Sanal WAN'de Palo Alto Networks Cloud NGFW'yi yapılandırma

Palo Alto Networks Cloud Next Generation Firewall (NGFW), ağ trafiğini incelemek için Sanal WAN hub'ına bir bağlantı çözümü olarak dağıtılan, bulutta yerel bir hizmet olarak yazılım (SaaS) güvenlik teklifidir. Aşağıdaki belgede bazı önemli özellikler, kritik kullanım örnekleri ve Sanal WAN'de Palo Alto Networks Cloud NGFW kullanımıyla ilgili nasıl yapılır açıklanmaktadır.

Background

Sanal WAN ile Palo Alto Networks Cloud NGFW tümleştirmesi müşterilere aşağıdaki avantajları sağlar:

• Sanal WAN'de kabloda darbe çözümü olarak ekleyebileceğiniz yüksek oranda ölçeklenebilir bir SaaS güvenlik teklifi kullanarak kritik iş yüklerini koruyun.
• Hizmet olarak yazılım modeli kapsamında tam olarak yönetilen altyapı ve yazılım yaşam döngüsü .
• Tüketim tabanlı kullandıkça öde faturalaması.
• Azure portalını veya Azure API'lerini kullanarak uçtan uca Güvenlik duvarı yönetimi sağlamak için Azure ile sıkı bir tümleştirmeye sahip buluta özel deneyim . Kural ve ilke yönetimi, isteğe bağlı olarak Palo Alto Ağ yönetimi çözümü Panorama aracılığıyla da yapılandırılabilir.
• Sorunları gidermek için Azure ile Palo Alto Networks arasında ayrılmış ve kolaylaştırılmış destek kanalı .
• Palo Alto Networks Cloud NGFW kullanarak şirket içi, Sanal Ağ ve İnternet'e giden trafiği incelemek üzere Sanal WAN yapılandırmak için tek tıklamayla yönlendirme.

Kullanım örnekleri

Aşağıdaki bölümde, Sanal WAN'de Palo Alto Networks Cloud NGFW için yaygın güvenlik kullanım örnekleri açıklanmaktadır.

Özel (şirket içi ve sanal ağ) trafiği

Doğu-batı trafik denetimi

Sanal WAN, Sanal Ağ'lerden Sanal Ağ veya şirket içinden (Siteden siteye VPN, ExpressRoute, Noktadan siteye VPN) trafiği inceleme için hub'da dağıtılan Bulut NGFW'ye yönlendirir.

Kuzey-güney trafik denetimi

Sanal WAN ayrıca Sanal Ağ ve şirket içi (Siteden siteye VPN, ExpressRoute, Noktadan siteye VPN) arasındaki trafiği, inceleme için hub'da dağıtılan Bulut NGFW'ye yönlendirir.

İnternet edge

Not

0.0.0.0/0 varsayılan yolu hub'lar arasında yayılmaz. Şirket içi ve Sanal Ağ, İnternet'e erişmek için yalnızca yerel Cloud NGFW kaynaklarını kullanabilir. Ayrıca, Hedef NAT kullanım örnekleri için Cloud NGFW yalnızca gelen trafiği yerel Sanal Ağ ve şirket içi ortama iletebilir.

İnternet çıkışı

Sanal WAN, Sanal Ağ'lerden veya şirket içinden Cloud NGFW'ye internete bağlı trafiği denetleme ve internet tartışması için yönlendirecek şekilde yapılandırılabilir. Hangi Sanal Ağ veya şirket içinde varsayılan yolu (0.0.0.0/0) öğreneceğini seçerek seçebilir ve İnternet çıkışı için Palo Alto Cloud NGFW kullanabilirsiniz. Bu kullanım örneğinde Azure, İnternet'e bağlı paketinizin kaynak IP'sini Otomatik olarak Cloud NGFW ile ilişkili genel IP'lere yönlendirir.

İnternet'e giden özellikler ve kullanılabilir ayarlar hakkında daha fazla bilgi için Palo Alto Networks belgelerine bakın.

İnternet girişi (DNAT)

Ayrıca Destination-NAT (DNAT) için Palo Alto Networks'i de yapılandırabilirsiniz. Hedef NAT, kullanıcının şirket içinde veya Azure Sanal Ağ barındırılan bir uygulamaya Cloud NGFW ile ilişkilendirilmiş genel IP'ler aracılığıyla erişmesine ve bu uygulamayla iletişim kurmasına olanak tanır.

İnternet'e gelen (DNAT) özellikleri ve kullanılabilir ayarlar hakkında daha fazla bilgi için Palo Alto Networks belgelerine bakın.

Başlamadan önce

Bu makaledeki adımlarda zaten bir Sanal WAN oluşturduğunuz varsayılır.

Yeni bir sanal WAN oluşturmak için aşağıdaki makaledeki adımları kullanın:

• Sanal WAN oluşturma

Bilinen sınırlamalar

• Palo Alto Networks Cloud NGFW'nin kullanılabildiği bölgelerin listesi için Palo Alto Networks belgelerine bakın.
• Palo Alto Networks Cloud NGFW, Sanal WAN hub'ında Ağ Sanal Gereçleri ile dağıtılamaz.
• Yönlendirme Amacı ve Yönlendirme ilkeleri belge sınırlamaları bölümündeki diğer tüm sınırlamalar, Sanal WAN'deki Palo Alto Networks Cloud NGFW dağıtımları için geçerlidir.

Kaynak sağlayıcısını kaydetme

Palo Alto Networks Cloud NGFW'yi kullanmak için PaloAltoNetworks.Cloudngfw kaynak sağlayıcısını aboneliğinize en az 2022-08-29-preview API sürümüyle kaydetmeniz gerekir.

Kaynak Sağlayıcısını bir Azure aboneliğine kaydetme hakkında daha fazla bilgi için bkz . Azure kaynak sağlayıcıları ve türleri belgeleri.

Sanal hub'ı dağıtma

Aşağıdaki adımlarda Palo Alto Networks Cloud NGFW ile kullanılabilecek bir Sanal Hub'ın nasıl dağıtılacağı açıklanmaktadır.

1. Sanal WAN kaynağınıza gidin.
2. Sol taraftaki menüden Bağlan ivity altındaki Hub'lar'ı seçin.
3. Yeni Hub'a tıklayın.
4. Temel Bilgiler altında Sanal Hub'ınız için bir bölge belirtin. Bölgenin Kullanılabilir Palo Alto Cloud NGFW bölgelerinde listelendiğinden emin olun. Ayrıca, hub'ınız için bir ad, adres alanı, Sanal hub kapasitesi ve Hub yönlendirme tercihi belirtin.
5. Sanal Hub'da dağıtmak istediğiniz Ağ Geçitlerini (Siteden siteye VPN, Noktadan siteye VPN, ExpressRoute) seçin ve yapılandırın. İsterseniz ağ geçitlerini daha sonra dağıtabilirsiniz.
6. Gözden geçir ve oluştur’a tıklayın.
7. Oluştur seçeneğine tıklayın
8. Yeni oluşturduğunuz hub'a gidin ve Yönlendirme Durumunun Sağlanmasını bekleyin. Bu adım 30 dakika kadar sürebilir.

Palo Alto Networks Cloud NGFW'yi dağıtma

Not

Bulut NGFW'yi dağıtmadan önce hub'ın yönlendirme durumunun "Sağlanmış" olmasını beklemeniz gerekir.

1. Sanal Hub'ınıza gidin ve Üçüncü taraf sağlayıcılar altındaki SaaS çözümlerine tıklayın.
2. SaaS Oluştur'a tıklayın ve Palo Alto Networks Cloud NGFW'yi seçin.
3. Oluştur’a tıklayın.
4. Güvenlik Duvarınız için bir ad girin. Güvenlik Duvarı bölgesinin Sanal Hub'ınızın bölgesiyle aynı olduğundan emin olun. Palo Alto Networks Cloud NGFW için kullanılabilir yapılandırma seçenekleri hakkında daha fazla bilgi için bkz . Cloud NGFW için Palo Alto Networks belgeleri.

Yönlendirmeyi Yapılandırma

Not

Cloud NGFW başarıyla sağlanmadan yönlendirme amacını yapılandıramazsınız.

1. Sanal Hub'ınıza gidin ve Yönlendirme altında Yönlendirme amacına ve ilkelerine tıklayın
2. Giden İnternet trafiğini (Sanal Ağ veya şirket içi ile İnternet arasındaki trafik) incelemek için Palo Alto Networks Cloud NGFW kullanmak istiyorsanız İnternet trafiği altında SaaS çözümü'ne tıklayın. Sonraki Atlama kaynağı için Cloud NGFW kaynağınızı seçin.
3. Özel trafiği (Sanal WAN tüm Sanal Ağ ve şirket içi arasındaki trafik) incelemek için Palo Alto Networks Cloud NGFW kullanmak istiyorsanız, Özel trafik'in altında SaaS çözümü'ne tıklayın. Sonraki Atlama kaynağı için Cloud NGFW kaynağınızı seçin.

Palo Alto Networks Cloud NGFW'yi yönetme

Aşağıdaki bölümde Palo Alto Networks Cloud NGFW'nizi (kurallar, IP adresleri, güvenlik yapılandırmaları vb.) nasıl yönetebileceğiniz açıklanmaktadır.

1. Sanal Hub'ınıza gidin ve SaaS çözümleri'ne tıklayın.
2. SaaS'ı Yönet'in altında Buraya tıklayın'a tıklayın.
3. Palo Alto Networks Cloud NGFW için kullanılabilir yapılandırma seçenekleri hakkında daha fazla bilgi için bkz . Cloud NGFW için Palo Alto Networks belgeleri.

Sil Palo Alto Networks Cloud NGFW

Not

Hem Cloud NGFW hem de Sanal WAN SaaS çözümü silinene kadar Sanal Hub'ınızı silemezsiniz.

Aşağıdaki adımlarda Bir Cloud NGFW teklifinin nasıl silineceği açıklanmaktadır:

1. Sanal Hub'ınıza gidin ve SaaS çözümleri'ne tıklayın.
2. SaaS'ı Yönet'in altında Buraya tıklayın'a tıklayın.
3. Sayfanın sol üst köşesindeki Sil'e tıklayın.
4. Silme işlemi başarılı olduktan sonra Sanal Hub'ınızın SaaS çözümleri sayfasına geri dönün.
5. Cloud NGFW'nize karşılık gelen satıra tıklayın ve sayfanın sol üst köşesindeki SaaS'yi Sil'e tıklayın. 3. Adım tamamlanmaya kadar bu seçenek kullanılamaz.

Sorun giderme

Aşağıdaki bölümde, Sanal WAN'de Palo Alto Networks Cloud NGFW kullanılırken karşılaşılan yaygın sorunlar açıklanmaktadır.

Bulut NGFW oluşturma sorunlarını giderme

• Sanal Hub'larınızın Palo Alto Networks belgelerinde listelenen aşağıdaki bölgelerden birinde dağıtıldığından emin olun.
• Sanal Hub'ın Yönlendirme durumunun "Sağlandı" olduğundan emin olun. Yönlendirme sağlanmadan önce Bulut NGFW oluşturma girişimleri başarısız olur.
• PaloAltoNetworks.Cloudngfw kaynak sağlayıcısına kaydın başarılı olduğundan emin olun.

Silme sorunlarını giderme

• Bağlı Cloud NGFW kaynağı silinene kadar SaaS çözümü silinemez. Bu nedenle, SaaS çözüm kaynağını silmeden önce Cloud NGFW kaynağını silin.
• Şu anda yönlendirme amacı için sonraki atlama kaynağı olan bir SaaS çözüm kaynağı silinemez. SaaS çözüm kaynağının silinebilmesi için yönlendirme amacının silinmesi gerekir.
• Benzer şekilde, SaaS çözümüne sahip bir Sanal Hub kaynağı silinemez. Sanal Hub silinmeden önce SaaS çözümünün silinmesi gerekir.

Yönlendirme amacı ve ilkeleriyle ilgili sorunları giderme

• Yönlendirme Amacını yapılandırmaya çalışmadan önce Bulut NGFW dağıtımının başarıyla tamamlandığından emin olun.
• Tüm şirket içi ve Azure Sanal Ağ RFC1918 (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 içindeki alt ağlar) içinde olduğundan emin olun. RFC1918 olmayan ağlar varsa, bu ön eklerin Özel Trafik ön ekleri metin kutusunda listelenmiş olduğundan emin olun.
• Yönlendirme amacı sorunlarını giderme hakkında daha fazla bilgi için Yönlendirme Amacı belgelerine bakın. Bu belgede ön koşullar, yönlendirme amacını yapılandırmayla ilgili yaygın hatalar ve sorun giderme ipuçları açıklanmaktadır.

Palo Alto Networks Cloud NGFW yapılandırması sorunlarını giderme

• Palo Alto Networks belgelerine başvurun.

Sonraki adımlar

• Sanal WAN hakkında daha fazla bilgi için bkz. SSS.
• Yönlendirme amacı hakkında daha fazla bilgi için Yönlendirme Amacı belgelerine bakın.
• Palo Alto Networks Cloud NGFW hakkında daha fazla bilgi için palo Alto Networks Cloud NGFW belgelerine bakın.