了解借助 AWS 实施的 vSRX 虚拟防火墙
本节概述 Amazon Web Services (AWS) 上的 vSRX 虚拟防火墙。
借助 AWS 实现 vSRX 虚拟防火墙
AWS 在云中提供按需服务。服务范围从基础架构即服务 (IaaS) 和平台即服务 (SaaS),到应用和数据库即服务。AWS 是一个高度灵活、可扩展且可靠的云平台。在 AWS 中,您可以将服务器和服务托管在云上,作为即用即付 (PAYG) 或自带许可证 (BYOL) 服务。
vSRX 虚拟防火墙 PAYG 映像不需要任何瞻博网络许可证。
您可以在 Amazon Web Services (AWS) 云中的虚拟私有云 (VPC) 中部署 vSRX 虚拟防火墙。您可以在专用于特定用户账户的 Amazon VPC 中将 vSRX 虚拟防火墙作为 Amazon Elastic Compute Cloud (EC2) 实例启动。vSRX 虚拟防火墙 Amazon 系统映像 (AMI) 使用硬件虚拟机 (HVM) 虚拟化。
图 1 显示了部署 vSRX 虚拟防火墙实例的示例,以便为 Amazon VPC 的私有子网中运行的应用程序提供安全性。
在 Amazon VPC 中,公有子网有权访问 Internet 网关,但私有子网没有。 vSRX 虚拟防火墙要求每个单独的实例组有两个公有子网和一个或多个私有子网。公有子网包括一个用于管理接口 (fxp0),一个用于收入(数据)接口。连接到其他 vSRX 虚拟防火墙接口的专用子网可确保专用子网上的应用与 Internet 之间的所有流量都必须通过 vSRX 虚拟防火墙实例。
借助 AWS Marketplace,您还可以通过适用于 AWS GovCloud(美国)的 AWS Marketplace 发现和订阅支持受监管工作负载的软件。
从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,vSRX 虚拟防火墙支持两个 PAYG 捆绑包,可作为 1 小时或 1 年订阅。
vSRX 虚拟防火墙新一代防火墙 — 包括核心安全的标准 (STD) 功能,包括核心防火墙、IPsec VPN、NAT、CoS 和路由服务,以及高级第 4 层到第 7 层安全服务,如 AppID、AppFW、AppQoS 和 AppTrack 的 AppSecure 功能、IPS 和丰富的路由功能。
具有防病毒保护的 vSRX 虚拟防火墙高级新一代防火墙 — 包括 vSRX 虚拟防火墙新一代防火墙软件包中的功能,包括内容安全防病毒功能。
您可以将 Amazon Virtual Private Cloud (Amazon VPC) 中的 vSRX 虚拟防火墙部署为 Amazon Elastic Compute Cloud (Amazon EC2) 中的应用程序实例。每个 Amazon EC2 实例都是使用 AWS 管理控制台通过 Internet 部署、访问和配置的,实例数量可以根据需要扩大或缩减。
在当前版本中,每个 vSRX 虚拟防火墙实例使用两个 vCPU 和 4 GB 内存,即使在 AWS 上选择的实例类型提供了更多资源也是如此。
vSRX 虚拟防火墙使用硬件辅助虚拟机 (HVM) 实现高性能(增强网络),并支持在 AWS 云环境中进行以下部署:
用作 Amazon VPC 上其他 Amazon EC2 实例与 Internet 之间的防火墙
作为企业网络和 Amazon VPC 之间的 VPN 终端节点
作为不同子网上的 Amazon EC2 实例之间的防火墙
AWS 账户的 AWS 服务存在默认限制。有关 AWS 服务限制的更多信息,请参阅 https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html 和 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 。
AWS 术语表
本节定义了 AWS 配置中使用的一些常用术语。 表 1 定义了用于 Amazon Virtual Private Cloud (Amazon VPC) 的常用术语, 表 2 定义了 Amazon Elastic Compute Cloud (Amazon EC2) 服务的常用术语。
术语 |
描述 |
|---|---|
互联网网关 |
Amazon VPC 组件,允许您在 Amazon VPC 中的实例与 Internet 之间进行通信。 |
IP 寻址 |
AWS 包含三种类型的 IP 地址:
每个网络接口都可以与多个专用 IP 地址相关联。公有子网可以具有多个私有 IP 地址、公有地址和弹性 IP 地址,这些地址与网络接口的私有 IP 地址相关联。私有子网和公有子网中的实例可以具有多个私有 IP 地址。一个弹性 IP 地址可以与公有子网中实例的每个私有 IP 地址相关联。 您可以在子网中分配静态专用 IP 地址。子网中的前五个 IP 地址和最后一个 IP 地址预留给 Amazon VPC 联网和路由。第一个 IP 地址是子网的网关。 |
网络 ACL |
在子网级别运行的 AWS 无状态虚拟防火墙。 |
路由表 |
一组用于确定网络流量定向位置的路由规则。每个子网都需要与一个路由表相关联。未与路由表显式关联的子网与主路由表相关联。 可以在默认表之外创建自定义路由表。 |
子 |
Amazon VPC CIDR 块中的虚拟寻址空间。Amazon EC2 实例的 IP 地址是从 IP 地址的子网池中分配的。 您可以在 Amazon VPC 中创建两种类型的子网:
注意:
借助 vSRX 虚拟防火墙网络地址转换 (NAT),您可以在专用子网中启动所有客户实例,并将 vSRX 虚拟防火墙接口连接到互联网。这样可以保护客户实例免于直接暴露在 Internet 流量中。 |
VPC |
虚拟私有云。 |
术语 |
描述 |
|---|---|
Amazon 弹性块存储 (EBS) |
可附加到 Amazon EC2 实例的持久性块存储。块存储卷可以格式化并挂载到实例上。Amazon EBS 优化实例在 Amazon EC2 和 Amazon EBS 之间提供专用吞吐量。 |
Amazon 弹性计算云 (EC2) |
Amazon Web Service,支持启动和管理在 Amazon 基础设施上运行的弹性虚拟服务器或计算机。 |
Amazon 系统映像 (AMI) |
包含启动 Amazon EC2 实例所需的信息(如根卷模板、启动权限和块创建设备映射)的 Amazon 映像格式。 |
弹性 IP |
专为动态云计算设计的静态 IP。使用 NAT 将公共 IP 映射到私有子网 IP。 |
增强型网络 |
与传统实施相比,提供更高的每秒数据包性能、低延迟、更高的 I/O 性能和更低的 CPU 利用率。vSRX 虚拟防火墙将这种网络与硬件虚拟机 (HVM) Amazon 系统映像 (AMI) 结合使用。 |
实例 |
Amazon EC2 上使用 XEN 或 XEN-HVM 虚拟机管理程序类型的虚拟机或服务器。Amazon EC2 提供了一系列针对不同使用案例进行优化的实例。 |
密钥对 |
AWS 用于加密和解密登录信息的公钥加密。使用 AWS-EC2 创建这些密钥对或导入您自己的密钥对。
注意:
AWS 不接受 DSA。将公钥访问权限限制为 400。 有关密钥轮换的详细信息,请参阅 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html。 |
网络接口 |
您可以附加到 Amazon VPC 中的实例的虚拟网络接口。弹性网络接口 (ENI) 可以有一个主私有 IP 地址、多个辅助 IP 地址、每个私有 IP 地址一个弹性 IP 地址、一个公共 IP 地址、一个或多个安全组、一个 MAC 地址以及一个源/目标检查标志。 对于 vSRX 虚拟防火墙实例,禁用所有接口的源/目标检查。
注意:
弹性网卡使用子网范围内的IP地址。因此,ENI IP地址并未耗尽。 |
网络 MTU |
所有 Amazon 实例类型都支持 1500 的 MTU。某些实例类型支持巨型帧 (9001 MTU)。
注意:
将 C3、C4、C5、CC2、M3、M4 或 T2 AWS 实例类型用于具有巨型帧的 vSRX 虚拟防火墙实例。 |
放置组 |
在公共集群置放群组中启动的实例。集群中的实例具有高带宽和低延迟的网络。 |
安全组 |
AWS 提供的虚拟防火墙,用于控制一个或多个实例的流量。安全组只能在启动时与实例关联。
注意:
由于 vSRX 虚拟防火墙管理您的防火墙设置,因此我们建议您确保 AWS 安全组上的规则集与 vSRX 虚拟防火墙配置中的规则集之间没有冲突。 |
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。