오랜만의 포스팅 입니다..

 작년에 VMware 기반의 Juniper SSLVPN의 Virtual Appliance를 소개해 드렸습니다만, 지금에 외서 뒤 돌아 보면 그 동안 각 벤더들마다  각자 보유 중인  제품을 VMware 기반에서 구동될 수 있도록 지원을 해 왔습니다. 물론 OpenStack의 KVM 또한 지원하고 있습니다.


 Juniper에서는 아직 VMware와 KVM만을 지원하고, 다른 가상화 솔루션들은 지원하지 않습니다만 (이 부분은 타 벤더도 마찬가지 일 듯 합니다..), 이렇게 보면.. 과연 Microsoft의 Hyper-V나 Ctrix의 Xen이 VMware를 뛰어넘을 수 있을지 모르겠습니다. 고객 입장에서는 다양한 Virtual Appliance를 지원하는 VMware를 쓰는 것이 당연할 테니까요.


 참고로, Virtual Appliance는 NFV(Network Function Virtualization) 입니다. 말이 다른 뿐이지 뜻하는 바는 동일하다고 보시면 되겠습니다.


 본론으로 돌아와서, FireFly Perimeter는 SRX의 Virtual Appliance 버전 입니다. 아직 Virtual 이라는 한계로 인해 Link Aggregation 등은 지원하지 않습니다만, 방화벽으로써의 기능은 거의 대부분 구현이 되어 있다고 해도 무방합니다.


 FireFly Perimeter에서 지원하는 기능은 Release Note(https://www.juniper.net/support/downloads/?p=firefly)를 보시면 더욱 상세하기 확인이 가능합니다만, 기본적인 IPS / UTM / VPN  / Cluster 기능과 Route / NAT/ Transparent Mode 구성이 가능하기 때문에 기존 장비를 대체하여 사용도 가능할 것으로 보입니다.


 

< ↑ FireFly Perimeter IPS Feature and benefits>

 

< ↑ FireFly Perimeter UTM Feature and benefits>


 LDAP 또한 지원하기 때문에, 사내 Active Directory 를 사용하는 곳이라면, AD에 인증된 사용자만 Access할 수 있는 정책을 수립할 수도 있겠습니다.


 다만.. UTM 기능 중 Application Firewall 이나 App Tracking, QoS 등은 지원하지 않는 점은 참고하셔야 하며, Application Firewall은 아마 내년 1분기나 2분기 정도에 지원하지 않을까 싶습니다.


 참고로, 저희 IDC의 Main Firewall을 SRX에서 FireFly Perimeter로 변경하였고, 약 2달여가 지난 현재까지 잘 사용 중에 있습니다. 사용 간에 느낀 부분을 정리하자면 아래와 같습니다.


    – 관리자 GUI의 응답속도 향상. (대폭 향상)

    – 펌웨어 업그레이드 및 부팅 속도 향상.

    – 장애 시, 하드웨어 수급에 대한 부담감 감소.

    – 서버 팜과 같은 특정 구간에 방화벽 추가의 용이함.


 가장 눈에 띄었던 부분은 GUI 응답 속도 입니다. x86에 파일 기반으로 구동되어 그런지 정말 기존 대비 너무 빨라져서 깜짝 놀랐습니다. 재부팅 또한 1분 내외로 완료되는 듯 합니다. 기존의 SRX 에서 답답했던 부분이 많이 해소되는 느낌이 들었습니다. 또한, Virtual Appliance의 공통적인 장점이지만, 장애 시에 하드웨어 수급을 더 이상 기다릴 필요가 없다는 점 입니다.


 정확한 비교는 아니지만, 아래는 Google 개발자도구를 사용한 SRX와 FireFly Perimeter의 응답속도 화면입니다. SRX가 유독 느리게 접속되긴 했지만, 많은 차이가 나는 것을 알 수 있습니다.

 

 < ↑ SRX 접속 시>

 

 < ↑ FireFly Perimeter 접속 시>


 FireFly Perimeter의 단점으로는 아직 Application Firewall 및 App Track과 같은 Application 기반의 기능을 지원하지 않는 다는 부분이 있습니다. 위에서 말씀 드렸다시피 내년 초반에 나온다고는 하지만, 아직 나오지는 않았으니까요.


 현재 Juniper에서는 평가판 버전(60일)을 Download(약 230MB) 받아 구성할 수 있습니다. VMware와 KVM을 지원하며, Requirement 및 FireFly Perimeter의 성능표는 아래와 같습니다.  VMware의 경우 vSphere 5.5까지 지원 합니다.

 

< ↑FireFly Perimeter 요구 사항>

 

< ↑ FireFly Perimeter 성능표>


 성능표를 표시면, Host Server 즉 VMware 나 KVM으로 부터 40 Core를 할당 받았을 때 기대할 수 있는 성능이 이렇다라는 이야기 입니다. 대체로 VMware 쪽에 최적화가 잘 되어 있는 듯하며, 최소 Core를 할당하여 사용하더라도 SMB 에서 사용하기 충분한 성능이 나올 듯 하니 구성해 보시는 것도 좋을 듯 합니다. VMware 올리는 것은 어렵지 않습니다!!


 FireFly Perimeter를 올릴 때, DTE 버전의 Juniper SSLVPN도 함께 올리시면 최대 3 Users의 동시접속이 가능하니 함께 올려서 테스트해 보시는 것도 나쁘지 않겠습니다.


 이상 FireFly Perimeter 소개를 마치도록 하겠습니다.


 감사합니다…

 

Posted by 로버무트