SUR CETTE PAGE
Comprendre vSRX avec AWS
Cette section présente un aperçu de vSRX sur Amazon Web Services (AWS).
vSRX avec AWS
AWS fournit des services à la demande dans le cloud. Les services vont de l’infrastructure en tant que service (IaaS) et de la plate-forme en tant que service (SaaS) aux applications et bases de données en tant que service. AWS est une plate-forme cloud extrêmement flexible, évolutive et fiable. Avec AWS, vous pouvez héberger des serveurs et des services sur le cloud sous la forme d’un service pay-as-you-go (PAYG) ou BYOL (bring-your-own-license).
Les images vSRX PAYG ne requièrent aucune licence Juniper Networks.
Le vSRX peut être déployé dans un cloud privé virtuel (VPC) dans le cloud Amazon Web Services (AWS). Vous pouvez lancer vSRX en tant qu’instance Amazon Elastic Compute Cloud (EC2) dans un VPC Amazon dédié à un compte utilisateur spécifique. Le vSRX Amazon Machine Image (AMI) utilise la virtualisation HVM (Hardware Virtual Machine).
La figure 1 illustre un exemple de déploiement d’une instance vSRX afin de garantir la sécurité des applications exécutées dans un sous-réseau privé d’un VPC Amazon.
Dans le VPC Amazon, les sous-réseaux publics ont accès à la passerelle Internet, mais pas aux sous-réseaux privés. vSRX nécessite deux sous-réseaux publics et un ou plusieurs sous-réseaux privés pour chaque groupe d’instances individuel. Les sous-réseaux publics se composent d’un pour l’interface de gestion (fxp0) et d’un pour une interface de revenus (données). Les sous-réseaux privés, connectés aux autres interfaces vSRX, garantissent que tout le trafic entre les applications des sous-réseaux privés et Internet doit passer par l’instance vSRX.
AWS
Aws Marketplace vous permet également de découvrir et de vous abonner à un logiciel prenant en charge les charges de travail réglementées via AWS Marketplace pour AWS GovCloud (États-Unis).
À partir de Junos OS Version 15.1X49-D70 et Junos OS Version 17.3R1, vSRX prend en charge deux offres pour PAYG disponibles sous forme d’abonnements d’une heure ou d’un an.
Pare-feu nouvelle génération vSRX : comprend des fonctionnalités de sécurité standard (STD), notamment des services de pare-feu central, VPN IPsec, NAT, CoS et de routage, ainsi que des services de sécurité avancés de couche 4 à 7 tels que les fonctionnalités AppSecure d’AppID, AppFW, AppQoS et AppTrack, le système de prévention d’intrusion (IPS) et des capacités de routage enrichies.
Pare-feu premium nouvelle génération vSRX avec protection antivirus : inclut les fonctionnalités du package de pare-feu nouvelle génération vSRX, notamment l’antivirus UTM.
Vous déployez vSRX dans un cloud privé virtuel Amazon (VPC Amazon) en tant qu’instance d’application dans Amazon Elastic Compute Cloud (Amazon EC2). Chaque instance d’Amazon EC2 est déployée, accessible et configurée sur Internet à l’aide de la console de gestion AWS, et le nombre d’instances peut être reconfiguré en fonction des besoins.
Dans la version actuelle, chaque instance vSRX utilise deux processeurs virtuels et 4 Go de mémoire, même si le type d’instance sélectionné sur AWS fournit davantage de ressources.
vSRX utilise des machines virtuelles assistées par matériel (HVM) pour des performances élevées (mise en réseau améliorée) et prend en charge les déploiements suivants sur les environnements cloud AWS :
En tant que pare-feu entre d’autres instances Amazon EC2 sur votre VPC Amazon et Internet
En tant que point de terminaison VPN entre votre réseau d’entreprise et votre VPC Amazon
En tant que pare-feu entre des instances Amazon EC2 sur différents sous-réseaux
Les services AWS d’un compte AWS sont limités par défaut. Pour plus d’informations sur les limites des services AWS, consultez https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html et https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .
Glossaire AWS
Cette section définit certains termes courants utilisés dans une configuration AWS. Le tableau 1 définit les termes communs utilisés pour le cloud privé virtuel Amazon (VPC Amazon) et le tableau 2 définit les termes communs pour les services Amazon Elastic Compute Cloud (Amazon EC2).
Terme |
Description |
|---|---|
Passerelles Internet |
Composants du VPC Amazon qui autorisent les communications entre vos instances dans le VPC Amazon et Internet. |
Adressage IP |
AWS inclut trois types d’adresse IP :
Chaque interface réseau peut être associée à plusieurs adresses IP privées. Les sous-réseaux publics peuvent comporter plusieurs adresses IP privées, publiques et élastiques, associées à l’adresse IP privée de l’interface réseau. Les instances des sous-réseaux privés et publics peuvent avoir plusieurs adresses IP privées. Une adresse IP élastique peut être associée à chaque adresse IP privée, pour les instances des sous-réseaux publics. Vous pouvez attribuer des adresses IP privées statiques dans le sous-réseau. Les cinq premières adresses IP et la dernière adresse IP du sous-réseau sont réservées au routage et à la mise en réseau du VPC Amazon. La première adresse IP est la passerelle du sous-réseau. |
ACL réseau |
Pare-feu virtuel sans état AWS fonctionnant au niveau du sous-réseau. |
Tables de routage |
Ensemble de règles de routage utilisées pour déterminer l’emplacement d’acheminement du trafic réseau. Chaque sous-réseau doit être associé à une table de routage. Les sous-réseaux qui ne sont pas explicitement associés à une table de routage sont associés à la table de routage principale. Des tables de routage personnalisées peuvent être créées autre que la table par défaut. |
Sous-réseau |
Un espace d’adressage virtuel dans le bloc CIDR VPC d’Amazon. Les adresses IP des instances Amazon EC2 sont attribuées à partir du pool d’adresses IP de sous-réseau. Vous pouvez créer deux types de sous-réseaux dans le VPC Amazon :
Note:
Avec la traduction des adresses réseau (NAT) vSRX, vous pouvez lancer toutes les instances client dans des sous-réseaux privés et connecter les interfaces vSRX à Internet. Cela protège les instances client d’être directement exposées au trafic Internet. |
Vpc |
Cloud privé virtuel. |
Terme |
Description |
|---|---|
Amazon Elastic Block Store (EBS) |
Stockage de bloc permanent pouvant être attaché à une instance Amazon EC2. Les volumes de stockage bloqués peuvent être formatés et montés sur une instance. Les instances optimisées d’Amazon EBS offrent un débit dédié entre Amazon EC2 et Amazon EBS. |
Amazon Elastic Compute Cloud (EC2) |
Service Web Amazon permettant de lancer et de gérer des serveurs ou ordinateurs virtuels élastiques qui s’exécutent sur l’infrastructure Amazon. |
Image d’Amazon Machine (AMI) |
Format d’image Amazon qui contient les informations requises pour lancer une instance Amazon EC2, telles que le modèle de volume racine, les autorisations de lancement et le mappage d’équipements. |
IP élastique |
Une adresse IP statique conçue pour le cloud computing dynamique. L’ADRESSE IP publique est mappée à l’ADRESSE IP du sous-réseau privé à l’aide de NAT. |
Mise en réseau améliorée |
Fournit des performances élevées en termes de paquets par seconde, une faible latence, des performances d’E/S plus élevées et une utilisation plus faible du processeur par rapport aux implémentations traditionnelles. vSRX exploite ce réseau avec une machine virtualisée matérielle (HVM) Amazon Machine Images (API). |
Exemple |
Machine ou serveur virtuel sur Amazon EC2 qui utilise des types d’hyperviseur XEN ou XEN-HVM. Amazon EC2 propose une sélection d’instances optimisées pour différents cas d’utilisation. |
Paires de clés |
Cryptographie à clé publique utilisée par AWS pour chiffrer et déchiffrer les informations de connexion. Créez ces paires de clés à l’aide d’AWS-EC2 ou importez vos propres paires de clés.
Note:
AWS n’accepte pas la DSA. Limitez les autorisations d’accès à la clé publique à 400. Pour plus d’informations sur la rotation des clés, consultez https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html. |
Interfaces réseau |
Interfaces réseau virtuelles que vous pouvez joindre à une instance du VPC Amazon. Une interface réseau élastique (ENI) peut avoir une adresse IP privée principale, plusieurs adresses IP secondaires, une adresse IP élastique par adresse IP privée, une adresse IP publique, un ou plusieurs groupes de sécurité, une adresse MAC et un indicateur de vérification source/destination. Pour les instances vSRX, désactivez la vérification de la source/de la destination pour toutes les interfaces.
Note:
Les INE utilisent les adresses IP dans la plage de sous-réseaux. Les adresses IP ENI ne sont donc pas épuisées. |
MTU réseau |
Tous les types d’instances Amazon prennent en charge un MTU de 1 500. Certains types d’instances prennent en charge les trames jumbo (9001 MTU).
Note:
Utilisez les types d’instances AWS C3, C4, C5, CC2, M3, M4 ou T2 pour les instances vSRX avec trames jumbo. |
Groupes de placement |
Instances lancées dans un groupe de placement de cluster commun. Les instances du cluster disposent de réseaux à bande passante élevée et à faible latence. |
Groupes de sécurité |
Pare-feu virtuel fourni par AWS qui contrôle le trafic pour une ou plusieurs instances. Les groupes de sécurité peuvent être associés à une instance uniquement au moment du lancement.
Note:
Comme vSRX gère vos paramètres de pare-feu, il est recommandé de s’assurer qu’il n’y a pas de contradiction entre les ensembles de règles sur les groupes de sécurité AWS et les ensembles de règles dans votre configuration vSRX. |