AWS 上的 vSRX 虚拟防火墙的要求
本节概述了在 Amazon Web Services (AWS) 上部署 vSRX 虚拟防火墙实例的要求。
AWS 的最低系统要求
表 1 列出了要在 AWS 上部署的 vSRX 虚拟防火墙实例的最低系统要求。
在 组件 |
规格和细节 |
---|---|
虚拟机管理程序支持 |
XEN-HVM |
记忆 |
4 GB |
磁盘空间 |
16 千兆字节 |
虚拟CPU |
2 |
虚拟网卡 |
3 |
虚拟网卡类型 |
SR-IOV |
AMD 处理器 | 从 Junos OS 22.3R2 版开始,Amazon Web Services (AWS) 上的 vSRX 虚拟防火墙 3.0 支持高级微型设备 (AMD) 处理器以获得更好的性能。 |
AWS 上 vSRX 虚拟防火墙的接口映射
AWS 上的 vSRX 虚拟防火墙最多支持八个网络接口,但可附加到 vSRX 虚拟防火墙实例的实际最大接口数取决于启动该实例的 AWS 实例类型。对于允许八个以上接口的 AWS 实例,vSRX 虚拟防火墙最多仅支持八个接口。
以下是受支持的 C5 实例类型:
-
c5.大
-
c5.xlarge
-
c5.2xlarge
-
c5.4xlarge
-
c5.9xlarge
-
c5n.2xlarge
-
c5n.4xlarge
-
c5n.9xlarge
以下是受支持的基于 AMD 的 AWS 实例:
-
C5a.16x大
-
C5a.8x大
-
C5a.4xlarge
-
C5a.2xlarge
-
C5a.xlarge
有关实例详细信息(例如 vCPU、内存等)的更多信息,请参阅 定价信息
有关按实例类型划分的最大网络接口数的更多信息,请参阅 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 。
表 2 显示了最多八个网络接口的 vSRX 虚拟防火墙接口名称与其对应 AWS 接口名称之间的映射。第一个网络接口用于 vSRX 虚拟防火墙的带外管理 (fxp0)。
接口编号 |
vSRX 虚拟防火墙接口 |
AWS 接口 |
---|---|---|
1 |
FXP0 |
eth0 |
2 |
ge-0/0/0 |
乙醚1 |
3 |
ge-0/0/1 |
乙醚2 |
4 |
ge-0/0/2 |
eth3 |
5 |
ge-0/0/3 |
eth4 |
6 |
ge-0/0/4 |
乙醚5 |
7 |
ge-0/0/5 |
乙醚6 |
8 |
ge-0/0/6 |
eth7 |
我们建议将收入接口放在路由实例中,以避免非对称路由。由于 fxp0 是默认 (inet.0) 路由表的一部分,因此同一路由实例中可能需要两个默认路由:一个用于用于外部管理访问的 fxp0 接口,另一个用于流量访问的收入接口,从而导致非对称路由。将收入接口放在单独的路由实例中可避免单个路由实例中出现两个默认路由的情况。
确保属于同一安全区域的接口位于同一路由实例中。请参阅 知识库文章 - 接口必须与区域中的其他接口位于同一路由实例中。
AWS 上的 vSRX 虚拟防火墙默认设置
vSRX 虚拟防火墙需要以下基本配置设置:
必须为接口分配 IP 地址。
接口必须绑定到区域。
必须在区域之间配置策略以允许或拒绝流量。
与 ENA 驱动程序相关的组件必须准备好用于 vSRX 虚拟防火墙。
表 3 列出了 vSRX 虚拟防火墙上安全策略的出厂默认设置。
源区域 |
目标区域 |
策略操作 |
---|---|---|
信任 |
不信任 |
许可证 |
信任 |
信任 |
许可证 |
请勿在 vSRX 虚拟防火墙 AWS 实例上使用该 load factory-default
命令。出厂默认配置会删除 AWS 预配置。如果必须恢复为出厂默认设置,请确保在提交配置之前手动重新配置 AWS 预配置语句;否则,您将无法访问 vSRX 虚拟防火墙实例。请参见 使用 CLI 配置 vSRX for AWS 预配置详细信息。
提高 vSRX 虚拟防火墙性能的最佳实践
查看以下部署实践以提高 vSRX 虚拟防火墙性能:
禁用所有 vSRX 虚拟防火墙接口的源/目标检查。
将密钥对的公钥访问权限限制为 400。
确保 AWS 安全组与您的 vSRX 虚拟防火墙配置之间没有矛盾。
使用 AWS 上的 c5n 实例类型,可在 vSRX 虚拟防火墙上获得最佳吞吐量。
注意:对于 c5 大型实例,AWS 使用第二代英特尔至强可扩展处理器 (Cascade Lake) 或第一代英特尔至强铂金 8000 系列 (Skylake-SP) 处理器,对于 c4-xtra 大型实例,AWS 使用高频英特尔至强 E5-2666 v3。
确保流量流经 vSRX 虚拟防火墙的多个接口,以实现 vCPU 的最佳利用率。
使用 vSRX 虚拟防火墙 NAT 保护您的 Amazon EC2 实例免受直接互联网流量的影响。