Configurare Palo Alto Networks Cloud NGFW in rete WAN virtuale
Palo Alto Networks Cloud Next Generation Firewall (NGFW) è un'offerta di sicurezza SaaS (Software-as-a-Service) nativa del cloud che può essere distribuita nell'hub rete WAN virtuale come soluzione di collegamento per controllare il traffico di rete. Il documento seguente descrive alcune delle principali funzionalità, i casi d'uso critici e le procedure associate all'uso di Palo Alto Networks Cloud NGFW in rete WAN virtuale.
Background
L'integrazione di Palo Alto Networks Cloud NGFW con rete WAN virtuale offre i vantaggi seguenti ai clienti:
- Proteggere i carichi di lavoro critici usando un'offerta di sicurezza SaaS altamente scalabile che può essere inserita come soluzione di collegamento in rete in rete WAN virtuale.
- Infrastruttura completamente gestita e ciclo di vita software nel modello software-as-a-service.
- Fatturazione con pagamento in base al consumo.
- Esperienza nativa del cloud con una stretta integrazione con Azure per offrire la gestione end-to-end del firewall usando le API di Azure o portale di Azure. La gestione delle regole e dei criteri è anche configurabile facoltativamente tramite la soluzione di gestione palo Alto Network Panorama.
- Canale di supporto dedicato e semplificato tra Azure e Palo Alto Networks per risolvere i problemi.
- Routing con un clic per configurare rete WAN virtuale per controllare il traffico locale, Rete virtuale e Internet in uscita tramite Palo Alto Networks Cloud NGFW.
Utilizzare casi
La sezione seguente descrive i casi d'uso di sicurezza comuni per Palo Alto Networks Cloud NGFW in rete WAN virtuale.
Traffico privato (locale e rete virtuale)
Ispezione del traffico est-ovest
rete WAN virtuale instrada il traffico da Rete virtuale a Rete virtuale o dall'istanza locale (VPN da sito a sito, ExpressRoute, VPN da punto a sito) a cloud NGFW distribuito nell'hub per l'ispezione.
Ispezione del traffico nord-sud
rete WAN virtuale instrada anche il traffico tra Rete virtuale e locale (VPN da sito a sito, ExpressRoute, VPN da punto a sito) a cloud NGFW distribuito nell'hub per l'ispezione.
Internet
Nota
La route predefinita 0.0.0.0/0 non viene propagata tra hub. Le Rete virtuale e locali possono usare solo risorse cloud NGFW locali per accedere a Internet. Inoltre, per i casi d'uso NAT di destinazione, Cloud NGFW può inoltrare il traffico in ingresso solo alle Rete virtuale locali e locali.
Internet in uscita
rete WAN virtuale può essere configurato per instradare il traffico associato a Internet da Rete virtuale o in locale a Cloud NGFW per l'ispezione e l'interruzione internet. È possibile scegliere in modo selettivo quali Rete virtuale o locali imparano la route predefinita (0.0.0.0/0) e usare Palo Alto Cloud NGFW per internet in uscita. In questo caso d'uso, Azure esegue automaticamente il nats dell'indirizzo IP di origine del pacchetto associato a Internet agli indirizzi IP pubblici associati al cloud NGFW.
Per altre informazioni sulle funzionalità in uscita internet e sulle impostazioni disponibili, vedere la documentazione di Palo Alto Networks.
Ingresso Internet (DNAT)
È anche possibile configurare Palo Alto Networks per Destination-NAT (DNAT). Nat di destinazione consente a un utente di accedere e comunicare con un'applicazione ospitata in locale o in un'Rete virtuale di Azure tramite gli indirizzi IP pubblici associati a Cloud NGFW.
Per altre informazioni sulle funzionalità di Internet in ingresso (DNAT) e sulle impostazioni disponibili, vedere la documentazione di Palo Alto Networks.
Operazioni preliminari
I passaggi descritti in questo articolo presuppongono che sia già stata creata una rete WAN virtuale.
Per creare una nuova rete WAN virtuale, seguire questa procedura nell'articolo seguente:
Limitazioni note
- Per l'elenco delle aree in cui è disponibile Palo Alto Networks Cloud NGFW, vedere la documentazione di Palo Alto Networks.
- Palo Alto Networks Cloud NGFW non può essere distribuito con appliance virtuali di rete nell'hub rete WAN virtuale.
- Tutte le altre limitazioni della documentazione relativa alle finalità di routing e ai criteri di routing si applicano alle distribuzioni NGFW di Palo Alto Networks Cloud in rete WAN virtuale.
Registrare il provider di risorse
Per usare Palo Alto Networks Cloud NGFW, è necessario registrare il provider di risorse PaloAltoNetworks.Cloudngfw nella sottoscrizione con una versione API che è almeno 2022-08-29-preview.
Per altre informazioni su come registrare un provider di risorse in una sottoscrizione di Azure, vedere la documentazione relativa ai provider di risorse e ai tipi di Azure.
Distribuire l'hub virtuale
I passaggi seguenti descrivono come distribuire un hub virtuale che può essere usato con Palo Alto Networks Cloud NGFW.
- Passare alla risorsa rete WAN virtuale.
- Nel menu a sinistra selezionare Hub inConnessione ivity.
- Fare clic su Nuovo hub.
- In Informazioni di base specificare un'area per l'hub virtuale. Assicurarsi che l'area sia elencata nelle aree Palo Alto Cloud NGFW disponibili. Specificare anche un nome, uno spazio indirizzi, una capacità dell'hub virtuale e una preferenza di routing hub per l'hub.
- Selezionare e configurare i gateway (VPN da sito a sito, VPN da punto a sito, ExpressRoute) da distribuire nell'hub virtuale. Se si vuole, è possibile distribuire i gateway in un secondo momento.
- Fare clic su Rivedi e crea.
- Fare clic su Crea
- Passare all'hub appena creato e attendere che venga eseguito il provisioning dello stato di routing. Questo passaggio può richiedere fino a 30 minuti.
Distribuire Palo Alto Networks Cloud NGFW
Nota
Prima di distribuire Cloud NGFW, è necessario attendere che lo stato di routing dell'hub sia "Provisioned".
- Passare all'hub virtuale e fare clic su Soluzioni SaaS in Provider di terze parti.
- Fare clic su Crea SaaS e selezionare Palo Alto Networks Cloud NGFW.
- Fai clic su Crea.
- Specificare un nome per il firewall. Assicurarsi che l'area del firewall corrisponda all'area dell'hub virtuale. Per altre informazioni sulle opzioni di configurazione disponibili per Palo Alto Networks Cloud NGFW, vedere la documentazione di Palo Alto Networks per Cloud NGFW.
Configurare il routing
Nota
Non è possibile configurare la finalità di routing fino a quando non viene eseguito correttamente il provisioning di Cloud NGFW.
- Passare all'hub virtuale e fare clic su Finalità e criteri di routing in Routing
- Se si vuole usare Palo Alto Networks Cloud NGFW per controllare il traffico Internet in uscita (traffico tra Rete virtuale o locale e Internet), in Traffico Internet selezionare Soluzione SaaS. Per la risorsa Hop successivo selezionare la risorsa NGFW cloud.
- Se si vuole usare Palo Alto Networks Cloud NGFW per controllare il traffico privato (traffico tra tutti i Rete virtuale e l'ambiente locale nel rete WAN virtuale), in Traffico privato selezionare Soluzione SaaS. Per la risorsa Hop successivo selezionare la risorsa NGFW cloud.
Gestire Palo Alto Networks Cloud NGFW
La sezione seguente descrive come gestire palo alto networks cloud NGFW (regole, indirizzi IP, configurazioni di sicurezza e così via)
- Passare all'hub virtuale e fare clic su Soluzioni SaaS.
- Fare clic su Fare clic qui in Gestisci SaaS.
- Per altre informazioni sulle opzioni di configurazione disponibili per Palo Alto Networks Cloud NGFW, vedere la documentazione di Palo Alto Networks per Cloud NGFW.
Eliminare Palo Alto Networks Cloud NGFW
Nota
Non è possibile eliminare l'hub virtuale finché non vengono eliminati sia il cloud NGFW che rete WAN virtuale soluzione SaaS.
I passaggi seguenti descrivono come eliminare un'offerta cloud NGFW:
- Passare all'hub virtuale e fare clic su Soluzioni SaaS.
- Fare clic su Fare clic qui in Gestisci SaaS.
- Fare clic su Elimina nell'angolo superiore sinistro della pagina.
- Al termine dell'operazione di eliminazione, tornare alla pagina delle soluzioni SaaS dell'hub virtuale.
- Fare clic sulla riga corrispondente al cloud NGFW e fare clic su Elimina SaaS nell'angolo superiore sinistro della pagina. Questa opzione non sarà disponibile fino al completamento del passaggio 3.
Risoluzione dei problemi
La sezione seguente descrive i problemi comuni riscontrati quando si usa Palo Alto Networks Cloud NGFW in rete WAN virtuale.
Risoluzione dei problemi relativi alla creazione di NGFW cloud
- Assicurarsi che gli hub virtuali vengano distribuiti in una delle aree seguenti elencate nella documentazione di Palo Alto Networks.
- Verificare che lo stato di routing dell'hub virtuale sia "Provisioned". I tentativi di creare cloud NGFW prima del provisioning del routing avranno esito negativo.
- Assicurarsi che la registrazione al provider di risorse PaloAltoNetworks.Cloudngfw abbia esito positivo.
Risoluzione dei problemi di eliminazione
- Una soluzione SaaS non può essere eliminata finché non viene eliminata la risorsa cloud NGFW collegata. Eliminare quindi la risorsa Cloud NGFW prima di eliminare la risorsa della soluzione SaaS.
- Non è possibile eliminare una risorsa della soluzione SaaS attualmente la risorsa hop successiva per la finalità di routing. La finalità di routing deve essere eliminata prima che la risorsa della soluzione SaaS possa essere eliminata.
- Analogamente, non è possibile eliminare una risorsa hub virtuale con una soluzione SaaS. La soluzione SaaS deve essere eliminata prima dell'eliminazione dell'hub virtuale.
Risoluzione dei problemi relativi a finalità e criteri di routing
- Assicurarsi che la distribuzione NGFW cloud sia stata completata correttamente prima di tentare di configurare la finalità di routing.
- Verificare che tutte le Rete virtuale locali e di Azure si trovino in RFC1918 (subnet entro 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Se sono presenti reti non presenti in RFC1918, assicurarsi che tali prefissi siano elencati nella casella di testo Prefissi traffico privato.
- Per altre informazioni sulla risoluzione dei problemi relativi alla finalità di routing, vedere la documentazione sulla finalità di routing. Questo documento descrive i prerequisiti, gli errori comuni associati alla configurazione della finalità di routing e i suggerimenti per la risoluzione dei problemi.
Risoluzione dei problemi relativi alla configurazione di Palo Alto Networks Cloud NGFW
- Fare riferimento alla documentazione di Palo Alto Networks.
Passaggi successivi
- Per altre informazioni sulla rete WAN virtuale, vedere le domande frequenti.
- Per altre informazioni sulla finalità di routing, vedere la documentazione sulla finalità di routing.
- Per altre informazioni su Palo Alto Networks Cloud NGFW, vedere la documentazione di Palo Alto Networks Cloud NGFW.