AUF DIESER SEITE
Informationen zur virtuellen Firewall vSRX mit AWS
Dieser Abschnitt enthält einen Überblick über die virtuelle Firewall vSRX auf Amazon Web Services (AWS).
Virtuelle Firewall vSRX mit AWS
AWS bietet On-Demand-Services in der Cloud. Die Services reichen von Infrastructure as a Service (IaaS) und Platform as a Service (SaaS) bis hin zu Application and Database as a Service. AWS ist eine hochflexible, skalierbare und zuverlässige Cloud-Plattform. In AWS können Sie Server und Services in der Cloud als Pay-as-you-go- (PAYG) oder Bring-Your-Own-License-Service (BYOL) hosten.
Virtuelle Firewall vSRX PAYG-Images erfordern keine Lizenzen von Juniper Networks.
Sie können die virtuelle Firewall vSRX in einer virtuellen privaten Cloud (VPC) in der Amazon Web Services (AWS) Cloud bereitstellen. Sie können die virtuelle Firewall vSRX als Amazon Elastic Compute Cloud (EC2)-Instance in einer Amazon VPC starten, die für ein bestimmtes Benutzerkonto reserviert ist. Das Amazon Machine Image (AMI) der Virtuelle Firewall vSRX nutzt die Virtualisierung der virtuellen Hardware (HVM).
Abbildung 1 zeigt ein Beispiel für die Bereitstellung einer virtuellen Firewall vSRX-Instanz, um Sicherheit für Anwendungen zu gewährleisten, die in einem privaten Subnetz einer Amazon VPC ausgeführt werden.
In der Amazon VPC haben öffentliche Subnetze Zugriff auf das Internet-Gateway, private Subnetze jedoch nicht. Die virtuelle Firewall vSRX erfordert zwei öffentliche Subnetze und ein oder mehrere private Subnetze für jede einzelne Instanzgruppe. Die öffentlichen Subnetze bestehen aus einem für die Verwaltungsschnittstelle (fxp0) und einem für eine Umsatzschnittstelle (Datenschnittstelle). Die privaten Subnetze, die mit den anderen Schnittstellen der Virtuelle Firewall vSRX verbunden sind, stellen sicher, dass der gesamte Datenverkehr zwischen Anwendungen in den privaten Subnetzen und dem Internet die Instanz der Virtuelle Firewall vSRX passieren muss.
AWS Marketplace ermöglicht es Ihnen auch, Software, die regulierte Workloads unterstützt, über AWS Marketplace für AWS GovCloud (USA) zu entdecken und zu abonnieren.
Beginnend mit Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 unterstützt die Virtuelle Firewall vSRX zwei Pakete für Payg, die als 1-Stunden- oder 1-Jahres-Abonnements erhältlich sind.
Virtuelle Firewall vSRX Firewall der nächsten Generation: Umfasst Standardfunktionen (STD) der Kernsicherheit, einschließlich Core-Firewall, IPsec-VPN, NAT, CoS und Routing-Services, sowie erweiterte Layer-4- bis 7-Sicherheitsservices wie AppSecure-Funktionen von AppID, AppFW, AppQoS und AppTrack, IPS und umfangreiche Routing-Funktionen.
Virtuelle Firewall vSRX Premium-Firewall der nächsten Generation mit Virenschutz—Enthält die Funktionen des Virtuelle Firewall vSRX der nächsten Generation Pakets, einschließlich der Content Security-Antivirus-Funktion.
Sie stellen die virtuelle Firewall vSRX in einer Amazon Virtual Private Cloud (Amazon VPC) als Anwendungs-Instance in der Amazon Elastic Compute Cloud (Amazon EC2) bereit. Jede Amazon EC2-Instance wird über das Internet mithilfe der AWS Management Console bereitgestellt, aufgerufen und konfiguriert, und die Anzahl der Instances kann nach Bedarf nach oben oder unten skaliert werden.
In der aktuellen Version verwendet jede Instanz der virtuellen Firewall vSRX zwei vCPUs und 4 GB Arbeitsspeicher, auch wenn der in AWS ausgewählte Instance-Typ mehr Ressourcen bereitstellt.
Die virtuelle Firewall vSRX verwendet hardwaregestützte virtuelle Maschinen (HVM) für eine hohe Leistung (erweiterte Netzwerke) und unterstützt die folgenden Bereitstellungen in AWS-Cloud-Umgebungen:
Als Firewall zwischen anderen Amazon EC2-Instances auf Ihrer Amazon VPC und dem Internet
Als VPN-Endpunkt zwischen Ihrem Unternehmensnetzwerk und Ihrer Amazon VPC
Als Firewall zwischen Amazon EC2-Instances in verschiedenen Subnetzen
Es gibt Standardlimits für AWS-Services für ein AWS-Konto. Weitere Informationen zu AWS-Servicelimits finden Sie unter https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html und https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .
AWS-Glossar
In diesem Abschnitt werden einige allgemeine Begriffe definiert, die in einer AWS-Konfiguration verwendet werden. Tabelle 1 definiert allgemeine Begriffe, die für Amazon Virtual Private Cloud (Amazon VPC) verwendet werden, und Tabelle 2 definiert allgemeine Begriffe für Amazon Elastic Compute Cloud (Amazon EC2)-Services.
Ausdruck |
Beschreibung |
|---|---|
Internet-Gateways |
Amazon VPC-Komponenten, die die Kommunikation zwischen Ihren Instances in der Amazon VPC und dem Internet ermöglichen. |
IP-Adressierung |
AWS umfasst drei Arten von IP-Adressen:
Jeder Netzwerkschnittstelle können mehrere private IP-Adressen zugeordnet werden. Öffentliche Subnetze können mehrere private IP-Adressen, öffentliche Adressen und elastische IP-Adressen haben, die der privaten IP-Adresse der Netzwerkschnittstelle zugeordnet sind. Instanzen in privaten und öffentlichen Subnetzen können mehrere private IP-Adressen haben. Jeder privaten IP-Adresse für Instances in öffentlichen Subnetzen kann eine Elastic IP-Adresse zugeordnet werden. Sie können statische private IP-Adressen im Subnetz zuweisen. Die ersten fünf IP-Adressen und die letzte IP-Adresse im Subnetz sind für Amazon VPC-Netzwerke und -Routing reserviert. Die erste IP-Adresse ist das Gateway für das Subnetz. |
Netzwerk-ACL |
Zustandslose virtuelle AWS-Firewall, die auf Subnetzebene arbeitet. |
Routing-Tabellen |
Eine Reihe von Routing-Regeln, mit denen bestimmt wird, wohin der Netzwerkdatenverkehr geleitet wird. Jedes Subnetz muss einer Routing-Tabelle zugeordnet werden. Subnetze, die nicht explizit einer Routingtabelle zugeordnet sind, sind der Hauptroutingtabelle zugeordnet. Es können auch andere benutzerdefinierte Routing-Tabellen als die Standardtabelle erstellt werden. |
Subnetz |
Ein virtueller Adressraum im Amazon VPC CIDR-Block. Die IP-Adressen für die Amazon EC2-Instances werden aus dem Subnetz-Pool der IP-Adressen zugewiesen. Sie können zwei Arten von Subnetzen in der Amazon VPC erstellen:
Anmerkung:
Mit Virtuelle Firewall vSRX Network Address Translation (NAT) können Sie alle Kundeninstanzen in privaten Subnetzen starten und die Schnittstellen der virtuellen Firewall vSRX mit dem Internet verbinden. Dies schützt Kundeninstanzen davor, direkt dem Internetverkehr ausgesetzt zu sein. |
VPC |
Virtuelle private Cloud |
Ausdruck |
Beschreibung |
|---|---|
Amazon Elastic Block Store (EBS) |
Persistenter Blockspeicher, der an eine Amazon EC2-Instance angehängt werden kann. Blockspeicher-Volumes können formatiert und auf einer Instanz gemountet werden. Für Amazon EBS optimierte Instances bieten einen dedizierten Durchsatz zwischen Amazon EC2 und Amazon EBS. |
Amazon Elastic Compute Cloud (EC2) |
Amazon Web Service, der den Start und die Verwaltung von elastischen virtuellen Servern oder Computern ermöglicht, die auf der Amazon-Infrastruktur ausgeführt werden. |
Amazon-Maschinenbild (AMI) |
Amazon-Bildformat, das die Informationen enthält, wie z. B. die Vorlage für das Root-Volume, die Startberechtigungen und die Blockgerätezuordnung, die zum Starten einer Amazon EC2-Instance erforderlich sind. |
Elastische IP |
Eine statische IP-Adresse, die für dynamisches Cloud-Computing entwickelt wurde. Die öffentliche IP-Adresse wird mithilfe von NAT der IP-Adresse des Privatsubnetzes zugeordnet. |
Verbesserte Vernetzung |
Bietet eine hohe Paketleistung pro Sekunde, niedrige Latenz, höhere E/A-Leistung und geringere CPU-Auslastung im Vergleich zu herkömmlichen Implementierungen. Die virtuelle Firewall vSRX nutzt dieses Netzwerk mit Hardware Virtualized Machine (HVM) Amazon Machine Images (AMIs). |
Beispiel |
Eine virtuelle Maschine oder ein Server auf Amazon EC2, die XEN- oder XEN-HVM-Hypervisor-Typen verwendet. Amazon EC2 bietet eine Auswahl an Instances, die für verschiedene Anwendungsfälle optimiert sind. |
Schlüsselpaar |
Public-Key-Kryptografie, die von AWS zum Ver- und Entschlüsseln von Anmeldeinformationen verwendet wird. Erstellen Sie diese Schlüsselpaare mit AWS-EC2 oder importieren Sie Ihr eigenes Schlüsselpaar.
Anmerkung:
AWS akzeptiert keine DSA. Begrenzen Sie die Zugriffsberechtigungen für den öffentlichen Schlüssel auf 400. Weitere Informationen zur Schlüsselrotation finden Sie unter https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html. |
Netzwerkschnittstellen |
Virtuelle Netzwerkschnittstellen, die Sie an eine Instance in der Amazon VPC anhängen können. Ein Elastic Network Interface (ENI) kann eine primäre private IP-Adresse, mehrere sekundäre IP-Adressen, eine elastische IP-Adresse pro privater IP-Adresse, eine öffentliche IP-Adresse, eine oder mehrere Sicherheitsgruppen, eine MAC-Adresse und ein Quell-/Ziel-Prüfflag haben. Deaktivieren Sie für Instanzen der virtuellen Firewall vSRX die Quell-/Zielprüfung für alle Schnittstellen.
Anmerkung:
ENIs verwenden die IP-Adressen innerhalb des Subnetzbereichs. Die ENI-IP-Adressen sind also nicht erschöpft. |
Netzwerk-MTU |
Alle Amazon-Instance-Typen unterstützen eine MTU von 1500. Einige Instance-Typen unterstützen Jumbo-Frames (9001 MTU).
Anmerkung:
Verwenden Sie die AWS-Instanztypen C3, C4, C5, CC2, M3, M4 oder T2 für Virtuelle Firewall vSRX-Instanzen mit Jumbo-Frames. |
Platzierungsgruppen |
Instances, die in einer gemeinsamen Cluster-Platzierungsgruppe gestartet werden. Instanzen innerhalb des Clusters verfügen über Netzwerke mit hoher Bandbreite und geringer Latenz. |
Sicherheitsgruppen |
Eine von AWS bereitgestellte virtuelle Firewall, die den Datenverkehr für eine oder mehrere Instances steuert. Sicherheitsgruppen können einer Instanz nur zum Zeitpunkt des Starts zugeordnet werden.
Anmerkung:
Da die virtuelle Firewall vSRX Ihre Firewall-Einstellungen verwaltet, empfehlen wir Ihnen, sicherzustellen, dass es keinen Widerspruch zwischen den Regelsätzen in AWS-Sicherheitsgruppen und den Regelsätzen in Ihrer Virtuelle Firewall vSRX-Konfiguration gibt. |
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.