AUF DIESER SEITE
Systemanforderungen für die virtuelle Firewall vSRX in Microsoft Azure Cloud
Netzwerkanforderungen für die virtuelle Firewall vSRX in Microsoft Azure Cloud
Microsoft Azure-Instanzen und virtuelle Firewall vSRX – Instanztypen
Schnittstellenzuordnung für die virtuelle Firewall vSRX auf Microsoft Azure
Virtuelle Firewall vSRX Standardeinstellungen auf Microsoft Azure
Best Practices zur Verbesserung der Leistung der virtuellen Firewall vSRX
Anforderungen für die virtuelle Firewall vSRX auf Microsoft Azure
In diesem Abschnitt erhalten Sie einen Überblick über die Anforderungen für die Bereitstellung einer Instanz der virtuellen Firewall vSRX in Microsoft Azure Cloud.
Systemanforderungen für die virtuelle Firewall vSRX in Microsoft Azure Cloud
Ab Junos OS-Version 15.1X49-D80 und Junos OS-Version 17.3R1 können Sie die virtuelle Firewall vSRX in der Microsoft Azure-Cloud bereitstellen. Microsoft Azure unterstützt eine Vielzahl von Größen und Optionen für bereitgestellte virtuelle Azure-Computer (VMs).
Für die Virtuelle Firewall vSRX Bereitstellung in Microsoft Azure empfehlen wir VMs der DSv2-Serie. Die von Microsoft Azure bereitgestellten VMs der DSv2-Serie verwenden Storage Premium (SSD) und sind ideal für Anwendungen, die schnellere CPUs und eine bessere Leistung des lokalen Datenträgers erfordern oder höhere Arbeitsspeicheranforderungen haben. Von den verfügbaren VMs der DSv2-Serie wird empfohlen, Standard_DS3_v2, Standard_DS4_v2 oder Standard_DS5_v2 für die Bereitstellung Virtuelle Firewall vSRX VMs in Microsoft Azure auszuwählen. Weitere Informationen finden Sie unter DSv2-Serie.
Tabelle 1 listet die Eigenschaften der Standard_DS3_v2 VM auf, die in Microsoft Azure verfügbar sind.
Bestandteil |
Spezifikation |
|---|---|
Größe |
Standard_DS3_v2 |
CPU-Kerne |
4 |
Gedächtnis |
14 GiB |
Maximale Anzahl von Datenträgern |
16 |
Maximaler Durchsatz durch zwischengespeicherten und lokalen Datenträgerspeicher: IOPS/MBps (Cachegröße in GB) |
16,000/128 (172) |
Maximaler nicht zwischengespeicherter Datenträgerdurchsatz: IOPS/MBps |
12,800/192 |
Max. NICs/Erwartete Netzwerkbandbreite (Mbit/s) |
4/3000 |
Tabelle 2 listet die Eigenschaften der Standard_DS4_v2 VM auf, die in Microsoft Azure verfügbar sind.
Bestandteil |
Spezifikation |
|---|---|
Größe |
Standard-DS4_v2 |
CPU-Kerne |
8 |
Gedächtnis |
28 GiB |
Maximale Anzahl von Datenträgern |
32 |
Temporärer Speicher (SSD) GiB |
56 |
Maximaler Durchsatz im zwischengespeicherten und temporären Speicher: IOPS/MBps (Cachegröße in GiB) |
32000/256 (344) |
Max. nicht zwischengespeicherter Datenträgerdurchsatz: IOPS/MBps |
25600/384 |
Max. NICs/Erwartete Netzwerkbandbreite (Mbit/s) |
8/6000 |
Die Virtuelle Firewall vSRX bietet keine Unterstützung für eine Hochverfügbarkeitskonfiguration in Microsoft Azure. Darüber hinaus unterstützt die virtuelle Firewall vSRX den transparenten Modus Layer 2 in Microsoft Azure nicht. Sie können die Hochverfügbarkeit mit mehreren Knoten auf virtuellen vSRX-Firewalls konfigurieren, die in der Microsoft Azure-Cloud bereitgestellt werden. Weitere Informationen finden Sie unter Hochverfügbarkeit mit mehreren Knoten in der Azure-Cloud.
In Tabelle 3 sind die Eigenschaften der Standard_DS5_v2 VM aufgeführt, die in Microsoft Azure verfügbar sind.
Bestandteil |
Spezifikation |
|---|---|
Größe |
Standard-DS5_v2 |
CPU-Kerne |
16 |
Gedächtnis |
56 GiB |
Maximale Anzahl von Datenträgern |
64 |
Temporärer Speicher (SSD) GiB |
112 |
Maximaler Durchsatz im zwischengespeicherten und temporären Speicher: IOPS/MBps (Cachegröße in GiB) |
64000/512 (688) |
Max. nicht zwischengespeicherter Datenträgerdurchsatz: IOPS/MBps |
51200/768 |
Max. NICs/Erwartete Netzwerkbandbreite (Mbit/s) |
8/12000 |
Netzwerkanforderungen für die virtuelle Firewall vSRX in Microsoft Azure Cloud
Wenn Sie eine virtuelle virtuelle Firewall vSRX-VM in einem virtuellen Microsoft Azure-Netzwerk bereitstellen, beachten Sie die folgenden Besonderheiten der Bereitstellungskonfiguration:
Eine duale öffentliche IP-Netzwerkkonfiguration ist eine Voraussetzung für die VM-Netzwerkkonnektivität der Virtuelle Firewall vSRX. Die virtuelle Firewall vSRX-VM erfordert zwei öffentliche Subnetze und ein oder mehrere private Subnetze für jede Instanzgruppe.
Die öffentlichen Subnetze, die für die VM der virtuellen Firewall vSRX erforderlich sind, bestehen aus einem Subnetz für die Out-of-Band-Managementschnittstelle (FXP0) für den Verwaltungszugriff und einem weiteren für die beiden Umsatzschnittstellen (Datenschnittstellen). Standardmäßig wird eine Schnittstelle der nicht vertrauenswürdigen Sicherheitszone und die andere der vertrauenswürdigen Sicherheitszone auf der virtuellen Virtuelle Firewall vSRX-VM zugewiesen.
In der Microsoft Azure-Bereitstellung der virtuellen Virtuelle Firewall vSRX unterstützt die virtuelle Firewall vSRX die Verwaltungsschnittstelle (fxp0) und die beiden Umsatzschnittstellen (Daten) (Port ge-0/0/0 und ge-0/0/1), die die Zuordnung öffentlicher IP-Adressen und die Weiterleitung des Datenverkehrs zur und von der virtuellen Virtuelle Firewall vSRX umfassen.
Microsoft Azure-Instanzen und virtuelle Firewall vSRX – Instanztypen
Die Microsoft Azure-Instanztypen, die für die virtuelle Firewall vSRX unterstützt werden, sind in Tabelle 4 aufgeführt.
Instance-Typ |
Virtuelle Firewall vSRX Typ |
vCPUs |
Speicher in Instance-Typ (GB) |
RSS-Typ |
|---|---|---|---|---|
Standard_DS3_v2 |
Virtuelle Firewall vSRX-4CPU-14G Arbeitsspeicher |
4 |
14 |
HWRSS |
Standard_DS4_v2 |
Virtuelle Firewall vSRX-8CPU-28G Arbeitsspeicher |
8 |
28 |
HWRSS |
Standard_DS5_v2 |
Virtuelle Firewall vSRX-16CPU-56G Arbeitsspeicher |
16 |
56 |
HWRSS |
Schnittstellenzuordnung für die virtuelle Firewall vSRX auf Microsoft Azure
In Tabelle 5 sind die Namen der virtuellen Firewall vSRX und der Microsoft Azure-Schnittstelle aufgeführt. Die erste Netzwerkschnittstelle wird für das Out-of-Band-Management (fxp0) für die virtuelle Firewall vSRX verwendet.
| Schnittstellennummer |
Virtuelle Firewall vSRX-Schnittstelle |
Microsoft Azure-Schnittstelle |
|---|---|---|
| 1 |
fxp0-KARTON |
eth0 |
| 2 |
GE-0/0/0 |
eth1 |
| 3 |
GE-0/0/1 |
eth2 |
| 4 |
GE-0/0/2 |
eth3 |
| 5 |
GE-0/0/3 |
eth4 |
| 6 |
GE-0/0/4 |
eth5 |
| 7 |
GE-0/0/5 |
eth6 |
| 8 |
GE-0/0/6 |
eth7 |
Informationen zur maximalen Anzahl von Netzwerkkarten, die pro Azure-Instanztyp unterstützt werden, finden Sie unter Dv2- und DSv2-series .
Es wird empfohlen, Umsatzschnittstellen in Routinginstanzen zu platzieren, um asymmetrischen Datenverkehr/Routing zu vermeiden, da fxp0 standardmäßig Teil der Standardtabelle (inet.0) ist. Mit fxp0 als Teil der Standard-Routing-Tabelle sind möglicherweise zwei Standardrouten erforderlich: eine für die fxp0-Schnittstelle für den externen Verwaltungszugriff und die andere für die Umsatzschnittstellen für den Datenverkehrszugriff. Durch das Platzieren der Umsatzschnittstellen in einer separaten Routing-Instanz wird diese Situation von zwei Standardrouten in einer einzigen Routing-Instanz vermieden. Stellen Sie sicher, dass sich Schnittstellen, die zur gleichen Sicherheitszone gehören, in derselben Routinginstanz befinden.
Virtuelle Firewall vSRX Standardeinstellungen auf Microsoft Azure
Für die Virtuelle Firewall vSRX sind die folgenden grundlegenden Konfigurationseinstellungen erforderlich:
Schnittstellen müssen IP-Adressen zugewiesen werden.
Schnittstellen müssen an Zonen gebunden sein.
Richtlinien müssen zwischen den Zonen konfiguriert werden, um Datenverkehr zuzulassen oder abzulehnen.
Tabelle 6 listet die werkseitigen Standardeinstellungen für Sicherheitsrichtlinien auf der virtuellen Firewall vSRX auf
Quellzone |
Zielzone |
Politische Maßnahmen |
|---|---|---|
vertrauen |
Nicht vertrauenswürdig |
erlauben |
vertrauen |
vertrauen |
erlauben |
Verwenden Sie den load factory-default Befehl nicht auf der virtuellen Firewall vSRX-Instanz in Microsoft Azure. In der werkseitigen Standardkonfiguration wird die Vorkonfiguration "Azure-Bereitstellung" entfernt. Diese Gruppe enthält wichtige Einstellungen auf Systemebene und Routeninformationen für die Virtuelle Firewall vSRX. Eine Fehlkonfiguration in der Gruppe "azure-provision" kann dazu führen, dass die Verbindung zur virtuellen Firewall vSRX von Microsoft Azure verloren geht. Wenn Sie auf die Werkseinstellungen zurücksetzen müssen, stellen Sie sicher, dass Sie zuerst die Microsoft Azure-Vorkonfigurationsanweisungen manuell neu konfigurieren, bevor Sie die Konfiguration bestätigen. Andernfalls verlieren Sie den Zugriff auf die virtuelle Firewall vSRX-Instanz.
Es wird dringend empfohlen, beim Festlegen einer Konfiguration eine explizite commit confirmed durchzuführen, um zu vermeiden, dass die Verbindung zur Virtuelle Firewall vSRX unterbrochen wird. Nachdem Sie sich vergewissert haben, dass die Änderung ordnungsgemäß funktioniert, können Sie die neue Konfiguration aktiv lassen, indem Sie den commit Befehl innerhalb von 10 Minuten eingeben. Ohne die rechtzeitige zweite Bestätigung werden Konfigurationsänderungen rückgängig gemacht. Weitere Informationen zur Vorkonfiguration finden Sie unter Konfigurieren von vSRX mithilfe der CLI .
Best Practices zur Verbesserung der Leistung der virtuellen Firewall vSRX
Überprüfen Sie die folgenden Bereitstellungspraktiken, um die Leistung der Virtuelle Firewall vSRX zu verbessern:
Deaktivieren Sie die Quell-/Zielprüfung für alle Schnittstellen der Virtuelle Firewall vSRX.
Beschränken Sie die Zugriffsberechtigungen für öffentliche Schlüssel auf 400 für Schlüsselpaare.
Stellen Sie sicher, dass es keine Widersprüche zwischen Microsoft Azure-Sicherheitsgruppen und Ihrer Konfiguration der virtuellen Firewall vSRX gibt.
Verwenden Sie die virtuelle Firewall vSRX-NAT, um Ihre Instanzen vor direktem Internetverkehr zu schützen.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.