Nutanix での vSRX 仮想ファイアウォールの要件

表 1 は、Nutanix に導入された vSRX 仮想ファイアウォール 3.0 インスタンスのシステム要件を示しています。

表 1:vSRX 仮想ファイアウォール 3.0 のシステム要件

コンポーネント	仕様と詳細
ハイパーバイザーサポート	AHV 5.9
メモリ	4 GB
ディスク容量	16 GB
Vcpu	2
vNIC	最大 8
vNICタイプ	Virtio

Nutanix 上の vSRX 仮想ファイアウォール 3.0 のインターフェイス マッピング

表 2 は、vSRX 仮想ファイアウォール 3.0 と Nutanix のインターフェイス名を示しています。最初のネットワーク インターフェイスは、vSRX 仮想ファイアウォール 3.0 のアウトオブバンド管理(fxp0)に使用されます。

表 2:vSRX 仮想ファイアウォール 3.0 および Nutanix インターフェイス名

インターフェイス番号	vSRX 仮想ファイアウォール 3.0 インターフェイス	Nutanix Interface
1	fxp0	eth0
2	ge-0/0/0	eth1
3	ge-0/0/1	eth2
4	ge-0/0/2	eth3
5	ge-0/0/3	eth4
6	ge-0/0/4	eth5
7	ge-0/0/5	eth6
8	ge-0/0/6	eth7

fxp0はデフォルト(inet.0)テーブルの一部であるため、非対称トラフィック/ルーティングを避けるために、収益インターフェイスをルーティングインスタンスに入れることをお勧めします。fxp0 をデフォルト ルーティング テーブルの一部として使用すると、外部管理アクセス用の fxp0 インターフェイス用とトラフィック アクセス用の収益インターフェイスの 2 つのデフォルト ルートが必要になる場合があります。収益インターフェイスを別のルーティングインスタンスに入れることで、単一のルーティングインスタンスで2つのデフォルトルートというこのような状況を回避できます。

メモ：

同じセキュリティ ゾーンに属するインターフェイスが同じルーティング インスタンスに存在することを確認します。 KB記事を参照してください - インターフェイスは、ゾーン内の他のインターフェイスと同じルーティングインスタンスにある必要があります。

Nutanix の vSRX 仮想ファイアウォール 3.0 のデフォルト設定

vSRX 仮想ファイアウォール 3.0 では、以下の基本設定が必要です。

• インターフェイスにはIPアドレスを割り当てる必要があります。

• インターフェイスはゾーンにバインドされている必要があります。

• トラフィックを許可または拒否するには、ゾーン間でポリシーを設定する必要があります。

表 3 は、vSRX 仮想ファイアウォール 3.0 におけるセキュリティ ポリシーの工場出荷時のデフォルト設定を示しています。

表 3:セキュリティ ポリシーの工場出荷時のデフォルト設定

ソース ゾーン	宛先ゾーン	ポリシーアクション
信頼	untrust	許可
信頼	信頼	許可

注意：

vSRX 仮想ファイアウォール 3.0 Nutanix インスタンスでは、 コマンドを使用 load factory-default しないでください。工場出荷時のデフォルト設定では、Nutanix の事前設定が削除されます。工場出荷時のデフォルトに戻す必要がある場合は、設定をコミットする前にNutanix事前設定ステートメントを手動で再設定してください。そうしないと、vSRX 仮想ファイアウォール 3.0 インスタンスにアクセスできなくなります。Nutanix の事前設定の詳細については 、「 CLI を使用した vSRX の設定」を参照してください。

vSRX 仮想ファイアウォール 3.0 パフォーマンスを向上させるベスト プラクティス

vSRX仮想ファイアウォール3.0のパフォーマンスを向上させるために、以下の導入プラクティスを参照してください。

• すべての vSRX 仮想ファイアウォール 3.0 インターフェイスの送信元/宛先チェックを無効にします。

• 鍵ペアのパブリックキーアクセス許可を400に制限します。

• Nutanix セキュリティ グループと vSRX 仮想ファイアウォール 3.0 構成の間に矛盾がないことを確認します。

• vSRX 仮想ファイアウォール 3.0 NAT を使用して、インターネットの直接トラフィックからインスタンスを保護します。