Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

为 vSRX 虚拟防火墙配置 Amazon 虚拟私有云

开始之前,您需要有一个 Amazon Web Services (AWS) 帐户和一个身份和访问管理 (IAM) 角色,并具有访问、创建、修改和删除 Amazon 弹性计算云 (Amazon EC2)、Amazon Simple Storage Service (S3) 和 Amazon 虚拟私有云 (Amazon VPC) 对象所需的全部权限。您还应创建访问密钥和相应的密钥访问密钥、X.509 证书和帐户标识符。要更好地了解 AWS 术语及其在 vSRX 虚拟防火墙 AWS 部署中的使用,请参阅 了解 vSRX 与 AWS

图 1 显示了如何部署 vSRX 虚拟防火墙的示例,为 Amazon VPC 私有子网中运行的应用程序提供安全性。

图 1:AWS 部署 Example of vSRX Virtual Firewall in AWS Deployment中的 vSRX 虚拟防火墙示例

以下过程概述了如何为 vSRX 虚拟防火墙创建和准备 Amazon VPC。这些过程介绍如何设置 Amazon VPC 及其关联的互联网网关、子网、路由表和安全组。

步骤 1:创建 Amazon VPC 和互联网网关

使用以下过程创建 Amazon VPC 和互联网网关。如果您已有 VPC 和互联网网关,请转至 步骤 2:为 vSRX 虚拟防火墙添加子网

  1. 登录 AWS 管理控制台并选择 服务>网络> VPC
  2. 在 VPC 仪表板中,在左面板中选择 您的 VPC ,然后单击 创建 VPC
  3. 以无类域间路由 (CIDR) 格式指定 VPC 名称和一系列专用 IP 地址。将 Default 保留为租赁。
  4. 单击 “是,创建”。
  5. 在左面板中选择 互联网网关 ,然后单击 创建互联网网关
  6. 指定网关名称,然后单击 是,创建
  7. 选择刚刚创建的网关,然后单击 “连接到 VPC”。
  8. 选择新的 Amazon VPC,然后单击 “是,连接”。

步骤 2:为 vSRX 虚拟防火墙添加子网

在 Amazon VPC 中,公有子网有权访问互联网网关,但私有子网则无法访问。vSRX 虚拟防火墙需要两个公有子网,每个实例组需要一个或多个私有子网。公共子网由一个用于管理接口 (fxp0) 和一个用于收入(数据)接口组成。私有子网连接到其他 vSRX 虚拟防火墙接口,可确保私有子网上应用程序与互联网之间的所有流量都必须通过 vSRX 虚拟防火墙实例。

要创建每个 vSRX 虚拟防火墙子网,

  1. 在 VPC 仪表板中,在左面板中选择 子网 ,然后单击 创建子网
  2. 指定子网名称,选择 Amazon VPC 和可用性区域,然后以 CIDR 格式指定子网 IP 地址的范围。
    提示:

    作为子网命名约定的最佳实践,我们建议在名称中包含 私有公共 子网,以便更轻松地了解哪个子网是公有子网或公有子网。
    注意:

    vSRX 虚拟防火墙实例的所有子网必须位于同一可用性区域。请勿对可用性区域使用 无优先级
  3. 单击 “是,创建”。

对要创建并连接到 vSRX 虚拟防火墙实例的每个子网重复这些步骤。

步骤 3:将接口连接到子网

要向子网附加接口:

  1. 从 Amazon EC2 主页创建网络接口。

    单击 EC2 主页上的网络接口选项, 即可打开创建网络接口 页面。

  2. 单击 创建网络接口 选项,在字段中填写必填信息,然后单击 创建
  3. 查找并选择您新创建的接口。

    如果此接口是收入接口,请从“操作”菜单中选择“更改源/Dest”。检查,选择“禁用”,然后单击“保存”。如果此接口是 fxp0 接口,请跳过此禁用步骤。

  4. 从屏幕顶部的菜单中单击“ 附加 ”,选择 vSRX 虚拟防火墙实例的实例 ID ,然后单击“ 附加”。
  5. vSRX 虚拟防火墙不支持接口热插拔。因此,添加完接口后,重新启动添加接口的 vSRX 虚拟防火墙实例,以便应用更改使其生效。

步骤 4:添加 vSRX 虚拟防火墙的路由表

默认情况下,会为每个 Amazon VPC 创建一个主路由表。建议为公共子网创建自定义路由表,为每个私有子网创建单独的路由表。未与自定义路由表关联的所有子网均与主路由表相关联。

要创建路由表:

  1. 在 VPC 仪表板中,在左面板中选择 路由表 ,然后单击 创建路由表
  2. 指定路由表名称,选择 VPC,然后单击 “是”,创建
    提示:

    作为路由表命名约定的最佳实践,我们建议在名称中包含 privatepublic ,以便更轻松地了解哪个路由表是公共的还是私有的。
  3. 重复步骤 1 和 2 以创建所有路由表。
  4. 选择您为公共子网创建的路由表,然后请执行以下操作:
    1. 选择 路由 表列表下的路由选项卡。
    2. 单击 编辑 ,然后单击 添加其他路由
    3. 输入 0.0.0.0/0 作为目标,选择您的 VPC 互联网网关作为目标,然后单击“ 保存”。
    4. 选择 子网关联 选项卡,然后单击 编辑
    5. 选中公共子网的复选框,然后单击 Save
  5. 选择您为私有子网创建的每个路由表,然后请执行以下操作:
    1. 选择 子网关联 选项卡,然后单击 编辑
    2. 选中一个私有子网的复选框,然后单击 Save

步骤 5:为 vSRX 虚拟防火墙添加安全组

将为每个 Amazon VPC 创建一个默认安全组。我们建议为 vSRX 虚拟防火墙管理接口 (fxp0) 创建一个单独的安全组,为所有其他 vSRX 虚拟防火墙接口创建另一个安全组。当在 Amazon EC2 Dashboard 中启动 vSRX 虚拟防火墙实例时,将分配这些安全组,您还可以在此添加和管理安全组。

要创建安全组:

  1. 在 VPC 仪表板中,在左面板中选择 安全组 ,然后单击 创建安全组
  2. 对于 vSRX 虚拟防火墙管理接口,在 Name Tag 字段中指定安全组名称,编辑组名称字段(可选),输入组说明,然后选择 VPC。
  3. 单击 “是,创建”。
  4. 重复步骤 13 ,为 vSRX 虚拟防火墙收入接口创建安全组。
  5. 选择您为管理界面创建的安全组,然后请执行以下操作:
    1. 选择安全组列表下的 入站规则 选项卡。
    2. 单击 编辑 ,然后单击 添加其他规则 以创建以下入站规则:

      类型

      协议

      港口

      自定义 TCP 规则

      默认

      20-21

      为每个规则输入 CIDR 地址格式(0.0.0.0/0 允许任何源)。

      SSH (22)

      默认

      默认

      HTTP (80)

      默认

      默认

      HTTPS (443)

      默认

      默认
    3. 单击 “保存”。
    4. 选择 “出站规则” 选项卡可查看允许所有出站流量的默认规则。使用默认规则,除非需要限制出站流量。
  6. 选择您为所有其他 vSRX 虚拟防火墙接口创建的安全组,然后请执行以下操作:
    注意:

    入站和出站规则应允许所有流量避免与 vSRX 虚拟防火墙上的安全设置冲突。
    1. 选择安全组列表下的 入站规则 选项卡。
    2. 单击 编辑 并创建以下入站规则:

      类型

      协议

      港口

      所有流量

      所有

      所有

      • 对于 Web 服务器,请输入 0.0.0.0/0

      • 对于 VPN,输入无类域间路由 (CIDR) 块形式的 IPv4 地址范围(例如 10.0.0.0/16)。
    3. 单击 “保存”。
    4. 在出站规则选项卡中保留默认 规则 。默认规则允许所有出站流量。

相关文档