Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Anforderungen für die virtuelle vSRX-Firewall auf AWS

Dieser Abschnitt enthält einen Überblick über die Anforderungen für die Bereitstellung einer vSRX Virtual Firewall-Instance auf Amazon Web Services (AWS).

Mindestsystemanforderungen für AWS

Tabelle 1 listet die Mindestsystemanforderungen für vSRX Virtual Firewall-Instances auf, die auf AWS bereitgestellt werden sollen.

In
Tabelle 1: Mindestsystemanforderungen für die virtuelle vSRX-Firewall

Komponente

Spezifikationen und Details

Hypervisor-Unterstützung

XEN-HVM

Speicher

4 GB

Festplattenspeicher

16 GB

vCPUs

2

vNICs

3

vNIC-Typ

SR-IOV

AMD-Prozessoren Ab Junos OS Version 22.3R2 unterstützt vSRX Virtual Firewall 3.0 auf Amazon Web Services (AWS) den AMD-Prozessor (Advanced Micro Devices), um eine bessere Leistung zu erzielen.

Schnittstellenzuordnung für die virtuelle vSRX-Firewall auf AWS

Die virtuelle vSRX-Firewall auf AWS unterstützt bis zu maximal acht Netzwerkschnittstellen, aber die tatsächliche maximale Anzahl von Schnittstellen, die an eine virtuelle vSRX-Firewall-Instanz angehängt werden können, wird durch den AWS-Instance-Typ bestimmt, in dem sie gestartet wird. Für AWS-Instances, die mehr als acht Schnittstellen zulassen, unterstützt die virtuelle vSRX-Firewall nur bis zu maximal acht Schnittstellen.

Im Folgenden sind die unterstützten C5-Instance-Typen aufgeführt:

  • C5.Groß

  • c5.xlarge

  • C5.2xGroß

  • C5.4xGroß

  • C5.9xGroß

  • C5N.2xGroß

  • C5N.4xGroß

  • C5N.9xGroß

Im Folgenden sind die unterstützten AMD-basierten AWS-Instances aufgeführt:

  • C5a.16xgroß

  • C5a.8xgroß

  • C5a.4xgroß

  • C5a.2xgroß

  • C5a.xlarge

Weitere Informationen zu Instance-Details wie vCPUs, Arbeitsspeicher usw. finden Sie unter Preisinformationen

Weitere Informationen zur maximalen Anzahl von Netzwerkschnittstellen nach Instanztyp finden Sie unter https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .

Tabelle 2 zeigt eine Zuordnung zwischen den Schnittstellennamen der virtuellen vSRX-Firewall und den entsprechenden AWS-Schnittstellennamen für bis zu acht Netzwerkschnittstellen. Die erste Netzwerkschnittstelle wird für die Out-of-Band-Verwaltung (fxp0) für die virtuelle vSRX-Firewall verwendet.

Tabelle 2: Namen der virtuellen vSRX-Firewall und AWS-Schnittstellen

Schnittstellennummer

Schnittstelle der virtuellen vSRX-Firewall

AWS-Schnittstelle

1

fxp0

eth0

2

GE-0/0/0

eth1

3

GE-0/0/1

eth2

4

GE-0/0/2

eth3

5

GE-0/0/3

eth4

6

GE-0/0/4

eth5

7

GE-0/0/5

eth6

8

GE-0/0/6

eth7

Es wird empfohlen, Umsatzschnittstellen in Routing-Instanzen als Best Practice zu platzieren, um asymmetrisches Routing zu vermeiden. Da fxp0 Teil der Standard-Routing-Tabelle (inet.0) ist, werden möglicherweise zwei Standardrouten in derselben Routing-Instanz benötigt: eine für die fxp0-Schnittstelle für den externen Verwaltungszugriff und die andere für die Umsatzschnittstellen für den Datenverkehrszugriff, was zu asymmetrischem Routing führt. Durch das Platzieren der Umsatzschnittstellen in einer separaten Routing-Instanz wird diese Situation von zwei Standardrouten in einer einzigen Routing-Instanz vermieden.

Hinweis:

Stellen Sie sicher, dass sich Schnittstellen, die derselben Sicherheitszone angehören, in derselben Routinginstanz befinden. Weitere Informationen finden Sie im KB-Artikel – Die Schnittstelle muss sich in derselben Routinginstanz befinden wie die anderen Schnittstellen in der Zone.

Standardeinstellungen der virtuellen vSRX-Firewall auf AWS

Für die virtuelle vSRX-Firewall sind die folgenden grundlegenden Konfigurationseinstellungen erforderlich:

  • Schnittstellen müssen IP-Adressen zugewiesen werden.

  • Schnittstellen müssen an Zonen gebunden sein.

  • Richtlinien müssen zwischen den Zonen konfiguriert werden, um Datenverkehr zuzulassen oder zu verweigern.

  • Die ENA-treiberbezogene Komponente muss für die virtuelle vSRX-Firewall bereit sein.

In Tabelle 3 sind die werkseitigen Standardeinstellungen für Sicherheitsrichtlinien auf der virtuellen vSRX-Firewall aufgeführt.

Tabelle 3: Werkseinstellungen für Sicherheitsrichtlinien

Quellgebiet

Zielzone

Politische Maßnahmen

Vertrauen

Unglaubwürdigkeit

Genehmigung

Vertrauen

Vertrauen

Genehmigung
VORSICHT:

Verwenden Sie den load factory-default Befehl nicht auf einer vSRX Virtual Firewall AWS-Instanz. Bei der werkseitigen Standardkonfiguration wird die AWS-Vorkonfiguration entfernt. Wenn Sie auf die Werkseinstellungen zurücksetzen müssen, stellen Sie sicher, dass Sie die AWS-Vorkonfigurationsanweisungen manuell neu konfigurieren, bevor Sie die Konfiguration bestätigen. Andernfalls verlieren Sie den Zugriff auf die virtuelle vSRX-Firewall-Instanz. Weitere Informationen zur AWS-Vorkonfiguration finden Sie unter Konfigurieren von vSRX mithilfe der CLI .

Best Practices zur Verbesserung der Leistung der virtuellen vSRX-Firewall

Überprüfen Sie die folgenden Bereitstellungspraktiken, um die Leistung der virtuellen vSRX-Firewall zu verbessern:

  • Deaktivieren Sie die Quell-/Zielprüfung für alle Schnittstellen der virtuellen vSRX-Firewall.

  • Begrenzen Sie die Zugriffsberechtigungen für öffentliche Schlüssel für Schlüsselpaare auf 400.

  • Stellen Sie sicher, dass es keine Widersprüche zwischen AWS-Sicherheitsgruppen und Ihrer vSRX Virtual Firewall-Konfiguration gibt.

  • Verwenden Sie die c5n-Instance-Typen auf AWS, um den besten Durchsatz auf der virtuellen vSRX-Firewall zu erzielen.

    Hinweis:

    Für große c5-Instances verwendet AWS skalierbare Intel Xeon Prozessoren der zweiten Generation (Cascade Lake) oder Intel Xeon Platinum 8000-Prozessoren der ersten Generation (Skylake-SP) und AWS verwendet für große c4-xtra-Instances Hochfrequenz Intel Xeon E5-2666 v3.

  • Stellen Sie sicher, dass der Datenverkehr über mehrere Schnittstellen der virtuellen vSRX-Firewall fließt, um eine optimale Nutzung der vCPUs zu gewährleisten.

  • Verwenden Sie vSRX Virtual Firewall NAT, um Ihre Amazon EC2-Instances vor direktem Internetverkehr zu schützen.