Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar el firewall virtual de vSRX mediante la CLI

Descripción de la preconfiguración y los valores predeterminados de fábrica de vSRX Virtual Firewall on AWS

El firewall virtual vSRX en AWS se implementa con los siguientes valores predeterminados de preconfiguración:

  • Acceso SSH con el par de claves RSA configurado durante la instalación

  • No se permite el acceso con contraseña para el acceso SSH

  • La interfaz de administración (fxp0) está preconfigurada con la IP elástica de AWS y la ruta predeterminada

A partir de Junos OS versión 15.1X49-D80 y Junos OS versión 17.3R1, en el siguiente ejemplo se resumen las instrucciones de preconfiguración agregadas a una configuración predeterminada de fábrica para instancias de vSRX Virtual Firewall en AWS:

Para Junos OS versión 15.1X49-D70 y versiones anteriores, en el siguiente ejemplo se resumen las instrucciones de preconfiguración agregadas a una configuración predeterminada de fábrica para instancias de vSRX Virtual Firewall en AWS:

PRECAUCIÓN:

No utilice el load factory-default comando en una instancia de AWS de vSRX Virtual Firewall. La configuración predeterminada de fábrica elimina la preconfiguración de AWS. Si debe volver a los valores predeterminados de fábrica, asegúrese de volver a configurar manualmente las instrucciones de preconfiguración de AWS antes de confirmar la configuración; de lo contrario, perderá el acceso a la instancia de vSRX Virtual Firewall.

Agregar una configuración básica de firewall virtual vSRX

Puede crear una nueva configuración en el firewall virtual vSRX o copiar una configuración existente de otro firewall virtual SRX o vSRX y cargarla en el firewall virtual vSRX en AWS. Siga estos pasos para copiar y cargar una configuración existente:

  1. Guardar un archivo de configuración

  2. Carga de un archivo de configuración

Para configurar una instancia de vSRX Virtual Firewall mediante la CLI:

  1. Inicie sesión en la instancia de vSRX Virtual Firewall mediante SSH e inicie la CLI.
    Nota:

    A partir de Junos OS versión 17.4R1, el nombre de usuario predeterminado cambió de root@ a ec2-user@.
  2. Ingrese al modo de configuración.
  3. Establezca el método de autenticación para iniciar sesión en el firewall virtual vSRX. Puede especificar una contraseña introduciendo una contraseña de texto sin cifrar o una contraseña cifrada. Si necesita un nivel más sólido de seguridad de autenticación, le recomendamos que seleccione una cadena de clave pública SSH (DSA, ECDSA o RSA).

    O

  4. Opcionalmente, habilite las contraseñas para SSH si desea crear acceso con contraseña para usuarios adicionales.
  5. Configure el nombre de host.
  6. Para cada interfaz de ingresos del firewall virtual vSRX, asigne la dirección IP definida en AWS. Por ejemplo:

    Para varias direcciones privadas, escriba un set comando para cada dirección. No asigne la dirección IP elástica.

  7. Especifique una zona de seguridad para la interfaz pública.
  8. Especifique una zona de seguridad para la interfaz privada.
  9. Configure el enrutamiento para agregar un enrutador virtual independiente y una opción de enrutamiento para las interfaces pública y privada.
    Nota:

    Se recomienda colocar las interfaces de ingresos (datos) en las instancias de enrutamiento como práctica recomendada para evitar el enrutamiento o el tráfico asimétrico, ya que fxp0 forma parte de la tabla predeterminada (inet.0). Con fxp0 como parte de la tabla de enrutamiento predeterminada, puede haber dos rutas predeterminadas necesarias: una para la interfaz fxp0 para el acceso de administración externa y la otra para las interfaces de ingresos para el acceso al tráfico. Colocar las interfaces de ingresos en una instancia de enrutamiento independiente evita esta situación de dos rutas predeterminadas en una sola instancia de enrutamiento.
  10. Compruebe la configuración.
  11. Confirme la configuración para activarla en el dispositivo.
  12. Opcionalmente, utilice el show comando para mostrar la configuración y comprobar que es correcta.

Para obtener un ejemplo de cómo configurar vSRX Virtual Firewall para NAT todos los hosts detrás de la instancia de vSRX Virtual Firewall en Amazon Virtual Private Cloud (Amazon VPC) a la dirección IP de la interfaz de salida de vSRX Virtual Firewall en la zona de no confianza, consulte Ejemplo: Configuración de NAT para vSRX. Esta configuración permite que los hosts detrás del firewall virtual vSRX en una red en la nube accedan a Internet.

Para obtener un ejemplo de cómo configurar VPN IPsec entre dos instancias de vSRX Virtual Firewall on AWS en diferentes Amazon VPC, consulte Ejemplo: Configuración de VPN en vSRX entre Amazon VPC.

Agregar servidores DNS

El Firewall virtual vSRX no incluye ningún servidor DNS en la configuración predeterminada. Es posible que necesite configurar DNS para implementar servicios de capa 7, como IPS, para desplegar actualizaciones de firmas, por ejemplo. Puede utilizar su propio servidor DNS externo o un servidor DNS de AWS. Si habilita DNS en su Amazon VPC, las consultas al servidor DNS de Amazon (169.254.169.253) o a la dirección IP reservada en la base del rango de red de VPC más dos deberían realizarse correctamente. Consulte AWS - Uso de DNS con su Amazon VPC para obtener detalles completos.

Agregar licencias de características de firewall virtual vSRX

Algunas funciones del software Junos OS requieren una licencia para activarla. Para habilitar una función con licencia, debe comprar, instalar, administrar y verificar una clave de licencia que corresponda a cada característica con licencia. Para cumplir con los requisitos de licencia de características de software, debe comprar una licencia por característica por instancia. La presencia de la clave de desbloqueo de software adecuada en la instancia virtual le permite configurar y utilizar la función con licencia.

Consulte Administración de licencias para vSRX para obtener más información.

Documentación relacionada