共用方式為

在虛擬 WAN 中設定 Palo Alto Networks Cloud NGFW

  • 發行項

Palo Alto Networks Cloud Next Generation Firewall (NGFW) 是雲端原生軟體即服務 (SaaS) 安全性供應項目,可部署至虛擬 WAN 中樞作為檢查網路流量的 bump-in-the-wire 解決方案。 下列文件描述與在虛擬 WAN 中使用 Palo Alto Networks Cloud NGFW 相關聯的一些重要功能、重要使用案例和操作說明。

背景

Palo Alto Networks Cloud NGFW 與虛擬 WAN 整合可為客戶提供下列優點:

  • 使用可在虛擬 WAN 中插入為 bump-in-the-wire 解決方案、可高度調整的 SaaS 安全性供應項目來保護重要工作負載
  • 軟體即服務模型下的完全受控基礎結構和軟體生命週期
  • 以使用量為基礎的隨用隨付計費方式。 請注意,如果您使用 Palo Alto Networks 雲端 NGFW,則不會針對虛擬 WAN NVA 基礎結構單位計費。 相反地,您會透過 Azure Marketplace 支付隨用隨付 SaaS 使用量的費用,如 Palo Alto Networks 雲端 NGFW 定價中所述。
  • 與 Azure 緊密整合的雲端原生體驗,可使用 Azure 入口網站或 Azure API 提供端對端防火牆管理。 您也可以透過 Palo Alto Network 管理解決方案 Panorama 選擇性地設定規則和原則管理。
  • Azure 與 Palo Alto Networks 之間的專用和簡化支援管道,以針對問題進行疑難排解。
  • 單鍵路由可設定虛擬 WAN,以使用 Palo Alto Networks Cloud NGFW 來檢查內部部署、虛擬網路和網際網路輸出流量。

顯示中樞範例虛擬 WAN 拓撲與雲端 NGFW 的螢幕擷取畫面。

使用案例

下一節描述虛擬 WAN 中 Palo Alto Networks Cloud NGFW 的常見安全性使用案例。

私人 (內部部署和虛擬網路) 流量

東西向流量檢查

虛擬 WAN 會將流量從虛擬網路路由至虛擬網路,或從內部部署 (站對站 VPN、ExpressRoute、點對站 VPN) 路由至部署在中樞的內部部署至 Cloud NGFW 以進行檢查。

顯示雲端 NGFW 東西向交通流量的螢幕擷取畫面。

南北向流量檢查

虛擬 WAN 也會將虛擬網路與內部部署 (站對站 VPN、ExpressRoute、點對站 VPN) 之間的流量路由至部署在中樞的內部部署至 Cloud NGFW 以進行檢查。

顯示雲端 NGFW 南北向交通流量的螢幕擷取畫面。

網際網路邊緣

注意

0.0.0.0/0 預設路由不會跨中樞傳播。 內部部署和虛擬網路只能使用本機 Cloud NGFW 資源來存取網際網路。 此外,針對目的地 NAT 使用案例,Cloud NGFW 只能將傳入流量轉送至本機虛擬網路和內部部署。

網際網路輸出

可以將虛擬 WAN 設定為將來自虛擬網路或內部部署的網際網路繫結流量路由至 Cloud NGFW,以進行檢查和網際網路分組。 您可以選擇性地選擇哪個虛擬網路或內部部署會學習預設路由 (0.0.0.0/0),並使用 Palo Alto Cloud NGFW 進行網際網路輸出。 在此使用案例中,Azure 會自動將網際網路繫結封包的來源 IP 使用 NAT 傳送到與 Cloud NGFW 相關聯的公用 IP。

如需網際網路輸出功能和可用設定的詳細資訊,請參閱 Palo Alto Networks 文件

顯示雲端 NGFW 網際網路輸出交通流量的螢幕擷取畫面。

網際網路輸入 (DNAT)

您也可以為目的地 NAT (DNAT) 設定 Palo Alto Networks。 目的地 NAT 可讓使用者透過與 Cloud NGFW 相關聯的公用 IP,存取和與裝載於內部部署或 Azure 虛擬網路中的應用程式通訊。

如需網際網路輸入 (DNAT) 功能和可用設定的詳細資訊,請參閱 Palo Alto Networks 文件

顯示雲端 NGFW 網際網路輸入交通流量的螢幕擷取畫面。

開始之前

本文中的步驟假設您已建立虛擬 WAN。

若要建立新的虛擬 WAN,請使用下列文章中的步驟:

已知的限制

註冊資源提供者

若要使用 Palo Alto Networks Cloud NGFW,您必須向訂用帳戶註冊 PaloAltoNetworks.Cloudngfw 資源提供者,其 API 版本至少為 2022-08-29-preview

如需如何向 Azure 訂用帳戶註冊資源提供者的詳細資訊,請參閱 Azure 資源提供者和類型文件

部署虛擬中樞

下列步驟描述如何部署可與 Palo Alto Networks Cloud NGFW 搭配使用的虛擬中樞。

  1. 瀏覽至您的虛擬 WAN 資源。
  2. 在左側功能表中,選取 [連線能力] 底下的 [中樞]
  3. 按一下 [新增中樞]
  4. 在 [基本] 下,指定虛擬中樞的區域。 請確定區域列在 可用的 Palo Alto 雲端 NGFW 區域中。 此外,請為您的中樞指定名稱、位址空間、虛擬中樞容量和中樞路由喜好設定。 顯示中樞建立頁面的螢幕擷取畫面。已突出顯示區域選取器方塊。
  5. 選取並設定您想要在虛擬中樞部署的閘道 (站對站 VPN、點對站 VPN、ExpressRoute)。 您可以稍後視需要部署閘道。
  6. 按一下 [檢閱 + 建立] 。
  7. 按一下 [建立]
  8. 瀏覽至新建立的中樞,並等候 [路由狀態] 成為 [已佈建]。 此步驟最多可能需要 30 分鐘。

部署 Palo Alto Networks Cloud NGFW

注意

在部署 Cloud NGFW 之前,您必須等候中樞的路由狀態成為「已佈建」。

  1. 瀏覽至您的虛擬中樞,然後按一下 [第三方提供者] 下的 [SaaS 解決方案]
  2. 按一下 [建立 SaaS],然後選取 [Palo Alto Networks Cloud NGFW]
  3. 按一下 [建立]。 顯示 SaaS 建立頁面的螢幕擷取畫面。
  4. 提供防火牆的名稱。 請確定防火牆的區域與虛擬中樞的區域相同。 如需 Palo Alto Networks Cloud NGFW 可用設定選項的詳細資訊,請參閱 Cloud NGFW 的 Palo Alto Networks 文件

設定路由

注意

在成功佈建 Cloud NGFW 之前,您無法設定路由意圖。

  1. 瀏覽至您的虛擬中樞,然後按一下 [路由] 下的 [路由意圖和原則]
  2. 如果您想要使用 Palo Alto Networks Cloud NGFW 來檢查輸出網際網路流量 (虛擬網路或內部部署與網際網路之間的流量),請在 [網際網路流量] 下選取 [SaaS 解決方案]。 針對 [下一個躍點資源],選取您的 Cloud NGFW 資源。 顯示網際網路路由原則建立的螢幕擷取畫面。
  3. 如果您想要使用 Palo Alto Networks Cloud NGFW 來檢查私人流量 (虛擬 WAN 中所有虛擬網路與內部部署之間的流量),請在 [私人流量] 下選取 [SaaS 解決方案]。 針對 [下一個躍點資源],選取您的 Cloud NGFW 資源。 顯示私人路由原則建立的螢幕擷取畫面。

管理 Palo Alto Networks Cloud NGFW

下一節描述如何管理您的 Palo Alto Networks Cloud NGFW (規則、IP 位址、安全性設定等)

  1. 瀏覽至您的虛擬中樞,然後按一下 [SaaS 解決方案]
  2. 按一下 [管理 SaaS] 底下的 [按一下這裡]顯示如何管理 SaaS 解決方案的螢幕擷取畫面。
  3. 如需 Palo Alto Networks Cloud NGFW 可用設定選項的詳細資訊,請參閱 Cloud NGFW 的 Palo Alto Networks 文件

刪除 Palo Alto Networks Cloud NGFW

注意

在刪除 Cloud NGFW 和虛擬 WAN SaaS 解決方案之前,您無法刪除虛擬中樞。

下列步驟描述如何刪除雲端 NGFW 供應項目:

  1. 瀏覽至您的虛擬中樞,然後按一下 [SaaS 解決方案]
  2. 按一下 [管理 SaaS] 底下的 [按一下這裡]顯示如何管理 SaaS 解決方案的螢幕擷取畫面。
  3. 按一下頁面左上角的 [刪除]顯示刪除雲端 NGFW 選項的螢幕擷取畫面。
  4. 刪除作業成功之後,請瀏覽回虛擬中樞的 [SaaS 解決方案] 頁面。
  5. 按一下對應至您的 Cloud NGFW 的行,然後按一下頁面左上角的 [刪除 SaaS]。 在步驟 3 執行至完成之前,此選項將無法使用。 顯示如何刪除 SaaS 解決方案的螢幕擷取畫面。

疑難排解

下一節描述在虛擬 WAN 中使用 Palo Alto Networks Cloud NGFW 時的常見問題。

針對 Cloud NGFW 建立進行疑難排解

  • 請確定您的虛擬中樞已部署在 Palo Alto Networks 文件中列出的其中一個區域。
  • 確保虛擬中樞的路由狀態為「已佈建」。嘗試在佈建路由之前建立 Cloud NGFW 將會失敗。
  • 確保已成功註冊 PaloAltoNetworks.Cloudngfw 資源提供者。

針對刪除進行疑難排解

  • 在刪除連結的 Cloud NGFW 資源之前,無法刪除 SaaS 解決方案。 因此,刪除 SaaS 解決方案資源之前,請先刪除 Cloud NGFW 資源。
  • 無法刪除目前為路由意圖的下一個躍點資源的 SaaS 解決方案資源。 必須先刪除路由意圖,才能刪除 SaaS 解決方案資源。
  • 同樣地,無法刪除具有 SaaS 解決方案的虛擬中樞資源。 刪除虛擬中樞之前,必須先刪除 SaaS 解決方案。

針對路由意圖和原則進行疑難排解

  • 嘗試設定路由意圖之前,請確保 Cloud NGFW 部署已成功完成。
  • 確保您的所有內部部署和 Azure 虛擬網路都在 RFC1918 中 (子網路位於 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 內)。 如果有網路不在 RFC1918 中,請確定這些前置詞列在 [私人流量前置詞] 文字方塊中。
  • 如需針對路由意圖進行疑難排解的詳細資訊,請參閱路由意圖文件。 本文件描述必要條件、與設定路由意圖和疑難排解提示相關聯的常見錯誤。

針對 Palo Alto Networks Cloud NGFW 設定進行疑難排解

下一步