Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Prepare-se para configurar a implantação do firewall virtual vSRX no GCP

Antes de começar, você precisa de uma conta do Google e uma função de gerenciamento de identidade e acesso (IAM), com todas as permissões necessárias para acessar, criar, modificar e excluir instâncias do mecanismo de computação e serviço de armazenamento, e objetos VPC do Google. Você também deve criar chaves de acesso e chaves de acesso secretas correspondentes, certificados e identificadores de conta.

A Figura 1 mostra um exemplo de como você pode implantar o firewall virtual vSRX para fornecer segurança para aplicativos em execução em uma sub-rede privada do Google VPC.

Figura 1: Exemplo de um Google VPC Example of a Google VPC

Você precisa configurar o firewall virtual vSRX 3.0 na plataforma Google Cloud para implantar um firewall vSRX Virtual Firewall 3.0 em uma instância do Google Cloud Computer Engine na Plataforma Google Cloud (GCP).

Antes de implantar o firewall virtual vSRX 3.0, você deve criar suas redes de projeto e sub-redes, e planejar redes e atribuições de endereço IP para as interfaces de firewall virtual vSRX. Durante a implantação, você deve escolher entre as redes e sub-redes existentes.

Subnetworks— Você deve criar sub-redes em cada rede VPC em uma região específica na qual você planeja implantar o firewall virtual vSRX. Uma VPC Networks pode adicionar sub-redes em diferentes regiões. Essas sub-redes são todas de rede interna em GCP.

  • IP Address— Você precisa atribuir faixas de endereço IP quando cria sub-redes de interface.

  • Range— O alcance de uma sub-rede não pode se sobrepor aos outros.

  • External IP Address— Durante a implantação do firewall virtual vSRX, você pode escolher habilitar ou desativar um endereço IP externo quando cria uma interface de rede para o firewall virtual vSRX, por padrão, um endereço IP efêmero é atribuído automaticamente. Você também pode especificar um endereço estático ao criar uma interface de rede.

  • Management Interface— A primeira interface de rede adicionada a um firewall virtual vSRX é mapeada para fxp0 no firewall virtual vSRX.

    • Habilite o encaminhamento de IP

    • Essa interface tem um endereço IP externo.

    • No firewall virtual vSRX, o DHCP é habilitado para fxp0 por padrão.

    • Você pode alterar o endereço IP efêmero dado durante a implantação para um endereço IP estático, depois de concluir a implantação.

  • Interface Order— A primeira interface de rede é mapeada para fxp0, a segunda interface de rede é mapeada para ge-0/0/0, a terceira interface de rede é mapeada para ge-0/0/1.

  • Number of vSRX Interfaces

    • O número máximo de interfaces virtuais permitidas por instância do firewall virtual vSRX é de 8.

    • Para criar uma instância de firewall virtual vSRX, você precisa especificar o tipo de máquina. O tipo de máquina especifica uma coleção específica de recursos de hardware virtualizados disponíveis para uma instância de VM, incluindo o tamanho da memória, a contagem de CPU virtual e a capacidade máxima do disco.

    • Default VPC Network— Existe uma rede padrão em um projeto GCP, você pode excluir a rede padrão se não for usado. Por padrão, 5 redes em um projeto. Você pode solicitar redes adicionais para o seu projeto.

    • Firewall Rules— Você deve criar regras de firewall GCP para permitir o acesso à conexão de gerenciamento.

Antes de começar, certifique-se de ter o seguinte pronto:

  • Planejamento de conta da plataforma Google Cloud

  • Par de chaves SSH

  • Planejamento de rede de nuvem privada virtual (VPC)

Etapa 1: planejamento de conta da plataforma Google Cloud

Antes de começar a implantar o VM do firewall virtual vSRX, revise as informações de licenciamento e colete as informações necessárias para o processo de configuração.

  1. Entenda seus requisitos de licença de firewall virtual vSRX.
  2. Determine endereço IP privado para seu gerenciamento e outras interfaces.
  3. Obtenha permissões necessárias para a conta GCP.
    • Conta de usuário do GCP com endereço de e-mail vinculado

    • Funções de gerenciamento de identidade e acesso (IAM) como Compute Viewer, Storage Object Viewer e Monitoring Metric Writer.

    Accounts and Permissions— Garanta que você tenha contas e permissões adequadas antes de implantar o firewall virtual vSRX 3.0 em uma instância do Google Computer Engine. Funções de conta de amostra e permissões de IAM são mostradas na Figura 2

    Figura 2: Exemplo de funções de conta e permissões Sample Account Roles and IAM Permissions de IAM

Etapa 2: defina atributos de rede e gere par de chaves SSH para autenticação

O procedimento abaixo fornece etapas para definir atributos de rede e gerar seus próprios pares SSH Key para permitir seu login pela primeira vez:

  1. Depois de escolher o tipo de máquina, você deve definir atributos de rede nas opções avançadas para o VM.

    Clique na guia instâncias VM na página inicial e clique na guia Redes conforme mostrado na Figura 3. Atualize os atributos de rede e adicione as interfaces necessárias.

    Figura 3: Definir atributos Define Network Attributes de rede

    Você pode somar 8 interfaces para cada instância do firewall virtual vSRX.

    Nota:

    Você não pode escolher o tipo de interface virtual. O GCP oferece suporte apenas ao tipo de interface VirtIO. O SR-IOV não é suportado no GCP.

  2. O firewall virtual vSRX gerencia a autenticação para o primeiro login apenas por meio da autenticação da chave RSA SSH. A senha não é permitida, portanto, você não pode fazer login no firewall virtual vSRX através do console na web GCP. O login raiz sem senha não é permitido. Portanto, você deve gerar sua própria chave SSH antes de implantar uma instância de firewall virtual vSRX no Google Compute Engine.

    Gere a chave pública e a chave privada. Crie um par de chaves SSH e armazene a chave SSH no local padrão do seu sistema de operação.

    • Se você estiver usando Linux ou MacOS: use ssh-keygen para criar o par-chave em seu diretório .ssh. Execute o ssh-keygen -t rsa -f ~/.ssh/gcp-user-1 -C gcp-user comando. Aqui gcp-user-1 é o nome do arquivo-chave e o usuário de GCP é nome de usuário.

      Nota:

      É obrigatório usar "gcp-user" como nome de usuário quando você faz login no firewall virtual vSRX pela primeira vez no firewall virtual vSRX.

    • Se você estiver usando o Windows: use o PuTTYgen para criar o par-chave.

  3. Copie sua chave pública em um editor de texto. Você precisa colá-lo mais tarde enquanto implanta o firewall virtual vSRX no GCP Marketplace.
  4. Bloqueie as chaves SSH em todo o projeto e especifique uma chave SSH para cada instância do firewall virtual vSRX.

    Clique na guia Chaves SSH na página de instâncias de VM conforme mostrado na Figura 4.

    Nota:

    A chave SSH é usada pela autenticação de chave pública para o primeiro login. Como medida de segurança, você deve bloquear chaves SSH em todo o projeto e especificar uma chave SSH para cada instância do firewall virtual vSRX.

    Figura 4: bloqueie as chaves Block Project-Wide SSH Keys SSH em todo o projeto
  5. Reserve sua chave privada no formato .ppk. Você precisa dessa chave mais tarde para autenticar a instância do firewall virtual vSRX.

Etapa 3: Planeje a rede do Google Virtual Private Cloud (VPC)

Prepare as redes de nuvem privada virtual (VPC) na Plataforma Google Cloud. Você deve criar redes privadas virtuais, regras e sub-redes e configurar interfaces antes de começar a implantar o firewall virtual vSRX no GCP, o que envolve:

  1. Faça login no console do Google Cloud.
  2. VPC Networks— Você deve criar uma rede personalizada especificamente para cada interface de rede de firewall virtual vSRX.

    Na área de navegação esquerda, clique na rede VPC em REDES.

  3. No painel superior, clique em CRIAR REDE VPC.
  4. Insira um nome para a rede.
  5. Crie uma sub-rede com os seguintes detalhes e clique em Criar.
    • Nome — Nome da sub-rede.

    • Endereço IP — atribua uma faixa de endereço IP para criar sub-redes de interface. Essa faixa é usada para sua rede interna, para garantir que a faixa de endereço não se sobreponha a outras sub-redes.

    • Região — Selecione a região onde você deseja lançar seu VM de firewall virtual vSRX.

    • Acesso privado do Google — Mantenha o valor padrão fora.

    • Logs de fluxo — Mantenha o valor padrão desligado.