Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AWS vSRX 가상 방화벽 대한 요구 사항

이 섹션에서는 AWS(Amazon Web Services)에 vSRX 가상 방화벽 인스턴스를 구축하는 요구 사항에 대한 개요를 제시합니다.

AWS를 위한 최소 시스템 요구 사항

표 1 에는 AWS에 구축될 vSRX 가상 방화벽 인스턴스에 대한 최소 시스템 요구 사항이 나와 있습니다.

을(를)
표 1: vSRX 가상 방화벽 위한 최소 시스템 요구 사항

구성 요소

사양 및 세부 정보

하이퍼바이저 지원

XEN-HVM

메모리

4gb

디스크 공간

16GB

vCPU

2

vNIC

3

vNIC 유형

SR-IOV

AMD 프로세서 Junos OS 릴리스 22.3R2부터 Amazon Web Services(AWS)의 vSRX 가상 방화벽 3.0은 더 나은 성능을 위해 AMD(Advanced Micro Device) 프로세서를 지원합니다.

AWS에서의 vSRX 가상 방화벽 대한 인터페이스 매핑

AWS의 vSRX 가상 방화벽 최대 8개의 네트워크 인터페이스를 지원하지만, vSRX 가상 방화벽 인스턴스에 연결할 수 있는 실제 최대 인터페이스 수는 실행되는 AWS 인스턴스 유형에 따라 결정됩니다. 8개 이상의 인터페이스를 허용하는 AWS 인스턴스의 경우, vSRX 가상 방화벽 최대 8개의 인터페이스만 지원합니다.

다음은 지원되는 C5 인스턴스 유형입니다.

  • c5.large

  • c5.xlarge

  • c5.2xlarge

  • c5.4xlarge

  • c5.9xlarge

  • c5n.2xlarge

  • c5n.4xlarge

  • c5n.9xlarge

다음은 지원되는 AMD 기반 AWS 인스턴스입니다.

  • C5a.16xlarge

  • C5a.8xlarge

  • C5a.4xlarge

  • C5a.2xlarge

  • C5a.xlarge

vCPU, 메모리 등의 인스턴스 세부 정보에 대한 자세한 내용은 가격 정보를 참조하십시오.

인스턴스 유형별 최대 네트워크 인터페이스에 대한 자세한 내용은 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .

표 2 에는 최대 8개의 네트워크 인터페이스에 대해 vSRX 가상 방화벽 인터페이스 이름과 해당 AWS 인터페이스 이름 간의 매핑이 표시됩니다. 첫 번째 네트워크 인터페이스는 vSRX 가상 방화벽 위해 대역 외 관리(fxp0)에 사용됩니다.

표 2: vSRX 가상 방화벽 및 AWS 인터페이스 이름

인터페이스번호

vSRX 가상 방화벽 인터페이스

AWS 인터페이스

1

fxp0

eth0

2

ge-0/0/0

eth1

3

ge-0/0/1

eth2

4

ge-0/0/2

eth3

5

ge-0/0/3

eth4

6

ge-0/0/4

eth5

7

ge-0/0/5

eth6

8

ge-0/0/6

eth7

비대칭 라우팅을 피하기 위해 라우팅 인스턴스에 수익 인터페이스를 배치하는 것이 좋습니다. fxp0은 기본(inet.0) 라우팅 테이블 일부이기 때문에 동일한 라우팅 인스턴스에 필요한 두 개의 기본 경로가 있을 수 있습니다. 하나는 외부 관리 액세스를 위한 fxp0 인터페이스용이고 다른 하나는 트래픽 액세스를 위한 수익 인터페이스에 대한 것이며, 그 결과 비대칭 라우팅이 발생합니다. 수익 인터페이스를 별도의 라우팅 인스턴스에 배치하면 단일 라우팅 인스턴스에서 두 개의 기본 경로가 발생하지 않습니다.

참고:

동일한 보안 영역에 속한 인터페이스가 동일한 라우팅 인스턴스에 있는지 확인합니다. KB 기사 참조 - 인터페이스는 영역의 다른 인터페이스와 동일한 라우팅 인스턴스에 있어야 합니다.

VSRX 가상 방화벽 기본 설정

vSRX 가상 방화벽 다음과 같은 기본 구성 설정이 필요합니다.

  • 인터페이스에 IP 주소가 할당되어야 합니다.

  • 인터페이스는 영역에 바인딩되어야 합니다.

  • 트래픽을 허용하거나 거부하려면 영역 간에 정책을 구성해야 합니다.

  • ENA 드라이버 관련 구성 요소는 vSRX 가상 방화벽 준비되어야 합니다.

표 3 에는 vSRX 가상 방화벽 보안 정책에 대한 공장 기본 설정이 나와 있습니다.

표 3: 보안 정책에 대한 공장 기본 설정

소스 영역

대상 영역

정책 작업

신뢰

신뢰할 수 없는

허용

신뢰

신뢰

허용

주의:

vSRX 가상 방화벽 AWS 인스턴스에서 명령을 사용하지 load factory-default 마십시오. 공장 기본 구성은 AWS 사전 구성을 제거합니다. 공장 기본값으로 복원해야 하는 경우 구성을 커밋하기 전에 AWS 사전 구성 문을 수동으로 재구성해야 합니다. 그렇지 않으면 vSRX 가상 방화벽 인스턴스에 대한 액세스가 손실됩니다. AWS 사전 구성 세부 정보는 CLI를 사용하여 vSRX 구성 을 참조하십시오.

vSRX 가상 방화벽 성능 향상을 위한 모범 사례

다음 구축 관행을 검토하여 vSRX 가상 방화벽 성능을 향상합니다.

  • 모든 vSRX 가상 방화벽 인터페이스에 대한 소스/대상 검사를 비활성화합니다.

  • 키 쌍의 경우 공용 키 액세스 권한을 400으로 제한합니다.

  • AWS 보안 그룹과 vSRX 가상 방화벽 구성이 모순되지 않도록 합니다.

  • VSRX 가상 방화벽 최상의 처리량을 위해 AWS의 c5n 인스턴스 유형을 사용합니다.

    참고:

    AWS는 c5 대형 인스턴스의 경우, 2세대 Intel Xeon Scalable 프로세서(Cascade Lake) 또는 1세대 Intel Xeon Platinum 8000 시리즈(Skylake-SP) 프로세서를 사용하고 c4-xtra 대형 인스턴스의 경우 AWS는 고주파 Intel Xeon E5-2666 v3을 사용합니다.

  • vCPU의 최적의 사용을 위해 vSRX 가상 방화벽 여러 인터페이스를 통해 트래픽 플로우를 보장합니다.

  • vSRX 가상 방화벽 NAT를 사용하여 직접 인터넷 트래픽으로부터 Amazon EC2 인스턴스를 보호하십시오.