Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Lanzamiento de una instancia de firewall virtual vSRX en una nube privada de Amazon Virtual

Los siguientes procedimientos describen cómo lanzar y configurar una instancia de vSRX Virtual Firewall en Amazon Virtual Private Cloud (Amazon VPC):

Paso 1: Crear un par de claves SSH

Se requiere un par de claves SSH para obtener acceso remoto a una instancia de vSRX Virtual Firewall en AWS. Puede crear un nuevo par de claves en el panel de Amazon EC2 o importar un par de claves creado por otra herramienta.

Para crear un par de claves SSH:

  1. Inicie sesión en la consola de administración de AWS y seleccione Services > Compute > EC2.
  2. En el panel de Amazon EC2, seleccione Key Pairs (Pares de claves ) en el panel izquierdo. Compruebe que el nombre de la región que se muestra en la barra de herramientas es el mismo que el de la región en la que creó Amazon Virtual Private Cloud (Amazon VPC).
    Figura 1: Verificar región Verify Region
  3. Haga clic en Crear par de claves, especifique un nombre de par de claves y haga clic en Crear.
  4. El archivo de clave privada (.pem) se descarga automáticamente en el equipo. Mueva el archivo de clave privada descargado a una ubicación segura.

  5. Para utilizar un cliente SSH en un equipo Mac o Linux para conectarse a la instancia de firewall virtual vSRX, utilice el siguiente comando para establecer los permisos del archivo de clave privada de modo que solo usted pueda leerlo:

  6. Para acceder a la instancia de Firewall virtual vSRX desde un símbolo del shell, utilice el ssh -i <full path to your keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx> comando. Si el archivo de clave se encuentra en el directorio actual, puede utilizar el nombre de archivo en lugar de la ruta completa como ssh -i <keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>.
Nota:

Como alternativa, utilice Importar par de claves para importar un par de claves diferente que haya generado con una herramienta de terceros.

Para obtener más información sobre la rotación de claves, consulte https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html.

Paso 2: Lanzar una instancia de firewall virtual vSRX

Los tipos de instancias de AWS compatibles con vSRX Virtual Firewall se enumeran en la tabla 1.

El Firewall virtual vSRX no admite los tipos de instancias M y C3. Si ha girado el firewall virtual vSRX utilizando alguno de estos tipos de instancias, debe cambiar el tipo de instancia a tipo de instancias C4 o C5.

Tabla 1: Tipos de instancias de AWS admitidas para el firewall virtual vSRX

Tipo de instancia

Tipo de firewall virtual vSRX

vCPU

Memoria (GB)

Tipo de RSS

c5.large

Memoria vSRX Virtual Firewall-2CPU-3G

2

4

HW RSS

c5.xlarge

Memoria vSRX Virtual Firewall-4CPU-3G

4

8

HW RSS

c5.2xlarge

Memoria vSRX Virtual Firewall-8CPU-15G

8

16

HW RSS

c5.4xlarge

Memoria vSRX Virtual Firewall-16CPU-31G

16

32

SW RSS

c5.9xlarge

Memoria vSRX Virtual Firewall-36CPU-93G

36

96

SW RSS

c5n.2xlarge

Memoria vSRX Virtual Firewall-8CPU-20G

8

21

HW RSS

c5n.4xlarge

Memoria vSRX Virtual Firewall-16CPU-41G

16

42

HW RSS

c5n.9xlarge

Memoria vSRX Virtual Firewall-36CPU-93G

36

96

HW RSS

vSRX Virtual Firewall on AWS admite hasta un máximo de ocho interfaces de red, pero el número máximo real de interfaces que se pueden conectar a una instancia de vSRX Virtual Firewall viene determinado por el tipo de instancia de AWS en la que se lanza. Para las instancias de AWS que permiten más de ocho interfaces, vSRX Virtual Firewall solo admitirá hasta un máximo de ocho interfaces.

Los siguientes son los tipos de instancia C5 admitidos:

  • c5.large

  • c5.xlarge

  • c5.2xlarge

  • c5.4xlarge

  • c5.9xlarge

  • c5n.2xlarge

  • c5n.4xlarge

  • c5n.9xlarge

A continuación, se indican las instancias de AWS basadas en AMD compatibles:

  • C5a.16xlarge

  • C5a.8xlarge

  • C5a.4xlarge

  • C5a.2xlarge

  • C5a.xlarge

Para obtener más información sobre detalles de la instancia, como vCPU, memoria, etc., consulte Información de precios

Para obtener más información sobre el número máximo de interfaces de red por tipo de instancia, consulte https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html .

Práctica recomendada:

Instance Type Selection: en función de los cambios que necesite para la red, es posible que la instancia esté sobreutilizada (por ejemplo, que el tipo de instancia es demasiado pequeña) o infrautilizada (por ejemplo, que el tipo de instancia es demasiado grande). Si este es el caso, puede cambiar el tamaño de la instancia. Por ejemplo, si la instancia es demasiado pequeña para su carga de trabajo, puede cambiarla a otro tipo de instancia que sea adecuado para la carga de trabajo. Es posible que también desee migrar de un tipo de instancia de generación anterior a un tipo de instancia de generación actual para aprovechar algunas características; por ejemplo, compatibilidad con IPv6. Considere el cambio de instancias para mejorar el rendimiento y el rendimiento.

A partir de Junos OS versión 18.4R1, se admiten instancias de firewall virtual c5.large vSRX. Estos son rentables y proporcionan un mejor rendimiento y rendimiento.

Para lanzar una instancia de firewall virtual vSRX en Amazon VPC:

  1. Inicie sesión en su cuenta de AWS.
  2. Vaya a Amazon Market Place > Administrar suscripciones y busque Firewall virtual vSRX.
  3. Seleccione Firewall vSRX de próxima generación.
    Aparecerá la página Imagen de máquina de Amazon del firewall virtual vSRX Firewall de próxima generación.
  4. Haga clic en Iniciar nueva instancia.
  5. Seleccione el método de entrega, la versión de software y la región para la implementación. Haga clic en Continuar para iniciar a través de EC2.
  6. Seleccione un tipo de instancia compatible. Consulte la Tabla 1 para obtener más detalles.
  7. Haga clic en Siguiente: Configurar detalles de instancia y especifique los campos de la tabla 2. Expanda Detalles avanzados para ver todas las configuraciones.
    Tabla 2: Detalles de la instancia de AWS

    Campo

    Ajuste

    Red

    Seleccione la Amazon VPC configurada para vSRX Virtual Firewall.

    Subred

    Seleccione la subred pública para la interfaz de administración del firewall virtual vSRX (fxp0).

    Asignación automática de IP pública

    Seleccione Deshabilitar (asignará una dirección IP elástica más adelante).

    Grupo de colocación

    Utilice el valor predeterminado.

    Comportamiento de apagado

    Seleccione Detener (valor predeterminado).

    • Habilitar la protección de terminal

    • Monitoreo

    Utilice su política de TI.

    Interfaces de red

    Utilice el valor predeterminado o asigne una dirección IP pública para el campo IP principal .

    Datos del usuario

    A partir de Junos OS versión 17.4R1, el paquete cloud-init (versión 0.7x) viene preinstalado en la imagen de vSRX Virtual Firewall for AWS para ayudar a simplificar la configuración de nuevas instancias de vSRX Virtual Firewall que operan en AWS de acuerdo con un archivo de datos de usuario especificado.

    En la sección Datos de usuario de la página Configurar detalles de instancia, seleccione Como archivo y adjunte el archivo de datos de usuario. El archivo seleccionado se utiliza para el lanzamiento inicial de la instancia. Durante la secuencia de arranque inicial, la instancia de firewall virtual vSRX procesa la solicitud de inicio de nube. Consulte Uso de Cloud-Init para automatizar la inicialización de instancias vSRX en AWS para obtener información sobre cómo crear el archivo de datos de usuario.

    Nota:

    La configuración de Junos OS que se pasa como datos de usuario solo se importa en el inicio inicial. Si la instancia se detiene y se reinicia, el archivo de datos de usuario no se vuelve a importar.
  8. Haga clic en Siguiente: Agregar almacenamiento y use la configuración predeterminada o cambie el Tipo de volumen y las IOPS según sea necesario.
  9. Haga clic en Siguiente: Instancia de etiqueta y especifique un nombre para la instancia de vSRX Virtual Firewall.
  10. Haga clic en Siguiente: Configurar grupo de seguridad, seleccione Seleccionar un grupo de seguridad existente y seleccione el grupo de seguridad creado para la interfaz de administración de vSRX Virtual Firewall (fxp0).
  11. Haga clic en Revisar e iniciar, revise la configuración de la instancia de vSRX Virtual Firewall y haga clic en Iniciar.
  12. Seleccione el par de claves SSH que ha creado, seleccione la casilla de verificación Confirmación y haga clic en Iniciar instancia.
  13. Haga clic en View Instances (Ver instancias) para mostrar la lista Instances (View Instances) en el panel de Amazon EC2. El lanzamiento de una instancia de vSRX Virtual Firewall puede tardar varios minutos.

Paso 3: Ver los registros del sistema de AWS

Para depurar errores en tiempo de lanzamiento, puede ver los registros del sistema de AWS de la siguiente manera:

  1. En el panel de Amazon EC2, seleccione Instances (Instancias).
  2. Seleccione la instancia de vSRX Virtual Firewall y seleccione Actions > Instance Settings > Obtener registros del sistema.

Paso 4: Agregar interfaces de red para el firewall virtual vSRX

AWS admite hasta ocho interfaces para una instancia, según el tipo de instancia de AWS seleccionado. Utilice el siguiente procedimiento para cada una de las interfaces de ingresos que desee agregar a vSRX Virtual Firewall (hasta siete). La primera interfaz de ingresos es ge-0/0/0, la segunda es ge-0/0/1, etc. (consulte Requisitos para vSRX en AWS).

Para agregar una interfaz de ingresos de vSRX Virtual Firewall:

  1. En el panel de Amazon EC2, seleccione Network Interfaces (Interfaces de red ) en el panel izquierdo y haga clic en Create Network Interface (Crear interfaz de red).
  2. Especifique la configuración de la interfaz como se muestra en la tabla 3 y haga clic en Sí, crear.
    Tabla 3: Configuración de la interfaz de red

    Campo

    Ajuste

    Descripción

    Introduzca una descripción de interfaz para cada una de las interfaces de ingresos.

    Subred

    Seleccione la subred pública creada para la primera interfaz de ingresos (ge-0/0/0) o la subred privada creada para todas las demás interfaces de ingresos.

    IP privada

    Introduzca una dirección IP de la subred seleccionada o permita que la dirección se asigne automáticamente.

    Grupos de seguridad

    Seleccione el grupo de seguridad creado para las interfaces de ingresos del firewall virtual vSRX.
  3. Seleccione la nueva interfaz, seleccione Acciones > Cambiar origen/Dest. Marque, seleccione Desactivado y haga clic en Guardar.
    Figura 2: Desactivar Source/Dest. Check Disable Source/Dest. Check
  4. Seleccione la nueva interfaz, seleccione Adjuntar, seleccione la instancia de vSRX Virtual Firewall y haga clic en Adjuntar.
  5. Haga clic en el icono de lápiz de la columna Nombre de la nueva interfaz y asigne un nombre a la interfaz (por ejemplo, ix-fxp0.0).
Nota:

Para una interfaz de ingresos privada (ge-0/0/1 a ge-0/0/7), anote el nombre de red que creó o el ID de interfaz de red. Agregará el nombre o el ID de interfaz más adelante a la tabla de rutas creada para la subred privada.

Paso 5: Asignar direcciones IP elásticas

Para las interfaces públicas, AWS realiza una traducción NAT de la dirección IP pública a una dirección IP privada. La dirección IP pública se denomina dirección IP elástica. Se recomienda asignar una dirección IP elástica a las interfaces públicas del firewall virtual vSRX (fxp0 y ge-0/0/0). Tenga en cuenta que cuando se reinicia una instancia de vSRX Virtual Firewall, se conservan las IP elásticas, pero se liberan las IP de subred públicas.

Para crear y asignar IP elásticas:

  1. En el panel de Amazon EC2, seleccione IP elásticas en el panel izquierdo, haga clic en Asignar nueva dirección y haga clic en Sí, asignar. (Si su cuenta admite EC2-Classic, primero debe seleccionar EC2-VPC en la lista Plataforma de red).
  2. Seleccione la nueva dirección IP elástica y seleccione Acciones > dirección asociada.
  3. Especifique la configuración en la tabla 4 y haga clic en Asignar.
    Tabla 4: Configuración de IP elástica

    Campo

    Ajuste

    Interfaz de red

    Seleccione la interfaz de administración del firewall virtual vSRX (fxp0) o la primera interfaz de ingresos (ge-0/0/0).

    Dirección IP privada

    Ingrese la dirección IP privada que se asociará con la dirección IP elástica.

Paso 6: Agregar las interfaces privadas del firewall virtual vSRX a las tablas de rutas

Para cada interfaz de ingresos privada que haya creado para el firewall virtual vSRX, debe agregar el ID de interfaz a la tabla de rutas que creó para la subred privada asociada.

Para agregar un ID de interfaz privada a una tabla de rutas:

  1. En el panel de VPC, seleccione Route Tables (Tablas de ruteo ) en el panel izquierdo.
  2. Seleccione la tabla de ruteo que creó para la subred privada.
  3. Seleccione la pestaña Rutas debajo de la lista de tablas de rutas.
  4. Haga clic en Editar y haga clic en Agregar otra ruta.
  5. Especifique la configuración en la tabla 5 y haga clic en Guardar.
    Tabla 5: Configuración de rutas privadas

    Campo

    Ajuste

    Destino

    Introduzca 0.0.0.0/0 para el tráfico de Internet.

    Objetivo

    Escriba el nombre de red o el ID de interfaz de red para la subred privada asociada. La interfaz de red debe estar en la subred privada que se muestra en la ficha Asociaciones de subred .

    Nota:

    No seleccione la puerta de enlace de Internet (igw-nnnnnnnn).

Repita este procedimiento para cada interfaz de red privada. Debe reiniciar la instancia de vSRX Virtual Firewall para completar esta configuración.

Paso 7: Reiniciar la instancia de firewall virtual vSRX

Para incorporar los cambios en la interfaz y completar la configuración de Amazon EC2, debe reiniciar la instancia de vSRX Virtual Firewall. Las interfaces conectadas mientras se ejecuta la instancia de vSRX Virtual Firewall no surten efecto hasta que se reinicia la instancia.

Nota:

Utilice siempre AWS para reiniciar la instancia de vSRX Virtual Firewall. No utilice la CLI de vSRX Virtual Firewall para reiniciar.

Para reiniciar una instancia de vSRX Virtual Firewall:

  1. En el panel de Amazon EC2, seleccione Instances (Instancias ) en el panel izquierdo.
  2. Seleccione la instancia de vSRX Virtual Firewall y seleccione Acciones > estado de instancia > reiniciar.

El reinicio de una instancia de vSRX Virtual Firewall puede tardar varios minutos.

Paso 8: Iniciar sesión en una instancia de firewall virtual vSRX

En las implementaciones de AWS, las instancias de firewall virtual vSRX proporcionan las siguientes capacidades de forma predeterminada para mejorar la seguridad:

  • Le permite iniciar sesión solo a través de SSH.

  • cloud-init se utiliza para configurar el inicio de sesión con clave SSH.

  • El inicio de sesión con contraseña SSH está deshabilitado para la cuenta raíz.

Las instancias de firewall virtual vSRX lanzadas en la infraestructura de nube de AWS de Amazon utilizan los servicios de inicio de nube proporcionados por Amazon para copiar la clave pública SSH asociada con su cuenta que se utiliza para lanzar la instancia. A continuación, podrá iniciar sesión en la instancia utilizando la clave privada correspondiente.

Nota:

El inicio de sesión raíz con contraseña SSH está deshabilitado de forma predeterminada.

Utilice un cliente SSH para iniciar sesión en una instancia de firewall virtual vSRX por primera vez. Para iniciar sesión, especifique la ubicación donde guardó el archivo .pem del par de claves SSH para la cuenta de usuario y la dirección IP elástica asignada a la interfaz de administración de vSRX Virtual Firewall (fxp0).

Nota:

A partir de Junos OS versión 17.4R1, el nombre de usuario predeterminado cambió de root@ a ec2-user@.
Nota:

El inicio de sesión raíz con una contraseña de Junos OS está deshabilitado de forma predeterminada. Puede configurar otros usuarios después de la fase inicial de instalación de Junos OS.

Si no tiene el nombre de archivo del par de claves y la dirección IP elástica, siga estos pasos para ver el nombre del par de claves y la IP elástica de una instancia de vSRX Virtual Firewall:

  1. En el panel de Amazon EC2, seleccione Instances (Instancias).
  2. Seleccione la instancia de vSRX Virtual Firewall y seleccione eth0 en la pestaña Descripción para ver la dirección IP elástica de la interfaz de administración fxp0.
  3. Haga clic en Conectar encima de la lista de instancias para ver el nombre de archivo del par de claves SSH.

Para configurar las opciones básicas de la instancia de firewall virtual de vSRX, consulte Configurar vSRX mediante la CLI.

Nota:

Las imágenes de pago por uso del Firewall virtual vSRX no requieren ninguna licencia independiente.

Documentación relacionada

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, el paquete cloud-init (versión 0.7x) viene preinstalado en la imagen de vSRX Virtual Firewall for AWS para ayudar a simplificar la configuración de nuevas instancias de vSRX Virtual Firewall que operan en AWS de acuerdo con un archivo de datos de usuario especificado.