Udostępnij za pośrednictwem

Konfigurowanie aplikacji Palo Alto Networks Cloud NGFW w usłudze Virtual WAN

  • Artykuł

Palo Alto Networks Cloud Next Generation Firewall (NGFW) to natywna dla chmury oferta zabezpieczeń oprogramowania jako usługi (SaaS), którą można wdrożyć w koncentratorze Virtual WAN jako rozwiązanie do sprawdzania ruchu sieciowego. W poniższym dokumencie opisano niektóre kluczowe funkcje, krytyczne przypadki użycia i instrukcje związane z używaniem rozwiązania Palo Alto Networks Cloud NGFW w usłudze Virtual WAN.

Tło

Integracja aplikacji Palo Alto Networks Cloud NGFW z usługą Virtual WAN zapewnia klientom następujące korzyści:

  • Ochrona obciążeń krytycznych przy użyciu wysoce skalowalnej oferty zabezpieczeń SaaS, którą można wstrzyknąć jako rozwiązanie typu bump-in-wire w usłudze Virtual WAN.
  • W pełni zarządzana infrastruktura i cykl życia oprogramowania w ramach modelu oprogramowania jako usługi.
  • Rozliczenia z płatnością zgodnie z rzeczywistym użyciem .
  • Środowisko natywne dla chmury, które ma ścisłą integrację z platformą Azure, aby zapewnić kompleksowe zarządzanie zaporą przy użyciu witryny Azure Portal lub interfejsów API platformy Azure. Zarządzanie regułami i zasadami można również opcjonalnie konfigurować za pomocą rozwiązania do zarządzania aplikacją Palo Alto Network Panorama.
  • Dedykowany i usprawniony kanał pomocy technicznej między platformą Azure i aplikacją Palo Alto Networks w celu rozwiązania problemów.
  • Routing jednym kliknięciem w celu skonfigurowania usługi Virtual WAN w celu inspekcji ruchu lokalnego, sieci wirtualnej i ruchu wychodzącego internetowego przy użyciu rozwiązania Palo Alto Networks Cloud NGFW.

Zrzut ekranu przedstawiający przykładową topologię usługi Virtual WAN z chmurą NGFW.

Przypadki użycia

W poniższej sekcji opisano typowe przypadki użycia zabezpieczeń aplikacji Palo Alto Networks Cloud NGFW w usłudze Virtual WAN.

Ruch prywatny (lokalny i wirtualny)

Inspekcja ruchu wschodnio-zachodniego

Usługa Virtual WAN kieruje ruch z sieci wirtualnych do sieci wirtualnej lub ze środowiska lokalnego (sieć VPN typu lokacja-lokacja, usługa ExpressRoute, sieć VPN typu punkt-lokacja) do sieci lokalnej do chmury NGFW wdrożonej w centrum na potrzeby inspekcji.

Zrzut ekranu przedstawiający przepływy ruchu we wschodniej części zachodu z chmurą NGFW.

Inspekcja ruchu północno-południowego

Usługa Virtual WAN kieruje również ruch między sieciami wirtualnymi i lokalnymi (sieć VPN typu lokacja-lokacja, usługa ExpressRoute, sieć VPN typu punkt-lokacja) do sieci lokalnej do chmury NGFW wdrożonej w centrum na potrzeby inspekcji.

Zrzut ekranu przedstawiający przepływy ruchu północno-południowego z chmurą NGFW.

Internet edge

Uwaga

Domyślna trasa 0.0.0.0/0 nie jest propagowana między koncentratorami. Lokalne i wirtualne sieci mogą używać tylko lokalnych zasobów NGFW w chmurze do uzyskiwania dostępu do Internetu. Ponadto w przypadku docelowych przypadków użycia translatora adresów sieciowych chmura NGFW może przekazywać ruch przychodzący tylko do lokalnych sieci wirtualnych i lokalnych.

Internetowy ruch wychodzący

Wirtualną sieć WAN można skonfigurować pod kątem kierowania ruchu internetowego z sieci wirtualnych lub lokalnych do chmury NGFW na potrzeby inspekcji i przerwy w Internecie. Możesz selektywnie wybrać sieci wirtualne lub lokalne, aby poznać trasę domyślną (0.0.0.0.0/0) i korzystać z ruchu wychodzącego Internet Palo Alto Cloud NGFW. W tym przypadku użycia platforma Azure automatycznie nats źródłowy adres IP pakietu powiązanego z Internetem do publicznych adresów IP skojarzonych z chmurą NGFW.

Aby uzyskać więcej informacji na temat możliwości ruchu wychodzącego z Internetu i dostępnych ustawień, zobacz dokumentację aplikacji Palo Alto Networks.

Zrzut ekranu przedstawiający przepływy ruchu wychodzącego z Internetu z chmurą NGFW.

Ruch przychodzący z Internetu (DNAT)

Możesz również skonfigurować aplikację Palo Alto Networks dla rozwiązania Destination-NAT (DNAT). Docelowy translator adresów sieciowych umożliwia użytkownikowi dostęp do aplikacji hostowanej lokalnie lub w sieci wirtualnej platformy Azure za pośrednictwem publicznych adresów IP skojarzonych z siecią NGFW w chmurze.

Aby uzyskać więcej informacji na temat możliwości ruchu przychodzącego do Internetu (DNAT) i dostępnych ustawień, zobacz dokumentację aplikacji Palo Alto Networks.

Zrzut ekranu przedstawiający przepływy ruchu przychodzącego z Internetu z chmurą NGFW.

Zanim rozpoczniesz

W krokach w tym artykule założono, że utworzono już usługę Virtual WAN.

Aby utworzyć nową wirtualną sieć WAN, wykonaj kroki opisane w następującym artykule:

Znane ograniczenia

  • Zapoznaj się z dokumentacją aplikacji Palo Alto Networks, aby zapoznać się z listą regionów, w których dostępna jest aplikacja Palo Alto Networks Cloud NGFW.
  • Nie można wdrożyć rozwiązania Palo Alto Networks Cloud NGFW z wirtualnymi urządzeniami sieciowymi w koncentratorze usługi Virtual WAN.
  • Wszystkie inne ograniczenia w sekcji Ograniczenia dokumentacji zasad routingu i routingu dotyczą wdrożeń NGFW w usłudze Palo Alto Networks Cloud w usłudze Virtual WAN.

Rejestrowanie dostawcy zasobów

Aby użyć rozwiązania Palo Alto Networks Cloud NGFW, musisz zarejestrować dostawcę zasobów PaloAltoNetworks.Cloudngfw w subskrypcji przy użyciu wersji interfejsu API, która jest co najmniej 2022-08-29-preview.

Aby uzyskać więcej informacji na temat rejestrowania dostawcy zasobów w subskrypcji platformy Azure, zobacz dokumentację dostawców zasobów i typów platformy Azure.

Wdrażanie koncentratora wirtualnego

W poniższych krokach opisano sposób wdrażania koncentratora wirtualnego, którego można używać z rozwiązaniem Palo Alto Networks Cloud NGFW.

  1. Przejdź do zasobu usługi Virtual WAN.
  2. W menu po lewej stronie wybierz pozycję Koncentratory w obszarze Połączenie ivity.
  3. Kliknij pozycję Nowe centrum.
  4. W obszarze Podstawy określ region dla koncentratora wirtualnego. Upewnij się, że region znajduje się na liście Dostępnych regionów Palo Alto Cloud NGFW. Ponadto określ nazwę, przestrzeń adresową, pojemność koncentratora wirtualnego i preferencję routingu koncentratora dla centrum. Zrzut ekranu przedstawiający stronę tworzenia centrum. Pole selektora regionów zostało wyróżnione.
  5. Wybierz i skonfiguruj bramy (sieć VPN typu lokacja-lokacja, sieć VPN typu punkt-lokacja, usługę ExpressRoute), którą chcesz wdrożyć w koncentratonie wirtualnym. Jeśli chcesz, możesz wdrożyć bramy później.
  6. Kliknij pozycję Przejrzyj i utwórz.
  7. Kliknij pozycję Utwórz
  8. Przejdź do nowo utworzonego centrum i poczekaj na aprowizację stanuroutingu. Ten krok może potrwać do 30 minut.

Wdrażanie aplikacji Palo Alto Networks Cloud NGFW

Uwaga

Przed wdrożeniem chmury NGFW musisz poczekać na stan routingu centrum jako "Aprowizowanie".

  1. Przejdź do centrum wirtualnego i kliknij pozycję Rozwiązania SaaS w obszarze Dostawcy zewnętrzni.
  2. Kliknij pozycję Utwórz SaaS i wybierz pozycję Palo Alto Networks Cloud NGFW.
  3. Kliknij pozycję Utwórz. Zrzut ekranu przedstawiający stronę tworzenia saas.
  4. Podaj nazwę zapory. Upewnij się, że region zapory jest taki sam jak region centrum wirtualnego. Aby uzyskać więcej informacji na temat dostępnych opcji konfiguracji dla rozwiązania Palo Alto Networks Cloud NGFW, zobacz dokumentację aplikacji Palo Alto Networks dotyczącą rozwiązania Cloud NGFW.

Konfigurowanie routingu

Uwaga

Nie można skonfigurować intencji routingu, dopóki chmura NGFW nie zostanie pomyślnie aprowizowana.

  1. Przejdź do centrum wirtualnego i kliknij pozycję Intencja routingu i zasady w obszarze Routing
  2. Jeśli chcesz użyć rozwiązania Palo Alto Networks Cloud NGFW do inspekcji wychodzącego ruchu internetowego (ruchu między sieciami wirtualnymi lub lokalnymi i Internetem), w obszarze Ruch internetowy wybierz pozycję Rozwiązanie SaaS. Dla zasobu Następnego przeskoku wybierz zasób Chmura NGFW. Zrzut ekranu przedstawiający tworzenie zasad routingu internetowego.
  3. Jeśli chcesz użyć rozwiązania Palo Alto Networks Cloud NGFW do inspekcji ruchu prywatnego (ruchu między wszystkimi sieciami wirtualnymi i lokalnymi w usłudze Virtual WAN), w obszarze Ruch prywatny wybierz pozycję Rozwiązanie SaaS. Dla zasobu Następnego przeskoku wybierz zasób Chmura NGFW. Zrzut ekranu przedstawiający tworzenie zasad routingu prywatnego.

Zarządzanie aplikacją Palo Alto Networks Cloud NGFW

W poniższej sekcji opisano sposób zarządzania aplikacją Palo Alto Networks Cloud NGFW (reguły, adresy IP, konfiguracje zabezpieczeń itp.)

  1. Przejdź do centrum wirtualnego i kliknij pozycję Rozwiązania SaaS.
  2. Kliknij tutaj w obszarze Zarządzanie usługą SaaS. Zrzut ekranu przedstawiający sposób zarządzania rozwiązaniem SaaS.
  3. Aby uzyskać więcej informacji na temat dostępnych opcji konfiguracji dla rozwiązania Palo Alto Networks Cloud NGFW, zobacz dokumentację aplikacji Palo Alto Networks dotyczącą rozwiązania Cloud NGFW.

Usuwanie aplikacji Palo Alto Networks Cloud NGFW

Uwaga

Nie można usunąć centrum wirtualnego, dopóki rozwiązanie Cloud NGFW i Virtual WAN SaaS nie zostanie usunięte.

W poniższych krokach opisano sposób usuwania oferty chmury NGFW:

  1. Przejdź do centrum wirtualnego i kliknij pozycję Rozwiązania SaaS.
  2. Kliknij tutaj w obszarze Zarządzanie usługą SaaS. Zrzut ekranu przedstawiający sposób zarządzania rozwiązaniem SaaS.
  3. Kliknij pozycję Usuń w lewym górnym rogu strony. Zrzut ekranu przedstawiający opcje usuwania chmury NGFW.
  4. Po pomyślnym zakończeniu operacji usuwania wróć do strony rozwiązań SaaS centrum wirtualnego.
  5. Kliknij wiersz odpowiadający twojej chmurze NGFW, a następnie kliknij pozycję Usuń SaaS w lewym górnym rogu strony. Ta opcja nie będzie dostępna do momentu uruchomienia kroku 3 do ukończenia. Zrzut ekranu przedstawiający sposób usuwania rozwiązania SaaS.

Rozwiązywanie problemów

W poniższej sekcji opisano typowe problemy występujące podczas korzystania z aplikacji Palo Alto Networks Cloud NGFW w usłudze Virtual WAN.

Rozwiązywanie problemów z tworzeniem rozwiązania NGFW w chmurze

  • Upewnij się, że twoje koncentratory wirtualne są wdrażane w jednym z następujących regionów wymienionych w dokumentacji aplikacji Palo Alto Networks.
  • Upewnij się, że stan routingu koncentratora wirtualnego to "Aprowizuj". Próby utworzenia chmury NGFW przed zainicjowaniem routingu zakończy się niepowodzeniem.
  • Upewnij się, że rejestracja dostawcy zasobów PaloAltoNetworks.Cloudngfw zakończyła się pomyślnie.

Rozwiązywanie problemów z usuwaniem

  • Nie można usunąć rozwiązania SaaS, dopóki połączony zasób NGFW nie zostanie usunięty. W związku z tym usuń zasób NGFW w chmurze przed usunięciem zasobu rozwiązania SaaS.
  • Nie można usunąć zasobu rozwiązania SaaS, który jest obecnie zasobem następnego przeskoku dla intencji routingu. Intencja routingu musi zostać usunięta przed usunięciem zasobu rozwiązania SaaS.
  • Podobnie nie można usunąć zasobu koncentratora wirtualnego z rozwiązaniem SaaS. Rozwiązanie SaaS należy usunąć przed usunięciem koncentratora wirtualnego.

Rozwiązywanie problemów z intencją i zasadami routingu

  • Przed podjęciem próby skonfigurowania intencji routingu upewnij się, że wdrożenie NGFW w chmurze zostało ukończone pomyślnie.
  • Upewnij się, że wszystkie sieci lokalne i wirtualne platformy Azure znajdują się w RFC1918 (podsieci w ramach 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Jeśli istnieją sieci, które nie znajdują się w RFC1918, upewnij się, że te prefiksy są wymienione w polu tekstowym Prefiksy ruchu prywatnego.
  • Aby uzyskać więcej informacji na temat rozwiązywania problemów z intencją routingu, zobacz Dokumentację intencji routingu. W tym dokumencie opisano wymagania wstępne, typowe błędy związane z konfigurowaniem intencji routingu i poradami dotyczącymi rozwiązywania problemów.

Rozwiązywanie problemów z konfiguracją rozwiązania Palo Alto Networks Cloud NGFW

Następne kroki

  • Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz często zadawane pytania.
  • Aby uzyskać więcej informacji na temat intencji routingu, zobacz dokumentację intencji routingu.
  • Aby uzyskać więcej informacji na temat rozwiązania Palo Alto Networks Cloud NGFW, zobacz dokumentację rozwiązania Palo Alto Networks Cloud NGFW.