Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CLI를 사용하여 vSRX 가상 방화벽 구성

AWS 사전 설정 및 공장 기본값에 대한 vSRX 가상 방화벽 이해

AWS의 vSRX 가상 방화벽 다음과 같은 사전 구성 기본값으로 구축됩니다.

  • 설치 중에 구성된 RSA 키 쌍을 통한 SSH 액세스

  • SSH 액세스에 허용된 암호 액세스 없음

  • 관리(fxp0) 인터페이스는 AWS Elastic IP 및 기본 경로로 사전 구성됩니다.

Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 AWS 인스턴스의 vSRX 가상 방화벽 위한 공장 기본 구성에 추가된 사전 구성 문을 요약합니다.

Junos OS 릴리스 15.1X49-D70 및 이전 버전에서는 AWS 인스턴스의 vSRX 가상 방화벽 위한 공장 기본 구성에 추가된 사전 구성 명령문을 요약합니다.

주의:

vSRX 가상 방화벽 AWS 인스턴스에서 명령을 사용하지 load factory-default 마십시오. 공장 기본 구성은 AWS 사전 구성을 제거합니다. 공장 기본값으로 복원해야 하는 경우 구성을 커밋하기 전에 AWS 사전 구성 문을 수동으로 재구성해야 합니다. 그렇지 않으면 vSRX 가상 방화벽 인스턴스에 대한 액세스가 손실됩니다.

기본 vSRX 가상 방화벽 구성 추가

vSRX 가상 방화벽 새로운 구성을 만들거나 다른 SRX에서 기존 구성을 복사하거나 vSRX 가상 방화벽 AWS의 vSRX 가상 방화벽 로드할 수 있습니다. 다음 단계를 사용하여 기존 구성을 복사하여 로드합니다.

  1. 구성 파일 저장

  2. 구성 파일 로드

CLI를 사용하여 vSRX 가상 방화벽 인스턴스를 구성하려면,

  1. SSH를 사용하여 vSRX 가상 방화벽 인스턴스에 로그인하고 CLI를 시작합니다.
    참고:

    릴리스 17.4R1 Junos OS 기본 사용자 이름이 에서 root@ 으로 ec2-user@변경되었습니다.

  2. 구성 모드를 입력합니다.
  3. 인증 방법을 설정하여 vSRX 가상 방화벽 로그인합니다. 일반 텍스트 비밀번호 또는 암호화된 비밀번호를 입력하여 암호를 지정할 수 있습니다. 보다 강력한 수준의 인증 보안이 필요한 경우 SSH 공개 키 문자열(DSA, ECDSA 또는 RSA)을 선택하는 것이 좋습니다.

    또는

  4. 추가 사용자에 대한 암호 액세스를 생성하려는 경우 선택적으로 SSH에 대한 암호를 활성화합니다.
  5. 호스트 이름을 구성합니다.
  6. 각 vSRX 가상 방화벽 수익 인터페이스에 대해 AWS에 정의된 IP 주소를 할당합니다. 예를 들어:

    여러 개인 주소의 경우, 각 주소에 set 대한 명령을 입력합니다. Elastic IP 주소를 할당하지 마십시오.

  7. 공용 인터페이스의 보안 영역을 지정합니다.
  8. 프라이빗 인터페이스의 보안 영역을 지정합니다.
  9. 퍼블릭 및 프라이빗 인터페이스에 대해 별도의 가상 라우터 및 라우팅 옵션을 추가하도록 라우팅을 구성합니다.
    참고:

    fxp0은 기본적으로 기본(inet.0) 테이블의 일부이기 때문에 비대칭 트래픽/라우팅을 피하기 위해 라우팅 인스턴스에 수익(데이터) 인터페이스를 배치하는 것이 좋습니다. 기본 라우팅 테이블 일부로 fxp0을 사용하면 두 개의 기본 경로가 필요할 수 있습니다. 하나는 외부 관리 액세스를 위한 fxp0 인터페이스용, 다른 하나는 트래픽 액세스를 위한 수익 인터페이스에 대한 경로입니다. 수익 인터페이스를 별도의 라우팅 인스턴스에 배치하면 단일 라우팅 인스턴스에서 두 개의 기본 경로가 발생하지 않습니다.

  10. 구성을 확인합니다.
  11. 구성을 커밋하여 디바이스에서 활성화합니다.
  12. 선택적으로 명령을 사용하여 show 구성을 표시하여 올바른지 확인합니다.

Amazon Virtual Private Cloud(Amazon VPC)의 vSRX 가상 방화벽 인스턴스 뒤에 있는 모든 호스트를 신뢰할 수 없는 영역의 vSRX 가상 방화벽 송신 인터페이스의 IP 주소로 네트워크 주소 변환(NAT)으로 vSRX 가상 방화벽 구성하는 방법에 대한 예는 예: vSRX 위해 NAT 구성을 참조하십시오. 이러한 구성을 통해 클라우드 네트워크의 vSRX 가상 방화벽 뒤에 있는 호스트가 인터넷에 액세스할 수 있습니다.

서로 다른 Amazon VPC에서 AWS의 두 vSRX 가상 방화벽 인스턴스 간에 IPsec VPN을 구성하는 방법의 예 는 예: Amazon VPC 간 vSRX VPN 구성을 참조하십시오.

DNS 서버 추가

vSRX 가상 방화벽 기본 구성에 DNS 서버를 포함하지 않습니다. 예를 들어, 서명 업데이트를 풀다운하려면 IPS와 같은 레이어 7 서비스를 구축하도록 구성된 DNS가 필요할 수 있습니다. 자신의 외부 DNS 서버를 사용하거나 AWS DNS 서버를 사용할 수 있습니다. Amazon VPC에서 DNS를 활성화하면 Amazon DNS 서버(169.254.169.253) 또는 VPC 네트워크 범위의 기반에 예약된 IP 주소와 2개의 쿼리가 성공해야 합니다. 자세한 내용은 AWS - AMAZON VPC의 DNS 사용 .

vSRX 가상 방화벽 기능 라이선스 추가

특정 Junos OS 소프트웨어 기능에는 기능을 활성화하기 위한 라이선스가 필요합니다. 라이선스가 부여된 기능을 활성화하려면 라이선스가 부여된 각 기능에 해당하는 라이선스 키를 구매, 설치, 관리 및 검증해야 합니다. 소프트웨어 기능 라이선스 요구 사항을 준수하려면 인스턴스당 기능당 하나의 라이선스를 구매해야 합니다. 가상 인스턴스에 적절한 소프트웨어 잠금 해제 키가 있으면 라이선스가 부여된 기능을 구성하고 사용할 수 있습니다.

자세한 내용은 vSRX 라이선스 관리를 참조하십시오.