NESTA PÁGINA
Requisitos do sistema para firewall virtual vSRX no Microsoft Azure Cloud
Requisitos de rede para firewall virtual vSRX no Microsoft Azure Cloud
Instâncias do Microsoft Azure e tipos de instâncias de firewall virtual vSRX
Mapeamento de interface para firewall virtual vSRX no Microsoft Azure
Configurações padrão do firewall virtual vSRX no Microsoft Azure
Melhores práticas para melhorar o desempenho do firewall virtual vSRX
Requisitos para firewall virtual vSRX no Microsoft Azure
Esta seção apresenta uma visão geral dos requisitos para a implantação de uma instância de firewall virtual vSRX no Microsoft Azure Cloud.
Requisitos do sistema para firewall virtual vSRX no Microsoft Azure Cloud
A partir do Junos OS Release 15.1X49-D80 e Junos OS Release 17.3R1, você pode implantar o firewall virtual vSRX na Microsoft Azure Cloud. O Microsoft Azure oferece suporte a uma ampla variedade de tamanhos e opções para máquinas virtuais do Azure (VMs).
Para a implantação do firewall virtual vSRX no Microsoft Azure, recomendamos VMs série DSv2. Os VMs da série DSv2 fornecidos pelo Microsoft Azure usam o SSD (Premium Storage, Armazenamento Premium) e são ideais para aplicativos que exigem CPUs mais rápidos e melhor desempenho de disco local, ou têm maiores demandas de memória. Dos VMs da série DSv2 disponíveis, recomendamos que você selecione Standard_DS3_v2, Standard_DS4_v2 ou Standard_DS5_v2 para a implantação de VM de firewall virtual vSRX no Microsoft Azure. Para obter mais detalhes, veja série DSv2.
A Tabela 1 lista as propriedades do Standard_DS3_v2 VM disponível no Microsoft Azure.
Componente |
Especificação |
---|---|
Tamanho |
Standard_DS3_v2 |
Núcleos de CPU |
4 |
Memória |
14 GiB |
Número máximo de discos de dados |
16 |
Taxa de transferência máxima de armazenamento em cache e de disco local: IOPS/MBps (tamanho de cache em GB) |
16,000/128 (172) |
Taxa máxima de transferência de disco sem falhas: IOPS/MBps |
12,800/192 |
NICs max/Largura de banda de rede esperada (Mbps) |
4/3000 |
A Tabela 2 lista as propriedades do Standard_DS4_v2 VM disponível no Microsoft Azure.
Componente |
Especificação |
---|---|
Tamanho |
DS4_v2 padrão |
Núcleos de CPU |
8 |
Memória |
28 GiB |
Número máximo de discos de dados |
32 |
GiB de armazenamento temporário (SSD) |
56 |
Taxa de transferência de armazenamento em cache e temporária máxima: IOPS/MBps (tamanho do cache no GiB) |
32000/256 (344) |
Taxa de transferência de disco sem falhas máxima: IOPS/MBps |
25600/384 |
NICs max/Largura de banda de rede esperada (Mbps) |
8/6000 |
O firewall virtual vSRX não oferece suporte para uma configuração de alta disponibilidade no Microsoft Azure. Além disso, o firewall virtual vSRX não oferece suporte ao modo transparente de Camada 2 no Microsoft Azure.
A Tabela 3 lista as propriedades do Standard_DS5_v2 VM disponível no Microsoft Azure.
Componente |
Especificação |
---|---|
Tamanho |
DS5_v2 padrão |
Núcleos de CPU |
16 |
Memória |
56 GiB |
Número máximo de discos de dados |
64 |
GiB de armazenamento temporário (SSD) |
112 |
Taxa de transferência de armazenamento em cache e temporária máxima: IOPS/MBps (tamanho do cache no GiB) |
64000/512 (688) |
Taxa de transferência de disco sem falhas máxima: IOPS/MBps |
51200/768 |
NICs max/Largura de banda de rede esperada (Mbps) |
8/12000 |
Requisitos de rede para firewall virtual vSRX no Microsoft Azure Cloud
Quando você implanta um VM de firewall virtual vSRX em uma rede virtual Microsoft Azure, observe os seguintes detalhes da configuração da implantação:
Uma configuração de rede IP pública dupla é um requisito para conectividade de rede VM de firewall virtual vSRX; o vSRX Virtual Firewall VM requer duas sub-redes públicas e uma ou mais sub-redes privadas para cada grupo de instâncias.
As sub-redes públicas exigidas pelo VM vM de firewall virtual vSRX consistem em uma sub-rede para a interface de gerenciamento fora da banda (fxp0) para acesso ao gerenciamento e outra para as duas interfaces de receita (dados). Por padrão, uma interface é atribuída à zona de segurança não confiável e a outra à zona de segurança confiável no VM de firewall virtual vSRX.
Na implantação do Microsoft Azure do VM vM de firewall virtual vSRX, o firewall virtual vSRX oferece suporte à interface de gerenciamento (fxp0) e às duas interfaces de receita (dados) (porta ge-0/0/0 e ge-0/1), que inclui mapeamento de endereços IP públicos e encaminhamento de tráfego de dados de e para o vSRX Virtual Firewall VM.
Instâncias do Microsoft Azure e tipos de instâncias de firewall virtual vSRX
Os tipos de instâncias do Microsoft Azure suportados para firewall virtual vSRX estão listados na Tabela 4.
Tipo de instância |
Tipo de firewall virtual vSRX |
vCPUs |
Tipo de instância de memória (GB) |
Tipo RSS |
---|---|---|---|---|
Standard_DS3_v2 |
Memória vSRX Virtual Firewall-4CPU-14G |
4 |
14 |
HWRSS |
Standard_DS4_v2 |
Memória vSRX Virtual Firewall-8CPU-28G |
8 |
28 |
HWRSS |
Standard_DS5_v2 |
Memória vSRX Virtual Firewall-16CPU-56G |
16 |
56 |
HWRSS |
Mapeamento de interface para firewall virtual vSRX no Microsoft Azure
A Tabela 5 lista os nomes da interface vSRX Virtual Firewall e Microsoft Azure. A primeira interface de rede é usada para o gerenciamento fora de banda (fxp0) para firewall virtual vSRX.
Número da interface |
Interface de firewall virtual vSRX |
Microsoft Azure Interface |
---|---|---|
1 |
fxp0 |
eth0 |
2 |
ge-0/0/0 |
eth1 |
3 |
ge-0/0/1 |
eth2 |
4 |
ge-0/0/2 |
eth3 |
5 |
ge-0/0/3 |
eth4 |
6 |
ge-0/0/4 |
eth5 |
7 |
ge-0/0/5 |
eth6 |
8 |
ge-0/0/6 |
eth7 |
Consulte a série Dv2 e DSv2 para obter informações sobre o número máximo de NICs suportados por tipo de instância Azure.
Recomendamos colocar as interfaces de receita em instâncias de roteamento como uma prática recomendada para evitar tráfego/roteamento assimétrico, pois o fxp0 faz parte da tabela padrão (inet.0) por padrão. Com o fxp0 como parte da tabela de roteamento padrão, pode haver duas rotas padrão necessárias: uma para a interface do switch para acesso de gerenciamento externo e outra para as interfaces de receita para acesso ao tráfego. Colocar as interfaces de receita em uma instância de roteamento separada evita essa situação de duas rotas padrão em uma única instância de roteamento. Certifique-se de que as interfaces pertencentes à mesma zona de segurança estejam na mesma instância de roteamento.
Configurações padrão do firewall virtual vSRX no Microsoft Azure
O firewall virtual vSRX requer as seguintes configurações básicas de configuração:
As interfaces devem ser atribuídas a endereços IP.
As interfaces devem estar vinculadas a zonas.
As políticas devem ser configuradas entre zonas para permitir ou negar tráfego.
A Tabela 6 lista as configurações padrão de fábrica para políticas de segurança no firewall virtual vSRX
Zona de origem |
Zona de destino |
Ação de política |
---|---|---|
Confiar |
não confiável |
Permitir |
Confiar |
Confiar |
Permitir |
Não use o load factory-default
comando na instância de firewall virtual vSRX no Microsoft Azure. A configuração padrão de fábrica remove a pré-configuração "provisionamento azure". Esse grupo contém configurações críticas de nível de sistema e informações de rota para o firewall virtual vSRX. Uma configuração incorreta no grupo "azure-provision" pode resultar na possível perda de conectividade para o firewall virtual vSRX do Microsoft Azure. Se você precisar reverter para padrão de fábrica, certifique-se de reconfigurar manualmente as declarações de pré-configuração do Microsoft Azure antes de confirmar a configuração; caso contrário, você vai perder o acesso à instância de firewall virtual vSRX.
Recomendamos fortemente que, quando você confirmar uma configuração, execute uma configuração explícita commit confirmed
para evitar a possibilidade de perder a conectividade para o firewall virtual vSRX. Depois de verificar se a mudança funciona corretamente, você pode manter a nova configuração ativa entrando no commit
comando dentro de 10 minutos. Sem a confirmação oportuna do segundo, as mudanças de configuração serão revertidas. Consulte Configure o vSRX usando o CLI para obter detalhes de pré-configuração.
Melhores práticas para melhorar o desempenho do firewall virtual vSRX
Analise as seguintes práticas de implantação para melhorar o desempenho do firewall virtual vSRX:
Desativar a verificação de origem/destino para todas as interfaces de firewall virtual vSRX.
Limite as permissões de acesso de chave pública a 400 para pares-chave.
Certifique-se de que não há contradições entre os grupos de segurança do Microsoft Azure e a configuração do firewall virtual vSRX.
Use o NAT de firewall virtual vSRX para proteger suas instâncias do tráfego direto da Internet.