Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren einer Amazon Virtual Private Cloud für die virtuelle vSRX-Firewall

Bevor Sie beginnen, benötigen Sie ein Amazon Web Services (AWS)-Konto und eine Identity and Access Management (IAM)-Rolle mit allen erforderlichen Berechtigungen für den Zugriff, die Erstellung, die Änderung und das Löschen von Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (S3) und Amazon Virtual Private Cloud (Amazon VPC)-Objekten. Außerdem sollten Sie Zugriffsschlüssel und entsprechende geheime Zugriffsschlüssel, X.509-Zertifikate und Konto-IDs erstellen. Ein besseres Verständnis der AWS-Terminologien und ihrer Verwendung in vSRX Virtual Firewall AWS-Bereitstellungen finden Sie unter Grundlegendes zu vSRX mit AWS.

Abbildung 1 zeigt ein Beispiel dafür, wie Sie die virtuelle vSRX-Firewall bereitstellen können, um Sicherheit für Anwendungen zu gewährleisten, die in einem privaten Subnetz einer Amazon VPC ausgeführt werden.

Abbildung 1: Beispiel für die virtuelle vSRX-Firewall in der AWS-Bereitstellung Example of vSRX Virtual Firewall in AWS Deployment

In den folgenden Verfahren wird beschrieben, wie Sie eine Amazon VPC für die virtuelle vSRX-Firewall erstellen und vorbereiten. Die Verfahren beschreiben, wie Sie eine Amazon VPC mit dem zugehörigen Internet-Gateway, den Subnetzen, der Routing-Tabelle und den Sicherheitsgruppen einrichten.

Schritt 1: Erstellen einer Amazon VPC und eines Internet-Gateways

Gehen Sie wie folgt vor, um eine Amazon VPC und ein Internet-Gateway zu erstellen. Wenn Sie bereits über eine VPC und ein Internet-Gateway verfügen, fahren Sie mit Schritt 2: Hinzufügen von Subnetzen für die virtuelle vSRX-Firewall fort.

  1. Melden Sie sich bei der AWS Management Console an und wählen Sie Services > Networking > VPC aus.
  2. Wählen Sie im VPC-Dashboard im linken Bereich Ihre VPCs aus und klicken Sie auf VPC erstellen.
  3. Geben Sie einen VPC-Namen und einen Bereich privater IP-Adressen im CIDR-Format (Classless Interdomain Routing) an. Belassen Sie Default als Mieter.
  4. Klicken Sie auf Ja, erstellen.
  5. Wählen Sie im linken Bereich Internet-Gateways aus, und klicken Sie auf Internet-Gateway erstellen.
  6. Geben Sie einen Gateway-Namen an, und klicken Sie auf Yes, Create.
  7. Wählen Sie das Gateway aus, das Sie gerade erstellt haben, und klicken Sie auf An VPC anhängen.
  8. Wählen Sie die neue Amazon VPC aus und klicken Sie auf Yes, Attach.

Schritt 2: Hinzufügen von Subnetzen für die virtuelle vSRX-Firewall

In der Amazon VPC haben öffentliche Subnetze Zugriff auf das Internet-Gateway, private Subnetze jedoch nicht. Die virtuelle vSRX-Firewall erfordert zwei öffentliche Subnetze und ein oder mehrere private Subnetze für jede einzelne Instance-Gruppe. Die öffentlichen Subnetze bestehen aus einem für die Verwaltungsschnittstelle (fxp0) und einem für eine Umsatzschnittstelle (Daten). Die privaten Subnetze, die mit den anderen Schnittstellen der virtuellen vSRX-Firewall verbunden sind, stellen sicher, dass der gesamte Datenverkehr zwischen Anwendungen in den privaten Subnetzen und dem Internet die virtuelle vSRX-Firewall-Instanz passieren muss.

So erstellen Sie die einzelnen Subnetze der virtuellen vSRX-Firewall:

  1. Wählen Sie im VPC-Dashboard im linken Bereich Subnetze aus und klicken Sie auf Subnetz erstellen.
  2. Geben Sie einen Subnetznamen an, wählen Sie die Amazon VPC und Availability Zone aus und geben Sie den Bereich der Subnetz-IP-Adressen im CIDR-Format an.
    Tipp:

    Als bewährte Methode für die Benennungskonvention für Subnetze empfehlen wir, privat oder öffentlich in den Namen aufzunehmen, um leichter erkennen zu können, welches Subnetz öffentlich oder privat ist.
    Hinweis:

    Alle Subnetze für eine virtuelle vSRX-Firewall-Instanz müssen sich in derselben Verfügbarkeitszone befinden. Verwenden Sie keine Präferenz für die Verfügbarkeitszone.
  3. Klicken Sie auf Ja, erstellen.

Wiederholen Sie diese Schritte für jedes Subnetz, das Sie erstellen und an die virtuelle vSRX-Firewall-Instanz anhängen möchten.

Schritt 3: Anfügen einer Schnittstelle an ein Subnetz

So fügen Sie eine Schnittstelle an ein Subnetz an:

  1. Erstellen Sie eine Netzwerkschnittstelle auf der Amazon EC2-Homepage.

    Klicken Sie auf der EC2-Startseite auf die Option Netzwerkschnittstelle, und die Seite Netzwerkschnittstelle erstellen wird geöffnet.

  2. Klicken Sie auf die Option Netzwerkschnittstelle erstellen , geben Sie die erforderlichen Informationen in die Felder ein, und klicken Sie dann auf Erstellen.
  3. Suchen Sie Ihre neu erstellte Schnittstelle, und wählen Sie sie aus.

    Wenn es sich bei dieser Schnittstelle um die Umsatzschnittstelle handelt, wählen Sie im Menü "Aktion" die Option "Quelle/Ziel ändern.Prüfen" aus, wählen Sie "Deaktiviert" und klicken Sie auf "Speichern". Wenn es sich bei dieser Schnittstelle um Ihre fxp0-Schnittstelle handelt, überspringen Sie diesen Deaktivierungsschritt.

  4. Klicken Sie im Menü oben auf dem Bildschirm auf Anhängen , wählen Sie die Instanz-ID Ihrer vSRX Virtual Firewall-Instanz aus und klicken Sie auf Anhängen.
  5. Die virtuelle vSRX-Firewall unterstützt kein Schnittstellen-Hot-Plug-in. Wenn Sie also mit dem Hinzufügen der Schnittstellen fertig sind, starten Sie die vSRX Virtual Firewall-Instanzen, auf denen die Schnittstellen hinzugefügt wurden, neu, damit die Änderungen wirksam werden.

Schritt 4: Hinzufügen von Routing-Tabellen für die virtuelle vSRX-Firewall

Standardmäßig wird für jede Amazon VPC eine Haupt-Routing-Tabelle erstellt. Es wird empfohlen, eine benutzerdefinierte Routingtabelle für die öffentlichen Subnetze und eine separate Routingtabelle für jedes private Subnetz zu erstellen. Alle Subnetze, die keiner benutzerdefinierten Routingtabelle zugeordnet sind, werden der Hauptroutingtabelle zugeordnet.

So erstellen Sie die Routing-Tabellen:

  1. Wählen Sie im VPC-Dashboard im linken Bereich die Option Routing-Tabellen aus und klicken Sie auf Routing-Tabelle erstellen.
  2. Geben Sie einen Namen für die Routing-Tabelle an, wählen Sie die VPC aus und klicken Sie auf Yes, Create.
    Tipp:

    Als bewährte Methode der Benennungskonvention für Routingtabellen empfehlen wir, "private " oder "public " in den Namen aufzunehmen, um leichter erkennen zu können, welche Routingtabelle öffentlich oder privat ist.
  3. Wiederholen Sie die Schritte 1 und 2, um alle Routing-Tabellen zu erstellen.
  4. Wählen Sie die Routing-Tabelle aus, die Sie für die öffentlichen Subnetze erstellt haben, und gehen Sie wie folgt vor:
    1. Wählen Sie die Registerkarte Routen unter der Liste der Routing-Tabellen aus.
    2. Klicken Sie auf Bearbeiten und dann auf Weitere Route hinzufügen.
    3. Geben Sie 0.0.0.0/0 als Ziel ein, wählen Sie Ihr VPC-Internet-Gateway als Ziel aus und klicken Sie auf Speichern.
    4. Wählen Sie die Registerkarte Subnetzzuordnungen aus, und klicken Sie auf Bearbeiten.
    5. Aktivieren Sie die Kontrollkästchen für die öffentlichen Subnetze, und klicken Sie auf Speichern.
  5. Wählen Sie jede Routing-Tabelle aus, die Sie für ein privates Subnetz erstellt haben, und gehen Sie wie folgt vor:
    1. Wählen Sie die Registerkarte Subnetzzuordnungen aus, und klicken Sie auf Bearbeiten.
    2. Aktivieren Sie das Kontrollkästchen für ein privates Subnetz, und klicken Sie auf Speichern.

Schritt 5: Hinzufügen von Sicherheitsgruppen für die virtuelle vSRX-Firewall

Für jede Amazon VPC wird eine Standardsicherheitsgruppe erstellt. Es wird empfohlen, eine separate Sicherheitsgruppe für die vSRX Virtual Firewall-Verwaltungsschnittstelle (fxp0) und eine weitere Sicherheitsgruppe für alle anderen vSRX Virtual Firewall-Schnittstellen zu erstellen. Die Sicherheitsgruppen werden zugewiesen, wenn eine vSRX Virtual Firewall-Instance im Amazon EC2-Dashboard gestartet wird, wo Sie auch Sicherheitsgruppen hinzufügen und verwalten können.

So erstellen Sie die Sicherheitsgruppen:

  1. Wählen Sie im VPC-Dashboard im linken Bereich Sicherheitsgruppen aus und klicken Sie auf Sicherheitsgruppe erstellen.
  2. Geben Sie für die Verwaltungsschnittstelle der virtuellen vSRX-Firewall im Feld Namens-Tag einen Sicherheitsgruppennamen an, bearbeiten Sie das Feld Gruppenname (optional), geben Sie eine Beschreibung der Gruppe ein und wählen Sie die VPC aus.
  3. Klicken Sie auf Ja, erstellen.
  4. Wiederholen Sie die Schritte 1 bis 3 , um eine Sicherheitsgruppe für die Umsatzschnittstellen der virtuellen vSRX-Firewall zu erstellen.
  5. Wählen Sie die Sicherheitsgruppe aus, die Sie für die Verwaltungsschnittstelle erstellt haben, und gehen Sie wie folgt vor:
    1. Wählen Sie die Registerkarte Eingehende Regeln unter der Liste der Sicherheitsgruppen aus.
    2. Klicken Sie auf Bearbeiten und dann auf Weitere Regel hinzufügen , um die folgenden eingehenden Regeln zu erstellen:

      Typ

      Protokoll

      Hafen

      Quelle

      Benutzerdefinierte TCP-Regel

      Standard

      20-21

      Geben Sie für jede Regel das CIDR-Adressformat ein (0.0.0.0/0 erlaubt jede Quelle).

      SSH (22)

      Standard

      Standard

      HTTP (80)

      Standard

      Standard

      HTTPS (443)

      Standard

      Standard
    3. Klicken Sie auf Speichern.
    4. Wählen Sie die Registerkarte Ausgehende Regeln aus, um die Standardregel anzuzeigen, die den gesamten ausgehenden Datenverkehr zulässt. Verwenden Sie die Standardregel, es sei denn, Sie müssen den ausgehenden Datenverkehr einschränken.
  6. Wählen Sie die Sicherheitsgruppe aus, die Sie für alle anderen Schnittstellen der virtuellen vSRX-Firewall erstellt haben, und gehen Sie wie folgt vor:
    Hinweis:

    Die Regeln für eingehenden und ausgehenden Datenverkehr sollten zulassen, dass Konflikte mit den Sicherheitseinstellungen der virtuellen vSRX-Firewall vermieden werden.
    1. Wählen Sie die Registerkarte Eingehende Regeln unter der Liste der Sicherheitsgruppen aus.
    2. Klicken Sie auf Bearbeiten und erstellen Sie die folgende eingehende Regel:

      Typ

      Protokoll

      Hafen

      Quelle

      Gesamter Datenverkehr

      Alle

      Alle

      • Geben Sie für Webserver 0.0.0.0/0 ein

      • Geben Sie für VPNs einen Bereich von IPv4-Adressen in Form eines CIDR-Blocks (Classless Inter-Domain Routing) ein (z. B. 10.0.0.0/16).
    3. Klicken Sie auf Speichern.
    4. Behalten Sie die Standardregel auf der Registerkarte Ausgangsregeln bei. Die Standardregel lässt den gesamten ausgehenden Datenverkehr zu.

Zugehörige Dokumentation