Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren Der virtuellen Firewall vSRX mithilfe der CLI

Verstehen der virtuellen vSRX-Firewall auf AWS-Vorkonfiguration und Factory-Standardeinstellungen

Die virtuelle Firewall vSRX auf AWS stellt mit den folgenden Vorkonfigurationseinstellungen bereit:

  • SSH-Zugriff mit dem RSA-Schlüsselpaar, das während der Installation konfiguriert wurde

  • Kein Passwortzugriff für SSH-Zugriff erlaubt

  • Die Managementschnittstelle (fxp0) ist mit der elastischen AWS-IP und der Standardroute vorkonfiguriert.

Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 fasst das folgende Beispiel die Vorkonfigurationsanweisungen zusammen, die einer werkseitigen Standardkonfiguration für die virtuelle vSRX-Firewall auf AWS-Instanzen hinzugefügt wurden:

Für Junos OS Version 15.1X49-D70 und früher fasst das folgende Beispiel die Vorkonfigurationsanweisungen zusammen, die einer werksseitigen Konfiguration für die virtuelle Firewall vSRX auf AWS-Instanzen hinzugefügt wurden:

VORSICHT:

Verwenden Sie den load factory-default Befehl nicht auf einer virtuellen vSRX-Firewall-AWS-Instanz. Die werksseitige Standardkonfiguration entfernt die AWS-Vorkonfiguration. Wenn Sie die Werkseinstellungen zurücksetzen müssen, stellen Sie sicher, dass Sie AWS-Vorkonfigurationsanweisungen manuell neu konfigurieren, bevor Sie die Konfiguration bestätigen. andernfalls verlieren Sie den Zugriff auf die virtuelle Firewall-Instanz der vSRX.

Hinzufügen einer einfachen virtuellen vSRX-Firewall-Konfiguration

Sie können entweder eine neue Konfiguration auf der virtuellen vSRX-Firewall erstellen oder eine vorhandene Konfiguration von einer anderen SRX- oder vSRX-Firewall kopieren und auf Ihre virtuelle vSRX-Firewall auf AWS laden. Führen Sie die folgenden Schritte aus, um eine vorhandene Konfiguration zu kopieren und zu laden:

  1. Speichern einer Konfigurationsdatei

  2. Laden einer Konfigurationsdatei

So konfigurieren Sie eine virtuelle vSRX-Firewall-Instanz mithilfe der CLI:

  1. Melden Sie sich mit SSH bei der vSRX Virtual Firewall-Instanz an und starten Sie die CLI.
    Hinweis:

    Ab Junos OS Version 17.4R1 wurde der Standardbenutzername von root@ in ec2-user@.
  2. Gehen Sie in den Konfigurationsmodus.
  3. Legen Sie die Authentifizierungsmethode fest, um sich bei der virtuellen Firewall vSRX anzumelden. Sie können ein Kennwort angeben, indem Sie ein Klartextkennwort oder ein verschlüsseltes Kennwort eingeben. Wenn Sie eine robustere Authentifizierungssicherheit benötigen, empfehlen wir, eine SSH-Zeichenfolge mit öffentlichem Schlüssel (DSA, ECDSA oder RSA) auszuwählen.

    Oder

  4. Aktivieren Sie optional Kennwörter für SSH, wenn Sie Kennwortzugriff für zusätzliche Benutzer erstellen möchten.
  5. Konfigurieren Sie den Hostnamen.
  6. Weisen Sie für jede Umsatzschnittstelle der virtuellen vSRX-Firewall die in AWS definierte IP-Adresse zu. Zum Beispiel:

    Geben Sie für mehrere private Adressen einen Befehl für jede Adresse ein set . Weisen Sie die elastische IP-Adresse nicht zu.

  7. Geben Sie eine Sicherheitszone für die öffentliche Schnittstelle an.
  8. Geben Sie eine Sicherheitszone für die private Schnittstelle an.
  9. Konfigurieren Sie das Routing, um einen separaten virtuellen Router und eine Routing-Option für die öffentlichen und privaten Schnittstellen hinzuzufügen.
    Hinweis:

    Wir empfehlen, die Umsatzschnittstellen in Routing-Instanzen als Best Practice zu setzen, um asymmetrischen Datenverkehr/Routing zu vermeiden, da fxp0 standardmäßig Teil der Standardtabelle (inet.0) ist. Mit fxp0 als Teil der Standard-Routing-Tabelle werden möglicherweise zwei Standardrouten benötigt: eine für die fxp0-Schnittstelle für den externen Verwaltungszugriff und die andere für die Umsatzschnittstellen für den Datenverkehrszugriff. Durch das Zusammensetzen der Umsatzschnittstellen in einer separaten Routing-Instanz wird diese Situation mit zwei Standardrouten in einer einzigen Routing-Instanz vermieden.
  10. Überprüfen Sie die Konfiguration.
  11. Bestätigen Sie die Konfiguration, um sie auf dem Gerät zu aktivieren.
  12. Verwenden Sie optional den Befehl, um die show Konfiguration anzuzeigen, um zu überprüfen, ob sie korrekt ist.

Ein Beispiel für die Konfiguration der virtuellen vSRX-Firewall für NAT für alle Hosts hinter der virtuellen vSRX-Firewall-Instanz in der Amazon Virtual Private Cloud (Amazon VPC) an die IP-Adresse der vSRX Virtual Firewall-Ausgangsschnittstelle in der nicht vertrauenswürdigen Zone finden Sie unter Beispiel: Konfigurieren von NAT für vSRX. Diese Konfiguration ermöglicht Hosts hinter der virtuellen vSRX-Firewall in einem Cloud-Netzwerk den Zugriff auf das Internet.

Ein Beispiel für die Konfiguration von IPsec-VPN zwischen zwei Instanzen der virtuellen vSRX-Firewall auf AWS auf verschiedenen Amazon VPCs finden Sie unter Beispiel: Konfigurieren Sie VPN auf vSRX zwischen Amazon VPCs.

DNS-Server hinzufügen

Die virtuelle Firewall vSRX umfasst keine DNS-Server in der Standardkonfiguration. Möglicherweise muss DNS für die Bereitstellung von Layer-7-Services wie IPS konfiguriert werden, um z. B. Signaturaktualisierungen herunterzuziehen. Sie können Ihren eigenen externen DNS-Server oder einen AWS DNS-Server verwenden. Wenn Sie DNS in Ihrer Amazon VPC aktivieren, sollten Abfragen an den Amazon DNS-Server (169.254.169.253) oder die reservierte IP-Adresse auf der Basis des VPC-Netzwerkbereichs plus zwei erfolgreich sein. Ausführliche Informationen finden Sie unter AWS – Verwenden von DNS mit Ihrer Amazon VPC .

Hinzufügen von vSRX-Lizenzen für virtuelle Firewall-Funktionen

Bestimmte Softwarefunktionen von Junos OS erfordern eine Lizenz zur Aktivierung der Funktion. Um eine lizenzierte Funktion zu aktivieren, müssen Sie einen Lizenzschlüssel erwerben, installieren, verwalten und überprüfen, der den einzelnen lizenzierten Funktionen entspricht. Um den Lizenzanforderungen für Softwarefeatures gerecht zu werden, müssen Sie eine Lizenz pro Funktion pro Instanz erwerben. Durch das Vorhandensein des entsprechenden Software-Entsperrschlüssels auf Ihrer virtuellen Instanz können Sie die lizenzierte Funktion konfigurieren und verwenden.

Weitere Informationen finden Sie unter Verwalten von Lizenzen für vSRX .

Ähnliche Dokumentation