Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

AWSで実行されるvSRX仮想ファイアウォールの要件

このセクションでは、Amazon Web Services(AWS)にvSRX仮想ファイアウォールインスタンスを導入するための要件の概要について説明します。

AWS の最小システム要件

表1 は、AWSにvSRX仮想ファイアウォールインスタンスを展開するための最小システム要件を示しています。

インチ
表1:vSRX仮想ファイアウォールの最小システム要件

コンポーネント

仕様と詳細

ハイパーバイザーのサポート

XEN-HVM

メモリ

4GB

ディスク容量

16GB

Vcpu

2

vNIC

3

vNICタイプ

SR-IOV

AMDプロセッサー Junos OSリリース22.3R2以降、Amazon Web Services(AWS)上のvSRX仮想ファイアウォール3.0は、パフォーマンス向上のため、アドバンストマイクロデバイセズ(AMD)プロセッサをサポートしています。

AWSでのvSRX仮想ファイアウォールのインターフェイスマッピング

AWS上のvSRX仮想ファイアウォールは最大8つのネットワークインターフェイスをサポートしますが、vSRX仮想ファイアウォールインスタンスに接続できるインターフェイスの実際の最大数は、インスタンスが起動されるAWSインスタンスタイプによって決まります。8つを超えるインターフェイスを許可するAWSインスタンスの場合、vSRX仮想ファイアウォールは最大8つのインターフェイスのみをサポートします。

サポートされている C5 インスタンスタイプは次のとおりです。

  • c5.大

  • c5.xlarge

  • c5.2x大

  • c5.4倍拡大

  • c5.9x大

  • c5n.2xlarge

  • c5n.4xlarge

  • c5n.9xlarge

サポートされている AMD ベースの AWS インスタンスは次のとおりです。

  • C5a.16x大

  • C5a.8x大

  • C5a.4倍大

  • C5a.2x大

  • C5a.xlarge

vCPU、メモリなどのインスタンスの詳細については、「価格情報」を参照してください

インスタンスタイプ別の最大ネットワークインターフェイス数の詳細については、「 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 」を参照してください。

表2 は、最大8つのネットワークインターフェイスに対するvSRX仮想ファイアウォールインターフェイス名とそれに対応するAWSインターフェイス名のマッピングを示しています。最初のネットワークインターフェイスは、vSRX 仮想ファイアウォールのアウトオブバンド管理(fxp0)に使用されます。

表2:vSRX仮想ファイアウォールとAWSインターフェイス名

インターフェイス番号

vSRX仮想ファイアウォールインターフェイス

AWS インターフェイス

1

fxp0:

eth0

2

ge-0/0/0

eth1

3

ge-0/0/1

eth2

4

ge-0/0/2

eth3

5

ge-0/0/3

eth4

6

ge-0/0/4

eth5

7

ge-0/0/5

eth6

8

ge-0/0/6

eth7

非対称ルーティングを回避するためのベストプラクティスとして、収益インターフェイスをルーティングインスタンスに配置することをお勧めします。fxp0 はデフォルト(inet.0)ルーティング テーブルの一部であるため、同じルーティング インスタンス内に、外部管理アクセス用の fxp0 インターフェイス用とトラフィック アクセス用の収益インターフェイス用の 2 つのデフォルト ルートが必要になる可能性があり、非対称ルーティングになります。収益性の高いインターフェースを別のルーティングインスタンスに配置することで、単一のルーティングインスタンスに2つのデフォルトルートが含まれるというこの状況を回避できます。

メモ:

同じセキュリティ ゾーンに属するインターフェイスが同じルーティング インスタンス内にあることを確認します。 ナレッジベースの記事を参照してください - インターフェイスは、ゾーン内の他のインターフェイスと同じルーティングインスタンスに存在する必要があります

AWSのvSRX仮想ファイアウォールのデフォルト設定

vSRX仮想ファイアウォールには、次の基本構成設定が必要です。

  • インターフェイスには IP アドレスを割り当てる必要があります。

  • インターフェイスはゾーンにバインドされている必要があります。

  • トラフィックを許可または拒否するには、ゾーン間でポリシーを構成する必要があります。

  • ENAドライバ関連コンポーネントは、vSRX仮想ファイアウォールに対応しています。

表3 は、vSRX仮想ファイアウォールのセキュリティポリシーの工場出荷時のデフォルト設定を示しています。

表 3: セキュリティ ポリシーの工場出荷時のデフォルト設定

ソースゾーン

宛先ゾーン

ポリシーアクション

信頼

信頼できない

許可

信頼

信頼

許可
注意:

このコマンドは、vSRX 仮想ファイアウォールの AWS インスタンスでは使用しないでください load factory-default 。工場出荷時のデフォルト設定では、AWS の事前設定が削除されます。工場出荷時のデフォルトに戻す必要がある場合は、設定をコミットする前に、AWS の事前設定ステートメントを手動で再設定してください。そうしないと、vSRX仮想ファイアウォールインスタンスにアクセスできなくなります。AWSの事前設定の詳細については 、CLIを使用したvSRXの設定 を参照してください。

vSRX仮想ファイアウォールのパフォーマンスを向上させるためのベストプラクティス

vSRX仮想ファイアウォールのパフォーマンスを向上させるために、以下の導入方法を確認してください。

  • すべてのvSRX仮想ファイアウォールインターフェイスの送信元/宛先チェックを無効にします。

  • キーペアの公開キーのアクセス許可を 400 に制限します。

  • AWSセキュリティグループとvSRX仮想ファイアウォールの設定の間に矛盾がないことを確認します。

  • vSRX仮想ファイアウォールで最高のスループットを得るには、AWSでc5nインスタンスタイプを使用します。

    メモ:

    c5 ラージインスタンスの場合、AWS は第 2 世代のインテル Xeon スケーラブルプロセッサー (カスケードレイク) または第 1 世代のインテル Xeon プラチナ 8000 シリーズ (Skylake-SP) プロセッサーを使用し、c4-xtra ラージインスタンスの場合、AWS は高周波インテル Xeon E5-2666 v3 を使用します。

  • vCPUを最適に使用するために、トラフィックがvSRX仮想ファイアウォールの複数のインターフェイスを通過することを確認します。

  • vSRX 仮想ファイアウォール NAT を使用して、インターネットへの直接トラフィックから Amazon EC2 インスタンスを保護します。