Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Implementación del firewall virtual vSRX en Oracle Cloud Infrastructure

Los temas de esta sección le ayudarán a lanzar instancias de firewall virtual vSRX en Oracle Cloud Infrastructure.

Visión general

En este tema se proporciona una descripción general y los requisitos previos para implementar el firewall virtual de firewall virtual vSRX en Oracle Cloud Infrastructure. El firewall virtual vSRX proporciona servicios de seguridad y red para entornos virtuales privados o públicos de Oracle Cloud.

A partir de Junos OS versión 20.4R2, vSRX Virtual Firewall 3.0 está disponible para implementaciones OCI.

Nota:

La imagen de vSRX Virtual Firewall 3.0 no está disponible en OCI Marketplace. Debe descargar el software vSRX Virtual Firewall 3.0 de Descargas de soporte de Juniper y cargarlo en un compartimento OCI.

Requisitos previos

  • Asegúrese de tener las cuentas y los permisos adecuados antes de intentar implementar el firewall virtual vSRX en OCI.

  • Copie la imagen .oci en un compartimento de almacenamiento de objetos de su cuenta OCI.

    Un nombre de archivo de ejemplo es junos-vsrx3-x86-64-xxxx.oci. Después de comprar el software vSRX Virtual Firewall 3.0, puede descargarlo desde: Página de soporte de Juniper .

    Nota:

    Las extensiones de imagen .oci se crean para que las imágenes del firewall virtual vSRX se implementen en OCI. Esto se debe a que en OCI, cuando se implementan las imágenes qcow2, la emulación predeterminada seleccionada para la vNIC es e-1000.Las imágenes .oci del firewall virtual vSRX pasan los metadatos necesarios para que el tipo de emulación se establezca en virtIO tras la implementación del firewall virtual vSRX, lo que garantiza un mejor rendimiento.

  • Cree subredes de red virtual para su implementación.

Para comprender mejor las terminologías de Oracle y su uso en implementaciones de vSRX Virtual Firewall 3.0, consulte Descripción de la implementación de vSRX Virtual Firewall en Oracle Cloud Infrastructure.

Ejemplo de topología

Una configuración de nube común incluye hosts a los que desea conceder acceso a Internet, pero no desea que nadie ajeno a su nube tenga acceso a sus hosts. Puede usar el Firewall virtual de vSRX en el tráfico de OCI a NAT dentro de la OCI desde la Internet pública.

En el diagrama se muestra un ejemplo de VCN con tres subredes:

  • Público (10.0.1.0/24), para interfaces de gestión con acceso a Internet a través de una puerta de enlace de Internet

  • Público (10.0.2.0/24), para interfaces de ingresos (datos) con acceso a Internet a través de una puerta de enlace de Internet

  • Privada (10.0.3.0/24), una subred privada sin acceso a Internet

La siguiente topología se usa como ejemplo para esta implementación.

Figura 1: Ejemplo de VCN para la implementación de firewall virtual vSRX en OCI Example VCN for vSRX Virtual Firewall Deployment in OCI

Lanzar instancias de firewall virtual vSRX en la OCI

En este tema se proporcionan detalles sobre cómo se pueden lanzar instancias de firewall virtual de vSRX en la OCI.

  1. Inicie sesión en la consola de administración de OCI. La consola es una interfaz gráfica intuitiva que le permite crear y administrar sus instancias, redes en la nube y volúmenes de almacenamiento, así como sus usuarios y permisos. Después de iniciar sesión, se muestra la página principal de la consola.
  2. Elija un compartimento para sus recursos.

    Los compartimentos le ayudan a organizar y controlar el acceso a sus recursos. Un compartimento es una colección de recursos relacionados (como redes en la nube, instancias informáticas o volúmenes de bloques) a los que solo pueden acceder aquellos grupos a los que un administrador de su organización ha concedido permiso. Por ejemplo, un compartimento podría contener todos los servidores y volúmenes de almacenamiento que componen la versión de producción del sistema de Recursos Humanos de su empresa. Solo los usuarios con permiso para ese compartimento pueden administrar esos servidores y volúmenes.

    • Abra el menú de navegación. En Infraestructura principal, vaya a Redes y haga clic en Redes virtuales en la nube.

    • Seleccione el compartimento Sandbox (o el compartimento designado por el administrador) en la lista de la izquierda. Si el compartimento Sandbox no existe, puede crearlo. Para obtener más información, consulte Creación de un compartimento.

  3. Cargue el .oci en la plataforma OCI.

    1. En el menú principal, haga clic en Almacenamiento de objetos.

      Figura 2: Almacenamiento de Object Storage objetos

    2. Seleccione el compartimento en el que desea crear el cubo. Si ya tiene un bucket, haga clic en el nombre de "su bucket". O cree un bucket.

      Figura 3: Crear bucket

    3. A continuación, haga clic en Cargar objetos.

      Proporcione la información necesaria cuando aparezca una ventana emergente.

      Figura 4: Cargar objetos Upload Objects

      Ver detalles del objeto: después de cargar la imagen .oci, elija el objeto, haga clic con el botón derecho en el objeto y seleccione Ver detalles del objeto.

      Figura 5: Ver detalles del objeto
      Nota:

      Habrá una ruta URL para este objeto como ID OCI, que se puede utilizar durante la importación de imágenes.

  4. Cree una red de nube virtual (VCN) con subredes. Es posible que haya varias subredes dentro de una única red VCN.

    A continuación, lanzará la instancia en una de las subredes de la VCN y se conectará a ella.

    Nota:

    Asegúrese de que el compartimento Sandbox (o el compartimento designado para usted) esté seleccionado en la lista Compartimento de la izquierda.

    1. Abra el menú Navegación . En Infraestructura principal, vaya a Redes y haga clic en Redes virtuales en la nube.

    2. Haga clic en Crear VCN e introduzca los datos para Nombre del VCN, Compartimento, seleccione un bloque CIDR VCN IPv4, Bloque CIDR de subred pública. Acepte los valores predeterminados para cualquier otro campo y haga clic en Crear VCN.

    Figura 6: Crear red Create Virtual Cloud Network de nube virtual
    Figura 7: Bloque CIDR Block CIDR

    La red en la nube creada tendrá recursos como Internet y puerta de enlace NAT, puerta de enlace de servicios con acceso a la red de servicios de Oracle, una subred pública regional con acceso a la puerta de enlace de Internet y una subred privada regional con acceso a la puerta de enlace NAT y puerta de enlace de servicios.

  5. Cree subredes para la VCN de firewall virtual vSRX creada.

    El Firewall virtual vSRX requiere dos subredes públicas y una o más subredes privadas para cada grupo de instancias individual. Una subred pública es para la interfaz de administración (fxp0) y la otra es para una interfaz de ingresos (datos). Las subredes privadas, conectadas a las otras interfaces de vSRX Virtual Firewall, garantizan que todo el tráfico entre las aplicaciones en las subredes privadas e Internet debe pasar a través de la instancia de vSRX Virtual Firewall.

    1. Configurar la subred pública (interfaz de administración)

      Para crear esta subred pública, haga clic en Crear subred y defina una regla de ruta para la tabla de rutas Tabla de rutas predeterminada en la que la puerta de enlace de Internet está configurada como destino de ruta para todo el tráfico (0.0.0.0/0) como se muestra a continuación.

      Figura 8: Reglas de Route Rules ruta

      Para obtener más información sobre cómo crear subredes, consulte VCN y subredes.

      Para la lista de seguridad Lista de seguridad predeterminada de la subred, cree una regla de salida para permitir el tráfico a todos los destinos. Cree reglas de entrada que permitan el acceso en el puerto TCP 22 desde la Internet pública y en el puerto TCP 80/443 para acceder a la aplicación web desde la Internet pública, como se muestra a continuación.

      Figura 9: Reglas con estado (lista de seguridad predeterminada) Stateful Rules (Default Security List)
    2. Configurar la subred pública (interfaz de ingresos)

      Cree esta subred pública y defina una regla de ruta para la tabla de rutas RT pública en la que la puerta de enlace de Internet está configurada como destino de ruta para todo el tráfico (0.0.0.0/0).

      Para la lista de seguridad de la subred Public Subnet SL, cree una regla de salida para permitir el tráfico a todos los destinos. Cree reglas de entrada que permitan el acceso en el puerto TCP 80/443 para acceder a la aplicación web desde la Internet pública y en ICMP si es necesario para verificar la conectividad como se muestra a continuación.

      Figura 10: Reglas con estado (lista de seguridad de subred pública) Stateful Rules (Public Subnet Security List)
    3. Configurar la subred privada

      Cree esta subred privada y defina una regla de ruta para la tabla de rutas RT privada en la que la dirección IP privada del firewall virtual vSRX Segunda NIC (10.0.3.3) está configurada como destino de ruta para todo el tráfico 0.0.0.0/0.

      Nota:

      Configure la regla de ruta después de crear y adjuntar las VNIC secundarias.
  6. Crear puerta de enlace de Internet. Para crear una puerta de enlace de Internet, haga clic en Puertas de enlace de Internet, establezca una puerta de enlace de Internet para que el firewall virtual vSRX sea accesible desde el exterior.
    Figura 11: Puerta de enlace a Internet Gateway Internet
  7. Información de la lista de seguridad para habilitar la opción SSH. Seleccione la lista de seguridad predeterminada y las reglas de entrada como la regla ICMP para permitir el ping del tráfico estableciendo el CIDR de origen de cualquier cualquiera.
    Figura 12: Información de la lista de Security List Information seguridad Security List Information
  8. Cree la instancia de firewall virtual de vSRX en el VNC creado.

    1. Abra el menú de navegación. En Core Infrastructure (Infraestructura principal), seleccione Compute (Compute ), haga clic en Instances (Instancias) y, a continuación, haga clic en Create Instance (Crear instancia).

    2. Figura 13: Crear instancia Create Compute Instance de proceso Create Compute Instance Create Compute Instance

    3. En la página Create Instance (Crear instancia ), escriba el nombre de la instancia.

    4. Elija un sistema operativo o una fuente de imagen: haga clic en Cambiar imagen y, a continuación, haga clic en Fuente de imagen para seleccionar la imagen que desea usar. Seleccione Imágenes personalizadas y elija la imagen del compartimento. Imagen de firewall virtual OCI vSRX que desee y, a continuación, haga clic en Seleccionar imagen.

      .

      Tipo de instancia: máquina virtual.

    5. Elegir forma de instancia: haga clic en Cambiar forma para seleccionar la forma OCI predefinida estándar. Seleccione el estándar de máquina virtual 2.4 que tiene 4 NIC y 4 OCPU y haga clic en Forma selectiva.

      Nota:

      El firewall virtual vSRX necesita un mínimo de 2 vCPU para iniciarse.

    6. En la pestaña Redes , seleccione el compartimento de red de nube virtual, la red de nube virtual, los compartimentos de subred, la subred.

    7. Para crear una dirección IP pública para la instancia, seleccione la opción Asignar una dirección IPv4 pública .

      Nota:

      Acepte las opciones predeterminadas para Dominio de disponibilidad, Tipo de instancia y Forma de instancia.

    8. Agregar claves SSH: en la pestaña Agregar claves SSH , puede pegar una clave pública seleccionando la opción Pegar claves públicas y pegar la clave SSH pública que se generó o puede crear una nueva clave SSH para acceder al firewall virtual vSRX y, a continuación, hacer clic en Crear.

    Después de unos minutos, podemos ssh la instancia utilizando la IP pública asignada para la instancia (esto se mostraría en la instancia). Reinicie la instancia después de agregar interfaces.

    La instancia se muestra en la consola en un estado de aprovisionamiento. Espere que el aprovisionamiento tarde varios minutos antes de que el estado se actualice a En ejecución. No actualice la página. Después de que se esté ejecutando la instancia, espere unos minutos más para que el sistema operativo arranque antes de intentar conectarse. Cuando esté listo para conectarse a la instancia, anote tanto la dirección IP pública como la contraseña inicial.

    Una vez aprovisionada la instancia, los detalles sobre ella aparecen en la lista de instancias como se muestra a continuación.

    Figura 14: Instancia de firewall virtual vSRX lanzada en OCI vSRX Virtual Firewall Instance Launched in OCI
    Nota:

    El nombre de usuario predeterminado para la instancia de vSRX Virtual Firewall es oci-user. Por ejemplo, para iniciar sesión en el firewall virtual vSRX mediante SSH:
  9. Agregar interfaces para el tráfico.

    Las interfaces de red deben agregarse después de crear la instancia.

    1. Haga clic en VNICs adjuntas y seleccione Crear VNIC (ge000 -public y ge001-private). Seleccione la subred que se creó y haga clic en Guardar cambios para agregar VNICs a la instancia.

      Nota:

      El orden de conexión de las interfaces de red es importante. Debe asignar la primera interfaz de red a fxp0, luego la segunda interfaz a ge-0/0/0, luego a ge-0/0/1 y así sucesivamente.
      Figura 15: VNICs Attached VNICs conectadas Attached VNICs
  10. Conéctese a la instancia de vSRX Virtual Firewall lanzada. Abra el cliente SSH para acceder a la instancia de firewall virtual vSRX lanzada. En el primer arranque, solo puede SSH el firewall virtual vSRX. El firewall virtual vSRX se inicia con la configuración predeterminada de OCI. Utilice su clave privada para SSH la instancia de firewall virtual vSRX.