Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

AWS 기반 vSRX 가상 방화벽 이해

이 섹션에서는 AWS(Amazon Web Services)의 vSRX 가상 방화벽에 대해 간략하게 설명합니다.

vSRX 가상 방화벽(AWS 포함)

AWS는 클라우드에서 온디맨드 서비스를 제공합니다. 서비스는 IaaS(Infrastructure as a Service) 및 SaaS(Platform as a Service)에서 애플리케이션 및 DaaS(Database as a Service)에 이르기까지 다양합니다. AWS는 매우 유연하고 확장 가능하며 안정적인 클라우드 플랫폼입니다. AWS에서는 종량제(PAYG) 또는 기존 보유 라이선스 사용(BYOL) 서비스로 클라우드에서 서버 및 서비스를 호스팅할 수 있습니다.

참고:

vSRX 가상 방화벽 PAYG 이미지에는 주니퍼 네트웍스 라이선스가 필요하지 않습니다.

Amazon Web Services(AWS) 클라우드의 Virtual Private Cloud(VPC)에 vSRX 가상 방화벽을 구축할 수 있습니다. vSRX 가상 방화벽을 특정 사용자 계정 전용 Amazon VPC에서 Amazon Elastic Compute Cloud(EC2) 인스턴스로 시작할 수 있습니다. vSRX 가상 방화벽 AMI(Amazon Machine Image)는 HVM(하드웨어 가상 머신) 가상화를 사용합니다.

그림 1 은 Amazon VPC의 프라이빗 서브넷에서 실행되는 애플리케이션에 대한 보안을 제공하기 위해 vSRX 가상 방화벽 인스턴스를 구축하는 예를 보여줍니다.

Amazon VPC에서 퍼블릭 서브넷은 인터넷 게이트웨이에 액세스할 수 있지만 프라이빗 서브넷은 그렇지 않습니다. vSRX 가상 방화벽에는 각 개별 인스턴스 그룹에 대해 2개의 퍼블릭 서브넷과 1개 이상의 프라이빗 서브넷이 필요합니다. 퍼블릭 서브넷은 관리 인터페이스(fxp0)용 서브넷과 수익(데이터) 인터페이스용 서브넷으로 구성됩니다. 다른 vSRX 가상 방화벽 인터페이스에 연결된 프라이빗 서브넷은 프라이빗 서브넷의 애플리케이션과 인터넷 간의 모든 트래픽이 vSRX 가상 방화벽 인스턴스를 통과해야 합니다.

그림 1: AWS 구축 vSRX Virtual Firewall in AWS Deployment 의 vSRX 가상 방화벽

또한 AWS Marketplace를 사용하면 AWS GovCloud(US)용 AWS Marketplace를 통해 규제 대상 워크로드를 지원하는 소프트웨어를 검색하고 구독할 수 있습니다.

Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 vSRX 가상 방화벽은 1시간 또는 1년 구독으로 사용할 수 있는 PAYG용 번들 2개를 지원합니다.

  • vSRX 가상 방화벽 차세대 방화벽—코어 방화벽, IPsec VPN, NAT, CoS 및 라우팅 서비스를 비롯한 코어 보안의 표준(STD) 기능은 물론 AppID, AppFW, AppQoS, AppTrack, IPS의 AppSecure 기능, IPS 및 풍부한 라우팅 기능과 같은 고급 레이어 4-7 보안 서비스를 포함합니다.

  • vSRX 가상 방화벽 프리미엄 차세대 방화벽(안티바이러스 보호 포함) - 콘텐츠 보안 안티바이러스 기능을 비롯한 vSRX 가상 방화벽 차세대 방화벽 패키지의 기능을 포함합니다.

vSRX 가상 방화벽을 Amazon VPC(Amazon Virtual Private Cloud)에 구축하면 Amazon Elastic Compute Cloud(Amazon EC2)의 애플리케이션 인스턴스로 사용할 수 있습니다. 각 Amazon EC2 인스턴스는 AWS Management Console을 사용하여 인터넷을 통해 배포, 액세스 및 구성되며, 필요에 따라 인스턴스 수를 확장하거나 축소할 수 있습니다.

참고:

현재 릴리스에서 각 vSRX 가상 방화벽 인스턴스는 AWS에서 선택한 인스턴스 유형이 더 많은 리소스를 제공하더라도 2개의 vCPU와 4GB의 메모리를 사용합니다.

vSRX 가상 방화벽은 고성능(향상된 네트워킹)을 위해 HVM(하드웨어 지원 가상 머신)을 사용하며, AWS 클라우드 환경에서 다음과 같은 구축을 지원합니다.

  • Amazon VPC의 다른 Amazon EC2 인스턴스와 인터넷 간의 방화벽

  • 회사 네트워크와 Amazon VPC 간의 VPN 엔드포인트로

  • 서로 다른 서브넷에 있는 Amazon EC2 인스턴스 간의 방화벽

AWS 계정의 AWS 서비스에는 기본 제한이 있습니다. AWS 서비스 제한에 대한 자세한 내용은 https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.htmlhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 단원을 참조하십시오.

AWS 용어집

이 단원에서는 AWS 구성에 사용되는 몇 가지 일반적인 용어를 정의합니다. 표 1 에는 Amazon Virtual Private Cloud(Amazon VPC)에 사용되는 일반적인 용어가 정의되어 있고, 표 2 에는 Amazon Elastic Compute Cloud(Amazon EC2) 서비스에 사용되는 일반적인 용어가 정의되어 있습니다.

표 1: Amazon VPC 관련 용어

용어

설명

인터넷 게이트웨이

Amazon VPC의 인스턴스와 인터넷 간의 통신을 허용하는 Amazon VPC 구성 요소.

IP 주소 지정

AWS에는 세 가지 유형의 IP 주소가 포함되어 있습니다.

  • 퍼블릭 IP 주소 - 인터넷에서 공개적으로 라우팅할 수 있는 퍼블릭 서브넷에서 가져온 주소입니다. 퍼블릭 IP 주소는 AWS NAT를 통해 기본 프라이빗 IP 주소에 매핑됩니다.

  • 프라이빗 IP 주소– RFC 1918에 지정된 Amazon VPC CIDR(Classless Interdomain Routing) 범위의 IP 주소로, 공개적으로 라우팅할 수 없습니다.

  • 탄력적 IP 주소– 동적 클라우드 컴퓨팅을 위해 설계된 고정 IP 주소입니다. 탄력적 IP 주소가 퍼블릭 IP 네트워크 인터페이스와 연결되면 탄력적 IP 주소가 네트워크 인터페이스에서 연결 해제될 때까지 연결된 퍼블릭 IP 주소가 해제됩니다.

각 네트워크 인터페이스는 여러 개인 IP 주소와 연결할 수 있습니다. 퍼블릭 서브넷에는 네트워크 인터페이스의 프라이빗 IP 주소와 연결된 여러 프라이빗 IP 주소, 퍼블릭 주소 및 탄력적 IP 주소가 있을 수 있습니다. 프라이빗 및 퍼블릭 서브넷의 인스턴스에는 여러 개의 프라이빗 IP 주소가 있을 수 있습니다. 퍼블릭 서브넷의 인스턴스에 대한 각 프라이빗 IP 주소와 탄력적 IP 주소 하나를 연결할 수 있습니다.

서브넷에 고정 개인 IP 주소를 할당할 수 있습니다. 서브넷의 처음 5개 IP 주소와 마지막 IP 주소는 Amazon VPC 네트워킹 및 라우팅을 위해 예약되어 있습니다. 첫 번째 IP 주소는 서브넷의 게이트웨이입니다.

네트워크 ACL

서브넷 수준에서 작동하는 AWS 상태 비저장 가상 방화벽입니다.

라우팅 테이블

네트워크 트래픽이 전달되는 위치를 결정하는 데 사용되는 라우팅 규칙 집합입니다. 각 서브넷은 라우팅 테이블과 연결되어야 합니다. 라우팅 테이블과 명시적으로 연결되지 않은 서브넷은 기본 라우팅 테이블과 연결됩니다.

기본 테이블 이외의 사용자 지정 라우팅 테이블을 만들 수 있습니다.

서브넷

Amazon VPC CIDR 블록의 가상 주소 지정 공간입니다. Amazon EC2 인스턴스의 IP 주소는 IP 주소의 서브넷 풀에서 할당됩니다.

Amazon VPC에는 두 가지 유형의 서브넷을 생성할 수 있습니다.

  • 퍼블릭 서브넷–인터넷 게이트웨이에 대한 트래픽 연결이 있는 서브넷입니다.

  • 프라이빗 서브넷–인터넷 게이트웨이에 연결되지 않은 서브넷

참고:

vSRX 가상 방화벽 NAT(Network Address Translation)를 사용하면 프라이빗 서브넷에서 모든 고객 인스턴스를 시작하고 vSRX 가상 방화벽 인터페이스를 인터넷에 연결할 수 있습니다. 이를 통해 고객 인스턴스가 인터넷 트래픽에 직접 노출되는 것을 방지할 수 있습니다.

Vpc

가상 프라이빗 클라우드.
표 2: Amazon EC2 관련 용어

용어

설명

Amazon Elastic Block Store(EBS)

Amazon EC2 인스턴스에 연결할 수 있는 영구 블록 스토리지입니다. 블록 스토리지 볼륨은 포맷하여 인스턴스에 마운트할 수 있습니다. Amazon EBS 최적화 인스턴스는 Amazon EC2와 Amazon EBS 간의 전용 처리량을 제공합니다.

Amazon Elastic Compute Cloud(EC2)

Amazon 인프라에서 실행되는 탄력적 가상 서버 또는 컴퓨터를 시작하고 관리할 수 있는 Amazon Web Service입니다.

Amazon 머신 이미지(AMI)

Amazon EC2 인스턴스를 시작하는 데 필요한 정보(예: 루트 볼륨 템플릿, 시작 권한 및 블록 디바이스 매핑)가 포함된 Amazon 이미지 형식입니다.

탄력적 IP

동적 클라우드 컴퓨팅을 위해 설계된 고정 IP입니다. 공용 IP는 NAT를 사용하여 privet 서브넷 IP에 매핑됩니다.

향상된 네트워킹

기존 구현에 비해 높은 초당 패킷 성능, 짧은 대기 시간, 높은 I/O 성능 및 낮은 CPU 사용률을 제공합니다. vSRX 가상 방화벽은 하드웨어 가상화 머신(HVM) Amazon 머신 이미지(AMI)와 함께 이 네트워킹을 활용합니다.

인스턴스

XEN 또는 XEN-HVM 하이퍼바이저 유형을 사용하는 Amazon EC2의 가상 머신 또는 서버. Amazon EC2는 다양한 사용 사례에 최적화된 엄선된 인스턴스를 제공합니다.

키 쌍

AWS에서 로그인 정보를 암호화하고 해독하는 데 사용하는 퍼블릭 키 암호화입니다. AWS-EC2를 사용하여 이러한 키 페어를 생성하거나 자체 키 페어를 가져옵니다.

참고:

AWS는 DSA를 허용하지 않습니다. 공개 키 액세스 권한을 400으로 제한합니다.

키 교체에 대한 자세한 내용은 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html 단원을 참조하십시오.

네트워크 인터페이스

Amazon VPC의 인스턴스에 연결할 수 있는 가상 네트워크 인터페이스입니다. 탄력적 네트워크 인터페이스(ENI)에는 기본 프라이빗 IP 주소, 여러 개의 보조 IP 주소, 프라이빗 IP 주소당 탄력적 IP 주소 1개, 퍼블릭 IP 주소 1개, 보안 그룹 1개 이상, MAC 주소 1개, 소스/대상 확인 플래그 1개가 있을 수 있습니다.

vSRX 가상 방화벽 인스턴스의 경우 모든 인터페이스에 대해 소스/대상 검사를 비활성화합니다.

참고:

ENI는 서브넷 범위 내의 IP 주소를 사용합니다. 따라서 ENI IP 주소가 소진되지 않습니다.

네트워크 최대 전송 단위(MTU)

모든 Amazon 인스턴스 유형은 1500의 MTU를 지원합니다. 일부 인스턴스 유형은 점보 프레임(9001 MTU)을 지원합니다.

참고:

점보 프레임이 있는 vSRX 가상 방화벽 인스턴스에는 C3, C4, C5, CC2, M3, M4 또는 T2 AWS 인스턴스 유형을 사용합니다.

배치 그룹

공통 클러스터 배치 그룹에서 시작된 인스턴스입니다. 클러스터 내의 인스턴스에는 대역폭이 높고 지연 시간이 짧은 네트워크가 있습니다.

보안 그룹

하나 이상의 인스턴스에 대한 트래픽을 제어하는 AWS 제공 가상 방화벽. 보안 그룹은 시작 시에만 인스턴스와 연결할 수 있습니다.

참고:

vSRX 가상 방화벽은 방화벽 설정을 관리하므로 AWS 보안 그룹의 규칙 세트와 vSRX 가상 방화벽 구성의 규칙 세트 간에 모순이 없는지 확인하는 것이 좋습니다.

관련 문서

릴리스 기록 테이블
릴리스
설명
15.1X49-D70
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 vSRX 가상 방화벽은 1시간 또는 1년 구독으로 사용할 수 있는 PAYG용 번들 2개를 지원합니다.