Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar una Amazon Virtual Private Cloud para el firewall virtual vSRX

Antes de comenzar, necesita una cuenta de Amazon Web Services (AWS) y un rol de administración de acceso y identidad (IAM) con todos los permisos necesarios para acceder, crear, modificar y eliminar Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (S3) y objetos de Amazon Virtual Private Cloud (Amazon VPC). También debe crear claves de acceso y claves de acceso secretas correspondientes, certificados X.509 e identificadores de cuenta. Para obtener una mejor comprensión de la terminología de AWS y su uso en las implementaciones de AWS del firewall virtual vSRX, consulte Comprender vSRX con AWS.

En la figura 1, se muestra un ejemplo de cómo puede implementar el firewall virtual vSRX para proporcionar seguridad a las aplicaciones que se ejecutan en una subred privada de Una Amazon VPC.

Figura 1: Ejemplo de firewall virtual vSRX en la implementación de Example of vSRX Virtual Firewall in AWS Deployment AWS

Los procedimientos siguientes describen cómo crear y preparar una Amazon VPC para el firewall virtual vSRX. Los procedimientos describen cómo configurar una Amazon VPC con su puerta de enlace de Internet asociada, subredes, tabla de rutas y grupos de seguridad.

Paso 1: Crear una Amazon VPC y una puerta de enlace de Internet

Utilice el siguiente procedimiento para crear una Amazon VPC y una puerta de enlace a Internet. Si ya tiene una VPC y una puerta de enlace a Internet, vaya al paso 2: Agregar subredes para el firewall virtual vSRX.

  1. Inicie sesión en la consola de administración de AWS y seleccione Servicios > redes > VPC.
  2. En el panel de VPC, seleccione Sus VPC en el panel izquierdo y haga clic en Crear VPC.
  3. Especifique un nombre de VPC y un rango de direcciones IP privadas en formato de enrutamiento entre dominios sin clase (EISC). Deje default como tenencia.
  4. Haga clic en Sí, Crear.
  5. Seleccione Puertas de enlace de Internet en el panel izquierdo y haga clic en Crear puerta de enlace de Internet.
  6. Especifique un nombre de puerta de enlace y haga clic en Sí, Crear.
  7. Seleccione la puerta de enlace que acaba de crear y haga clic en Adjuntar a VPC.
  8. Seleccione la nueva Amazon VPC y haga clic en Sí, Adjuntar.

Paso 2: Agregar subredes para el firewall virtual vSRX

En Amazon VPC, las subredes públicas tienen acceso a la puerta de enlace de Internet, pero las subredes privadas no. El firewall virtual vSRX requiere dos subredes públicas y una o más subredes privadas para cada grupo de instancia individual. Las subredes públicas constan de una para la interfaz de administración (fxp0) y otra para una interfaz de ingresos (datos). Las subredes privadas, conectadas a las otras interfaces del firewall virtual vSRX, garantizan que todo el tráfico entre aplicaciones en las subredes privadas e Internet pase a través de la instancia del firewall virtual vSRX.

Para crear cada subred de firewall virtual vSRX:

  1. En el panel de VPC, seleccione Subredes en el panel izquierdo y haga clic en Crear subred.
  2. Especifique un nombre de subred, seleccione la Amazon VPC y la zona de disponibilidad, y especifique el rango de direcciones IP de subred en formato EISC.
    Propina:

    Como práctica recomendada de convención de nomenclatura para subredes, recomendamos incluir el nombre privado o público para que sea más fácil saber qué subred es pública o privada.
    Nota:

    Todas las subredes para una instancia de firewall virtual vSRX deben estar en la misma zona de disponibilidad. No utilice Ninguna preferencia para la zona de disponibilidad.
  3. Haga clic en Sí, Crear.

Repita estos pasos para cada subred que desee crear y adjuntar a la instancia del firewall virtual vSRX.

Paso 3: Adjuntar una interfaz a una subred

Para adjuntar una interfaz a una subred:

  1. Cree una interfaz de red desde la página de inicio de Amazon EC2.

    Haga clic en la opción Interfaz de red en la página de inicio de EC2 y se abrirá la página Crear interfaz de red .

  2. Haga clic en la opción Crear interfaz de red , complete la información requerida en los campos y, a continuación, haga clic en Crear.
  3. Busque y seleccione su interfaz recién creada.

    Si esta interfaz es la interfaz de ingresos, seleccione Cambiar origen/Dest.Check en el menú de acción , elija Deshabilitado y haga clic en Guardar. Si esta interfaz es su interfaz fxp0, omita este paso de deshabilitación.

  4. Haga clic en Adjuntar en el menú de la parte superior de la pantalla, elija el ID de instancia de su instancia de virtual firewall vSRX y haga clic en Adjuntar.
  5. El firewall virtual vSRX no admite el complemento de interfaz en caliente. Por lo tanto, cuando termine de agregar las interfaces, reinicie las instancias del firewall virtual vSRX en las que se agregaron las interfaces, para aplicar los cambios para que suban efecto.

Paso 4: Agregar tablas de ruta para el firewall virtual vSRX

De forma predeterminada, se crea una tabla de ruta principal para cada Amazon VPC. Se recomienda crear una tabla de rutas personalizada para las subredes públicas y una tabla de rutas independiente para cada subred privada. Todas las subredes que no están asociadas con una tabla de ruta personalizada están asociadas con la tabla de ruta principal.

Para crear las tablas de ruta:

  1. En el panel de VPC, seleccione Tablas de enrutamiento en el panel izquierdo y haga clic en Crear tabla de ruta.
  2. Especifique un nombre de tabla de ruta, seleccione la VPC y haga clic en Sí, Crear.
    Propina:

    Como práctica recomendada de la convención de nomenclatura para las tablas de enrutamiento, recomendamos incluir el nombre privado o público para que sea más fácil saber qué tabla de ruta es pública o privada.
  3. Repita los pasos 1 y 2 para crear todas las tablas de ruta.
  4. Seleccione la tabla de rutas que creó para las subredes públicas y haga lo siguiente:
    1. Seleccione la pestaña Rutas debajo de la lista de tablas de rutas.
    2. Haga clic en Editar y haga clic en Agregar otra ruta.
    3. Escriba 0.0.0.0/0 como destino, seleccione la puerta de enlace a Internet de VPC como destino y haga clic en Guardar.
    4. Seleccione la pestaña Asociaciones de subred y haga clic en Editar.
    5. Active las casillas de verificación de las subredes públicas y haga clic en Guardar.
  5. Seleccione cada tabla de rutas que creó para una subred privada y haga lo siguiente:
    1. Seleccione la pestaña Asociaciones de subred y haga clic en Editar.
    2. Active la casilla de verificación de una subred privada y haga clic en Guardar.

Paso 5: Agregar grupos de seguridad para el firewall virtual vSRX

Se crea un grupo de seguridad predeterminado para cada Amazon VPC. Recomendamos que cree un grupo de seguridad independiente para la interfaz de administración del firewall virtual vSRX (fxp0) y otro grupo de seguridad para todas las demás interfaces del firewall virtual vSRX. Los grupos de seguridad se asignan cuando se inicia una instancia de firewall virtual vSRX en el panel de control de Amazon EC2, donde también puede agregar y administrar grupos de seguridad.

Para crear los grupos de seguridad:

  1. En el panel de VPC, seleccione Grupos de seguridad en el panel izquierdo y haga clic en Crear grupo de seguridad.
  2. Para la interfaz de administración del firewall virtual vSRX, especifique un nombre de grupo de seguridad en el campo Etiqueta nombre, edite el campo Nombre del grupo (opcional), escriba una descripción del grupo y seleccione la VPC.
  3. Haga clic en Sí, Crear.
  4. Repita los pasos del 1 al 3 para crear un grupo de seguridad para las interfaces de ingresos del firewall virtual vSRX.
  5. Seleccione el grupo de seguridad que creó para la interfaz de administración y haga lo siguiente:
    1. Seleccione la pestaña Reglas de entrada debajo de la lista de grupos de seguridad.
    2. Haga clic en Editar y haga clic en Agregar otra regla para crear las siguientes reglas entrantes:

      Tipo

      Protocolo

      Puerto

      Fuente

      Regla TCP personalizada

      Predeterminado

      20-21

      Introduzca EISC formato de dirección para cada regla (0.0.0.0/0 permite cualquier fuente).

      SSH (22)

      Predeterminado

      Predeterminado

      HTTP (80)

      Predeterminado

      Predeterminado

      HTTPS (443)

      Predeterminado

      Predeterminado
    3. Haga clic en Guardar.
    4. Seleccione la pestaña Reglas de salida para ver la regla predeterminada que permite todo el tráfico saliente. Utilice la regla predeterminada, a menos que deba restringir el tráfico saliente.
  6. Seleccione el grupo de seguridad que creó para todas las demás interfaces del firewall virtual vSRX y haga lo siguiente:
    Nota:

    Las reglas de entrada y salida deben permitir que todo el tráfico evite conflictos con la configuración de seguridad del firewall virtual vSRX.
    1. Seleccione la pestaña Reglas de entrada debajo de la lista de grupos de seguridad.
    2. Haga clic en Editar y cree la siguiente regla de entrada:

      Tipo

      Protocolo

      Puerto

      Fuente

      Todo el tráfico

      Todo

      Todo

      • Para servidores web, ingrese 0.0.0.0/0

      • Para VPN, escriba un rango de direcciones IPv4 en forma de bloque de enrutamiento entre dominios (EISC) sin clase (por ejemplo, 10.0.0.0/16).
    3. Haga clic en Guardar.
    4. Mantenga la regla predeterminada en la pestaña Reglas de salida . La regla predeterminada permite todo el tráfico saliente.

Documentación relacionada