Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre le pare-feu virtuel vSRX avec AWS

Cette section présente le pare-feu virtuel vSRX sur Amazon Web Services (AWS).

Pare-feu virtuel vSRX avec AWS

AWS fournit des services à la demande dans le cloud. Les services vont de l’infrastructure en tant que service (IaaS) et de la plate-forme en tant que service (SaaS) aux applications et bases de données en tant que service. AWS est une plateforme cloud hautement flexible, évolutive et fiable. Dans AWS, vous pouvez héberger des serveurs et des services sur le cloud en tant que service payg (payg) ou BYOL (bring your-own-license).

Note:

Les images PAYG du pare-feu virtuel vSRX ne nécessitent aucune licence Juniper Networks.

Vous pouvez déployer le pare-feu virtuel vSRX dans un cloud privé virtuel (VPC) du cloud Amazon Web Services (AWS). Vous pouvez lancer le pare-feu virtuel vSRX en tant qu’instance Amazon Elastic Compute Cloud (EC2) dans un Amazon VPC dédié à un compte d’utilisateur spécifique. Le pare-feu virtuel vSRX Amazon Machine Image (AMI) utilise la virtualisation des machines virtuelles matérielles (HVM).

La figure 1 montre un exemple de déploiement d’une instance de pare-feu virtuel vSRX pour assurer la sécurité des applications exécutées dans un sous-réseau privé d’un Amazon VPC.

Dans Amazon VPC, les sous-réseaux publics ont accès à la passerelle Internet, mais pas les sous-réseaux privés. Le pare-feu virtuel vSRX requiert deux sous-réseaux publics et un ou plusieurs sous-réseaux privés pour chaque groupe d’instances individuel. Les sous-réseaux publics se composent d’une interface de gestion (fxp0) et d’une interface de revenus (données). Les sous-réseaux privés, connectés aux autres interfaces du pare-feu virtuel vSRX, garantissent que tout le trafic entre les applications sur les sous-réseaux privés et Internet doit passer par l’instance du pare-feu virtuel vSRX.

Figure 1 : pare-feu virtuel vSRX dans le déploiement AWS vSRX Virtual Firewall in AWS Deployment

AWS Marketplace vous permet également de découvrir et de vous abonner à des logiciels qui prennent en charge les charges de travail réglementées via AWS Marketplace pour AWS GovCloud (US).

À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, vSRX Virtual Firewall prend en charge deux offres groupées pour PAYG disponibles sous forme d’abonnements d’une heure ou d’un an.

  • Pare-feu virtuel vSRX de nouvelle génération : inclut les fonctionnalités standard (STD) de sécurité centrale, notamment le pare-feu central, le VPN IPsec, le NAT, le CoS et les services de routage, ainsi que des services de sécurité avancés des couches 4 à 7 tels que les fonctionnalités AppSecure d’AppID, AppFW, AppQoS et AppTrack, IPS et des fonctionnalités de routage enrichies.

  • Pare-feu virtuel vSRX premium - Pare-feu nouvelle génération avec protection antivirus : inclut les fonctionnalités du package de pare-feu virtuel vSRX de nouvelle génération, y compris la fonction antivirus Content Security.

Vous déployez vSRX Virtual Firewall dans un Amazon Virtual Private Cloud (Amazon VPC) en tant qu’instance d’application dans Amazon Elastic Compute Cloud (Amazon EC2). Chaque instance Amazon EC2 est déployée, consultée et configurée sur Internet à l’aide d’AWS Management Console, et le nombre d’instances peut être augmenté ou réduit selon les besoins.

Note:

Dans la version actuelle, chaque instance de pare-feu virtuel vSRX utilise deux vCPU et 4 Go de mémoire, même si le type d’instance sélectionné sur AWS fournit davantage de ressources.

Le pare-feu virtuel vSRX utilise des machines virtuelles assistées par matériel (HVM) pour des performances élevées (mise en réseau améliorée) et prend en charge les déploiements suivants sur les environnements cloud AWS :

  • En tant que pare-feu entre d’autres instances Amazon EC2 sur votre Amazon VPC et Internet

  • En tant que point de terminaison VPN entre votre réseau d’entreprise et votre Amazon VPC

  • En tant que pare-feu entre des instances Amazon EC2 sur différents sous-réseaux

Il existe des limites par défaut pour les services AWS pour un compte AWS. Pour plus d’informations sur les limites de service AWS, consultez https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html et https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .

Glossaire AWS

Cette section définit certains termes couramment utilisés dans une configuration AWS. Le tableau 1 définit les termes courants utilisés pour Amazon Virtual Private Cloud (Amazon VPC) et le tableau 2 définit les termes communs pour les services Amazon Elastic Compute Cloud (Amazon EC2).

Tableau 1 : terminologie liée à Amazon VPC

Terme

Description

Passerelles Internet

Composants Amazon VPC qui permettent les communications entre vos instances dans l’Amazon VPC et Internet.

Adressage IP

AWS comprend trois types d’adresses IP :

  • Adresses IP publiques obtenues à partir d’un sous-réseau public publiquement routable à partir d’Internet. Les adresses IP publiques sont mappées aux adresses IP privées principales via AWS NAT.

  • Adresse IP privée : adresses IP dans la plage Amazon VPC Classless Interdomain Routing (CIDR), comme spécifié dans RFC 1918, qui ne sont pas publiquement routables.

  • Adresse IP élastique : adresse IP statique conçue pour le cloud computing dynamique. Lorsqu’une adresse IP Elastic est associée à une interface réseau IP publique, l’adresse IP publique associée est libérée jusqu’à ce que l’adresse IP Elastic soit dissociée de l’interface réseau.

Chaque interface réseau peut être associée à plusieurs adresses IP privées. Les sous-réseaux publics peuvent avoir plusieurs adresses IP privées, adresses publiques et adresses IP Elastic associées à l’adresse IP privée de l’interface réseau. Les instances des sous-réseaux privés et publics peuvent avoir plusieurs adresses IP privées. Une adresse IP Elastic peut être associée à chaque adresse IP privée pour les instances des sous-réseaux publics.

Vous pouvez attribuer des adresses IP privées statiques dans le sous-réseau. Les cinq premières adresses IP et la dernière adresse IP du sous-réseau sont réservées à la mise en réseau et au routage Amazon VPC. La première adresse IP est la passerelle du sous-réseau.

ACL réseau

Pare-feu virtuel sans état AWS fonctionnant au niveau du sous-réseau.

Tables de routage

Ensemble de règles de routage utilisées pour déterminer où le trafic réseau est dirigé. Chaque sous-réseau doit être associé à une table de routage. Les sous-réseaux qui ne sont pas explicitement associés à une table de routage sont associés à la table de routage principale.

Des tables de routage personnalisées peuvent être créées autres que la table par défaut.

Sous-réseau

Un espace d’adressage virtuel dans le bloc d’adresse CIDR Amazon VPC. Les adresses IP des instances Amazon EC2 sont allouées à partir du pool d’adresses IP de sous-réseau.

Vous pouvez créer deux types de sous-réseaux dans l’Amazon VPC :

  • Sous-réseaux publics : sous-réseaux disposant de connexions de trafic à la passerelle Internet.

  • Sous-réseaux privés : sous-réseaux n’ayant pas de connexion à la passerelle Internet

Note:

Avec la traduction d’adresses réseau (NAT) du pare-feu virtuel vSRX, vous pouvez lancer toutes les instances client dans des sous-réseaux privés et connecter les interfaces du pare-feu virtuel vSRX à Internet. Cela empêche les instances client d’être directement exposées au trafic Internet.

VPC

Cloud privé virtuel.

Tableau 2 : terminologie liée à Amazon EC2

Terme

Description

Amazon Elastic Block Store (EBS)

Stockage par bloc persistant pouvant être attaché à une instance Amazon EC2. Les volumes de stockage par bloc peuvent être formatés et montés sur une instance. Les instances optimisées pour Amazon EBS fournissent un débit dédié entre Amazon EC2 et Amazon EBS.

Amazon Elastic Compute Cloud (EC2)

Amazon Web Service qui permet le lancement et la gestion de serveurs virtuels élastiques ou d’ordinateurs qui s’exécutent sur l’infrastructure Amazon.

Image machine Amazon (AMI)

Format d’image Amazon qui contient les informations, telles que le modèle pour le volume racine, les autorisations de lancement et le mappage d’appareil de bloc, requises pour lancer une instance Amazon EC2.

IP élastique

IP statique conçue pour le cloud computing dynamique. L’adresse IP publique est mappée à l’adresse IP du sous-réseau privé à l’aide du NAT.

Mise en réseau améliorée

Offre des performances élevées par paquet par seconde, une faible latence, des performances d’E/S supérieures et une utilisation du processeur inférieure à celle des implémentations traditionnelles. Le pare-feu virtuel vSRX exploite cette mise en réseau avec des Amazon Machine Images (AMI) de machines virtuelles matérielles (HVM).

Exemple

Une machine virtuelle ou un serveur sur Amazon EC2 qui utilise les types d’hyperviseur XEN ou XEN-HVM. Amazon EC2 fournit une sélection d’instances optimisées pour différents cas d’utilisation.

Paire de clés

Chiffrement à clé publique utilisé par AWS pour chiffrer et déchiffrer les informations de connexion. Créez ces paires de clés à l’aide d’AWS-EC2 ou importez votre propre paire de clés.

Note:

AWS n’accepte pas l’indemnité journalière de subsistance. Limitez les autorisations d’accès par clé publique à 400.

Pour plus d’informations sur la rotation des clés, reportez-vous à https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html.

Interfaces réseau

Interfaces réseau virtuelles que vous pouvez attacher à une instance dans l’Amazon VPC. Une interface réseau Elastic (ENI) peut avoir une adresse IP privée principale, plusieurs adresses IP secondaires, une adresse IP Elastic par adresse IP privée, une adresse IP publique, un ou plusieurs groupes de sécurité, une adresse MAC et un indicateur de vérification source/destination.

Pour les instances de pare-feu virtuel vSRX, désactivez la vérification source/destination pour toutes les interfaces.

Note:

Les ENI utilisent les adresses IP dans la plage de sous-réseau. Ainsi, les adresses IP ENI ne sont pas épuisées.

MTU réseau

Tous les types d’instances Amazon prennent en charge une MTU de 1500. Certains types d’instance prennent en charge les trames jumbo (9001 MTU).

Note:

Utilisez les types d’instance AWS C3, C4, C5, CC2, M3, M4 ou T2 pour les instances du pare-feu virtuel vSRX avec trames jumbo.

Groupes de placement

Instances lancées dans un groupe de placement de cluster commun. Les instances du cluster disposent de réseaux à bande passante élevée et à faible latence.

Groupes de sécurité

Un pare-feu virtuel fourni par AWS qui contrôle le trafic pour une ou plusieurs instances. Les groupes de sécurité ne peuvent être associés à une instance qu’au moment du lancement.

Note:

Étant donné que le pare-feu virtuel vSRX gère vos paramètres de pare-feu, nous vous recommandons de vous assurer qu’il n’y a pas de contradiction entre les ensembles de règles sur les groupes de sécurité AWS et les ensembles de règles dans votre configuration de pare-feu virtuel vSRX.

Tableau de l’historique des versions
Libération
Description
15,1X49-D70
À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, vSRX Virtual Firewall prend en charge deux offres groupées pour PAYG disponibles sous forme d’abonnements d’une heure ou d’un an.