Configurar el firewall virtual de vSRX mediante la CLI
Descripción de la preconfiguración y los valores predeterminados de fábrica de vSRX Virtual Firewall on AWS
El firewall virtual vSRX en AWS se implementa con los siguientes valores predeterminados de preconfiguración:
Acceso SSH con el par de claves RSA configurado durante la instalación
No se permite el acceso con contraseña para el acceso SSH
La interfaz de administración (fxp0) está preconfigurada con la IP elástica de AWS y la ruta predeterminada
A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, en el siguiente ejemplo se resumen las instrucciones de preconfiguración agregadas a una configuración predeterminada de fábrica para instancias de vSRX Virtual Firewall en AWS:
set groups aws-default system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX” set groups aws-default system services ssh no-passwords set groups aws-default system services netconf ssh set groups aws-default system services web-management https system-generated-certificate set groups aws-default interfaces fxp0 unit 0 family inet address aws-ip-address set groups aws-default routing-options static route 0.0.0.0/0 next-hop aws-ip-address set apply-groups aws-default
Para Junos OS versión 15.1X49-D70 y versiones anteriores, en el siguiente ejemplo se resumen las instrucciones de preconfiguración agregadas a una configuración predeterminada de fábrica para instancias de vSRX Virtual Firewall en AWS:
set system root-authentication ssh-rsa "ssh-rsa XXXRSA-KEYXXXXX” set system services ssh no-passwords set interfaces fxp0 unit 0 family inet addressaws-ip-address set routing-options static route 0.0.0.0/0 next-hop aws-ip-address
No utilice el load factory-default
comando en una instancia de AWS de vSRX Virtual Firewall. La configuración predeterminada de fábrica elimina la preconfiguración de AWS. Si debe volver a los valores predeterminados de fábrica, asegúrese de volver a configurar manualmente las instrucciones de preconfiguración de AWS antes de confirmar la configuración; de lo contrario, perderá el acceso a la instancia de vSRX Virtual Firewall.
Agregar una configuración básica de firewall virtual vSRX
Puede crear una nueva configuración en el firewall virtual vSRX o copiar una configuración existente de otro firewall virtual SRX o vSRX y cargarla en el firewall virtual vSRX en AWS. Siga estos pasos para copiar y cargar una configuración existente:
Para configurar una instancia de vSRX Virtual Firewall mediante la CLI:
Para obtener un ejemplo de cómo configurar vSRX Virtual Firewall para NAT todos los hosts detrás de la instancia de vSRX Virtual Firewall en Amazon Virtual Private Cloud (Amazon VPC) a la dirección IP de la interfaz de salida de vSRX Virtual Firewall en la zona de no confianza, consulte Ejemplo: Configuración de NAT para vSRX. Esta configuración permite que los hosts detrás del firewall virtual vSRX en una red en la nube accedan a Internet.
Para obtener un ejemplo de cómo configurar VPN IPsec entre dos instancias de vSRX Virtual Firewall on AWS en diferentes Amazon VPC, consulte Ejemplo: Configuración de VPN en vSRX entre Amazon VPC.
Agregar servidores DNS
El Firewall virtual vSRX no incluye ningún servidor DNS en la configuración predeterminada. Es posible que necesite configurar DNS para implementar servicios de capa 7, como IPS, para desplegar actualizaciones de firmas, por ejemplo. Puede utilizar su propio servidor DNS externo o un servidor DNS de AWS. Si habilita DNS en su Amazon VPC, las consultas al servidor DNS de Amazon (169.254.169.253) o a la dirección IP reservada en la base del rango de red de VPC más dos deberían realizarse correctamente. Consulte AWS - Uso de DNS con su Amazon VPC para obtener detalles completos.
Agregar licencias de características de firewall virtual vSRX
Algunas funciones del software Junos OS requieren una licencia para activarla. Para habilitar una función con licencia, debe comprar, instalar, administrar y verificar una clave de licencia que corresponda a cada característica con licencia. Para cumplir con los requisitos de licencia de características de software, debe comprar una licencia por característica por instancia. La presencia de la clave de desbloqueo de software adecuada en la instancia virtual le permite configurar y utilizar la función con licencia.
Consulte Administración de licencias para vSRX para obtener más información.