CLI를 사용하여 vSRX 가상 방화벽 구성
AWS 사전 설정 및 공장 기본값에 대한 vSRX 가상 방화벽 이해
AWS의 vSRX 가상 방화벽 다음과 같은 사전 구성 기본값으로 구축됩니다.
설치 중에 구성된 RSA 키 쌍을 통한 SSH 액세스
SSH 액세스에 허용된 암호 액세스 없음
관리(fxp0) 인터페이스는 AWS Elastic IP 및 기본 경로로 사전 구성됩니다.
Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 AWS 인스턴스의 vSRX 가상 방화벽 위한 공장 기본 구성에 추가된 사전 구성 문을 요약합니다.
set groups aws-default system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX” set groups aws-default system services ssh no-passwords set groups aws-default system services netconf ssh set groups aws-default system services web-management https system-generated-certificate set groups aws-default interfaces fxp0 unit 0 family inet address aws-ip-address set groups aws-default routing-options static route 0.0.0.0/0 next-hop aws-ip-address set apply-groups aws-default
Junos OS 릴리스 15.1X49-D70 및 이전 버전에서는 AWS 인스턴스의 vSRX 가상 방화벽 위한 공장 기본 구성에 추가된 사전 구성 명령문을 요약합니다.
set system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX” set system services ssh no-passwords set interfaces fxp0 unit 0 family inet addressaws-ip-address set routing-options static route 0.0.0.0/0 next-hop aws-ip-address
vSRX 가상 방화벽 AWS 인스턴스에서 명령을 사용하지 load factory-default
마십시오. 공장 기본 구성은 AWS 사전 구성을 제거합니다. 공장 기본값으로 복원해야 하는 경우 구성을 커밋하기 전에 AWS 사전 구성 문을 수동으로 재구성해야 합니다. 그렇지 않으면 vSRX 가상 방화벽 인스턴스에 대한 액세스가 손실됩니다.
기본 vSRX 가상 방화벽 구성 추가
vSRX 가상 방화벽 새로운 구성을 만들거나 다른 SRX에서 기존 구성을 복사하거나 vSRX 가상 방화벽 AWS의 vSRX 가상 방화벽 로드할 수 있습니다. 다음 단계를 사용하여 기존 구성을 복사하여 로드합니다.
CLI를 사용하여 vSRX 가상 방화벽 인스턴스를 구성하려면,
Amazon Virtual Private Cloud(Amazon VPC)의 vSRX 가상 방화벽 인스턴스 뒤에 있는 모든 호스트를 신뢰할 수 없는 영역의 vSRX 가상 방화벽 송신 인터페이스의 IP 주소로 네트워크 주소 변환(NAT)으로 vSRX 가상 방화벽 구성하는 방법에 대한 예는 예: vSRX 위해 NAT 구성을 참조하십시오. 이러한 구성을 통해 클라우드 네트워크의 vSRX 가상 방화벽 뒤에 있는 호스트가 인터넷에 액세스할 수 있습니다.
서로 다른 Amazon VPC에서 AWS의 두 vSRX 가상 방화벽 인스턴스 간에 IPsec VPN을 구성하는 방법의 예 는 예: Amazon VPC 간 vSRX VPN 구성을 참조하십시오.
DNS 서버 추가
vSRX 가상 방화벽 기본 구성에 DNS 서버를 포함하지 않습니다. 예를 들어, 서명 업데이트를 풀다운하려면 IPS와 같은 레이어 7 서비스를 구축하도록 구성된 DNS가 필요할 수 있습니다. 자신의 외부 DNS 서버를 사용하거나 AWS DNS 서버를 사용할 수 있습니다. Amazon VPC에서 DNS를 활성화하면 Amazon DNS 서버(169.254.169.253) 또는 VPC 네트워크 범위의 기반에 예약된 IP 주소와 2개의 쿼리가 성공해야 합니다. 자세한 내용은 AWS - AMAZON VPC의 DNS 사용 .
vSRX 가상 방화벽 기능 라이선스 추가
특정 Junos OS 소프트웨어 기능에는 기능을 활성화하기 위한 라이선스가 필요합니다. 라이선스가 부여된 기능을 활성화하려면 라이선스가 부여된 각 기능에 해당하는 라이선스 키를 구매, 설치, 관리 및 검증해야 합니다. 소프트웨어 기능 라이선스 요구 사항을 준수하려면 인스턴스당 기능당 하나의 라이선스를 구매해야 합니다. 가상 인스턴스에 적절한 소프트웨어 잠금 해제 키가 있으면 라이선스가 부여된 기능을 구성하고 사용할 수 있습니다.
자세한 내용은 vSRX 라이선스 관리를 참조하십시오.