Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

CLIを使用したvSRX仮想ファイアウォールの設定

AWS事前設定と工場出荷時のデフォルトでvSRX仮想ファイアウォールを理解する

AWS上のvSRX仮想ファイアウォールは、以下の事前設定デフォルトで導入されます。

  • インストール中に設定されたRSAキーペアによるSSHアクセス

  • SSHアクセス用のパスワードアクセスは許可されていません

  • 管理(fxp0)インターフェイスは、AWS Elastic IPとデフォルトルートで事前に設定されています。

Junos OS リリース 15.1X49-D80 および Junos OS リリース 17.3R1 以降、次の例では、AWS インスタンス上の vSRX 仮想ファイアウォールの工場出荷時のデフォルト設定に追加された事前設定ステートメントを要約しています。

Junos OS リリース 15.1X49-D70 以前では、次の例では、AWS インスタンス上の vSRX 仮想ファイアウォールの工場出荷時のデフォルト設定に追加された事前設定ステートメントを要約しています。

注意:

vSRX 仮想ファイアウォール AWS インスタンスで コマンドを使用 load factory-default しないでください。工場出荷時のデフォルト設定では、AWS 事前設定が削除されます。工場出荷時のデフォルトに戻す必要がある場合は、設定をコミットする前に、AWS事前設定ステートメントを手動で再設定してください。そうしないと、vSRX 仮想ファイアウォール インスタンスにアクセスできなくなります。

vSRX 仮想ファイアウォールの基本構成の追加

vSRX 仮想ファイアウォールで新しい設定を作成するか、別の SRX または vSRX 仮想ファイアウォールから既存の設定をコピーして、AWS 上の vSRX 仮想ファイアウォールにロードできます。既存の設定をコピーして読み込むには、次の手順を使用します。

  1. 設定ファイルの保存

  2. 設定ファイルの読み込み

CLIを使用してvSRX仮想ファイアウォールインスタンスを設定するには、次の手順に従います。

  1. SSHを使用してvSRX仮想ファイアウォールインスタンスにログインし、CLIを起動します。
    メモ:

    Junos OS リリース 17.4R1 以降、デフォルトのユーザー名が から root@ec2-user@変更されました。
  2. 設定モードに入ります。
  3. 認証方法を設定して、vSRX仮想ファイアウォールにログインします。クリアテキストのパスワードまたは暗号化されたパスワードを入力することで、パスワードを指定できます。より堅牢なレベルの認証セキュリティが必要な場合は、SSH公開キー文字列(DSA、ECDSA、またはRSA)を選択することをお勧めします

    または

  4. オプションで、追加ユーザーのパスワードアクセスを作成する場合は、SSHのパスワードを有効にします。
  5. ホスト名を設定します。
  6. 各 vSRX 仮想ファイアウォール収益インターフェイスに対して、AWS で定義された IP アドレスを割り当てます。例えば:

    複数のプライベート アドレスの場合は、各アドレスに set コマンドを入力します。エラスティック IP アドレスを割り当てないでください。

  7. パブリック インターフェイスのセキュリティ ゾーンを指定します。
  8. プライベート インターフェイスのセキュリティ ゾーンを指定します。
  9. ルーティングを設定して、パブリックインターフェイスとプライベートインターフェイスに個別の仮想ルーターとルーティングオプションを追加します。
    メモ:

    fxp0はデフォルト(inet.0)テーブルの一部であるため、非対称トラフィック/ルーティングを避けるために、収益(データ)インターフェイスをルーティングインスタンスに入れることをお勧めします。fxp0 をデフォルト ルーティング テーブルの一部として使用すると、外部管理アクセス用の fxp0 インターフェイス用とトラフィック アクセス用の収益インターフェイスの 2 つのデフォルト ルートが必要になる場合があります。収益インターフェイスを別のルーティングインスタンスに入れることで、単一のルーティングインスタンスで2つのデフォルトルートというこのような状況を回避できます。
  10. 設定を確認します。
  11. 設定をコミットして、デバイス上でアクティブ化します。
  12. オプションで、 コマンドを show 使用して設定を表示し、正しいことを確認します。

vSRX 仮想ファイアウォールを NAT に設定する方法の例については、 例: vSRX の NAT の設定を参照してください。この設定により、クラウドネットワークのvSRX仮想ファイアウォールの背後にあるホストがインターネットにアクセスできるようになります。

異なる Amazon VPC 上の AWS 上の vSRX 仮想ファイアウォールの 2 つのインスタンス間で IPsec VPN を設定する方法の例については、 例: vSRX で VPN を設定する Amazon VPC 間を参照してください。

DNS サーバーの追加

vSRX仮想ファイアウォールには、デフォルト設定にDNSサーバーは含まれません。たとえば、署名の更新を取り出すために、IPS などのレイヤー 7 サービスを導入するように DNS を構成する必要がある場合があります。独自の外部 DNS サーバーを使用することも、AWS DNS サーバーを使用することもできます。Amazon VPC で DNS を有効にした場合は、Amazon DNS サーバー(169.254.169.253)または VPC ネットワーク範囲のベースにある予約済みの IP アドレスと 2 つ以上のクエリが成功します。詳細については、「 AWS - Amazon VPC で DNS を使用 する」を参照してください。

vSRX 仮想ファイアウォール機能ライセンスの追加

特定のJunos OSソフトウェア機能では、この機能をアクティブ化するためにライセンスが必要です。ライセンス機能を有効にするには、各ライセンス機能に対応するライセンス キーを購入、インストール、管理、検証する必要があります。ソフトウェア機能のライセンス要件に準拠するには、インスタンスごとに機能ごとに1つのライセンスを購入する必要があります。仮想インスタンスに適切なソフトウェアロック解除キーが存在することで、ライセンスされた機能を設定して使用できます。

詳細については 、 vSRXのライセンス 管理を参照してください。

関連ドキュメント