Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vSRX 가상 방화벽 위한 Amazon 가상 프라이빗 클라우드 구성

시작하기 전에 Amazon Web Services(AWS) 계정과 ID 및 액세스 관리(IAM) 역할이 필요하며, Amazon Elastic Compute Cloud(Amazon EC2), Amazon Simple Storage Service(S3), Amazon Virtual Private Cloud(Amazon VPC) 개체에 액세스, 생성, 수정 및 삭제할 수 있는 모든 권한이 필요합니다. 또한 액세스 키와 해당 비밀 액세스 키, X.509 인증서 및 계정 식별자를 만들어야 합니다. AWS 용어와 AWS 구축에 vSRX 가상 방화벽 사용에 대해 더 잘 이해하려면 AWS를 사용한 vSRX 이해하기를 참조하세요.

그림 1 은 Amazon VPC의 프라이빗 서브넷에서 실행되는 애플리케이션에 대한 보안을 제공하기 위해 vSRX 가상 방화벽 구축하는 방법의 예를 보여줍니다.

그림 1: AWS 구축 Example of vSRX Virtual Firewall in AWS Deployment 의 vSRX 가상 방화벽 예

다음 절차에서는 vSRX 가상 방화벽 위한 Amazon VPC를 생성하고 준비하는 방법에 대해 간략하게 설명합니다. 절차에서는 관련 인터넷 게이트웨이, 서브넷, 경로 테이블 및 보안 그룹이 있는 Amazon VPC를 설정하는 방법을 설명합니다.

1단계: Amazon VPC 및 인터넷 게이트웨이 생성

Amazon VPC 및 인터넷 게이트웨이를 생성하려면 다음 절차를 따르십시오. 이미 VPC와 인터넷 게이트웨이가 있는 경우 2단계: vSRX 가상 방화벽 위한 서브넷 추가로 이동하십시오.

  1. AWS 관리 콘솔에 로그인하고 네트워킹 > > 서비스를 선택합니다.
  2. VPC 대시보드에서 왼쪽 창에서 VPC 를 선택하고 VPC 만들기를 클릭합니다.
  3. VPC 이름과 Classless Interdomain Routing(CIDR) 형식의 프라이빗 IP 주소 범위를 지정합니다. 기본값을 테넌시로 둡니다.
  4. 예, 만들기를 클릭합니다.
  5. 왼쪽 창에서 인터넷 게이트웨이를 선택하고 인터넷 게이트웨이 생성을 클릭합니다.
  6. 게이트웨이 이름을 지정하고 예, 생성을 클릭합니다.
  7. 방금 생성한 게이트웨이를 선택하고 VPC에 연결(Attach to VPC)을 클릭합니다.
  8. 새로운 Amazon VPC를 선택하고 예, 첨부를 클릭합니다.

2단계: vSRX 가상 방화벽 위한 서브넷 추가

Amazon VPC에서 퍼블릭 서브넷은 인터넷 게이트웨이에 액세스할 수 있지만 프라이빗 서브넷은 액세스할 수 없습니다. vSRX 가상 방화벽 각 개별 인스턴스 그룹에 대해 2개의 퍼블릭 서브넷과 하나 이상의 프라이빗 서브넷이 필요합니다. 공용 서브넷은 관리 인터페이스(fxp0) 및 수익(데이터) 인터페이스용으로 구성됩니다. 다른 vSRX 가상 방화벽 인터페이스에 연결된 프라이빗 서브넷은 프라이빗 서브넷과 인터넷의 애플리케이션 간의 모든 트래픽이 vSRX 가상 방화벽 인스턴스를 통과해야 합니다.

각 vSRX 가상 방화벽 서브넷을 생성하려면 다음을 수행합니다.

  1. VPC 대시보드에서 왼쪽 창에서 서브넷을 선택하고 서브넷 만들기를 클릭합니다.
  2. 서브넷 이름을 지정하고, Amazon VPC 및 가용성 영역을 선택하고, CIDR 형식으로 서브넷 IP 주소 범위를 지정합니다.
    팁:

    서브넷의 명명 규칙 모범 사례로, 어떤 서브넷이 퍼블릭 또는 프라이빗인지 더 쉽게 알 수 있도록 이름에 프라이빗 또는 블릭을 포함하는 것이 좋습니다.

    참고:

    vSRX 가상 방화벽 인스턴스의 모든 서브넷은 동일한 가용성 존에 있어야 합니다. 가용성 영역에 대한 No Preference 를 사용하지 마십시오.

  3. 예, 만들기를 클릭합니다.

생성하고 vSRX 가상 방화벽 인스턴스에 연결하려는 각 서브넷에 대해 이 단계를 반복합니다.

3단계: 서브넷에 인터페이스 연결

서브넷에 인터페이스를 연결하려면 다음을 수행합니다.

  1. Amazon EC2 홈 페이지에서 네트워크 인터페이스를 생성합니다.

    EC2 홈 페이지에서 네트워크 인터페이스 옵션을 클릭하고 네트워크 인터페이스 생성 페이지가 열립니다.

  2. 네트워크 인터페이스 생성 옵션을 클릭하고 필드에 필요한 정보를 입력한 다음 만들기를 클릭합니다.
  3. 새로 생성된 인터페이스를 찾아 선택합니다.

    이 인터페이스가 수익 인터페이스인 경우 작업 메뉴에서 소스/Dest.Check 변경을 선택하고 비활성화를 선택하고 저장을 클릭합니다. 이 인터페이스가 fxp0 인터페이스인 경우 이 비활성화 단계를 건너뜁니다.

  4. 화면 상단의 메뉴에서 연결 을 클릭하고 vSRX 가상 방화벽 인스턴스의 인스턴스 ID 를 선택하고 연결(Attach)을 클릭합니다.
  5. vSRX 가상 방화벽 인터페이스 핫 플러그인을 지원하지 않습니다. 따라서 인터페이스 추가가 완료되면 인터페이스가 추가된 vSRX 가상 방화벽 인스턴스를 재부팅하여 변경 사항을 적용합니다.

4단계: vSRX 가상 방화벽 위한 경로 테이블 추가

기본 설정으로 각 Amazon VPC에 대한 기본 경로 테이블이 생성됩니다. 공용 서브넷에 대한 사용자 지정 경로 테이블과 각 프라이빗 서브넷에 대해 별도의 경로 테이블을 만드는 것이 좋습니다. 사용자 지정 경로 테이블과 연결되지 않은 모든 서브넷은 기본 경로 테이블과 연결됩니다.

경로 테이블을 생성하려면 다음을 수행합니다.

  1. VPC 대시보드에서 왼쪽 창에서 경로 테이블을 선택하고 경로 테이블 생성을 클릭합니다.
  2. 경로 테이블 이름을 지정하고 VPC를 선택하고 예, 생성을 클릭합니다.
    팁:

    경로 테이블에 대한 명명 규칙 모범 사례로 이름에 프라이빗 또는 퍼블 릭을 포함하여 어떤 경로 테이블이 퍼블릭 또는 프라이빗인지 더 쉽게 알 수 있도록 하는 것이 좋습니다.

  3. 1단계와 2단계를 반복하여 모든 경로 테이블을 만듭니다.
  4. 공용 서브넷에 대해 생성한 경로 테이블을 선택하고 다음을 수행합니다.
    1. 경로 테이블 목록 아래에서 경로 탭을 선택합니다.
    2. 편집을 클릭하고 다른 경로 추가를 클릭합니다.
    3. 목적지로 0.0.0.0/0을 입력하고 VPC 인터넷 게이트웨이를 대상으로 선택하고 저장을 클릭합니다.
    4. 서브넷 연결 탭을 선택하고 편집을 클릭합니다.
    5. 공용 서브넷에 대한 확인란을 선택하고 저장을 클릭합니다.
  5. 프라이빗 서브넷을 위해 생성한 각 경로 테이블을 선택하고 다음을 수행합니다.
    1. 서브넷 연결 탭을 선택하고 편집을 클릭합니다.
    2. 하나의 프라이빗 서브넷에 대한 확인란을 선택하고 저장을 클릭합니다.

5단계: vSRX 가상 방화벽 위한 보안 그룹 추가

각 Amazon VPC에 대해 기본 보안 그룹이 생성됩니다. 다른 모든 vSRX 가상 방화벽 인터페이스에 대해 vSRX 가상 방화벽 관리 인터페이스(fxp0)와 다른 보안 그룹을 위한 별도의 보안 그룹을 만드는 것이 좋습니다. 보안 그룹은 Amazon EC2 대시보드에서 vSRX 가상 방화벽 인스턴스가 시작될 때 할당되며 보안 그룹을 추가 및 관리할 수도 있습니다.

보안 그룹을 생성하려면 다음을 수행합니다.

  1. VPC 대시보드에서 왼쪽 창에서 보안 그룹을 선택하고 보안 그룹 생성을 클릭합니다.
  2. vSRX 가상 방화벽 관리 인터페이스의 경우 이름 태그 필드에서 보안 그룹 이름을 지정하고, 그룹 이름 필드를 편집(선택 사항)하고, 그룹에 대한 설명을 입력하고, VPC를 선택합니다.
  3. 예, 만들기를 클릭합니다.
  4. 1~3단계를 반복하여 vSRX 가상 방화벽 수익 인터페이스에 대한 보안 그룹을 만듭니다.
  5. 관리 인터페이스에 대해 생성한 보안 그룹을 선택하고 다음을 수행합니다.
    1. 보안 그룹 목록 아래에서 인바운드 규칙 탭을 선택합니다.
    2. 편집을 클릭하고 다른 규칙 추가를 클릭하여 다음 인바운드 규칙을 만듭니다.

      형식

      프로토콜

      포트

      소스

      사용자 지정 TCP 규칙

      기본

      20-21

      각 규칙에 대해 CIDR 주소 형식을 입력합니다(0.0.0.0/0은 모든 소스를 허용함).

      SSH (22)

      기본

      기본

      HTTP(80)

      기본

      기본

      HTTPS (443)

      기본

      기본

    3. 저장을 클릭합니다.
    4. 아웃바운드 규칙 탭을 선택하여 모든 아웃바운드 트래픽을 허용하는 기본 규칙을 확인합니다. 아웃바운드 트래픽을 제한할 필요가 없는 한 기본 규칙을 사용합니다.
  6. 다른 모든 vSRX 가상 방화벽 인터페이스에 대해 생성한 보안 그룹을 선택하고 다음을 수행합니다.
    참고:

    인바운드 및 아웃바운드 규칙은 모든 트래픽이 vSRX 가상 방화벽 보안 설정과 충돌을 방지하도록 허용해야 합니다.

    1. 보안 그룹 목록 아래에서 인바운드 규칙 탭을 선택합니다.
    2. 편집을 클릭하고 다음 인바운드 규칙을 만듭니다.

      형식

      프로토콜

      포트

      소스

      모든 트래픽

      모든

      모든

      • 웹 서버의 경우 0.0.0.0/0을 입력합니다.

      • VPN의 경우, CIDR(Classless Inter-Domain Routing) 블록(예: 10.0.0.0/16) 형식으로 IPv4 주소 범위를 입력합니다.

    3. 저장을 클릭합니다.
    4. 아웃바운드 규칙 탭에 기본 규칙을 유지합니다. 기본 규칙은 모든 아웃바운드 트래픽을 허용합니다.