在此页面上
了解使用 AWS 的 vSRX 虚拟防火墙
本节概述了 Amazon Web Services (AWS) 上的 vSRX 虚拟防火墙。
使用 AWS 的 vSRX 虚拟防火墙
AWS 在云中提供按需服务。服务范围从基础架构即服务 (IaaS) 和平台即服务 (SaaS) 到应用程序和数据库即服务。AWS 是一个高度灵活、可扩展且可靠的云平台。在 AWS 中,您可以将服务器和服务以即用即付 (PAYG) 或自带许可证 (BYOL) 服务的形式托管在云上。
vSRX 虚拟防火墙 PAYG 映像不需要任何瞻博网络许可证。
您可以在 Amazon Web Services (AWS) 云中的虚拟私有云 (VPC) 中部署 vSRX 虚拟防火墙。您可以将 vSRX 虚拟防火墙作为专用于特定用户帐户的 Amazon VPC 中的 Amazon Elastic Compute Cloud (EC2) 实例启动。vSRX 虚拟防火墙 Amazon 系统映像 (AMI) 使用硬件虚拟机 (HVM) 虚拟化。
图 1 显示了部署 vSRX 虚拟防火墙实例的示例,以便为在 Amazon VPC 的私有子网中运行的应用程序提供安全性。
在 Amazon VPC 中,公有子网可以访问互联网网关,但私有子网无法访问。 vSRX 虚拟防火墙需要为每个实例组提供两个公有子网和一个或多个私有子网。公有子网由一个用于管理接口 (fxp0) 和一个用于收入(数据)接口的子网组成。连接到其他 vSRX 虚拟防火墙接口的专用子网可确保专用子网上的应用程序和互联网之间的所有流量都必须通过 vSRX 虚拟防火墙实例。
中的 vSRX 虚拟防火墙
AWS Marketplace 还允许您通过适用于 AWS GovCloud 的 AWS Marketplace 发现和订阅支持受监管工作负载的软件(美国)。
从 Junos OS 15.1X49-D70 版和 Junos OS 17.3R1 版开始,vSRX 虚拟防火墙支持两个 1 小时或 1 年订阅包的 PAYG。
vSRX 虚拟防火墙新一代防火墙 — 包括核心安全的标准 (STD) 功能,包括核心防火墙、IPsec VPN、NAT、CoS 和路由服务,以及高级第 4 层到第 7 层安全服务,例如 AppID、AppFW、AppQoS 和 AppTrack 的 AppSecure 功能、IPS 和丰富的路由功能。
vSRX 虚拟防火墙高级版 - 具有防病毒保护的新一代防火墙 - 包括 vSRX 虚拟防火墙新一代防火墙软件包中的功能,包括内容安全防病毒功能。
您可以在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 vSRX 虚拟防火墙,作为 Amazon Elastic Compute Cloud (Amazon EC2) 中的应用程序实例。每个 Amazon EC2 实例都是使用 AWS 管理控制台通过互联网进行部署、访问和配置的,并且可以根据需要增加或缩减实例数。
在当前版本中,每个 vSRX 虚拟防火墙实例使用两个 vCPU 和 4 GB 内存,即使在 AWS 上选择的实例类型提供了更多资源也是如此。
vSRX 虚拟防火墙使用硬件辅助虚拟机 (HVM) 实现高性能(增强联网),并支持在 AWS 云环境中进行以下部署:
作为您的 Amazon VPC 上的其他 Amazon EC2 实例与互联网之间的防火墙
作为公司网络与 Amazon VPC 之间的 VPN 终端节点
作为不同子网上的 Amazon EC2 实例之间的防火墙
AWS 账户的 AWS 服务有默认限制。有关 AWS 服务限制的更多信息,请参阅 https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html 和 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 。
AWS 词汇表
本节定义 AWS 配置中使用的一些常用术语。表 1 定义了用于 Amazon Virtual Private Cloud (Amazon VPC) 的常用术语, 表 2 定义了 Amazon Elastic Compute Cloud (Amazon EC2) 服务的常用术语。
术语 |
描述 |
|---|---|
互联网网关 |
Amazon VPC 组件,允许在 Amazon VPC 中的实例与互联网之间进行通信。 |
IP 寻址 |
AWS 包括三种类型的 IP 地址:
每个网络接口都可以与多个专用 IP 地址相关联。公有子网可以有多个与网络接口的私有 IP 地址关联的私有 IP 地址、公有地址和弹性 IP 地址。私有子网和公有子网中的实例可以有多个私有 IP 地址。一个弹性 IP 地址可以与公有子网中实例的每个私有 IP 地址相关联。 可以在子网中分配静态专用 IP 地址。子网中的前五个 IP 地址和最后一个 IP 地址保留用于 Amazon VPC 联网和路由。第一个 IP 地址是子网的网关。 |
网络 ACL |
在子网级别运行的 AWS 无状态虚拟防火墙。 |
路由表 |
一组路由规则,用于确定网络流量的定向位置。每个子网都需要与一个路由表相关联。未与路由表显式关联的子网将与主路由表关联。 可以创建默认表以外的自定义路由表。 |
子 |
Amazon VPC CIDR 块中的虚拟寻址空间。Amazon EC2 实例的 IP 地址是从 IP 地址的子网池中分配的。 您可以在 Amazon VPC 中创建两种类型的子网:
注意:
借助 vSRX 虚拟防火墙网络地址转换 (NAT),您可以在私有子网中启动所有客户实例,并将 vSRX 虚拟防火墙接口连接到互联网。这可以防止客户实例直接暴露在互联网流量中。 |
Vpc |
虚拟私有云。 |
术语 |
描述 |
|---|---|
Amazon Elastic Block Store (EBS) |
可附加到 Amazon EC2 实例的持久块存储。块存储卷可以格式化并挂载到实例上。Amazon EBS 优化实例在 Amazon EC2 和 Amazon EBS 之间提供专用吞吐量。 |
Amazon Elastic Compute Cloud (EC2) |
亚马逊云科技服务,支持启动和管理在亚马逊基础设施上运行的弹性虚拟服务器或计算机。 |
Amazon 系统映像 (AMI) |
Amazon 映像格式,其中包含启动 Amazon EC2 实例所需的信息(例如根卷、启动权限和块储存设备映射的模板)。 |
弹性 IP |
专为动态云计算而设计的静态 IP。公共 IP 使用 NAT 映射到女贞子网 IP。 |
增强型网络 |
与传统实现相比,可提供高数据包每秒性能、低延迟、更高的 I/O 性能和更低的 CPU 利用率。vSRX 虚拟防火墙将此网络连接与硬件虚拟化机 (HVM) Amazon 系统映像 (AMI) 结合使用。 |
实例 |
Amazon EC2 上使用 XEN 或 XEN-HVM 虚拟机管理程序类型的虚拟机或服务器。Amazon EC2 提供了一系列针对不同使用案例进行了优化的实例。 |
密钥对 |
AWS 用于加密和解密登录信息的公有密钥加密。使用 AWS-EC2 创建这些密钥对或导入您自己的密钥对。
注意:
AWS 不接受 DSA。将公钥访问权限限制为 400。 有关密钥轮换的详细信息,请参阅 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html。 |
网络接口 |
您可以附加到 Amazon VPC 中的实例的虚拟网络接口。弹性网络接口 (ENI) 可以有一个主私有 IP 地址、多个辅助 IP 地址、每个私有 IP 地址一个弹性 IP 地址、一个公有 IP 地址、一个或多个安全组、一个 MAC 地址以及一个源/目标检查标志。 对于 vSRX 虚拟防火墙实例,禁用所有接口的源/目标检查。
注意:
弹性网卡使用子网范围内的IP地址。因此,弹性网卡 IP 地址不会耗尽。 |
网络 MTU |
所有 Amazon 实例类型都支持 MTU 为 1500。某些实例类型支持巨型帧 (9001 MTU)。
注意:
将 C3、C4、C5、CC2、M3、M4 或 T2 AWS 实例类型用于具有巨型帧的 vSRX 虚拟防火墙实例。 |
归置组 |
在通用集群置放群组中启动的实例。集群内的实例具有高带宽和低延迟的网络。 |
安全组 |
AWS 提供的虚拟防火墙,用于控制一个或多个实例的流量。安全组只能在启动时与实例关联。
注意:
由于 vSRX 虚拟防火墙管理您的防火墙设置,因此我们建议您确保 AWS 安全组上的规则集与 vSRX 虚拟防火墙配置中的规则集之间没有矛盾。 |