SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須
vSRX/cSRX
仮想ファイアウォール
SRX Series
物理ファイアウォール
ネットワーク・インフラストラクチャー
ネットワーク境界のセキュリティ確保1
アプリケーションレベルのセキュリティサービス
AppSecure, IPS, AV, Web Filtering, AS, APT
アプリケーションレイヤーの可視化と保護2
Juniper Threat Defense & Intelligence(クラウド上)
Sky Advanced Threat
Prevention
Spotlight Secure Threat
Intelligence
侵入を試みる新しいマルウェア・脅威を防御3
ポリシー, アプリ可視化, 脅威マップ, イベント管理
Security Director による集中管理
加速し続ける唯一無二の業界最速ファイアウォール
200万新規セッション・サポート
SRX5000シリーズサービスゲートウェイ
SRX5000を象徴する3つのキーワード
100Gインタフェース
2TB FWスループット
SRX 40G/100Gインタフェース
• 高帯域をサポートするインタフェースラインナップ
業界初40G/100Gインタフェースを搭載したFW
商用初の100GインタフェースFW実績
100Gインタフェース
100Gインタフェース
SRX5000-IOC3 高速インタフェースカード
24x10G SFP+ 6x40GE QSFP+
2x100GE CFP2 4x10G SFP+
100Gインタフェース
Dynamic service architectureによるパフォーマンス拡張
FW/IPS/VPN
スループット要件(Gbps)
通信トラフィック量
時間現在 将来
50
10
従来のFWデバイス
従来(他社)のファイアウォール製品
•構成変更検討&事前テストの負荷: HIGH
•ラッキングとケーブリング検討の負荷: HIGH
•投資費用: HIGH
•運用費用: HIGH
•サービス変更に対応するまでの時間: SLOW!!!
通信トラフィック量
時間現在 将来
200
50
SRXによるDynamicService
Architecture
•構成変更検討&事前テストの負荷: LOW
•ラッキングとケーブリング検討の負荷: NONE
•投資費用: LOW
•運用費用: LOW
•サービス変更に対応するまでの時間: FAST!!!
SRX(Dynamic Service Architecture)の場合
SPCモジュールの追加のみでパフォーマンスを柔軟に拡張可能
時代は、2TBFWへハイパフォーマンスセキュリティリーダーとして
RSAカンファレンス2015にて、IXIA様協力の元、次世代IOCを利用し、2TBFWライブデモンストレーションを実施
https://www.youtube.com/watch?v=D3w0XN2SzSA
2TB FWスループット
SRX エクスプレス・パス概要超低遅延を実現する技術
Express path data path Fast data pathFirst packet path
NG -SPC
NG -SPCSCB 1
NG -IOC
Traffic
10 x100 G
+
4x40G+
4x10 G
=1200 G
=1.2 Tbps
NG -IOCNG-IOC
100 /40 /10 G/1GMIC
100 /40/10G/1GMIC
XF
1x100 G or2x40 G or
10 x10 GLU
LU
SCB 0 NG-SPC
CP
SPU
SPU
SPU
LULU
XM
Security Services Offloaded from SPU to IOC
First packet Fast data path Express (hardware fast) path
2TB FWスループット
10Gbps @ 64byte line rate ~14MPPS 1xSPCIIHardware Pricelist Qty Subtotal
SRX5400E-B1-AC $xxx,xxx 1 $xxx,xxx
TOTAL $xxx,xxx
10Gbps @ 64byte line rate ~14MPPS 3xSPCIIHardware Pricelist Qty Subtotal
SRX5600BASE-HC-AC $xx,xxx 1 $xx,xxx
SRX5K-SPC-4-15-320 $xxx,xxx 3 $xxx,xxx
SRX5K-MPC $xx,xxx 1 $xx,xxx
SRX-MIC-10XG-SFPP $xx,xxx 1 $xx,xxxTOTAL $xxx,xxx
金融取引環境での利用事例
証券会社A
コンテンツプロバイダー コンテンツプロバイダー コンテンツプロバイダー
金融サービス・プロバイダー
SRX
証券会社B
SRX
証券会社C
SRX
金融取引アプリケーションのセキュリティに適合
パケットパスの遅延を7-9マイクロ秒以内に抑える
64バイト10Gラインレートサポート14MPPSが要求事項
コンプライアンスのために、IPSなどのレイヤ7のサービスは、SPCで有効化
2TB FWスループット
100G/40Gbps エレファント・フローの利用事例
10G/ 40G/ 100G リンク
サイト/キャンパスLAN
データ転送クラスター(DTC)
SRX
プロジェクトY DTN
プロジェクトX データ転送ノード
(DTN)
研究機関DMZ スイッチ/ルータ
エリア・ボーダールータ エンタプライズ・ボーダーFW
サイト/キャンパスは、研究機関のDMZリソースへアクセス
10G/ 40G/ 100G リンク
ハイパフォーマンスが要求される研究機関のアプリケーションセキュリティに適合
100G/40G シングル・エレファント・フロー
DTN/DTC用のラージTCPフローデータ
コストパフォーマンスが求められる
100Gbps Large Packet 3xSPCII
Hardware Pricelist Qty SubtotalSRX5600BASE-HC-AC $xx,xxx 1 $xx,xxx
SRX5K-SPC-4-15-320 $xxx,xxx 3 $xxx,xxx
SRX5K-MPC $xx,xxx 1 $xx,xxx
SRX-MIC-10XG-SFPP $xx,xxx 1 $xx,xxxTOTAL $xxx,xxx
100Gbps Large Packet 1xSPCIIHardware Pricelist Qty Subtotal
SRX5400E-B1-AC $xxx,xxx 1 $xxx,xxxTOTAL $xxx,xxx
SRX5400 SRX5600 SRX5800
Normal Mode 65 130 320
Express Path(SOF) 480 960 2000
0
500
1000
1500
2000
2500
Max
Th
rou
hp
ut(
Gb
ps)
エクスプレス・パス無効時(青)と有効時(黒)のパフォーマンス比較
エクスプレス・パスパフォーマンス
2Tbps
960Gbps
480Gbps
2TB FWスループット
エクスプレス・パスの遅延測定
@50% @50% @50%
64B 512B 1514B
Inter-PFE Latency(Between 2x100G IOCII)
15 17 17.8
15
17
17.8
13.5
14
14.5
15
15.5
16
16.5
17
17.5
18
18.5
Late
ncy
in m
icro
seco
nd
s
Inter-PFE(PFE外部折り返し)遅延 :100G-MIC 2x IOC2
@50% @90% @50% @90% @50% @90%
64B 512B 1514B
Intra-PFE Latency (with 1xIOCII) 7 7.4 7 8.5 7.5 9.5
77.4
7
8.5
7.5
9.5
0
1
2
3
4
5
6
7
8
9
10
Late
ncy
in m
icro
seco
nd
s
Intra-PFE (PFE内部折り返し)遅延:100G-MIC 1xIOC2
*1セッションでテストを実施
2TB FWスループット
200万新規セッションを実現するCP-LITE
SPC
I
Central Point(CP)
SPU
SPU
SPU
以前の実装
SPC
I
APPCP
SPU
FLOW CP
SPU
FLOW CP
SPU
FLOW CP
Cp-liteの実装 • Central Point (CP):
– CPは、ロードバランシングの役割を担う (セッションの分配・管理) また、グローバル・リソースとランタイム・オブジェクト管理も含む (ALG, NAT, Screen)
– SRXのパフォーマンスとスケール拡張において、シングルCPでは、 限界が見えた
• Distributed Central Point (DCP):
– リソース管理・スケールの拡張
– 各々のSPUが、 CP-session/SPU-sessionを管理
• メリット:
– 200万新規セッションサポート(当社比5倍)
– 2億5800万同時セッションサポート(当社比2.5倍)
200万新規セッション
CP-liteのスケーリングとパフォーマンス
– Performance tested with TCP and 1byte payload, firewall only no logging.
1 2 3 4 5 6 7 8 9 10 11
CP-Lite TCP CPS (K) 230 496 790 1050 1340 1594 1815 2240 2500
X49-D10 TCP CPS 213 420 420 420 420
0
500
1000
1500
2000
2500
3000
TCP
CP
S (K
)
CP-Lite TCP CPS Performance
SRX58002.5M
SRX5400496K
SRX56001.3M
200万新規セッション
新規セッション200万超
CP-liteのスケーリングとパフォーマンス
同時セッション数の性能向上
• シングルCPでは、同時セッション数1億セッションが上限
• CP-liteでは、セッションDBを各々のSPUにシェアすることにより性能が向上:
– SPU一枚あたり600万セッションをサポート
– 2億3400万セッション (10 SPC2/ 1 IOC3) または、 2億5800万セッション (11 SPC2/ 1 IOC2)サポート
– IPv6においても性能は同等
X49-D10 CP-Lite
Sessions 100 245
0
50
100
150
200
250
300
SESS
ION
S IN
K
CapacitySPC2x7枚の構成で比較すると、約2.5倍の性能向上を実現!!
新規セッションの重要性を忘れずに
SRX5000シリーズサービスゲートウェイ
本セッションのポイント
高速大容量インタフェースに対応した機器選定を
FWがボトルネックにならない環境を
100Gインタフェース
2TB FWスループット
200万新規セッション
Thank you