Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Lanzar una instancia de firewall virtual vSRX en una Amazon Virtual Private Cloud

Los procedimientos siguientes describen cómo lanzar y configurar una instancia de firewall virtual vSRX en amazon Virtual Private Cloud (Amazon VPC):

Paso 1: Crear un par de claves SSH

Se requiere un par de claves SSH para acceder de forma remota a una instancia de firewall virtual vSRX en AWS. Puede crear un nuevo par de claves en el panel de control de Amazon EC2 o importar un par de claves creado por otra herramienta.

Para crear un par de claves SSH:

  1. Inicie sesión en la consola de administración de AWS y seleccione Servicios > computación > EC2.
  2. En el Panel de Control de Amazon EC2, seleccione Pares de claves en el panel izquierdo. Compruebe que el nombre de región que se muestra en la barra de herramientas es el mismo que la región en la que creó Amazon Virtual Private Cloud (Amazon VPC).
    Figura 1: Verificar región Verify Region
  3. Haga clic en Crear par de claves, especifique un nombre de par de claves y haga clic en Crear.
  4. El archivo de clave privada (.pem) se descarga automáticamente a su computadora. Mueva el archivo de clave privada descargado a una ubicación segura.

  5. Para usar un cliente SSH en una computadora Mac o Linux para conectarse a la instancia del firewall virtual vSRX, utilice el siguiente comando para establecer los permisos del archivo de clave privada de modo que solo usted pueda leerlo:

  6. Para tener acceso a la instancia del firewall virtual vSRX desde un símbolo de shell, utilice el ssh -i <full path to your keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx> comando. Si el archivo de clave está en su directorio actual, puede usar el nombre del archivo en lugar de la ruta completa como ssh -i <keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>.
Nota:

Alternativamente, utilice Importar par de claves para importar un par de claves diferente que generó con una herramienta de terceros.

Para obtener más información sobre la rotación de claves, consulte https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html.

Paso 2: Lanzar una instancia de firewall virtual vSRX

Los tipos de instancia de AWS compatibles con el firewall virtual vSRX se enumeran en la tabla 1.

El firewall virtual vSRX no admite tipos de instancias M y C3. Si ha hilado el firewall virtual vSRX con cualquiera de estos tipos de instancias, debe cambiar el tipo de instancia a tipo de instancia C4 o C5.

Tabla 1: Tipos de instancia de AWS compatibles para firewall virtual vSRX

Tipo de instancia

Tipo de firewall virtual vSRX

vCPU

Memoria (GB)

Tipo DE RSS

c5.large

Memoria de firewall virtual vSRX-2CPU-3G

2

4

HW RSS

c5.xlarge

Memoria del firewall virtual vSRX-4CPU-3G

4

8

HW RSS

c5,2xlargo

Memoria de firewall virtual vSRX-8CPU-15G

8

16

HW RSS

c5,4 veces mayor

Memoria del firewall virtual vSRX-16CPU-31G

16

32

SW RSS

c5,9 veces mayor

Memoria del firewall virtual vSRX-36CPU-93G

36

96

SW RSS

c5n.2xlargo

Memoria del firewall virtual vSRX-8CPU-20G

8

21

HW RSS

c5n.4xlargo

Memoria de firewall virtual vSRX-16CPU-41G

16

42

HW RSS

c5n.9x mayor

Memoria del firewall virtual vSRX-36CPU-93G

36

96

HW RSS

El firewall virtual vSRX en AWS admite hasta un máximo de ocho interfaces de red, pero la cantidad máxima real de interfaces que se pueden adjuntar a una instancia de firewall virtual vSRX está dictada por el tipo de instancia de AWS en la que se inicia. Para las instancias de AWS que permiten más de ocho interfaces, el firewall virtual vSRX admitirá hasta un máximo de ocho solo interfaces.

Los siguientes son los tipos de instancia C5 compatibles:

  • c5.large

  • c5.xlarge

  • c5,2xlargo

  • c5,4 veces mayor

  • c5,9 veces mayor

  • c5n.2xlargo

  • c5n.4xlargo

  • c5n.9x mayor

Para obtener más información sobre los detalles de la instancia, como vCPU, memoria, etc., consulte Información de precios

Para obtener más información sobre el máximo de interfaces de red por tipo de instancia, consulte https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .

Prácticas recomendadas:

Instance Type Selection— Según los cambios que requiera la red, es posible que la instancia esté sobreutilizada (como el tipo de instancia es demasiado pequeña) o poco utilizada (como el tipo de instancia es demasiado grande). Si este es el caso, puede cambiar el tamaño de la instancia. Por ejemplo, si la instancia es demasiado pequeña para su carga de trabajo, puede cambiarla a otro tipo de instancia que sea adecuado para la carga de trabajo. También es posible que desee migrar de un tipo de instancia de generación anterior a un tipo de instancia de generación actual para aprovechar algunas características; por ejemplo, compatibilidad con IPv6. Considere el cambio de instancias para un mejor rendimiento y transferencia de datos.

A partir de Junos OS versión 18.4R1, se admiten las instancias de firewall virtual vSRX de c5.large. Estas son rentables y ofrecen un mejor rendimiento y transferencia de datos.

Para lanzar una instancia de firewall virtual vSRX en Amazon VPC:

  1. Inicie sesión en su cuenta de AWS.
  2. Vaya a Amazon Market Place > Administrar suscripciones y busque firewall virtual vSRX.
  3. Seleccione firewall vSRX de última generación.
    Aparecerá la página de imagen de firewall virtual vSRX Firewall Amazon Machine de última generación.
  4. Haga clic en Iniciar nueva instancia.
  5. Seleccione el método de entrega, la versión de software y la región para la implementación. Haga clic en Continuar para iniciarse en EC2.
  6. Seleccione un tipo de instancia compatible. Consulte la Tabla 1 para obtener más detalles.
  7. Haga clic en Siguiente: configurar detalles de instancia y especifique los campos en la tabla 2. Expanda Detalles avanzados para ver todas las configuraciones.
    Tabla 2: Detalles de la instancia de AWS

    Campo

    Ajuste

    Red

    Seleccione Amazon VPC configurada para el firewall virtual vSRX.

    Subred

    Seleccione la subred pública para la interfaz de administración del firewall virtual vSRX (fxp0).

    Asignación automática de IP pública

    Seleccione Deshabilitar (asignará una dirección IP elástica más adelante).

    Grupo de colocación

    Utilice el valor predeterminado.

    Comportamiento de apagado

    Seleccione Detener (el valor predeterminado).

    • Habilite la protección del terminal

    • Monitoreo

    Utilice su política de TI.

    Interfaces de red

    Utilice el valor predeterminado o asigne una dirección IP pública para el campo IP principal .

    Datos de usuario

    A partir de Junos OS versión 17.4R1, el paquete cloud-init (versión 0.7x) viene preinstalado en el firewall virtual vSRX para la imagen de AWS, para ayudar a simplificar la configuración de nuevas instancias de firewall virtual vSRX que operan en AWS de acuerdo con un archivo de datos de usuario especificado.

    En la sección Datos de usuario de la página Configurar detalles de la instancia, seleccione Archivo como y adjunte el archivo de datos de usuario. El archivo seleccionado se utiliza para el lanzamiento inicial de la instancia. Durante la secuencia inicial de arranque, la instancia del firewall virtual vSRX procesa la solicitud de cloud-init. Consulte Uso de Cloud-Init para automatizar la inicialización de instancias de vSRX en AWS para obtener información acerca de cómo crear el archivo de datos de usuario.

    Nota:

    La configuración de Junos OS que se pasa como datos de usuario solo se importa en el inicio inicial. Si la instancia se detiene y se reinicia, el archivo de datos de usuario no se importa de nuevo.

  8. Haga clic en Siguiente: agregar almacenamiento y use la configuración predeterminada o cambie el tipo de volumen y IOPS según sea necesario.
  9. Haga clic en Siguiente: instancia de etiqueta y especifique un nombre para la instancia del firewall virtual vSRX.
  10. Haga clic en Siguiente: configurar grupo de seguridad, seleccione Seleccione un grupo de seguridad existente y seleccione el grupo de seguridad creado para la interfaz de administración del firewall virtual vSRX (fxp0).
  11. Haga clic en Revisar y lanzar, revise la configuración de la instancia del firewall virtual vSRX y haga clic en Iniciar.
  12. Seleccione el par de claves SSH que creó, active la casilla de confirmación y haga clic en Instancia de inicio.
  13. Haga clic en Ver instancias para mostrar la lista de instancias en el panel de Control de Amazon EC2. Puede tardar varios minutos lanzar una instancia de firewall virtual vSRX.

Paso 3: Vea los registros del sistema aws

Para depurar errores de tiempo de lanzamiento, puede ver los registros del sistema aws, como se indica a continuación:

  1. En el Panel de control de Amazon EC2, seleccione Instancias.
  2. Seleccione la instancia del firewall virtual vSRX y seleccione Acciones > configuración de instancia > Obtener registros del sistema.

Paso 4: Agregar interfaces de red para firewall virtual vSRX

AWS admite hasta ocho interfaces para una instancia, según el tipo de instancia de AWS seleccionado. Utilice el siguiente procedimiento para cada una de las interfaces de ingresos que desea agregar al firewall virtual vSRX (hasta siete). La primera interfaz de ingresos es ge-0/0/0, la segunda ge-0/0/1, y así sucesivamente (consulte Requisitos para vSRX en AWS).

Para agregar una interfaz de ingresos del firewall virtual vSRX:

  1. En el Panel de Control de Amazon EC2, seleccione Interfaces de red en el panel izquierdo y haga clic en Crear interfaz de red.
  2. Especifique la configuración de interfaz como se muestra en la tabla 3 y haga clic en Sí, Crear.
    Tabla 3: Configuración de interfaz de red

    Campo

    Ajuste

    Descripción

    Escriba una descripción de interfaz para cada una de las interfaces de ingresos.

    Subred

    Seleccione la subred pública creada para la primera interfaz de ingresos (ge-0/0/0) o la subred privada creada para el resto de interfaces de ingresos.

    IP privada

    Escriba una dirección IP desde la subred seleccionada o permita que la dirección se asigne automáticamente.

    Grupos de seguridad

    Seleccione el grupo de seguridad creado para las interfaces de ingresos del firewall virtual vSRX.

  3. Seleccione la nueva interfaz, seleccione Acciones > Cambiar origen/Dest. Compruebe, seleccione Deshabilitado y haga clic en Guardar.
    Figura 2: Desactive la fuente/dest. Comprobar Disable Source/Dest. Check
  4. Seleccione la nueva interfaz, seleccione Adjuntar, seleccione la instancia del firewall virtual vSRX y haga clic en Adjuntar.
  5. Haga clic en el icono del lápiz en la nueva columna Nombre de interfaz y asigne un nombre a la interfaz (por ejemplo, ix-fxp0.0).
Nota:

Para una interfaz de ingresos privada (ge-0/0/1 a ge-0/0/7), anote el nombre de red que creó o el ID de interfaz de red. Más adelante, agregará el nombre o el ID de interfaz a la tabla de rutas creada para la subred privada.

Paso 5: Asignar direcciones IP elásticas

En el caso de las interfaces públicas, AWS realiza una traducción TDR de la dirección IP pública a una dirección IP privada. La dirección IP pública se denomina dirección IP elástica. Recomendamos que asigne una dirección IP elástica a las interfaces públicas de firewall virtual vSRX (fxp0 y ge-0/0/0). Tenga en cuenta que cuando se reinicia una instancia del firewall virtual vSRX, se conservan las IP elásticas, pero se liberan las IP de subred públicas.

Para crear y asignar IP elásticas:

  1. En el Panel de Control de Amazon EC2, seleccione IP elásticas en el panel izquierdo, haga clic en Asignar nueva dirección y haga clic en Sí, Asignar. (Si su cuenta admite EC2-Classic, primero debe seleccionar EC2-VPC en la lista plataforma de red.)
  2. Seleccione la nueva dirección IP elástica y seleccione Acciones > asociar dirección.
  3. Especifique la configuración en la tabla 4 y haga clic en Asignar.
    Tabla 4: Configuración de IP elástica

    Campo

    Ajuste

    Interfaz de red

    Seleccione la interfaz de administración del firewall virtual vSRX (fxp0) o la primera interfaz de ingresos (ge-0/0/0).

    Dirección IP privada

    Ingrese la dirección IP privada que se asociará con la dirección IP elástica.

Paso 6: Agregue las interfaces privadas del firewall virtual vSRX a las tablas de enrutamiento

Para cada interfaz de ingresos privados que creó para el firewall virtual vSRX, debe agregar el ID de interfaz a la tabla de rutas que creó para la subred privada asociada.

Para agregar un ID de interfaz privada a una tabla de rutas:

  1. En el panel de VPC, seleccione Tablas de enrutamiento en el panel izquierdo.
  2. Seleccione la tabla de rutas que creó para la subred privada.
  3. Seleccione la pestaña Rutas debajo de la lista de tablas de rutas.
  4. Haga clic en Editar y haga clic en Agregar otra ruta.
  5. Especifique la configuración en la tabla 5 y haga clic en Guardar.
    Tabla 5: Configuración de ruta privada

    Campo

    Ajuste

    Destino

    Ingrese 0.0.0.0/0 para el tráfico de Internet.

    Objetivo

    Escriba el nombre de red o el ID de interfaz de red para la subred privada asociada. La interfaz de red debe estar en la subred privada que se muestra en la pestaña Asociaciones de subred .

    Nota:

    No seleccione la puerta de enlace de Internet (igw-nnnnnnn).

Repita este procedimiento para cada interfaz de red privada. Debe reiniciar la instancia del firewall virtual vSRX para completar esta configuración.

Paso 7: Reinicie la instancia del firewall virtual vSRX

Para incorporar los cambios de interfaz y completar la configuración de Amazon EC2, debe reiniciar la instancia del firewall virtual vSRX. Las interfaces adjuntas mientras se ejecuta la instancia del firewall virtual vSRX no tienen efecto hasta que se reinicia la instancia.

Nota:

Siempre use AWS para reiniciar la instancia del firewall virtual vSRX. No use la CLI del firewall virtual vSRX para reiniciar.

Para reiniciar una instancia de firewall virtual vSRX:

  1. En el Panel de Control de Amazon EC2, seleccione Instancias en el panel izquierdo.
  2. Seleccione la instancia del firewall virtual vSRX y seleccione Acciones > estado de instancia > reiniciar.

Puede tardar varios minutos reiniciar una instancia de firewall virtual vSRX.

Paso 8: Inicie sesión en una instancia de firewall virtual vSRX

En las implementaciones de AWS, las instancias del firewall virtual vSRX ofrecen las siguientes capacidades de forma predeterminada para mejorar la seguridad:

  • Le permite iniciar sesión solo a través de SSH.

  • cloud-init se utiliza para configurar el inicio de sesión con clave SSH.

  • El inicio de sesión con contraseña SSH está deshabilitado para la cuenta raíz.

Las instancias de firewall virtual vSRX lanzadas en la infraestructura de nube de AWS de Amazon utilizan los servicios de cloud-init proporcionados por Amazon para copiar la clave pública SSH asociada con su cuenta que se utiliza para lanzar la instancia. Luego, podrá iniciar sesión en la instancia con la clave privada correspondiente.

Nota:

El inicio de sesión de raíz con contraseña SSH se deshabilita de forma predeterminada.

Utilice un cliente SSH para iniciar sesión en una instancia de firewall virtual vSRX por primera vez. Para iniciar sesión, especifique la ubicación en la que guardó el archivo .pem del par de claves SSH para la cuenta de usuario y la dirección IP elástica asignada a la interfaz de administración del firewall virtual vSRX (fxp0).

Nota:

A partir de Junos OS versión 17.4R1, el nombre de usuario predeterminado ha cambiado de root@ a ec2-user@.

Nota:

El inicio de sesión de raíz con una contraseña de Junos OS está deshabilitado de forma predeterminada. Puede configurar a otros usuarios después de la fase inicial de instalación de Junos OS.

Si no tiene el nombre de archivo del par de claves y la dirección IP elástica, utilice estos pasos para ver el nombre del par de claves y la IP elástica para una instancia de Virtual Firewall vSRX:

  1. En el Panel de control de Amazon EC2, seleccione Instancias.
  2. Seleccione la instancia del firewall virtual vSRX y seleccione eth0 en la ficha Descripción para ver la dirección IP elástica para la interfaz de administración de fxp0.
  3. Haga clic en Conectar encima de la lista de instancias para ver el nombre de archivo del par de claves SSH.

Para configurar la configuración básica para la instancia del firewall virtual vSRX, consulte Configurar vSRX mediante la CLI.

Nota:

Las imágenes de pago por uso del firewall virtual vSRX no requieren licencias independientes.

Tabla de historial de versiones
Lanzamiento
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, el paquete cloud-init (versión 0.7x) viene preinstalado en el firewall virtual vSRX para la imagen de AWS, para ayudar a simplificar la configuración de nuevas instancias de firewall virtual vSRX que operan en AWS de acuerdo con un archivo de datos de usuario especificado.