Entenda o firewall virtual vSRX com o Microsoft Azure Cloud

Firewall virtual vSRX com o Microsoft Azure

A partir do Junos OS Release 15.1X49-D80 e do Junos OS Release 17.3R1, você pode implantar o firewall virtual vSRX na Microsoft Azure Cloud. O Microsoft Azure é a plataforma de aplicativos da Microsoft para a nuvem pública. É uma plataforma de computação em nuvem aberta, flexível e de nível empresarial para construir, implantar e gerenciar aplicativos e serviços por meio de uma rede global de data centers gerenciados pela Microsoft. Ele fornece serviços de Software como Serviço (SaaS), Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS). Você coloca suas máquinas virtuais (VMs) em redes virtuais do Azure, onde as redes distribuídas e virtuais no Azure ajudam a garantir que seu tráfego de rede privada seja logicamente isolado do tráfego em outras redes virtuais do Azure.

O Azure WALinuxAgent executa o trabalho de provisionamento para as instâncias de firewall virtual vSRX. Quando uma nova instância do firewall virtual vSRX é implantada, o tamanho crescente contínuo do arquivo de log waagent pode fazer com que o firewall virtual vSRX pare. Se o firewall virtual vSRX ainda estiver operando, exclua o /var/log/waagent.log diretamente ou execute o clear log waagent.log all comando para limpar o arquivo de log.

Ou você pode executar o e set groups azure-provision system syslog file waagent.log archive files 10 os set groups azure-provision system syslog file waagent.log archive size 1m comandos para evitar o crescimento dos logs waagent. Essas configurações causarão a rotação do log de waagent com o tamanho maior que 1MB e definirão um máximo de 10 backups.

Você pode adicionar um dispositivo de segurança virtual vSRX Virtual Firewall para fornecer recursos de segurança de rede como uma instância de aplicativo em uma rede virtual Azure. O firewall virtual vSRX protege as cargas de trabalho que são executadas dentro da rede virtual no Microsoft Azure Cloud.

Você pode implantar o VM de firewall virtual vSRX no Azure usando os seguintes métodos de implantação:

• Azure Marketplace — implante o VM de firewall virtual vSRX no mercado Azure. O Azure Marketplace oferece métodos diferentes para implantar uma VM de firewall virtual vSRX em sua rede virtual. Você pode escolher um modelo de solução personalizado oferecido pela Juniper Networks para automatizar a implantação de VM do firewall virtual vSRX com base em casos de uso específicos (por exemplo, um gateway de segurança). Um modelo de solução automatiza as dependências associadas a casos de uso de implantação específicos, como configurações de VM, configurações de rede virtual (como vários subconjuntos para interface de gerenciamento (fxp0) e duas interfaces de receita (dados), e assim por diante. Ou, você pode selecionar a imagem VM do firewall virtual vSRX e definir as configurações e dependências de implantação com base em seus requisitos de rede específicos. A partir do Junos OS Release 15.1X49-D91 para firewall virtual vSRX, você pode implantar o firewall virtual vSRX no Microsoft Azure Cloud a partir do Azure Marketplace.

  O Azure Marketplace também permite que você descubra e assine um software que oferece suporte a cargas de trabalho regulamentadas por meio do Azure Marketplace para Azure Government Cloud (EUA).

• Azure CLI — Implante o VM de firewall virtual vSRX a partir do Azure CLI. Você pode personalizar as configurações e dependências de implantação de VM do firewall virtual vSRX com base em seus requisitos de rede no Microsoft Azure Cloud. Para ajudar a automatizar e simplificar a implantação do VM de firewall virtual vSRX na rede virtual Microsoft Azure, a Juniper Networks oferece uma série de scripts, modelos e arquivos de parâmetros do Azure Resource Manager (ARM) e arquivos de configuração em um repositório GitHub.

  Nota:

  A partir do Junos OS Release 15.1X49-D80 e do Junos OS Release 17.3R1, você pode implantar o firewall virtual vSRX no Microsoft Azure Cloud a partir do Azure CLI.

No Microsoft Azure, você pode hospedar servidores e serviços na nuvem como um serviço pay-as-you-go (PAYG) ou de trazer sua própria licença (BYOL).

A partir do Junos OS Release 15.1X49-D120, o firewall virtual vSRX no Microsoft Azure Cloud oferece suporte ao firewall de próxima geração do firewall virtual vSRX com pacote de proteção contra vírus para PAYG, disponível como assinaturas de 1 hora ou 1 ano. Este pacote inclui:

• Recursos padrão (STD) de segurança de núcleo, incluindo firewall de núcleo, VPN IPsec, NAT, CoS e serviços de roteamento.

• Serviços avançados de segurança de Camada 4 a 7, como recursos AppSecure de AppID, AppFW, AppQoS e AppTrack, IPS e recursos de roteamento avançados, incluindo o recurso antivírus Content Security.

A Figura 1 ilustra a implantação de um firewall virtual vSRX no Microsoft Azure.

No Microsoft Azure, sub-redes públicas têm acesso ao gateway da Internet, mas sub-redes privadas não. O firewall virtual vSRX requer duas sub-redes públicas e uma ou mais sub-redes privadas para cada grupo de instâncias individuais. As sub-redes públicas consistem em uma interface de gerenciamento (fxp0) e outra para uma interface de receita (dados). As sub-redes privadas, conectadas às outras interfaces de firewall virtual vSRX, garantem que todo o tráfego entre aplicativos nas sub-redes privadas e na Internet deve passar pela instância do firewall virtual vSRX.

Figura 1: firewall virtual vSRX implantado no Microsoft Azure

Para um glossário dos termos do Microsoft Azure, veja o glossário do Microsoft Azure.

A partir do Junos OS Release 21.4R1, o firewall virtual vSRX 3.0 oferece suporte à opção Azure Accelerated Networking (AAN) que utiliza a função virtual Mellanox SR-IOV para redes de alta velocidade.

O Microsoft Azure tem a opção Azure Accelerated Networking (AAN) para cada interface de rede conectada. A AAN utiliza a função virtual Mellanox SR-IOV para redes de alta velocidade. O firewall virtual vSRX 3.0 agora oferece suporte a AAN. O firewall virtual vSRX 3.0 com AAN oferece melhor desempenho de rede na nuvem Azure.

Atualmente, temos suporte apenas para as instâncias 3.0 do Firewall Virtual vSRX listadas abaixo para a Azure AAN.

• Use o az network nic update --name <interface-name> --resource-group <resource-group> --accelerated-networking true comando para habilitar a AAN.

• Usando a GUI da Web: depois de entrar no portal do Microsoft Azure:

  • Clique em redes virtuais e selecione a rede virtual correta. rede"

    Clique em dispositivos conectados, selecione a interface nic necessária e clique em Habilitar redes aceleradas.

  • Clique em máquinas virtuais e selecione o VM necessário e clique em Redes. Por fim, clique no painel da interface de NIC correta e clique em Habilitar redes aceleradas.

Para obter mais informações, consulte Habilitar redes aceleradas para VMs replicadas.