مشاركة عبر

تكوين Palo Alto Networks Cloud NGFW في Virtual WAN

  • مقالة

Palo Alto Networks Cloud Next Generation Firewall (NGFW) هو عرض أمان للبرامج الأصلية على السحابة كخدمة (SaaS) يمكن نشره في مركز Virtual WAN كحل عثرة في السلك لفحص حركة مرور الشبكة. يصف المستند التالي بعض الميزات الرئيسية وحالات الاستخدام الهامة والكيفية المرتبطة باستخدام Palo Alto Networks Cloud NGFW في Virtual WAN.

خلفية

يوفر تكامل Palo Alto Networks Cloud NGFW مع Virtual WAN المزايا التالية للعملاء:

  • حماية أحمال العمل الهامة باستخدام عرض أمان SaaS قابل للتطوير بدرجة كبيرة يمكن حقنه كحل سلكي في Virtual WAN.
  • البنية الأساسية المدارة بالكامل ودورة حياة البرامج ضمن نموذج البرمجيات كخدمة.
  • فوترة الدفع أولا بأول المستندة إلى الاستهلاك. لاحظ أنه إذا كنت تستخدم Palo Alto Networks Cloud NGFW، فلن تتم محاسبتك على وحدات البنية التحتية WAN NVA الظاهرية. بدلا من ذلك، تتم محاسبتك على استهلاك SaaS للدفع أولا بأول من خلال Azure Marketplace كما هو موثق في تسعير Palo Alto Networks Cloud NGFW.
  • تجربة السحابة الأصلية التي لديها تكامل محكم مع Azure لتوفير إدارة جدار الحماية الشامل باستخدام مدخل Microsoft Azure أو واجهات برمجة تطبيقات Azure. كما أن إدارة القواعد والنهج قابلة للتكوين اختياريا من خلال حل إدارة شبكة Palo Alto Panorama.
  • قناة دعم مخصصة ومبسطة بين شبكات Azure و Palo Alto لاستكشاف المشكلات وإصلاحها.
  • التوجيه بنقرة واحدة لتكوين Virtual WAN لفحص حركة المرور المحلية والشبكة الظاهرية والإنترنت الصادرة باستخدام Palo Alto Networks Cloud NGFW.

لقطة شاشة تعرض نموذج طوبولوجيا شبكة WAN الظاهرية مع Cloud NGFW.

حالات الاستخدام

يصف القسم التالي حالات استخدام الأمان الشائعة ل Palo Alto Networks Cloud NGFW في Virtual WAN.

نسبة استخدام الشبكة الخاصة (المحلية والشبكة الظاهرية)

فحص حركة المرور بين الشرق والغرب

توجه شبكة WAN الظاهرية نسبة استخدام الشبكة من الشبكات الظاهرية إلى الشبكة الظاهرية أو من الشبكة المحلية (VPN من موقع إلى موقع، وExpressRoute، وVPN من نقطة إلى موقع) إلى الشبكة المحلية إلى Cloud NGFW المنشورة في المركز للفحص.

لقطة شاشة تعرض تدفقات حركة المرور بين الشرق والغرب مع Cloud NGFW.

فحص حركة المرور بين الشمال والجنوب

كما توجه شبكة WAN الظاهرية نسبة استخدام الشبكة بين الشبكات الظاهرية والشبكات المحلية (VPN من موقع إلى موقع، وExpressRoute، وVPN من نقطة إلى موقع) إلى الشبكة المحلية إلى Cloud NGFW المنشورة في المركز للفحص.

لقطة شاشة تعرض تدفقات حركة المرور بين الشمال والجنوب مع Cloud NGFW.

حافة الإنترنت

إشعار

لا يتم نشر المسار الافتراضي 0.0.0.0/0 عبر المراكز. يمكن للشبكات المحلية والشبكات الظاهرية استخدام موارد CLOUD NGFW المحلية فقط للوصول إلى الإنترنت. بالإضافة إلى ذلك، بالنسبة لحالات استخدام ترجمة عناوين الشبكة الوجهة، يمكن ل Cloud NGFW إعادة توجيه نسبة استخدام الشبكة الواردة فقط إلى الشبكات الظاهرية المحلية والمحلية.

خروج الإنترنت

يمكن تكوين شبكة WAN الظاهرية لتوجيه نسبة استخدام الشبكة المرتبطة بالإنترنت من الشبكات الظاهرية أو محليا إلى Cloud NGFW للفحص وانقطاع الإنترنت. يمكنك اختيار الشبكة (الشبكات) الظاهرية أو الشبكة (الشبكات) الافتراضية التي تتعلم المسار الافتراضي (0.0.0.0/0) واستخدام Palo Alto Cloud NGFW للخروج من الإنترنت. في حالة الاستخدام هذه، يقوم Azure تلقائيا ب NATs عنوان IP المصدر للحزمة المرتبطة بالإنترنت إلى عناوين IP العامة المقترنة ب CLOUD NGFW.

لمزيد من المعلومات حول القدرات الصادرة عبر الإنترنت والإعدادات المتوفرة، راجع وثائق Palo Alto Networks.

لقطة شاشة تعرض تدفقات نسبة استخدام الشبكة الصادرة عبر الإنترنت مع Cloud NGFW.

دخول الإنترنت (DNAT)

يمكنك أيضا تكوين شبكات Palo Alto ل Destination-NAT (DNAT). تسمح ترجمة عناوين الشبكة الوجهة للمستخدم بالوصول إلى تطبيق مستضاف محليا أو في شبكة Azure الظاهرية والتواصل معه عبر عناوين IP العامة المقترنة ب CLOUD NGFW.

لمزيد من المعلومات حول قدرات الإنترنت الواردة (DNAT) والإعدادات المتوفرة، راجع وثائق Palo Alto Networks.

لقطة شاشة تعرض تدفقات نسبة استخدام الشبكة الواردة عبر الإنترنت مع Cloud NGFW.

قبل البدء

تفترض الخطوات الواردة في هذه المقالة أنك قمت بالفعل بإنشاء Virtual WAN.

لإنشاء شبكة اتصال واسعة النطاق ظاهرية جديدة، استخدم الخطوات الواردة في المقالة التالية:

القيود المعروفة

  • تحقق من وثائق Palo Alto Networks للحصول على قائمة المناطق التي يتوفر بها Palo Alto Networks Cloud NGFW.
  • لا يمكن نشر Palo Alto Networks Cloud NGFW مع الأجهزة الظاهرية للشبكة في مركز Virtual WAN.
  • تنطبق جميع القيود الأخرى في قسم قيود وثائق نهج التوجيه وهدف التوجيه على عمليات نشر Palo Alto Networks Cloud NGFW في Virtual WAN.

سجل موفر الموارد

لاستخدام Palo Alto Networks Cloud NGFW، يجب عليك تسجيل موفر موارد PaloAltoNetworks.Cloudngfw إلى اشتراكك باستخدام إصدار واجهة برمجة التطبيقات الذي هو على الأقل 2022-08-29-preview.

لمزيد من المعلومات حول كيفية تسجيل موفر موارد في اشتراك Azure، راجع وثائق موفري موارد Azure وأنواعها.

توزيع المركز الظاهري

تصف الخطوات التالية كيفية نشر مركز ظاهري يمكن استخدامه مع Palo Alto Networks Cloud NGFW.

  1. انتقل إلى مورد Virtual WAN.
  2. في القائمة اليسرى، حدد Hubs ضمن Connectivity.
  3. انقر فوق New Hub.
  4. ضمن Basics حدد منطقة لمركزك الظاهري. تأكد من إدراج المنطقة في مناطق Palo Alto Cloud NGFW المتوفرة. بالإضافة إلى ذلك، حدد اسما ومساحة عنوانا وسعة المركز الظاهري وتفضيل توجيه المركز لمركزك. لقطة شاشة تعرض صفحة إنشاء المركز. تم تمييز مربع محدد المنطقة.
  5. حدد البوابات (VPN من موقع إلى موقع، VPN من نقطة إلى موقع، ExpressRoute) التي تريد نشرها في المركز الظاهري وتكوينها. يمكنك نشر البوابات لاحقا إذا كنت ترغب في ذلك.
  6. انقر فوق مراجعة + إنشاء.
  7. انقر فوق "Create"
  8. انتقل إلى المركز الذي تم إنشاؤه حديثا وانتظر حتى يتم توفير حالة التوجيه. قد تستغرق هذه الخطوة ما يصل إلى 30 دقيقة.

نشر Palo Alto Networks Cloud NGFW

إشعار

يجب الانتظار حتى يتم "توفير" حالة التوجيه للمركز قبل نشر Cloud NGFW.

  1. انتقل إلى مركزك الظاهري وانقر على حلول SaaS ضمن موفري الجهات الخارجية.
  2. انقر فوق Create SaaS وحدد Palo Alto Networks Cloud NGFW.
  3. انقر فوق Create. لقطة شاشة تعرض صفحة إنشاء SaaS.
  4. أدخل اسما لجدار الحماية الخاص بك. تأكد من أن منطقة جدار الحماية هي نفس منطقة المركز الظاهري. لمزيد من المعلومات حول خيارات التكوين المتوفرة ل Palo Alto Networks Cloud NGFW، راجع وثائق Palo Alto Networks ل Cloud NGFW.

تكوين التوجيه

إشعار

لا يمكنك تكوين هدف التوجيه حتى يتم توفير Cloud NGFW بنجاح.

  1. انتقل إلى المركز الظاهري وانقر على هدف التوجيه والنهج ضمن التوجيه
  2. إذا كنت ترغب في استخدام Palo Alto Networks Cloud NGFW لفحص حركة مرور الإنترنت الصادرة (نسبة استخدام الشبكة بين الشبكات الظاهرية أو المحلية والإنترنت)، ضمن حركة مرور الإنترنت حدد حل SaaS. بالنسبة إلى مورد الوثب التالي، حدد مورد Cloud NGFW. لقطة شاشة تعرض إنشاء نهج توجيه الإنترنت.
  3. إذا كنت ترغب في استخدام Palo Alto Networks Cloud NGFW لفحص نسبة استخدام الشبكة الخاصة (نسبة استخدام الشبكة بين جميع الشبكات الظاهرية والشبكات المحلية في Virtual WAN)، ضمن Private traffic حدد SaaS solution. بالنسبة إلى مورد الوثب التالي، حدد مورد Cloud NGFW. لقطة شاشة تعرض إنشاء نهج التوجيه الخاص.

إدارة Palo Alto Networks Cloud NGFW

يصف القسم التالي كيف يمكنك إدارة Palo Alto Networks Cloud NGFW (القواعد وعناوين IP وتكوينات الأمان وما إلى ذلك)

  1. انتقل إلى المركز الظاهري وانقر على حلول SaaS.
  2. انقر فوق انقر هنا ضمن إدارة SaaS. لقطة شاشة توضح كيفية إدارة حل SaaS الخاص بك.
  3. لمزيد من المعلومات حول خيارات التكوين المتوفرة ل Palo Alto Networks Cloud NGFW، راجع وثائق Palo Alto Networks ل Cloud NGFW.

حذف Palo Alto Networks Cloud NGFW

إشعار

لا يمكنك حذف Virtual Hub حتى يتم حذف كل من حل Cloud NGFW و Virtual WAN SaaS.

تصف الخطوات التالية كيفية حذف عرض CLOUD NGFW:

  1. انتقل إلى المركز الظاهري وانقر على حلول SaaS.
  2. انقر فوق انقر هنا ضمن إدارة SaaS. لقطة شاشة توضح كيفية إدارة حل SaaS الخاص بك.
  3. انقر فوق حذف في الزاوية العلوية اليمنى من الصفحة. لقطة شاشة تعرض حذف خيارات Cloud NGFW.
  4. بعد نجاح عملية الحذف، انتقل مرة أخرى إلى صفحة حلول SaaS الخاصة ب Virtual Hub.
  5. انقر على السطر الذي يتوافق مع Cloud NGFW وانقر فوق Delete SaaS في الزاوية العلوية اليمنى من الصفحة. لن يتوفر هذا الخيار حتى يتم تشغيل الخطوة 3 حتى الاكتمال. لقطة شاشة توضح كيفية حذف حل SaaS الخاص بك.

استكشاف الأخطاء وإصلاحها

يصف القسم التالي المشكلات الشائعة التي تظهر عند استخدام Palo Alto Networks Cloud NGFW في Virtual WAN.

استكشاف أخطاء إنشاء Cloud NGFW وإصلاحها

  • تأكد من نشر المراكز الظاهرية في إحدى المناطق التالية المدرجة في وثائق Palo Alto Networks.
  • تأكد من أن حالة التوجيه الخاصة بالمركز الظاهري "تم توفيرها". ستفشل محاولات إنشاء Cloud NGFW قبل التوجيه الذي يتم توفيره.
  • تأكد من نجاح التسجيل في موفر موارد PaloAltoNetworks.Cloudngfw .

استكشاف أخطاء الحذف وإصلاحها

  • لا يمكن حذف حل SaaS حتى يتم حذف مورد Cloud NGFW المرتبط. لذلك، احذف مورد Cloud NGFW قبل حذف مورد حل SaaS.
  • لا يمكن حذف مورد حل SaaS الذي يعد حاليا مورد القفزة التالي لهدف التوجيه. يجب حذف هدف التوجيه قبل حذف مورد حل SaaS.
  • وبالمثل، لا يمكن حذف مورد Virtual Hub الذي يحتوي على حل SaaS. يجب حذف حل SaaS قبل حذف المركز الظاهري.

استكشاف أخطاء هدف التوجيه وسياساته وإصلاحها

  • تأكد من اكتمال نشر Cloud NGFW بنجاح قبل محاولة تكوين هدف التوجيه.
  • تأكد من وجود جميع شبكات Azure الظاهرية المحلية في RFC1918 (الشبكات الفرعية ضمن 10.0.0.0/8، 192.168.0.0/16، 172.16.0.0/12). إذا كانت هناك شبكات غير موجودة في RFC1918، فتأكد من إدراج هذه البادئات في مربع النص بادئات حركة المرور الخاصة.
  • لمزيد من المعلومات حول استكشاف أخطاء هدف التوجيه وإصلاحها، راجع وثائق هدف التوجيه. يصف هذا المستند المتطلبات المسبقة والأخطاء الشائعة المرتبطة بتكوين هدف التوجيه وتلميحات استكشاف الأخطاء وإصلاحها.

استكشاف أخطاء تكوين Palo Alto Networks Cloud NGFW وإصلاحها

  • الرجوع إلى وثائق Palo Alto Networks.

الخطوات التالية

  • لمزيدٍ من المعلومات حول Virtual WAN، راجع الأسئلة المتداولة.
  • لمزيد من المعلومات حول هدف التوجيه، راجع وثائق هدف التوجيه.
  • لمزيد من المعلومات حول Palo Alto Networks Cloud NGFW، راجع وثائق Palo Alto Networks Cloud NGFW.