你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在虚拟 WAN 中配置 Palo Alto Networks Cloud NGFW

  • 项目

Palo Alto Networks Cloud Next Generation Firewall (NGFW) 是一种云原生软件即服务 (SaaS) 安全产品/服务,可以部署在虚拟 WAN 中心内,作为一种用来检查网络流量的嵌入式解决方案。 以下文档介绍了与在虚拟 WAN 中使用 Palo Alto Networks Cloud NGFW 相关的一些关键功能、关键用例和操作方法。

背景

Palo Alto Networks Cloud NGFW 通过与虚拟 WAN 集成为客户提供了以下优势:

  • 使用高度可扩缩的 SaaS 安全产品/服务保护关键工作负载,这些产品/服务可作为一种嵌入式解决方案注入虚拟 WAN 中。
  • 软件即服务模型下的完全托管基础结构和软件生命周期。
  • 基于使用量的即用即付计费方式。
  • 与 Azure 紧密集成的云原生体验,可使用 Azure 门户或 Azure API 提供端到端的防火墙管理。 还可以选择通过 Palo Alto Networks 管理解决方案 Panorama 来配置规则和策略管理。
  • Azure 与 Palo Alto Networks 之间的专用且简化的支持渠道,可帮助排查问题。
  • 一键式路由,可将虚拟 WAN 配置为使用 Palo Alto Networks Cloud NGFW 检查本地、虚拟网络和 Internet 出站流量。

显示具有 Cloud NGFW 的中心示例虚拟 WAN 拓扑的屏幕截图。

用例

以下部分介绍了虚拟 WAN 中的 Palo Alto Networks Cloud NGFW 的常见安全用例。

专用(本地和虚拟网络)流量

东西流量检查

虚拟 WAN 可将流量从虚拟网络路由到虚拟网络或从本地(站点到站点 VPN、ExpressRoute、连接点到站点 VPN)路由到本地,且在该过程中会经过部署在中心内的 Cloud NGFW,以便进行检查。

显示存在 Cloud NGFW 情况下的东-西流量流的屏幕截图。

南北流量检查

虚拟 WAN 还可在虚拟网络与本地(站点到站点 VPN、ExpressRoute、连接点到站点 VPN)之间路由流量,且在该过程中会经过部署在中心内的 Cloud NGFW,以便进行检查。

显示存在 Cloud NGFW 情况下的南北流量流的屏幕截图。

Internet 边缘

注意

0.0.0.0/0 默认路由不会跨中心传播。 本地和虚拟网络只能使用本地 Cloud NGFW 资源来访问 Internet。 此外,对于目标 NAT 用例,Cloud NGFW 只能将传入流量转发到本地虚拟网络和本地。

Internet 入口

虚拟 WAN 可以配置为将 Internet 出入站流量从虚拟网络或本地路由到 Cloud NGFW,以便进行检查和 Internet 突围。 你可以选择性地选择由哪些虚拟网络或本地部署了解默认路由 (0.0.0.0/0) 并使用 Palo Alto Cloud NGFW 实现 Internet 流出。 在此用例中,Azure 会自动将 Internet 出入站数据包的源 IP 转换到与 Cloud NGFW 关联的公共 IP。

有关 Internet 出站功能和可用设置的详细信息,请参阅 Palo Alto Networks 文档

显示存在 Cloud NGFW 情况下的 Internet 出站流量流的屏幕截图。

Internet 流入 (DNAT)

你还可以为目标 NAT (DNAT) 配置 Palo Alto Networks。 目标 NAT 允许用户通过与 Cloud NGFW 关联的公共 IP 访问在本地或 Azure 虚拟网络中托管的应用程序并与之通信。

有关 Internet 入站 (DNAT) 功能和可用设置的详细信息,请参阅 Palo Alto Networks 文档

显示存在 Cloud NGFW 情况下的 Internet 入站流量流的屏幕截图。

开始之前

本文中的步骤假定你已创建虚拟 WAN。

若要创建新的虚拟 WAN,请使用以下文章中的步骤:

已知限制

注册资源提供程序

若要使用 Palo Alto Networks Cloud NGFW,必须使用至少为 2022-08-29-preview 的 API 版本向订阅注册 PaloAltoNetworks.Cloudngfw 资源提供程序。

有关如何向 Azure 订阅注册资源提供程序的详细信息,请参阅 Azure 资源提供程序和类型文档

部署虚拟中心

以下步骤介绍了如何部署可与 Palo Alto Networks Cloud NGFW 配合使用的虚拟中心。

  1. 导航到你的虚拟 WAN 资源。
  2. 在左侧菜单中,选择“连接性”下的“中心”。
  3. 单击“新中心”。
  4. 在“基本信息”下,为虚拟中心指定一个地区。 请确保该区域在 Palo Alto Cloud NGFW 可用区域中列出。 此外,请为中心指定名称、地址空间、虚拟中心容量和中心路由首选项。 中心创建页面的屏幕截图,其中突出显示了地区选择器。
  5. 选择并配置要在虚拟中心内部署的网关(站点到站点 VPN、连接点到站点 VPN 和 ExpressRoute)。 如果需要,可以稍后部署网关。
  6. 单击“查看 + 创建”。
  7. 单击“创建”
  8. 导航到新创建的中心,等待“路由状态”变为“已预配”。 此步骤最多需要 30 分钟。

部署 Palo Alto Networks Cloud NGFW

注意

必须要等到中心的路由状态变为“已预配”之后,才能部署 Cloud NGFW。

  1. 导航到虚拟中心,并单击“第三方提供程序”下的“SaaS 解决方案”。
  2. 单击“创建 SaaS”,然后选择“Palo Alto Networks Cloud NGFW”。
  3. 单击“创建”。 显示 SaaS 创建页面的屏幕截图。
  4. 提供防火墙的名称。 确保防火墙的地区与虚拟中心的地区相同。 有关 Palo Alto Networks Cloud NGFW 的可用配置选项的详细信息,请参阅有关 Cloud NGFW 的 Palo Alto Networks 文档

配置路由

注意

在成功预配 Cloud NGFW 之前,你无法配置路由意图。

  1. 导航到虚拟中心,并单击“路由”下的“路由意图和路由策略”
  2. 如果要使用 Palo Alto Networks Cloud NGFW 检查出站 Internet 流量(虚拟网络或本地与 Internet 之间的流量),请在“Internet 流量”下选择“SaaS 解决方案”。 对于“下一个跃点资源”,请选择你的 Cloud NGFW 资源。 显示 Internet 路由策略创建的屏幕截图。
  3. 如果要使用 Palo Alto Networks Cloud NGFW 检查专用流量(虚拟 WAN 中所有虚拟网络和本地之间的流量),请在“专用流量”下选择“SaaS 解决方案”。 对于“下一个跃点资源”,请选择你的 Cloud NGFW 资源。 显示专用路由策略创建的屏幕截图。

管理 Palo Alto Networks Cloud NGFW

以下部分介绍了如何管理 Palo Alto Networks Cloud NGFW(规则、IP 地址、安全配置等)

  1. 导航到虚拟中心,然后单击“SaaS 解决方案”。
  2. 单击“管理 SaaS”下的“单击此处”。 显示如何管理 SaaS 解决方案的屏幕截图。
  3. 有关 Palo Alto Networks Cloud NGFW 的可用配置选项的详细信息,请参阅有关 Cloud NGFW 的 Palo Alto Networks 文档

删除 Palo Alto Networks Cloud NGFW

注意

在删除 Cloud NGFW 和虚拟 WAN SaaS 解决方案之前,无法删除虚拟中心。

以下步骤介绍了如何删除 Cloud NGFW 产品/服务:

  1. 导航到虚拟中心,然后单击“SaaS 解决方案”。
  2. 单击“管理 SaaS”下的“单击此处”。 显示如何管理 SaaS 解决方案的屏幕截图。
  3. 单击页面左上角的“删除”。 显示删除 Cloud NGFW 选项的屏幕截图。
  4. 删除操作成功后,导航返回虚拟中心的“SaaS 解决方案”页面。
  5. 单击 Cloud NGFW 对应的行,然后单击页面左上角的“删除 SaaS”。 在步骤 3 运行完成之前,此选项不可用。 显示如何删除 SaaS 解决方案的屏幕截图。

疑难解答

以下部分介绍了在虚拟 WAN 中使用 Palo Alto Networks Cloud NGFW 时出现的常见问题。

与 Cloud NGFW 创建相关的故障排查

  • 确保你的虚拟中心部署在 Palo Alto Networks 文档中列出的以下区域之一。
  • 确保虚拟中心的路由状态为“已预配”。尝试在路由完成预配之前创建 Cloud NGFW 将会失败。
  • 确保成功注册到 PaloAltoNetworks.Cloudngfw 资源提供程序。

与删除相关的故障排除

  • 在删除关联的 Cloud NGFW 资源之前,无法删除 SaaS 解决方案。 因此,请在删除 SaaS 解决方案资源之前删除 Cloud NGFW 资源。
  • 无法删除当前作为路由意图的下一跃点资源的 SaaS 解决方案资源。 必须先删除路由意图,然后才能删除 SaaS 解决方案资源。
  • 同样,无法删除具有 SaaS 解决方案的虚拟中心资源。 必须先删除 SaaS 解决方案,然后才能删除虚拟中心。

与路由意图和策略相关的故障排除

  • 在尝试配置路由意图之前,请确保 Cloud NGFW 部署已成功完成。
  • 确保你的所有本地和 Azure 虚拟网络都位于 RFC1918(10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 内的子网)。 如果存在 RFC1918 中没有的网络,请确保在“专用流量前缀”文本框中列出那些前缀。
  • 有关排查路由意图问题的详细信息,请参阅路由意图文档。 此文档介绍了与配置路由意图相关的先决条件、常见错误和故障排除提示。

与 Palo Alto Networks Cloud NGFW 配置相关的故障排除

后续步骤