Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Requisitos para el firewall virtual vSRX en AWS

En esta sección se presenta una descripción general de los requisitos para implementar una instancia de firewall virtual vSRX en Amazon Web Services (AWS).

Requisitos mínimos del sistema para AWS

En la tabla 1 se enumeran los requisitos mínimos del sistema para implementar instancias de firewall virtual vSRX en AWS.

En
Tabla 1: Requisitos mínimos del sistema para el firewall virtual vSRX

Componente

Especificaciones y detalles

Compatibilidad con hipervisores

XEN-HVM

Memoria

4 GB

Espacio en disco

16 GB

vCPU

2

vNIC

3

Tipo de vNIC

SR-IOV

Procesadores AMD A partir de Junos OS versión 22.3R2, vSRX Virtual Firewall 3.0 en Amazon Web Services (AWS) admite el procesador Advanced Micro Devices (AMD) para un mejor rendimiento.

Mapeo de interfaz para el firewall virtual vSRX en AWS

vSRX Virtual Firewall on AWS admite hasta un máximo de ocho interfaces de red, pero el número máximo real de interfaces que se pueden conectar a una instancia de vSRX Virtual Firewall viene determinado por el tipo de instancia de AWS en la que se lanza. Para las instancias de AWS que permiten más de ocho interfaces, vSRX Virtual Firewall solo admitirá hasta un máximo de ocho interfaces.

Los siguientes son los tipos de instancia C5 admitidos:

  • c5.large

  • c5.xlarge

  • c5.2xlarge

  • c5.4xlarge

  • c5.9xlarge

  • c5n.2xlarge

  • c5n.4xlarge

  • c5n.9xlarge

A continuación, se indican las instancias de AWS basadas en AMD compatibles:

  • C5a.16xlarge

  • C5a.8xlarge

  • C5a.4xlarge

  • C5a.2xlarge

  • C5a.xlarge

Para obtener más información sobre detalles de la instancia, como vCPU, memoria, etc., consulte Información de precios

Para obtener más información sobre el número máximo de interfaces de red por tipo de instancia, consulte https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .

En la tabla 2 se muestra una asignación entre los nombres de interfaz del firewall virtual vSRX y sus nombres de interfaz de AWS correspondientes para un máximo de ocho interfaces de red. La primera interfaz de red se utiliza para la administración fuera de banda (fxp0) para el firewall virtual vSRX.

Tabla 2: Firewall virtual vSRX y nombres de interfaz de AWS

Número de interfaz

Interfaz de firewall virtual vSRX

Interfaz de AWS

1

fxp0

eth0

2

ge-0/0/0

eth1

3

ge-0/0/1

eth2

4

ge-0/0/2

eth3

5

ge-0/0/3

eth4

6

ge-0/0/4

eth5

7

GE-0/0/5

eth6

8

GE-0/0/6

eth7

Recomendamos colocar interfaces de ingresos en instancias de enrutamiento como práctica recomendada para evitar el enrutamiento asimétrico. Dado que fxp0 forma parte de la tabla de enrutamiento predeterminada (inet.0), puede haber dos rutas predeterminadas necesarias en la misma instancia de enrutamiento: una para la interfaz fxp0 para el acceso de administración externa y la otra para las interfaces de ingresos para el acceso al tráfico, lo que da como resultado un enrutamiento asimétrico. Colocar las interfaces de ingresos en una instancia de enrutamiento independiente evita esta situación de dos rutas predeterminadas en una sola instancia de enrutamiento.

Nota:

Asegúrese de que las interfaces que pertenecen a la misma zona de seguridad se encuentran en la misma instancia de enrutamiento. Consulte el artículo de KB: La interfaz debe estar en la misma instancia de enrutamiento que las demás interfaces de la zona.

Configuración predeterminada del firewall virtual vSRX en AWS

El Firewall virtual vSRX requiere las siguientes opciones de configuración básicas:

  • A las interfaces se les deben asignar direcciones IP.

  • Las interfaces deben estar enlazadas a zonas.

  • Las políticas deben configurarse entre zonas para permitir o denegar el tráfico.

  • El componente relacionado con el controlador ENA debe estar listo para el firewall virtual vSRX.

En la tabla 3 se enumera la configuración predeterminada de fábrica para las políticas de seguridad en el firewall virtual vSRX.

Tabla 3: Configuración predeterminada de fábrica para las directivas de seguridad

Zona de origen

Zona de destino

Acción política

Confianza

Untrust

Permiso

Confianza

Confianza

Permiso
PRECAUCIÓN:

No utilice el load factory-default comando en una instancia de AWS de vSRX Virtual Firewall. La configuración predeterminada de fábrica elimina la preconfiguración de AWS. Si debe volver a los valores predeterminados de fábrica, asegúrese de volver a configurar manualmente las instrucciones de preconfiguración de AWS antes de confirmar la configuración; de lo contrario, perderá el acceso a la instancia de vSRX Virtual Firewall. Consulte Configuración de vSRX mediante la CLI para detalles de preconfiguración de AWS.

Prácticas recomendadas para mejorar el rendimiento del firewall virtual vSRX

Revise las siguientes prácticas de implementación para mejorar el rendimiento del firewall virtual vSRX:

  • Deshabilite la comprobación de origen y destino para todas las interfaces del firewall virtual vSRX.

  • Limite los permisos de acceso a claves públicas a 400 para los pares de claves.

  • Asegúrese de que no haya contradicciones entre los grupos de seguridad de AWS y la configuración de vSRX Virtual Firewall.

  • Utilice los tipos de instancia c5n en AWS para obtener el mejor rendimiento en el firewall virtual vSRX.

    Nota:

    Para las instancias c5-large, AWS utiliza procesadores escalables Intel Xeon de segunda generación (Cascade Lake) o procesador Intel Xeon Platinum serie 8000 de primera generación (Skylake-SP) y, para instancias grandes c4-xtra, AWS utiliza Intel Xeon E5-2666 v3 de alta frecuencia.

  • Asegúrese de que el tráfico fluya a través de varias interfaces del firewall virtual vSRX para un uso óptimo de las vCPU.

  • Utilice vSRX Virtual Firewall NAT para proteger sus instancias Amazon EC2 del tráfico directo de Internet.