本页内容
Nutanix 上的 vSRX 虚拟防火墙要求
这些主题概述了在 Nutanix 上部署 vSRX 虚拟防火墙 3.0 实例的要求。
Nutanix 的系统要求
本主题提供系统要求详细信息。
- nutanix__d22185e40#system需求
- Nutanix 上 vSRX 虚拟防火墙 3.0 的接口映射
- Nutanix 上的 vSRX 虚拟防火墙 3.0 默认设置
- 提升 vSRX 虚拟防火墙 3.0 性能的优秀实践
表 1 列出了在 Nutanix 上部署的 vSRX 虚拟防火墙 3.0 实例的系统要求。
组件 |
规格和详细信息 |
|---|---|
虚拟机管理程序支持 |
AHV 5.9 |
记忆 |
4 GB |
磁盘空间 |
16 GB |
vCPU |
2 |
vNIC |
最多 8 个 |
vNIC 类型 |
维蒂奥 |
Nutanix 上 vSRX 虚拟防火墙 3.0 的接口映射
表 2 显示了 vSRX 虚拟防火墙 3.0 和 Nutanix 接口名称。第一个网络接口用于 vSRX 虚拟防火墙 3.0 的带外管理 (fxp0)。
接口编号 |
vSRX 虚拟防火墙 3.0 接口 |
Nutanix 接口 |
|---|---|---|
1 |
fxp0 |
eth0 |
2 |
ge-0/0/0 |
eth1 |
3 |
ge-0/0/1 |
eth2 |
4 |
ge-0/0/2 |
eth3 |
5 |
ge-0/0/3 |
eth4 |
6 |
ge-0/0/4 |
eth5 |
7 |
ge-0/0/5 |
eth6 |
8 |
ge-0/0/6 |
eth7 |
我们建议将收入接口放在路由实例中作为避免非对称流量/路由的最佳实践,因为 fxp0 默认属于默认 (inet.0) 表。如果 fxp0 作为默认路由表的一部分,可能需要两个默认路由:一个用于外部管理访问的 fxp0 接口,另一个用于流量访问的收入接口。将收入接口放在单独的路由实例中可避免单个路由实例中出现两个默认路由的情况。
确保属于同一安全区域的接口位于同一路由实例中。请参阅 KB 文章 - 接口必须与区域中的其他接口位于同一路由实例中。
Nutanix 上的 vSRX 虚拟防火墙 3.0 默认设置
vSRX 虚拟防火墙 3.0 需要以下基本配置设置:
接口必须分配 IP 地址。
接口必须与区域绑定。
必须在区域之间配置策略,以允许或拒绝流量。
表 3 列出了 vSRX 虚拟防火墙 3.0 上安全策略的出厂默认设置。
源区域 |
目标区域 |
策略操作 |
|---|---|---|
信任 |
untrust |
许可证 |
信任 |
信任 |
许可证 |
请勿在 load factory-default vSRX 虚拟防火墙 3.0 Nutanix 实例上使用命令。出厂默认配置消除了 Nutanix 预配置。如果必须恢复为出厂默认值,请确保在提交配置之前手动重新配置 Nutanix 预配置语句;否则,您将无法访问 vSRX 虚拟防火墙 3.0 实例。请参阅 使用 CLI 配置 vSRX 以获取 Nutanix 预配置详细信息。
提升 vSRX 虚拟防火墙 3.0 性能的优秀实践
请参考以下部署实践,提高 vSRX 虚拟防火墙 3.0 性能:
禁用所有 vSRX 虚拟防火墙 3.0 接口的源/目标检查。
将密钥对的公钥访问权限限制为 400。
确保 Nutanix 安全组与 vSRX 虚拟防火墙 3.0 配置之间没有矛盾。
使用 vSRX 虚拟防火墙 3.0 NAT 保护您的实例免受直接互联网流量的侵害。
参考要求
具有不同类型的虚拟机管理程序的 vSRX 虚拟防火墙 3.0 要求包括:
Requirements for vSRX on VMware— 请参阅 VMware 上的 vSRX 要求
Requirements for vSRX on KVM-Based Hypervisor— 请参阅 KVM 上的 vSRX 要求
Requirements for vSRX with Hype-V-Based Hypervisor- 请参阅 Microsoft Hyper-V 上的 vSRX 要求