Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

AWS 기반 vSRX 가상 방화벽 요구 사항

이 섹션에서는 AWS(Amazon Web Services)에 vSRX 가상 방화벽 인스턴스를 구축하기 위한 요구 사항에 대한 개요를 제공합니다.

AWS의 최소 시스템 요구 사항

표 1 에는 AWS에 vSRX 가상 방화벽 인스턴스를 구축하기 위한 최소 시스템 요구 사항이 나와 있습니다.

표 1: vSRX 가상 방화벽의 최소 시스템 요구 사항

구성 요소

명세와 세부사항

하이퍼바이저 지원

젠-HVM

메모리

4gb

디스크 공간

16 기가바이트

vCPU

2

vNIC

3

vNIC 유형

SR-IOV

AMD 프로세서 Junos OS 릴리스 22.3R2부터 AWS(Amazon Web Services)의 vSRX Virtual Firewall 3.0은 성능 향상을 위해 AMD(Advanced Micro Devices) 프로세서를 지원합니다.

AWS의 vSRX 가상 방화벽을 위한 인터페이스 매핑

AWS 기반 vSRX 가상 방화벽은 최대 8개의 네트워크 인터페이스를 지원하지만, vSRX 가상 방화벽 인스턴스에 연결할 수 있는 실제 최대 인터페이스 수는 인스턴스가 시작되는 AWS 인스턴스 유형에 따라 결정됩니다. 8개 이상의 인터페이스를 허용하는 AWS 인스턴스의 경우 vSRX 가상 방화벽은 최대 8개의 인터페이스만 지원합니다.

지원되는 C5 인스턴스 유형은 다음과 같습니다.

  • c5.대형

  • c5.엑스라지

  • c5.2x대형

  • c5.4x대형

  • c5.9x대형

  • c5n.2x라지

  • c5n.4x라지

  • c5n.9x라지

지원되는 AMD 기반 AWS 인스턴스는 다음과 같습니다.

  • C5a.16x대형

  • C5a.8x라지

  • C5a.4x라지

  • C5a.2x대형

  • C5a.x라지

vCPU, 메모리 등과 같은 인스턴스 세부 정보에 대한 자세한 내용은 요금 정보를 참조하십시오

인스턴스 유형별 최대 네트워크 인터페이스에 대한 자세한 내용은 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 단원을 참조하십시오.

표 2 에는 최대 8개의 네트워크 인터페이스에 대한 vSRX 가상 방화벽 인터페이스 이름과 해당 AWS 인터페이스 이름 간의 매핑이 나와 있습니다. 첫 번째 네트워크 인터페이스는 vSRX 가상 방화벽의 대역 외 관리(fxp0)에 사용됩니다.

표 2: vSRX 가상 방화벽 및 AWS 인터페이스 이름

인터페이스번호

vSRX 가상 방화벽 인터페이스

AWS 인터페이스

1

fxp0

eth0

2

ge-0/0/0

eth1 (영어)

3

ge-0/0/1

eth2 (영어)

4

ge-0/0/2

증권 시세 표시기

5

ge-0/0/3

증권 시세 표시기

6

ge-0/0/4

eth5 (영어)

7

ge-0/0/5

증권 시세 표시기 6

8

ge-0/0/6

eth7 (영어)

비대칭 라우팅을 피하기 위한 모범 사례로 라우팅 인스턴스에 수익 인터페이스를 배치하는 것이 좋습니다. fxp0은 기본(inet.0) 라우팅 테이블의 일부이므로 동일한 라우팅 인스턴스에 두 개의 기본 경로가 필요할 수 있습니다. 하나는 외부 관리 액세스를 위한 fxp0 인터페이스용이고 다른 하나는 트래픽 액세스를 위한 수익 인터페이스용이므로 비대칭 라우팅이 발생합니다. 수익 인터페이스를 별도의 라우팅 인스턴스에 배치하면 단일 라우팅 인스턴스에서 두 개의 기본 경로가 발생하는 상황을 피할 수 있습니다.

참고:

동일한 보안 영역에 속하는 인터페이스가 동일한 라우팅 인스턴스에 있는지 확인합니다. KB 문서 - 인터페이스는 영역의 다른 인터페이스와 동일한 라우팅 인스턴스에 있어야 함을 참조하십시오.

AWS의 vSRX 가상 방화벽 기본 설정

vSRX 가상 방화벽에는 다음과 같은 기본 구성 설정이 필요합니다.

  • 인터페이스에는 IP 주소가 할당되어야 합니다.

  • 인터페이스는 영역에 바인딩되어야 합니다.

  • 트래픽을 허용하거나 거부하려면 영역 간에 정책을 구성해야 합니다.

  • ENA 드라이버 관련 구성 요소는 vSRX 가상 방화벽을 사용할 준비가 되어 있어야 합니다.

표 3 에는 vSRX 가상 방화벽의 보안 정책에 대한 공장 기본 설정이 나와 있습니다.

표 3: 보안 정책에 대한 공장 기본 설정

소스 영역

대상 영역

정책 작업

신뢰

불신(Untrust)

허용

신뢰

신뢰

허용
주의:

vSRX 가상 방화벽 AWS 인스턴스에서 명령을 사용하지 load factory-default 마십시오. 공장 기본 구성은 AWS 사전 구성을 제거합니다. 공장 기본값으로 되돌려야 하는 경우 구성을 커밋하기 전에 AWS 사전 구성 문을 수동으로 재구성해야 합니다. 그렇지 않으면 vSRX 가상 방화벽 인스턴스에 대한 액세스 권한을 잃게 됩니다. AWS 사전 구성에 대한 자세한 내용은 CLI를 사용하여 vSRX 구성을 참조하십시오.

vSRX 가상 방화벽 성능 향상을 위한 모범 사례

다음 구축 사례를 검토하여 vSRX 가상 방화벽 성능을 개선하십시오.

  • 모든 vSRX 가상 방화벽 인터페이스에 대한 소스/대상 검사를 비활성화합니다.

  • 키 쌍에 대해 공개 키 액세스 권한을 400으로 제한합니다.

  • AWS 보안 그룹과 vSRX 가상 방화벽 구성 간에 모순이 없는지 확인합니다.

  • vSRX 가상 방화벽에서 최상의 처리량을 위해 AWS의 c5n 인스턴스 유형을 사용합니다.

    참고:

    c5-large 인스턴스의 경우 AWS는 2세대 인텔 제온 스케일러블 프로세서(Cascade Lake) 또는 1세대 인텔 제온 플래티넘 8000 시리즈(Skylake-SP) 프로세서를 사용하고, c4-xtra 대규모 인스턴스의 경우 AWS는 고주파 인텔 제온 E5-2666 v3를 사용합니다.

  • vCPU의 최적 사용을 위해 트래픽이 vSRX 가상 방화벽의 여러 인터페이스를 통과하도록 보장합니다.

  • vSRX 가상 방화벽 NAT를 사용하여 직접 인터넷 트래픽으로부터 Amazon EC2 인스턴스를 보호할 수 있습니다.