使用 CLI 配置 vSRX 虚拟防火墙
了解 AWS 上的 vSRX 虚拟防火墙预配置和出厂默认设置
AWS 上的 vSRX 虚拟防火墙部署时使用以下预配置默认值:
在安装过程中通过配置的 RSA 密钥对进行 SSH 访问
SSH 访问不允许密码访问
管理 (fxp0) 接口已预配置 AWS 弹性 IP 和默认路由
从 Junos OS 15.1X49-D80 版和 Junos OS 17.3R1 版开始,以下示例总结了添加到 AWS 实例上 vSRX 虚拟防火墙出厂默认配置的预配置语句:
set groups aws-default system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX” set groups aws-default system services ssh no-passwords set groups aws-default system services netconf ssh set groups aws-default system services web-management https system-generated-certificate set groups aws-default interfaces fxp0 unit 0 family inet address aws-ip-address set groups aws-default routing-options static route 0.0.0.0/0 next-hop aws-ip-address set apply-groups aws-default
对于 Junos OS 15.1X49-D70 及更低版本,以下示例总结了添加到 AWS 实例上 vSRX 虚拟防火墙出厂默认配置的预配置语句:
set system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX” set system services ssh no-passwords set interfaces fxp0 unit 0 family inet addressaws-ip-address set routing-options static route 0.0.0.0/0 next-hop aws-ip-address
请勿对 load factory-default
vSRX 虚拟防火墙 AWS 实例使用命令。出厂默认配置将移除 AWS 预配置。如果必须恢复到出厂默认值,请确保在提交配置之前手动重新配置 AWS 预配置语句:否则,您将无法访问 vSRX 虚拟防火墙实例。
添加基本 vSRX 虚拟防火墙配置
您可以在 vSRX 虚拟防火墙上创建新配置,也可以从其他 SRX 或 vSRX 虚拟防火墙复制现有配置并将其加载到 AWS 上的 vSRX 虚拟防火墙上。使用以下步骤复制和加载现有配置:
要使用 CLI 配置 vSRX 虚拟防火墙实例,
有关如何将 vSRX 虚拟防火墙配置为 Amazon 虚拟私有云 (Amazon VPC) vSRX 虚拟防火墙实例背后的所有主机的 NAT 的示例,以连接到不信任区域上 vSRX 虚拟防火墙出口接口的 IP 地址,请参阅 示例:为 vSRX 配置 NAT。此配置允许云网络中 vSRX 虚拟防火墙背后的主机访问互联网。
有关如何在不同 Amazon VPC 上的 AWS 上的两个 vSRX 虚拟防火墙实例之间配置 IPsec VPN 的示例,请参阅 示例:在 Amazon VPC 之间在 vSRX 上配置 VPN。
添加 DNS 服务器
vSRX 虚拟防火墙在默认配置中不包含任何 DNS 服务器。例如,您可能需要配置 DNS 来部署 IPS 等第 7 层服务,以提取签名更新。您可以使用自己的外部 DNS 服务器,或使用 AWS DNS 服务器。如果在 Amazon VPC 上启用 DNS,则向 Amazon DNS 服务器 (169.254.169.253) 或 VPC 网络范围加 2 的保留 IP 地址查询应成功。请参阅 AWS - 将 DNS 与 Amazon VPC 配合使用 ,了解完整详细信息。
添加 vSRX 虚拟防火墙功能许可证
某些 Junos OS 软件功能需要许可证才能激活该功能。要启用许可功能,您需要购买、安装、管理和验证与每个许可功能对应的许可证密钥。为了符合软件功能许可要求,每个实例必须为每个功能购买一个许可证。如果您的虚拟实例上存在相应的软件解锁密钥,您就可以配置和使用许可功能。
有关详细信息 ,请参阅管理 vSRX 的许可证 。