Configurar Palo Alto Networks Cloud NGFW na WAN Virtual

  • Artigo

O Palo Alto Networks Cloud Next Generation Firewall (NGFW) é uma oferta de segurança de software como serviço (SaaS) nativa da nuvem que pode ser implantada no hub WAN Virtual como uma solução bump-in-the-wire para inspecionar o tráfego da rede. O documento a seguir descreve alguns dos principais recursos, casos de uso críticos e instruções associadas ao uso do Palo Alto Networks Cloud NGFW na WAN Virtual.

Fundo

A integração do Palo Alto Networks Cloud NGFW com a Virtual WAN oferece os seguintes benefícios aos clientes:

  • Proteja cargas de trabalho críticas usando uma oferta de segurança SaaS altamente escalável que pode ser injetada como uma solução bump-in-the-wire na WAN Virtual.
  • Infraestrutura totalmente gerenciada e ciclo de vida do software sob o modelo de software como serviço.
  • Faturação pré-paga com base no consumo.
  • Experiência nativa da nuvem que tem uma integração total com o Azure para fornecer gerenciamento de Firewall de ponta a ponta usando o portal do Azure ou APIs do Azure. O gerenciamento de regras e políticas também é opcionalmente configurável por meio do Panorama da solução de gerenciamento de rede Palo Alto.
  • Canal de suporte dedicado e simplificado entre o Azure e a Palo Alto Networks para solucionar problemas.
  • Roteamento com um clique para configurar a WAN Virtual para inspecionar o tráfego local, de Rede Virtual e de saída da Internet usando o Palo Alto Networks Cloud NGFW.

Captura de tela mostrando exemplo de topologia de WAN virtual de hub com Cloud NGFW.

Casos de utilização

A seção a seguir descreve os casos de uso de segurança comuns para Palo Alto Networks Cloud NGFW na WAN Virtual.

Tráfego privado (no local e na rede virtual)

Inspeção de tráfego Leste-Oeste

A WAN Virtual roteia o tráfego de Redes Virtuais para Rede Virtual ou do local (VPN Site a Site, Rota Expressa, VPN Ponto a Site) para o local para o Cloud NGFW implantado no hub para inspeção.

Captura de tela mostrando os fluxos de tráfego leste-oeste com o Cloud NGFW.

Inspeção de tráfego Norte-Sul

A WAN Virtual também roteia o tráfego entre Redes Virtuais e locais (VPN Site a Site, ExpressRoute, VPN Ponto a Site) para o Cloud NGFW local implantado no hub para inspeção.

Captura de tela mostrando fluxos de tráfego norte-sul com Cloud NGFW.

Borda da Internet

Nota

A rota padrão 0.0.0.0/0 não se propaga entre hubs. As Redes Locais e Virtuais só podem usar recursos locais do Cloud NGFW para acessar a Internet. Além disso, para casos de uso de NAT de destino, o Cloud NGFW só pode encaminhar o tráfego de entrada para redes virtuais locais e locais.

Saída da Internet

A WAN Virtual pode ser configurada para rotear o tráfego ligado à Internet de Redes Virtuais ou locais para o Cloud NGFW para inspeção e interrupção da Internet. Você pode escolher seletivamente quais redes virtuais ou locais aprendem a rota padrão (0.0.0.0/0) e usar o Palo Alto Cloud NGFW para saída da internet. Nesse caso de uso, o Azure automaticamente NATs o IP de origem do seu pacote vinculado à Internet para os IPs públicos associados ao Cloud NGFW.

Para obter mais informações sobre recursos de saída da Internet e configurações disponíveis, consulte a documentação da Palo Alto Networks.

Captura de tela mostrando fluxos de tráfego de saída da Internet com o Cloud NGFW.

Entrada na Internet (DNAT)

Você também pode configurar Palo Alto Networks for Destination-NAT (DNAT). O NAT de destino permite que um usuário acesse e se comunique com um aplicativo hospedado no local ou em uma Rede Virtual do Azure por meio dos IPs públicos associados ao Cloud NGFW.

Para obter mais informações sobre recursos de entrada na Internet (DNAT) e configurações disponíveis, consulte a documentação da Palo Alto Networks.

Captura de tela mostrando fluxos de tráfego de entrada na Internet com o Cloud NGFW.

Antes de começar

As etapas neste artigo pressupõem que você já tenha criado uma WAN virtual.

Para criar uma nova WAN virtual, use as etapas no seguinte artigo:

Limitações conhecidas

  • Consulte a documentação da Palo Alto Networks para obter a lista de regiões onde o Palo Alto Networks Cloud NGFW está disponível.
  • O Palo Alto Networks Cloud NGFW não pode ser implantado com Network Virtual Appliances no hub da WAN Virtual.
  • Todas as outras limitações na seção de documentação de políticas de roteamento e intenção de roteamento aplicam-se às implantações do Palo Alto Networks Cloud NGFW na WAN Virtual.

Registar o fornecedor de recursos

Para usar o Palo Alto Networks Cloud NGFW, você deve registrar o provedor de recursos PaloAltoNetworks.Cloudngfw em sua assinatura com uma versão de API que seja no mínimo 2022-08-29-preview.

Para obter mais informações sobre como registrar um Provedor de Recursos em uma assinatura do Azure, consulte Documentação de tipos e provedores de recursos do Azure.

Implantar hub virtual

As etapas a seguir descrevem como implantar um Hub Virtual que pode ser usado com o Palo Alto Networks Cloud NGFW.

  1. Navegue até o recurso de WAN virtual.
  2. No menu à esquerda, selecione Hubs em Conectividade.
  3. Clique em Novo Hub.
  4. Em Noções básicas, especifique uma região para o Hub Virtual. Certifique-se de que a região está listada em Regiões NGFW disponíveis na nuvem de Palo Alto. Além disso, especifique um nome, espaço de endereço, capacidade de hub virtual e preferência de roteamento de hub para seu hub. Captura de tela mostrando a página de criação do hub. A caixa de seleção de região está realçada.
  5. Selecione e configure os Gateways (VPN Site a Site, VPN Ponto a Site, Rota Expressa) que deseja implantar no Hub Virtual. Você pode implantar Gateways mais tarde, se desejar.
  6. Clique em Rever + criar.
  7. Clique em Criar
  8. Navegue até o hub recém-criado e aguarde até que o Status de Roteamento seja provisionado. Esta etapa pode levar até 30 minutos.

Implantar Palo Alto Networks Cloud NGFW

Nota

Você deve aguardar o status de roteamento do hub ser "Provisionado" antes de implantar o Cloud NGFW.

  1. Navegue até o seu Hub Virtual e clique em Soluções SaaS em Provedores de terceiros.
  2. Clique em Criar SaaS e selecione Palo Alto Networks Cloud NGFW.
  3. Clique em Criar. Captura de tela mostrando a página de criação de SaaS.
  4. Forneça um nome para o seu Firewall. Verifique se a região do Firewall é a mesma que a região do seu Hub Virtual. Para obter mais informações sobre as opções de configuração disponíveis para Palo Alto Networks Cloud NGFW, consulte a documentação da Palo Alto Networks para Cloud NGFW.

Configurar roteamento

Nota

Não é possível configurar a intenção de roteamento até que o Cloud NGFW seja provisionado com êxito.

  1. Navegue até o seu Hub Virtual e clique em Intenção de roteamento e políticas em Roteamento
  2. Se você quiser usar o Palo Alto Networks Cloud NGFW para inspecionar o tráfego de saída da Internet (tráfego entre Redes Virtuais ou locais e a Internet), em Tráfego da Internet, selecione Solução SaaS. Para o recurso Next Hop, selecione seu recurso Cloud NGFW. Captura de tela mostrando a criação da política de roteamento da Internet.
  3. Se você quiser usar o Palo Alto Networks Cloud NGFW para inspecionar o tráfego privado (tráfego entre todas as Redes Virtuais e locais em sua WAN Virtual), em Tráfego privado, selecione Solução SaaS. Para o recurso Next Hop, selecione seu recurso Cloud NGFW. Captura de tela mostrando a criação da política de roteamento privado.

Gerencie Palo Alto Networks Cloud NGFW

A seção a seguir descreve como você pode gerenciar seu Palo Alto Networks Cloud NGFW (regras, endereços IP, configurações de segurança, etc.)

  1. Navegue até o seu Hub Virtual e clique em soluções SaaS.
  2. Clique em Clique aqui em Gerenciar SaaS. Captura de tela mostrando como gerenciar sua solução SaaS.
  3. Para obter mais informações sobre as opções de configuração disponíveis para Palo Alto Networks Cloud NGFW, consulte a documentação da Palo Alto Networks para Cloud NGFW.

Excluir Palo Alto Networks Cloud NGFW

Nota

Você não pode excluir seu Hub Virtual até que a solução Cloud NGFW e Virtual WAN SaaS sejam excluídas.

As etapas a seguir descrevem como excluir uma oferta Cloud NGFW:

  1. Navegue até o seu Hub Virtual e clique em soluções SaaS.
  2. Clique em Clique aqui em Gerenciar SaaS. Captura de tela mostrando como gerenciar sua solução SaaS.
  3. Clique em Eliminar no canto superior esquerdo da página. Captura de ecrã a mostrar as opções de eliminação do Cloud NGFW.
  4. Depois que a operação de exclusão for bem-sucedida, navegue de volta para a página de soluções SaaS do Hub Virtual.
  5. Clique na linha que corresponde ao seu Cloud NGFW e clique em Excluir SaaS no canto superior esquerdo da página. Essa opção não estará disponível até que a Etapa 3 seja concluída. Captura de ecrã a mostrar como eliminar a sua solução SaaS.

Resolução de Problemas

A seção a seguir descreve problemas comuns observados ao usar o Palo Alto Networks Cloud NGFW na WAN Virtual.

Solução de problemas de criação de NGFW na nuvem

  • Certifique-se de que seus Hubs Virtuais sejam implantados em uma das seguintes regiões listadas na documentação da Palo Alto Networks.
  • Verifique se o status de Roteamento do Hub Virtual é "Provisionado". As tentativas de criar o Cloud NGFW antes de o roteamento ser provisionado falharão.
  • Certifique-se de que o registro no provedor de recursos PaloAltoNetworks.Cloudngfw seja bem-sucedido.

Solução de problemas de exclusão

  • Uma solução SaaS não pode ser excluída até que o recurso Cloud NGFW vinculado seja excluído. Portanto, exclua o recurso Cloud NGFW antes de excluir o recurso da solução SaaS.
  • Um recurso de solução SaaS que atualmente é o recurso do próximo salto para intenção de roteamento não pode ser excluído. A intenção de roteamento deve ser excluída antes que o recurso de solução SaaS possa ser excluído.
  • Da mesma forma, um recurso de Hub Virtual que tenha uma solução SaaS não pode ser excluído. A solução SaaS deve ser excluída antes que o Hub Virtual seja excluído.

Solução de problemas de intenção e políticas de roteamento

  • Verifique se a implantação do Cloud NGFW foi concluída com êxito antes de tentar configurar a intenção de roteamento.
  • Verifique se todas as suas Redes Virtuais locais e do Azure estão em RFC1918 (sub-redes em 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Se houver redes que não estejam no RFC1918, verifique se esses prefixos estão listados na caixa de texto Prefixos de tráfego privado.
  • Para obter mais informações sobre como solucionar problemas de intenção de roteamento, consulte a documentação de intenção de roteamento. Este documento descreve pré-requisitos, erros comuns associados à configuração da intenção de roteamento e dicas de solução de problemas.

Solução de problemas de configuração do Palo Alto Networks Cloud NGFW

Próximos passos

  • Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes.
  • Para obter mais informações sobre intenção de roteamento, consulte a documentação de intenção de roteamento.
  • Para obter mais informações sobre o Palo Alto Networks Cloud NGFW, consulte a documentação do Palo Alto Networks Cloud NGFW.