Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Requisitos para firewall virtual vSRX no Microsoft Azure

Esta seção apresenta uma visão geral dos requisitos para a implantação de uma instância de firewall virtual vSRX no Microsoft Azure Cloud.

Requisitos do sistema para firewall virtual vSRX no Microsoft Azure Cloud

A partir do Junos OS Release 15.1X49-D80 e Junos OS Release 17.3R1, você pode implantar o firewall virtual vSRX na Microsoft Azure Cloud. O Microsoft Azure oferece suporte a uma ampla variedade de tamanhos e opções para máquinas virtuais do Azure (VMs).

Para a implantação do firewall virtual vSRX no Microsoft Azure, recomendamos VMs série DSv2. Os VMs da série DSv2 fornecidos pelo Microsoft Azure usam o SSD (Premium Storage, Armazenamento Premium) e são ideais para aplicativos que exigem CPUs mais rápidos e melhor desempenho de disco local, ou têm maiores demandas de memória. Dos VMs da série DSv2 disponíveis, recomendamos que você selecione Standard_DS3_v2, Standard_DS4_v2 ou Standard_DS5_v2 para a implantação de VM de firewall virtual vSRX no Microsoft Azure. Para obter mais detalhes, veja série DSv2.

A Tabela 1 lista as propriedades do Standard_DS3_v2 VM disponível no Microsoft Azure.

Tabela 1: Propriedades da Standard_DS3_v2 VM no Microsoft Azure

Componente

Especificação

Tamanho

Standard_DS3_v2

Núcleos de CPU

4

Memória

14 GiB

Número máximo de discos de dados

16

Taxa de transferência máxima de armazenamento em cache e de disco local: IOPS/MBps (tamanho de cache em GB)

16,000/128 (172)

Taxa máxima de transferência de disco sem falhas: IOPS/MBps

12,800/192

NICs max/Largura de banda de rede esperada (Mbps)

4/3000

A Tabela 2 lista as propriedades do Standard_DS4_v2 VM disponível no Microsoft Azure.

Tabela 2: Propriedades da Standard_DS4_v2 VM no Microsoft Azure

Componente

Especificação

Tamanho

DS4_v2 padrão

Núcleos de CPU

8

Memória

28 GiB

Número máximo de discos de dados

32

GiB de armazenamento temporário (SSD)

56

Taxa de transferência de armazenamento em cache e temporária máxima: IOPS/MBps (tamanho do cache no GiB)

32000/256 (344)

Taxa de transferência de disco sem falhas máxima: IOPS/MBps

25600/384

NICs max/Largura de banda de rede esperada (Mbps)

8/6000

Nota:

O firewall virtual vSRX não oferece suporte para uma configuração de alta disponibilidade no Microsoft Azure. Além disso, o firewall virtual vSRX não oferece suporte ao modo transparente de Camada 2 no Microsoft Azure.

A Tabela 3 lista as propriedades do Standard_DS5_v2 VM disponível no Microsoft Azure.

Tabela 3: Propriedades da Standard_DS5_v2 VM no Microsoft Azure

Componente

Especificação

Tamanho

DS5_v2 padrão

Núcleos de CPU

16

Memória

56 GiB

Número máximo de discos de dados

64

GiB de armazenamento temporário (SSD)

112

Taxa de transferência de armazenamento em cache e temporária máxima: IOPS/MBps (tamanho do cache no GiB)

64000/512 (688)

Taxa de transferência de disco sem falhas máxima: IOPS/MBps

51200/768

NICs max/Largura de banda de rede esperada (Mbps)

8/12000

Requisitos de rede para firewall virtual vSRX no Microsoft Azure Cloud

Quando você implanta um VM de firewall virtual vSRX em uma rede virtual Microsoft Azure, observe os seguintes detalhes da configuração da implantação:

  • Uma configuração de rede IP pública dupla é um requisito para conectividade de rede VM de firewall virtual vSRX; o vSRX Virtual Firewall VM requer duas sub-redes públicas e uma ou mais sub-redes privadas para cada grupo de instâncias.

  • As sub-redes públicas exigidas pelo VM vM de firewall virtual vSRX consistem em uma sub-rede para a interface de gerenciamento fora da banda (fxp0) para acesso ao gerenciamento e outra para as duas interfaces de receita (dados). Por padrão, uma interface é atribuída à zona de segurança não confiável e a outra à zona de segurança confiável no VM de firewall virtual vSRX.

  • Na implantação do Microsoft Azure do VM vM de firewall virtual vSRX, o firewall virtual vSRX oferece suporte à interface de gerenciamento (fxp0) e às duas interfaces de receita (dados) (porta ge-0/0/0 e ge-0/1), que inclui mapeamento de endereços IP públicos e encaminhamento de tráfego de dados de e para o vSRX Virtual Firewall VM.

Instâncias do Microsoft Azure e tipos de instâncias de firewall virtual vSRX

Os tipos de instâncias do Microsoft Azure suportados para firewall virtual vSRX estão listados na Tabela 4.

Tabela 4: Tipos de instâncias do Microsoft Azure suportados para firewall virtual vSRX

Tipo de instância

Tipo de firewall virtual vSRX

vCPUs

Tipo de instância de memória (GB)

Tipo RSS

Standard_DS3_v2

Memória vSRX Virtual Firewall-4CPU-14G

4

14

HWRSS

Standard_DS4_v2

Memória vSRX Virtual Firewall-8CPU-28G

8

28

HWRSS

Standard_DS5_v2

Memória vSRX Virtual Firewall-16CPU-56G

16

56

HWRSS

Mapeamento de interface para firewall virtual vSRX no Microsoft Azure

A Tabela 5 lista os nomes da interface vSRX Virtual Firewall e Microsoft Azure. A primeira interface de rede é usada para o gerenciamento fora de banda (fxp0) para firewall virtual vSRX.

Tabela 5: Nomes de interface vSRX Virtual Firewall e Microsoft Azure

Número da interface

Interface de firewall virtual vSRX

Microsoft Azure Interface

1

fxp0

eth0

2

ge-0/0/0

eth1

3

ge-0/0/1

eth2

4

ge-0/0/2

eth3

5

ge-0/0/3

eth4

6

ge-0/0/4

eth5

7

ge-0/0/5

eth6

8

ge-0/0/6

eth7

Nota:

Consulte a série Dv2 e DSv2 para obter informações sobre o número máximo de NICs suportados por tipo de instância Azure.

Recomendamos colocar as interfaces de receita em instâncias de roteamento como uma prática recomendada para evitar tráfego/roteamento assimétrico, pois o fxp0 faz parte da tabela padrão (inet.0) por padrão. Com o fxp0 como parte da tabela de roteamento padrão, pode haver duas rotas padrão necessárias: uma para a interface do switch para acesso de gerenciamento externo e outra para as interfaces de receita para acesso ao tráfego. Colocar as interfaces de receita em uma instância de roteamento separada evita essa situação de duas rotas padrão em uma única instância de roteamento. Certifique-se de que as interfaces pertencentes à mesma zona de segurança estejam na mesma instância de roteamento.

Configurações padrão do firewall virtual vSRX no Microsoft Azure

O firewall virtual vSRX requer as seguintes configurações básicas de configuração:

  • As interfaces devem ser atribuídas a endereços IP.

  • As interfaces devem estar vinculadas a zonas.

  • As políticas devem ser configuradas entre zonas para permitir ou negar tráfego.

A Tabela 6 lista as configurações padrão de fábrica para políticas de segurança no firewall virtual vSRX

Tabela 6: Configurações padrão de fábrica para políticas de segurança

Zona de origem

Zona de destino

Ação de política

Confiar

não confiável

Permitir

Confiar

Confiar

Permitir

CUIDADO:

Não use o load factory-default comando na instância de firewall virtual vSRX no Microsoft Azure. A configuração padrão de fábrica remove a pré-configuração "provisionamento azure". Esse grupo contém configurações críticas de nível de sistema e informações de rota para o firewall virtual vSRX. Uma configuração incorreta no grupo "azure-provision" pode resultar na possível perda de conectividade para o firewall virtual vSRX do Microsoft Azure. Se você precisar reverter para padrão de fábrica, certifique-se de reconfigurar manualmente as declarações de pré-configuração do Microsoft Azure antes de confirmar a configuração; caso contrário, você vai perder o acesso à instância de firewall virtual vSRX.

Recomendamos fortemente que, quando você confirmar uma configuração, execute uma configuração explícita commit confirmed para evitar a possibilidade de perder a conectividade para o firewall virtual vSRX. Depois de verificar se a mudança funciona corretamente, você pode manter a nova configuração ativa entrando no commit comando dentro de 10 minutos. Sem a confirmação oportuna do segundo, as mudanças de configuração serão revertidas. Consulte Configure o vSRX usando o CLI para obter detalhes de pré-configuração.

Melhores práticas para melhorar o desempenho do firewall virtual vSRX

Analise as seguintes práticas de implantação para melhorar o desempenho do firewall virtual vSRX:

  • Desativar a verificação de origem/destino para todas as interfaces de firewall virtual vSRX.

  • Limite as permissões de acesso de chave pública a 400 para pares-chave.

  • Certifique-se de que não há contradições entre os grupos de segurança do Microsoft Azure e a configuração do firewall virtual vSRX.

  • Use o NAT de firewall virtual vSRX para proteger suas instâncias do tráfego direto da Internet.

Tabela de histórico de lançamentos
Lançamento
Descrição
15,1X49-D80
A partir do Junos OS Release 15.1X49-D80 e Junos OS Release 17.3R1, você pode implantar o firewall virtual vSRX na Microsoft Azure Cloud.