Condividi tramite

Configurare Palo Alto Networks Cloud NGFW in rete WAN virtuale

  • Articolo

Palo Alto Networks Cloud Next Generation Firewall (NGFW) è un'offerta di sicurezza SaaS (Software-as-a-Service) nativa del cloud che può essere distribuita nell'hub rete WAN virtuale come soluzione di collegamento per controllare il traffico di rete. Il documento seguente descrive alcune delle principali funzionalità, i casi d'uso critici e le procedure associate all'uso di Palo Alto Networks Cloud NGFW in rete WAN virtuale.

Background

L'integrazione di Palo Alto Networks Cloud NGFW con rete WAN virtuale offre i vantaggi seguenti ai clienti:

  • Proteggere i carichi di lavoro critici usando un'offerta di sicurezza SaaS altamente scalabile che può essere inserita come soluzione di collegamento in rete in rete WAN virtuale.
  • Infrastruttura completamente gestita e ciclo di vita software nel modello software-as-a-service.
  • Fatturazione con pagamento in base al consumo.
  • Esperienza nativa del cloud con una stretta integrazione con Azure per offrire la gestione end-to-end del firewall usando le API di Azure o portale di Azure. La gestione delle regole e dei criteri è anche configurabile facoltativamente tramite la soluzione di gestione palo Alto Network Panorama.
  • Canale di supporto dedicato e semplificato tra Azure e Palo Alto Networks per risolvere i problemi.
  • Routing con un clic per configurare rete WAN virtuale per controllare il traffico locale, Rete virtuale e Internet in uscita tramite Palo Alto Networks Cloud NGFW.

Screenshot che mostra l'esempio di hub rete WAN virtuale topologia con Cloud NGFW.

Utilizzare casi

La sezione seguente descrive i casi d'uso di sicurezza comuni per Palo Alto Networks Cloud NGFW in rete WAN virtuale.

Traffico privato (locale e rete virtuale)

Ispezione del traffico est-ovest

rete WAN virtuale instrada il traffico da Rete virtuale a Rete virtuale o dall'istanza locale (VPN da sito a sito, ExpressRoute, VPN da punto a sito) a cloud NGFW distribuito nell'hub per l'ispezione.

Screenshot che mostra i flussi di traffico est-ovest con Cloud NGFW.

Ispezione del traffico nord-sud

rete WAN virtuale instrada anche il traffico tra Rete virtuale e locale (VPN da sito a sito, ExpressRoute, VPN da punto a sito) a cloud NGFW distribuito nell'hub per l'ispezione.

Screenshot che mostra i flussi di traffico nord-sud con Cloud NGFW.

Internet

Nota

La route predefinita 0.0.0.0/0 non viene propagata tra hub. Le Rete virtuale e locali possono usare solo risorse cloud NGFW locali per accedere a Internet. Inoltre, per i casi d'uso NAT di destinazione, Cloud NGFW può inoltrare il traffico in ingresso solo alle Rete virtuale locali e locali.

Internet in uscita

rete WAN virtuale può essere configurato per instradare il traffico associato a Internet da Rete virtuale o in locale a Cloud NGFW per l'ispezione e l'interruzione internet. È possibile scegliere in modo selettivo quali Rete virtuale o locali imparano la route predefinita (0.0.0.0/0) e usare Palo Alto Cloud NGFW per internet in uscita. In questo caso d'uso, Azure esegue automaticamente il nats dell'indirizzo IP di origine del pacchetto associato a Internet agli indirizzi IP pubblici associati al cloud NGFW.

Per altre informazioni sulle funzionalità in uscita internet e sulle impostazioni disponibili, vedere la documentazione di Palo Alto Networks.

Screenshot che mostra i flussi di traffico internet in uscita con Cloud NGFW.

Ingresso Internet (DNAT)

È anche possibile configurare Palo Alto Networks per Destination-NAT (DNAT). Nat di destinazione consente a un utente di accedere e comunicare con un'applicazione ospitata in locale o in un'Rete virtuale di Azure tramite gli indirizzi IP pubblici associati a Cloud NGFW.

Per altre informazioni sulle funzionalità di Internet in ingresso (DNAT) e sulle impostazioni disponibili, vedere la documentazione di Palo Alto Networks.

Screenshot che mostra i flussi di traffico in ingresso internet con Cloud NGFW.

Operazioni preliminari

I passaggi descritti in questo articolo presuppongono che sia già stata creata una rete WAN virtuale.

Per creare una nuova rete WAN virtuale, seguire questa procedura nell'articolo seguente:

Limitazioni note

Registrare il provider di risorse

Per usare Palo Alto Networks Cloud NGFW, è necessario registrare il provider di risorse PaloAltoNetworks.Cloudngfw nella sottoscrizione con una versione API che è almeno 2022-08-29-preview.

Per altre informazioni su come registrare un provider di risorse in una sottoscrizione di Azure, vedere la documentazione relativa ai provider di risorse e ai tipi di Azure.

Distribuire l'hub virtuale

I passaggi seguenti descrivono come distribuire un hub virtuale che può essere usato con Palo Alto Networks Cloud NGFW.

  1. Passare alla risorsa rete WAN virtuale.
  2. Nel menu a sinistra selezionare Hub inConnessione ivity.
  3. Fare clic su Nuovo hub.
  4. In Informazioni di base specificare un'area per l'hub virtuale. Assicurarsi che l'area sia elencata nelle aree Palo Alto Cloud NGFW disponibili. Specificare anche un nome, uno spazio indirizzi, una capacità dell'hub virtuale e una preferenza di routing hub per l'hub. Screenshot che mostra la pagina di creazione dell'hub. La casella del selettore di area è evidenziata.
  5. Selezionare e configurare i gateway (VPN da sito a sito, VPN da punto a sito, ExpressRoute) da distribuire nell'hub virtuale. Se si vuole, è possibile distribuire i gateway in un secondo momento.
  6. Fare clic su Rivedi e crea.
  7. Fare clic su Crea
  8. Passare all'hub appena creato e attendere che venga eseguito il provisioning dello stato di routing. Questo passaggio può richiedere fino a 30 minuti.

Distribuire Palo Alto Networks Cloud NGFW

Nota

Prima di distribuire Cloud NGFW, è necessario attendere che lo stato di routing dell'hub sia "Provisioned".

  1. Passare all'hub virtuale e fare clic su Soluzioni SaaS in Provider di terze parti.
  2. Fare clic su Crea SaaS e selezionare Palo Alto Networks Cloud NGFW.
  3. Fai clic su Crea. Screenshot che mostra la pagina di creazione saaS.
  4. Specificare un nome per il firewall. Assicurarsi che l'area del firewall corrisponda all'area dell'hub virtuale. Per altre informazioni sulle opzioni di configurazione disponibili per Palo Alto Networks Cloud NGFW, vedere la documentazione di Palo Alto Networks per Cloud NGFW.

Configurare il routing

Nota

Non è possibile configurare la finalità di routing fino a quando non viene eseguito correttamente il provisioning di Cloud NGFW.

  1. Passare all'hub virtuale e fare clic su Finalità e criteri di routing in Routing
  2. Se si vuole usare Palo Alto Networks Cloud NGFW per controllare il traffico Internet in uscita (traffico tra Rete virtuale o locale e Internet), in Traffico Internet selezionare Soluzione SaaS. Per la risorsa Hop successivo selezionare la risorsa NGFW cloud. Screenshot che mostra la creazione dei criteri di routing Internet.
  3. Se si vuole usare Palo Alto Networks Cloud NGFW per controllare il traffico privato (traffico tra tutti i Rete virtuale e l'ambiente locale nel rete WAN virtuale), in Traffico privato selezionare Soluzione SaaS. Per la risorsa Hop successivo selezionare la risorsa NGFW cloud. Screenshot che mostra la creazione di criteri di routing privati.

Gestire Palo Alto Networks Cloud NGFW

La sezione seguente descrive come gestire palo alto networks cloud NGFW (regole, indirizzi IP, configurazioni di sicurezza e così via)

  1. Passare all'hub virtuale e fare clic su Soluzioni SaaS.
  2. Fare clic su Fare clic qui in Gestisci SaaS. Screenshot che mostra come gestire la soluzione SaaS.
  3. Per altre informazioni sulle opzioni di configurazione disponibili per Palo Alto Networks Cloud NGFW, vedere la documentazione di Palo Alto Networks per Cloud NGFW.

Eliminare Palo Alto Networks Cloud NGFW

Nota

Non è possibile eliminare l'hub virtuale finché non vengono eliminati sia il cloud NGFW che rete WAN virtuale soluzione SaaS.

I passaggi seguenti descrivono come eliminare un'offerta cloud NGFW:

  1. Passare all'hub virtuale e fare clic su Soluzioni SaaS.
  2. Fare clic su Fare clic qui in Gestisci SaaS. Screenshot che mostra come gestire la soluzione SaaS.
  3. Fare clic su Elimina nell'angolo superiore sinistro della pagina. Screenshot che mostra l'eliminazione delle opzioni NGFW cloud.
  4. Al termine dell'operazione di eliminazione, tornare alla pagina delle soluzioni SaaS dell'hub virtuale.
  5. Fare clic sulla riga corrispondente al cloud NGFW e fare clic su Elimina SaaS nell'angolo superiore sinistro della pagina. Questa opzione non sarà disponibile fino al completamento del passaggio 3. Screenshot che mostra come eliminare la soluzione SaaS.

Risoluzione dei problemi

La sezione seguente descrive i problemi comuni riscontrati quando si usa Palo Alto Networks Cloud NGFW in rete WAN virtuale.

Risoluzione dei problemi relativi alla creazione di NGFW cloud

  • Assicurarsi che gli hub virtuali vengano distribuiti in una delle aree seguenti elencate nella documentazione di Palo Alto Networks.
  • Verificare che lo stato di routing dell'hub virtuale sia "Provisioned". I tentativi di creare cloud NGFW prima del provisioning del routing avranno esito negativo.
  • Assicurarsi che la registrazione al provider di risorse PaloAltoNetworks.Cloudngfw abbia esito positivo.

Risoluzione dei problemi di eliminazione

  • Una soluzione SaaS non può essere eliminata finché non viene eliminata la risorsa cloud NGFW collegata. Eliminare quindi la risorsa Cloud NGFW prima di eliminare la risorsa della soluzione SaaS.
  • Non è possibile eliminare una risorsa della soluzione SaaS attualmente la risorsa hop successiva per la finalità di routing. La finalità di routing deve essere eliminata prima che la risorsa della soluzione SaaS possa essere eliminata.
  • Analogamente, non è possibile eliminare una risorsa hub virtuale con una soluzione SaaS. La soluzione SaaS deve essere eliminata prima dell'eliminazione dell'hub virtuale.

Risoluzione dei problemi relativi a finalità e criteri di routing

  • Assicurarsi che la distribuzione NGFW cloud sia stata completata correttamente prima di tentare di configurare la finalità di routing.
  • Verificare che tutte le Rete virtuale locali e di Azure si trovino in RFC1918 (subnet entro 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Se sono presenti reti non presenti in RFC1918, assicurarsi che tali prefissi siano elencati nella casella di testo Prefissi traffico privato.
  • Per altre informazioni sulla risoluzione dei problemi relativi alla finalità di routing, vedere la documentazione sulla finalità di routing. Questo documento descrive i prerequisiti, gli errori comuni associati alla configurazione della finalità di routing e i suggerimenti per la risoluzione dei problemi.

Risoluzione dei problemi relativi alla configurazione di Palo Alto Networks Cloud NGFW

Passaggi successivi

  • Per altre informazioni sulla rete WAN virtuale, vedere le domande frequenti.
  • Per altre informazioni sulla finalità di routing, vedere la documentazione sulla finalità di routing.
  • Per altre informazioni su Palo Alto Networks Cloud NGFW, vedere la documentazione di Palo Alto Networks Cloud NGFW.