Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 CLI 配置 vSRX 虚拟防火墙

了解 AWS 上的 vSRX 虚拟防火墙预配置和出厂默认设置

AWS 上的 vSRX 虚拟防火墙部署时使用以下预配置默认值:

  • 在安装过程中通过配置的 RSA 密钥对进行 SSH 访问

  • SSH 访问不允许密码访问

  • 管理 (fxp0) 接口已预配置 AWS 弹性 IP 和默认路由

从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,以下示例总结了添加到 AWS 实例上 vSRX 虚拟防火墙出厂默认配置的预配置语句:

对于 Junos OS 15.1X49-D70 及更低版本,以下示例总结了添加到 AWS 实例上 vSRX 虚拟防火墙出厂默认配置的预配置语句:

谨慎:

请勿对 load factory-default vSRX 虚拟防火墙 AWS 实例使用命令。出厂默认配置将移除 AWS 预配置。如果必须恢复到出厂默认值,请确保在提交配置之前手动重新配置 AWS 预配置语句:否则,您将无法访问 vSRX 虚拟防火墙实例。

添加基本 vSRX 虚拟防火墙配置

您可以在 vSRX 虚拟防火墙上创建新配置,也可以从其他 SRX 或 vSRX 虚拟防火墙复制现有配置并将其加载到 AWS 上的 vSRX 虚拟防火墙上。使用以下步骤复制和加载现有配置:

  1. 保存配置文件

  2. 加载配置文件

要使用 CLI 配置 vSRX 虚拟防火墙实例,

  1. 使用 SSH 登录 vSRX 虚拟防火墙实例并启动 CLI。
    注意:

    从 Junos OS 17.4R1 版开始,默认用户名已从root@ec2-user@更改为。

  2. 进入配置模式。
  3. 设置登录 vSRX 虚拟防火墙的身份验证方法。您可以通过输入明文密码或加密密码来指定密码。如果需要更强大的身份验证安全级别,我们建议您选择 SSH 公钥字符串(DSA、ECDSA 或 RSA)。

  4. 或者,如果要为附加用户创建密码访问,请为 SSH 启用密码。
  5. 配置主机名。
  6. 对于每个 vSRX 虚拟防火墙收入接口,分配在 AWS 上定义的 IP 地址。例如:

    对于多个专用地址,为每个地址输入一个 set 命令。请勿分配弹性 IP 地址。

  7. 为公共接口指定安全区域。
  8. 为专用接口指定安全区域。
  9. 配置路由,为公共和私有接口添加单独的虚拟路由器和路由选项。
    注意:

    我们建议将路由实例中的收入(数据)接口作为避免非对称流量/路由的最佳实践,因为 fxp0 默认属于默认 (inet.0) 表。如果 fxp0 作为默认路由表的一部分,可能需要两个默认路由:一个用于外部管理访问的 fxp0 接口,另一个用于流量访问的收入接口。将收入接口放在单独的路由实例中可避免单个路由实例中出现两个默认路由的情况。

  10. 验证配置。
  11. 提交配置,在设备上将其激活。
  12. 或者,使用 show 命令显示配置以验证配置是否正确。

有关如何将 vSRX 虚拟防火墙配置为 Amazon 虚拟私有云 (Amazon VPC) vSRX 虚拟防火墙实例背后的所有主机的 NAT 的示例,以连接到不信任区域上 vSRX 虚拟防火墙出口接口的 IP 地址,请参阅 示例:为 vSRX 配置 NAT。此配置允许云网络中 vSRX 虚拟防火墙背后的主机访问互联网。

有关如何在不同 Amazon VPC 上的 AWS 上的两个 vSRX 虚拟防火墙实例之间配置 IPsec VPN 的示例,请参阅 示例:在 Amazon VPC 之间在 vSRX 上配置 VPN

添加 DNS 服务器

vSRX 虚拟防火墙在默认配置中不包含任何 DNS 服务器。例如,您可能需要配置 DNS 来部署 IPS 等第 7 层服务,以提取签名更新。您可以使用自己的外部 DNS 服务器,或使用 AWS DNS 服务器。如果在 Amazon VPC 上启用 DNS,则向 Amazon DNS 服务器 (169.254.169.253) 或 VPC 网络范围加 2 的保留 IP 地址查询应成功。请参阅 AWS - 将 DNS 与 Amazon VPC 配合使用 ,了解完整详细信息。

添加 vSRX 虚拟防火墙功能许可证

某些 Junos OS 软件功能需要许可证才能激活该功能。要启用许可功能,您需要购买、安装、管理和验证与每个许可功能对应的许可证密钥。为了符合软件功能许可要求,每个实例必须为每个功能购买一个许可证。如果您的虚拟实例上存在相应的软件解锁密钥,您就可以配置和使用许可功能。

有关详细信息 ,请参阅管理 vSRX 的许可证