Share via

Mengonfigurasi Palo Alto Networks Cloud NGFW di Virtual WAN

  • Artikel

Palo Alto Networks Cloud Next Generation Firewall (NGFW) adalah penawaran keamanan software-as-a-service (SaaS) asli cloud yang dapat disebarkan ke hub Virtual WAN sebagai solusi bump-in-the-wire untuk memeriksa lalu lintas jaringan. Dokumen berikut menjelaskan beberapa fitur utama, kasus penggunaan penting, dan cara terkait menggunakan Palo Alto Networks Cloud NGFW di Virtual WAN.

Latar belakang

Integrasi Palo Alto Networks Cloud NGFW dengan Virtual WAN memberikan manfaat berikut kepada pelanggan:

  • Lindungi beban kerja penting menggunakan penawaran keamanan SaaS yang sangat dapat diskalakan yang dapat disuntikkan sebagai solusi bump-in-the-wire di Virtual WAN.
  • Infrastruktur dan siklus hidup perangkat lunak yang dikelola sepenuhnya di bawah model perangkat lunak sebagai layanan.
  • Tagihan bayar sesuai pemakaian berbasis konsumsi.
  • Pengalaman cloud-native yang memiliki integrasi ketat dengan Azure untuk menyediakan manajemen Firewall end-to-end menggunakan api portal Azure atau Azure. Manajemen aturan dan kebijakan juga dapat dikonfigurasi secara opsional melalui solusi manajemen Jaringan Palo Alto Panorama.
  • Saluran dukungan khusus dan yang disederhanakan antara Azure dan Palo Alto Networks untuk memecahkan masalah.
  • Perutean satu klik untuk mengonfigurasi Virtual WAN untuk memeriksa lalu lintas lokal, Virtual Network, dan internet-outbound menggunakan Palo Alto Networks Cloud NGFW.

Cuplikan layar memperlihatkan contoh hub topologi Virtual WAN dengan Cloud NGFW.

Kasus penggunaan

Bagian berikut menjelaskan kasus penggunaan keamanan umum untuk Palo Alto Networks Cloud NGFW di Virtual WAN.

Lalu lintas privat (lokal dan jaringan virtual)

Inspeksi lalu lintas timur-barat

Virtual WAN merutekan lalu lintas dari Virtual Network ke Virtual Network atau dari lokal (VPN Situs-ke-situs, ExpressRoute, VPN Titik-ke-situs) ke lokal ke Cloud NGFW yang disebarkan di hub untuk inspeksi.

Cuplikan layar memperlihatkan arus lalu lintas timur-barat dengan Cloud NGFW.

Inspeksi lalu lintas utara-selatan

Virtual WAN juga merutekan lalu lintas antara Virtual Network dan lokal (VPN situs-ke-situs, ExpressRoute, VPN Point-to-site) ke lokal ke Cloud NGFW yang disebarkan di hub untuk inspeksi.

Cuplikan layar memperlihatkan arus lalu lintas utara-selatan dengan Cloud NGFW.

Tepi internet

Catatan

Rute default 0.0.0.0/0 tidak menyebar di seluruh hub. Jaringan Lokal dan Virtual hanya dapat menggunakan sumber daya Cloud NGFW lokal untuk mengakses Internet. Selain itu, untuk kasus penggunaan NAT Tujuan, Cloud NGFW hanya dapat meneruskan lalu lintas masuk ke Virtual Network lokal dan lokal.

Jalan keluar internet

Virtual WAN dapat dikonfigurasi untuk merutekan lalu lintas yang terikat internet dari Virtual Network atau lokal ke Cloud NGFW untuk inspeksi dan breakout internet. Anda dapat secara selektif memilih Virtual Network atau lokal mana yang mempelajari rute default (0.0.0.0/0) dan menggunakan Palo Alto Cloud NGFW untuk keluarnya internet. Dalam kasus penggunaan ini, Azure secara otomatis MEMBERI NAT IP sumber paket terikat internet Anda ke IP publik yang terkait dengan Cloud NGFW.

Untuk informasi selengkapnya tentang kemampuan keluar internet dan pengaturan yang tersedia, lihat dokumentasi Palo Alto Networks.

Cuplikan layar memperlihatkan arus lalu lintas keluar internet dengan Cloud NGFW.

Masuk internet (DNAT)

Anda juga dapat mengonfigurasi Palo Alto Networks untuk Destination-NAT (DNAT). NAT Tujuan memungkinkan pengguna untuk mengakses dan berkomunikasi dengan aplikasi yang dihosting secara lokal atau di Azure Virtual Network melalui IP publik yang terkait dengan Cloud NGFW.

Untuk informasi selengkapnya tentang kemampuan internet-inbound (DNAT) dan pengaturan yang tersedia, lihat dokumentasi Palo Alto Networks.

Cuplikan layar memperlihatkan arus lalu lintas masuk internet dengan Cloud NGFW.

Sebelum Anda mulai

Langkah-langkah dalam artikel ini mengasumsikan Anda telah membuat Virtual WAN.

Untuk membuat WAN virtual baru, gunakan langkah-langkah dalam artikel berikut:

Pembatasan yang diketahui

  • Periksa dokumentasi Palo Alto Networks untuk daftar wilayah tempat Palo Alto Networks Cloud NGFW tersedia.
  • Palo Alto Networks Cloud NGFW tidak dapat disebarkan dengan Network Virtual Appliances di hub Virtual WAN.
  • Semua batasan lain di bagian batasan dokumentasi kebijakan Niat Perutean dan Perutean berlaku untuk penyebaran Palo Alto Networks Cloud NGFW di Virtual WAN.

Mendaftarkan penyedia sumber daya

Untuk menggunakan Palo Alto Networks Cloud NGFW, Anda harus mendaftarkan penyedia sumber daya PaloAltoNetworks.Cloudngfw ke langganan Anda dengan versi API minimal 2022-08-29-preview.

Untuk informasi selengkapnya tentang cara mendaftarkan Penyedia Sumber Ke langganan Azure, lihat Dokumentasi penyedia sumber daya dan jenis Azure.

Menyebarkan hub virtual

Langkah-langkah berikut menjelaskan cara menyebarkan Hub Virtual yang dapat digunakan dengan Palo Alto Networks Cloud NGFW.

  1. Navigasi ke sumber daya Virtual WAN Anda.
  2. Di menu sebelah kiri, pilih Hub di bawah Koneksi ivity.
  3. Klik Hub Baru.
  4. Di bawah Dasar-dasar tentukan wilayah untuk Hub Virtual Anda. Pastikan wilayah tersebut tercantum di wilayah Palo Alto Cloud NGFW yang Tersedia. Selain itu, tentukan nama, ruang alamat, Kapasitas hub virtual, dan preferensi perutean Hub untuk hub Anda. Cuplikan layar memperlihatkan halaman pembuatan hub. Kotak pemilih wilayah disorot.
  5. Pilih dan konfigurasikan Gateway (VPN situs-ke-situs, VPN Titik-ke-situs, ExpressRoute) yang ingin Anda sebarkan di Hub Virtual. Anda dapat menyebarkan Gateway nanti jika mau.
  6. Klik Tinjau + buat.
  7. Klik Buat
  8. Navigasikan ke hub yang baru dibuat dan tunggu Status Perutean Diprovisikan. Langkah ini dapat memakan waktu hingga 30 menit.

Menyebarkan Palo Alto Networks Cloud NGFW

Catatan

Anda harus menunggu status perutean hub "Disediakan" sebelum menyebarkan Cloud NGFW.

  1. Navigasi ke Hub Virtual Anda dan klik solusi SaaS di bawah Penyedia pihak ketiga.
  2. Klik Buat SaaS dan pilih Palo Alto Networks Cloud NGFW.
  3. Klik Buat. Cuplikan layar memperlihatkan halaman pembuatan SaaS.
  4. Berikan nama untuk Firewall Anda. Pastikan wilayah Firewall sama dengan wilayah Hub Virtual Anda. Untuk informasi selengkapnya tentang opsi konfigurasi yang tersedia untuk Palo Alto Networks Cloud NGFW, lihat dokumentasi Palo Alto Networks untuk Cloud NGFW.

Mengonfigurasi Perutean

Catatan

Anda tidak dapat mengonfigurasi niat perutean hingga Cloud NGFW berhasil disediakan.

  1. Navigasi ke Hub Virtual Anda dan klik Niat perutean dan kebijakan di bawah Perutean
  2. Jika Anda ingin menggunakan Palo Alto Networks Cloud NGFW untuk memeriksa lalu lintas Internet keluar (lalu lintas antara Jaringan Virtual atau lokal dan Internet), di bawah Lalu lintas Internet pilih solusi SaaS. Untuk sumber daya Lompatan Berikutnya, pilih sumber daya Cloud NGFW Anda. Cuplikan layar memperlihatkan pembuatan kebijakan perutean internet.
  3. Jika Anda ingin menggunakan Palo Alto Networks Cloud NGFW untuk memeriksa lalu lintas privat (lalu lintas antara semua Jaringan Virtual dan lokal di Virtual WAN Anda), di bawah Lalu lintas privat pilih solusi SaaS. Untuk sumber daya Lompatan Berikutnya, pilih sumber daya Cloud NGFW Anda. Cuplikan layar memperlihatkan pembuatan kebijakan perutean privat.

Mengelola Palo Alto Networks Cloud NGFW

Bagian berikut menjelaskan bagaimana Anda dapat mengelola Palo Alto Networks Cloud NGFW (aturan, alamat IP, konfigurasi keamanan, dll.)

  1. Navigasi ke Hub Virtual Anda dan klik solusi SaaS.
  2. Klik Klik di sini di bawah Kelola SaaS. Cuplikan layar memperlihatkan cara mengelola solusi SaaS Anda.
  3. Untuk informasi selengkapnya tentang opsi konfigurasi yang tersedia untuk Palo Alto Networks Cloud NGFW, lihat dokumentasi Palo Alto Networks untuk Cloud NGFW.

Menghapus Palo Alto Networks Cloud NGFW

Catatan

Anda tidak dapat menghapus Hub Virtual hingga solusi Cloud NGFW dan Virtual WAN SaaS dihapus.

Langkah-langkah berikut menjelaskan cara menghapus penawaran Cloud NGFW:

  1. Navigasi ke Hub Virtual Anda dan klik solusi SaaS.
  2. Klik Klik di sini di bawah Kelola SaaS. Cuplikan layar memperlihatkan cara mengelola solusi SaaS Anda.
  3. Klik Hapus di sudut kiri atas halaman. Cuplikan layar memperlihatkan opsi hapus Cloud NGFW.
  4. Setelah operasi penghapusan berhasil, navigasikan kembali ke halaman solusi SaaS Hub Virtual Anda.
  5. Klik garis yang sesuai dengan Cloud NGFW Anda dan klik Hapus SaaS di sudut kiri atas halaman. Opsi ini tidak akan tersedia sampai Langkah 3 berjalan hingga selesai. Cuplikan layar memperlihatkan cara menghapus solusi SaaS Anda.

Pemecahan Masalah

Bagian berikut menjelaskan masalah umum yang terlihat saat menggunakan Palo Alto Networks Cloud NGFW di Virtual WAN.

Pemecahan masalah pembuatan Cloud NGFW

  • Pastikan Hub Virtual Anda disebarkan di salah satu wilayah berikut yang tercantum dalam dokumentasi Palo Alto Networks.
  • Pastikan status Perutean Hub Virtual adalah "Disediakan." Upaya untuk membuat Cloud NGFW sebelum perutean yang disediakan akan gagal.
  • Pastikan pendaftaran ke penyedia sumber paloAltoNetworks.Cloudngfw berhasil.

Penghapusan pemecahan masalah

  • Solusi SaaS tidak dapat dihapus hingga sumber daya Cloud NGFW yang ditautkan dihapus. Oleh karena itu, hapus sumber daya Cloud NGFW sebelum menghapus sumber daya solusi SaaS.
  • Sumber daya solusi SaaS yang saat ini merupakan sumber daya hop berikutnya untuk niat perutean tidak dapat dihapus. Niat perutean harus dihapus sebelum sumber daya solusi SaaS dapat dihapus.
  • Demikian pula, sumber daya Hub Virtual yang memiliki solusi SaaS tidak dapat dihapus. Solusi SaaS harus dihapus sebelum Hub Virtual dihapus.

Pemecahan masalah niat dan kebijakan Perutean

  • Pastikan penyebaran Cloud NGFW berhasil diselesaikan sebelum mencoba mengonfigurasi Niat Perutean.
  • Pastikan semua Jaringan Virtual Lokal dan Azure Anda berada dalam RFC1918 (subnet dalam 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Jika ada jaringan yang tidak berada dalam RFC1918, pastikan prefiks tersebut tercantum dalam kotak teks awalan Lalu Lintas Privat.
  • Untuk informasi selengkapnya tentang pemecahan masalah niat perutean, lihat Dokumentasi Niat Perutean. Dokumen ini menjelaskan prasyarat, kesalahan umum yang terkait dengan mengonfigurasi niat perutean dan tips pemecahan masalah.

Pemecahan masalah konfigurasi Palo Alto Networks Cloud NGFW

Langkah berikutnya

  • Untuk informasi selengkapnya tentang Virtual WAN, lihat FAQ.
  • Untuk informasi selengkapnya tentang niat perutean, lihat dokumentasi Niat Perutean.
  • Untuk informasi selengkapnya tentang Palo Alto Networks Cloud NGFW, lihat dokumentasi Palo Alto Networks Cloud NGFW.