Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Anforderungen für die virtuelle vSRX-Firewall auf Microsoft Azure

Dieser Abschnitt enthält eine Übersicht über die Anforderungen für die Bereitstellung einer vSRX Virtual Firewall-Instanz in der Microsoft Azure Cloud.

Systemanforderungen für vSRX Virtual Firewall auf Microsoft Azure Cloud

Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 können Sie die virtuelle vSRX-Firewall in der Microsoft Azure Cloud bereitstellen. Microsoft Azure unterstützt eine Vielzahl von Größen und Optionen für bereitgestellte virtuelle Azure-Computer (VMs).

Für die Bereitstellung der virtuellen vSRX-Firewall in Microsoft Azure empfehlen wir VMs der DSv2-Serie. Die von Microsoft Azure bereitgestellten VMs der DSv2-Serie verwenden Storage Premium (SSD) und eignen sich ideal für Anwendungen, die schnellere CPUs und eine bessere lokale Datenträgerleistung erfordern oder höhere Arbeitsspeicheranforderungen haben. Von den verfügbaren VMs der DSv2-Serie empfehlen wir, Standard_DS3_v2, Standard_DS4_v2 oder Standard_DS5_v2 für die VM-Bereitstellung der virtuellen Firewall vSRX in Microsoft Azure auszuwählen. Weitere Informationen finden Sie unter DSv2-Serie.

In Tabelle 1 sind die Eigenschaften der Standard_DS3_v2 VM aufgeführt, die in Microsoft Azure verfügbar ist.

Tabelle 1: Eigenschaften der Standard_DS3_v2 VM in Microsoft Azure

Komponente

Spezifikation

Größe

Standard_DS3_v2

CPU-Kerne

4

Speicher

14 GiB

Maximale Anzahl von Datenträgern

16

Maximaler Durchsatz des zwischengespeicherten und lokalen Festplattenspeichers: IOPS/MBit/s (Cachegröße in GB)

16,000/128 (172)

Maximaler nicht zwischengespeicherter Datenträgerdurchsatz: IOPS/Mbit/s

12,800/192

Max. NICs/Erwartete Netzwerkbandbreite (Mbit/s)

4/3000

In Tabelle 2 sind die Eigenschaften der Standard_DS4_v2 VM aufgeführt, die in Microsoft Azure verfügbar sind.

Tabelle 2: Eigenschaften der Standard_DS4_v2 VM in Microsoft Azure

Komponente

Spezifikation

Größe

Standard-DS4_v2

CPU-Kerne

8

Speicher

28 GiB

Maximale Anzahl von Datenträgern

32

Temporärer Speicher (SSD) GiB

56

Max. zwischengespeicherter und temporärer Speicherdurchsatz: IOPS/MBit/s (Cachegröße in GiB)

32000/256 (344)

Max. nicht zwischengespeicherter Datenträgerdurchsatz: IOPS/MBit/s

25600/384

Max. NICs/Erwartete Netzwerkbandbreite (Mbit/s)

8/6000

Hinweis:

Die virtuelle vSRX-Firewall bietet keine Unterstützung für eine Hochverfügbarkeitskonfiguration in Microsoft Azure. Darüber hinaus unterstützt die virtuelle vSRX-Firewall den transparenten Layer-2-Modus in Microsoft Azure nicht.

In Tabelle 3 sind die Eigenschaften der Standard_DS5_v2 VM aufgeführt, die in Microsoft Azure verfügbar sind.

Tabelle 3: Eigenschaften der Standard_DS5_v2 VM in Microsoft Azure

Komponente

Spezifikation

Größe

Standard-DS5_v2

CPU-Kerne

16

Speicher

56 GiB

Maximale Anzahl von Datenträgern

64

Temporärer Speicher (SSD) GiB

112

Max. zwischengespeicherter und temporärer Speicherdurchsatz: IOPS/MBit/s (Cachegröße in GiB)

64000/512 (688)

Max. nicht zwischengespeicherter Datenträgerdurchsatz: IOPS/MBit/s

51200/768

Max. NICs/Erwartete Netzwerkbandbreite (Mbit/s)

8/12000

Netzwerkanforderungen für die virtuelle vSRX-Firewall in der Microsoft Azure Cloud

Beachten Sie beim Bereitstellen einer virtuellen vSRX-Firewall-VM in einem virtuellen Microsoft Azure-Netzwerk die folgenden Besonderheiten der Bereitstellungskonfiguration:

  • Eine duale öffentliche IP-Netzwerkkonfiguration ist eine Voraussetzung für die vSRX Virtual Firewall VM-Netzwerkkonnektivität. Für die virtuelle Firewall-VM vSRX sind zwei öffentliche Subnetze und ein oder mehrere private Subnetze für jede Instanzgruppe erforderlich.

  • Die öffentlichen Subnetze, die von der virtuellen vSRX-Firewall-VM benötigt werden, bestehen aus einem Subnetz für die Out-of-Band-Verwaltungsschnittstelle (fxp0) für den Verwaltungszugriff und einem weiteren für die beiden Umsatzschnittstellen (Daten). Standardmäßig wird eine Schnittstelle der nicht vertrauenswürdigen Sicherheitszone und die andere der vertrauenswürdigen Sicherheitszone auf der virtuellen vSRX-Firewall-VM zugewiesen.

  • In der Microsoft Azure-Bereitstellung der virtuellen vSRX-Firewall-VM unterstützt die virtuelle vSRX-Firewall die Verwaltungsschnittstelle (fxp0) und die beiden Umsatzschnittstellen (Daten) (Port ge-0/0/0 und ge-0/0/1), die die Zuordnung öffentlicher IP-Adressen und die Weiterleitung des Datenverkehrs zur und von der virtuellen vSRX-Firewall-VM umfassen.

Microsoft Azure-Instanzen und virtuelle vSRX-Firewall-Instanztypen

Die für die virtuelle vSRX-Firewall unterstützten Microsoft Azure-Instance-Typen sind in Tabelle 4 aufgeführt.

Tabelle 4: Unterstützte Microsoft Azure-Instanztypen für die virtuelle vSRX-Firewall

Instance-Typ

Typ der virtuellen vSRX-Firewall

vCPUs

Arbeitsspeicher im Instance-Typ (GB)

RSS-Typ

Standard_DS3_v2

Virtuelle vSRX-4CPU-14G-Arbeitsspeicher

4

14

HWRSS

Standard_DS4_v2

Virtuelle Firewall vSRX-8CPU-28G-Arbeitsspeicher

8

28

HWRSS

Standard_DS5_v2

Virtuelle Firewall vSRX-16CPU-56G-Arbeitsspeicher

16

56

HWRSS

Schnittstellenzuordnung für die virtuelle vSRX-Firewall auf Microsoft Azure

In Tabelle 5 sind die Namen der virtuellen vSRX-Firewall und der Microsoft Azure-Schnittstelle aufgeführt. Die erste Netzwerkschnittstelle wird für die Out-of-Band-Verwaltung (fxp0) für die virtuelle vSRX-Firewall verwendet.

Tabelle 5: Namen der virtuellen vSRX-Firewall und der Microsoft Azure-Schnittstellen

Schnittstellennummer

Schnittstelle der virtuellen vSRX-Firewall

Microsoft Azure-Schnittstelle

1

fxp0

eth0

2

GE-0/0/0

eth1

3

GE-0/0/1

eth2

4

GE-0/0/2

eth3

5

GE-0/0/3

eth4

6

GE-0/0/4

eth5

7

GE-0/0/5

eth6

8

GE-0/0/6

eth7

Hinweis:

Informationen zur maximalen Anzahl von Netzwerkkarten, die pro Azure-Instanztyp unterstützt werden, finden Sie unter Dv2- und DSv2-Serie .

Es wird empfohlen, Umsatzschnittstellen als Best Practice in Routing-Instanzen zu platzieren, um asymmetrischen Datenverkehr/Routing zu vermeiden, da fxp0 standardmäßig Teil der Standardtabelle (inet.0) ist. Wenn fxp0 Teil der Standardroutingtabelle ist, sind möglicherweise zwei Standardrouten erforderlich: eine für die fxp0-Schnittstelle für den externen Verwaltungszugriff und die andere für die Umsatzschnittstellen für den Datenverkehrszugriff. Durch das Platzieren der Umsatzschnittstellen in einer separaten Routing-Instanz wird diese Situation von zwei Standardrouten in einer einzigen Routing-Instanz vermieden. Stellen Sie sicher, dass sich Schnittstellen, die derselben Sicherheitszone angehören, in derselben Routinginstanz befinden.

Standardeinstellungen der virtuellen vSRX-Firewall in Microsoft Azure

Für die virtuelle vSRX-Firewall sind die folgenden grundlegenden Konfigurationseinstellungen erforderlich:

  • Schnittstellen müssen IP-Adressen zugewiesen werden.

  • Schnittstellen müssen an Zonen gebunden sein.

  • Richtlinien müssen zwischen den Zonen konfiguriert werden, um Datenverkehr zuzulassen oder zu verweigern.

In Tabelle 6 sind die werkseitigen Standardeinstellungen für Sicherheitsrichtlinien auf der virtuellen vSRX-Firewall aufgeführt

Tabelle 6: Werkseinstellungen für Sicherheitsrichtlinien

Quellgebiet

Zielzone

Politische Maßnahmen

Vertrauen

Unglaubwürdigkeit

Genehmigung

Vertrauen

Vertrauen

Genehmigung

VORSICHT:

Verwenden Sie den load factory-default Befehl nicht auf der virtuellen vSRX-Firewall-Instanz in Microsoft Azure. Bei der werkseitigen Standardkonfiguration wird die Vorkonfiguration "azure provision" entfernt. Diese Gruppe enthält wichtige Einstellungen auf Systemebene und Routeninformationen für die virtuelle vSRX-Firewall. Eine Fehlkonfiguration in der Gruppe "azure-provision" kann zum möglichen Verlust der Konnektivität zur virtuellen vSRX-Firewall von Microsoft Azure führen. Wenn Sie die Werkseinstellungen wiederherstellen müssen, stellen Sie sicher, dass Sie zuerst die Microsoft Azure-Vorkonfigurationsanweisungen manuell neu konfigurieren, bevor Sie die Konfiguration bestätigen. Andernfalls verlieren Sie den Zugriff auf die virtuelle vSRX-Firewall-Instanz.

Es wird dringend empfohlen, beim Commit einer Konfiguration eine explizite Ausführung commit confirmed durchzuführen, um den möglichen Verlust der Verbindung zur virtuellen vSRX-Firewall zu vermeiden. Sobald Sie sich vergewissert haben, dass die Änderung ordnungsgemäß funktioniert, können Sie die neue Konfiguration aktiv halten, indem Sie den commit Befehl innerhalb von 10 Minuten eingeben. Ohne die rechtzeitige zweite Bestätigung werden Konfigurationsänderungen rückgängig gemacht. Weitere Informationen zur Vorkonfiguration finden Sie unter Konfigurieren von vSRX mithilfe der CLI .

Best Practices zur Verbesserung der Leistung der virtuellen vSRX-Firewall

Überprüfen Sie die folgenden Bereitstellungspraktiken, um die Leistung der virtuellen vSRX-Firewall zu verbessern:

  • Deaktivieren Sie die Quell-/Zielprüfung für alle Schnittstellen der virtuellen vSRX-Firewall.

  • Begrenzen Sie die Zugriffsberechtigungen für öffentliche Schlüssel für Schlüsselpaare auf 400.

  • Stellen Sie sicher, dass es keine Widersprüche zwischen Microsoft Azure-Sicherheitsgruppen und Ihrer vSRX Virtual Firewall-Konfiguration gibt.

  • Verwenden Sie vSRX Virtual Firewall NAT, um Ihre Instanzen vor direktem Internetverkehr zu schützen.

Tabelle der Versionshistorie
Release
Beschreibung
15.1X49-D80
Ab Junos OS Version 15.1X49-D80 und Junos OS Version 17.3R1 können Sie die virtuelle vSRX-Firewall in der Microsoft Azure Cloud bereitstellen.