Exigences du pare-feu virtuel vSRX sur Nutanix

Le tableau 1 répertorie les exigences système requises pour une instance vSRX Virtual Firewall 3.0 déployée sur Nutanix.

Tableau 1 : Configuration système requise pour le pare-feu virtuel vSRX 3.0

Composant	Spécifications et détails
Prise en charge de l’hyperviseur	AHV 5.9
Mémoire	4 Go
Espace disque	16 Go
vCPU	2
VNIC	Jusqu’à 8
Type de réseau réseau virtuel	Virtio

Mappage d’interface pour le pare-feu virtuel vSRX 3.0 sur Nutanix

Le tableau 2 présente les noms du pare-feu virtuel vSRX 3.0 et de l’interface Nutanix. La première interface réseau est utilisée pour la gestion hors bande (fxp0) du pare-feu virtuel vSRX 3.0.

Tableau 2 : Noms du pare-feu virtuel vSRX 3.0 et de l’interface Nutanix

Numéro d’interface	Interface du pare-feu virtuel vSRX 3.0	Nutanix Interface
1	fxp0	eth0
2	ge-0/0/0	eth1
3	ge-0/0/1	eth2
4	ge-0/0/2	eth3
5	ge-0/0/3	eth4
6	ge-0/0/4	eth5
7	ge-0/0/5	eth6
8	ge-0/0/6	eth7

Nous recommandons d’intégrer des interfaces de revenus dans les instances de routage pour éviter l’asymétrie du trafic/routage, car fxp0 fait partie de la table par défaut (inet.0). Avec fxp0 dans la table de routage par défaut, il peut y avoir deux routes par défaut nécessaires : l’une pour l’interface fxp0 pour l’accès de gestion externe, et l’autre pour les interfaces de revenus pour l’accès au trafic. Placer les interfaces de revenus dans une instance de routage distincte permet d’éviter cette situation de deux routes par défaut dans une seule instance de routage.

Note:

Assurez-vous que les interfaces appartenant à la même zone de sécurité sont dans la même instance de routage. Voir l’article de la KB : l’interface doit être dans la même instance de routage que les autres interfaces de la zone.

Paramètres par défaut du pare-feu virtuel vSRX 3.0 sur Nutanix

Le pare-feu virtuel vSRX 3.0 nécessite les paramètres de configuration de base suivants :

• Des adresses IP doivent être attribuées aux interfaces.

• Les interfaces doivent être liées à des zones.

• Les stratégies doivent être configurées entre les zones pour autoriser ou refuser le trafic.

Le tableau 3 répertorie les paramètres d’usine par défaut des stratégies de sécurité sur le pare-feu virtuel vSRX 3.0.

Tableau 3 : Paramètres d’usine par défaut des stratégies de sécurité

Source Zone	Destination Zone	Mesures stratégiques
Confiance	Untrust	Permis
Confiance	Confiance	Permis

ATTENTION:

N’utilisez pas la load factory-default commande sur une instance Nutanix vSRX Virtual Firewall 3.0. La configuration par défaut supprime la préconfiguration Nutanix. Si vous devez revenir à la configuration d’usine par défaut, assurez-vous de reconfigurer manuellement les déclarations de préconfiguration Nutanix avant de valider la configuration ; dans le cas contraire, vous perdrez l’accès à l’instance vSRX Virtual Firewall 3.0. Voir Configurer vSRX à l’aide de l’interface cli pour les détails de la préconfiguration Nutanix.

Meilleures pratiques pour améliorer les performances du pare-feu virtuel vSRX 3.0

Reportez-vous aux pratiques de déploiement suivantes pour améliorer les performances du pare-feu virtuel vSRX 3.0 :

• Désactiver la vérification source/destination de toutes les interfaces vSRX Virtual Firewall 3.0.

• Limitez les autorisations d’accès à clé publique à 400 pour les paires de clés.

• Assurez-vous qu’il n’y a aucune contradiction entre les groupes de sécurité Nutanix et votre configuration de pare-feu virtuel vSRX 3.0.

• Utilisez le pare-feu virtuel vSRX 3.0 NAT pour protéger vos instances du trafic Internet direct.