Palo Alto Networks Cloud NGFW konfigurálása a Virtual WAN-ban

  • Cikk

A Palo Alto Networks Cloud Next Generation Firewall (NGFW) egy natív felhőbeli szoftver-as-a-service (SaaS) biztonsági ajánlat, amely a virtuális WAN-központba telepíthető a hálózati forgalom vizsgálatára szolgáló, vezetéken belüli megoldásként. Az alábbi dokumentum a Palo Alto Networks Cloud NGFW virtual WAN-ban való használatával kapcsolatos főbb funkciókat, kritikus használati eseteket és útmutatókat ismerteti.

Háttér

A Palo Alto Networks Cloud NGFW és a Virtual WAN integrációja a következő előnyöket nyújtja az ügyfelek számára:

  • A kritikus számítási feladatok védelme nagy mértékben skálázható SaaS biztonsági ajánlattal, amely a Virtual WAN-ban vezetéken belüli megoldásként injektálható.
  • Teljes körűen felügyelt infrastruktúra és szoftveréletciklus a szolgáltatott szoftvermodellben.
  • Használatalapú használatalapú használatalapú számlázás.
  • Natív felhőbeli élmény , amely szoros integrációval rendelkezik az Azure-ral, hogy végpontok közötti tűzfalkezelést biztosítson az Azure Portal vagy az Azure API-k használatával. A szabály- és szabályzatkezelés opcionálisan konfigurálható a Palo Alto network management solution Panorama használatával is.
  • Dedikált és egyszerűsített támogatási csatorna az Azure és a Palo Alto Networks között a problémák elhárításához.
  • Egykattintásos útválasztással konfigurálhatja a Virtual WAN-t a helyszíni, a virtuális hálózat és az internetről kimenő forgalom vizsgálatához a Palo Alto Networks Cloud NGFW használatával.

Képernyőkép a központi virtuális WAN-topológiáról a Cloud NGFW-vel.

Használati esetek

Az alábbi szakasz a Palo Alto Networks Cloud NGFW virtuális WAN-beli gyakori biztonsági használati eseteit ismerteti.

Privát (helyszíni és virtuális hálózati) forgalom

Kelet-nyugati forgalom ellenőrzése

A Virtual WAN a virtuális hálózatokról a virtuális hálózatra vagy a helyszíni (helyek közötti VPN, ExpressRoute, pont–hely VPN) forgalom irányításával irányítja át a helyszíni forgalmat a központban üzembe helyezett Felhő NGFW-hez ellenőrzés céljából.

Képernyőkép a kelet-nyugati forgalomról a Cloud NGFW-vel.

Észak-déli forgalom ellenőrzése

A Virtual WAN a virtuális hálózatok és a helyszíni (helyek közötti VPN, ExpressRoute, pont–hely VPN) közötti forgalmat a helyszíni hálózatra irányítja át a központban üzembe helyezett Felhő NGFW-be ellenőrzés céljából.

Képernyőkép az észak-déli forgalmi folyamatokról a Cloud NGFW-vel.

Internet edge

Feljegyzés

A 0.0.0.0/0 alapértelmezett útvonal nem propagálja a központokat. A helyszíni és a virtuális hálózatok csak helyi felhőalapú NGFW-erőforrásokat használhatnak az internethez való hozzáféréshez. Emellett a cél NAT-használati esetek esetében a cloud NGFW csak a helyi virtuális hálózatokra és a helyszíni hálózatokra továbbítja a bejövő forgalmat.

Internetes kimenő forgalom

A Virtual WAN konfigurálható úgy, hogy az internethez kötött forgalmat a virtuális hálózatokról vagy a helyszínről a Cloud NGFW-be irányozza ellenőrzés és internetes kitörés céljából. Kiválaszthatja, hogy melyik virtuális hálózat(ok) vagy helyszíni hálózatok tanulják meg az alapértelmezett útvonalat (0.0.0.0/0), és a Palo Alto Cloud NGFW-t használja az internetes kimenő forgalomhoz. Ebben a használati esetben az Azure automatikusan a cloud NGFW-hez társított nyilvános IP-címekre küldi az internethez kötött csomag forrás IP-címét.

Az internetre irányuló kimenő képességekről és az elérhető beállításokról további információt a Palo Alto Networks dokumentációjában talál.

Képernyőkép az internetről kimenő forgalomról a Cloud NGFW-vel.

Internetes bejövő forgalom (DNAT)

A Palo Alto Networks for Destination-NAT (DNAT) is konfigurálható. A cél nat lehetővé teszi a felhasználó számára, hogy a felhő NGFW-hez társított nyilvános IP-címeken keresztül hozzáférjen és kommunikáljon a helyszínen vagy egy Azure-beli virtuális hálózaton üzemeltetett alkalmazással.

Az internetre irányuló (DNAT) képességekről és az elérhető beállításokról további információt a Palo Alto Networks dokumentációjában talál.

Képernyőkép az internetről bejövő forgalomról a Cloud NGFW-vel.

Mielőtt elkezdené

A cikk lépései feltételezik, hogy már létrehozott egy Virtual WAN-t.

Új virtuális WAN létrehozásához kövesse az alábbi cikkben ismertetett lépéseket:

Ismert korlátozások

Erőforrás-szolgáltató regisztrálása

A Palo Alto Networks Cloud NGFW használatához regisztrálnia kell a PaloAltoNetworks.Cloudngfw erőforrás-szolgáltatót az előfizetésében egy legalább 2022-08-29 előzetes verziójú API-verzióval.

Az erőforrás-szolgáltató Azure-előfizetésbe való regisztrálásáról további információt az Azure-erőforrás-szolgáltatók és -típusok dokumentációjában talál.

Virtuális központ üzembe helyezése

Az alábbi lépések bemutatják, hogyan helyezhet üzembe egy Palo Alto Networks Cloud NGFW-vel használható virtuális központot.

  1. Lépjen a Virtual WAN-erőforráshoz.
  2. A bal oldali menüben válassza a Hubs elemet a Csatlakozás ivity területen.
  3. Kattintson az Új központ elemre.
  4. Az Alapszintű beállítások területen adjon meg egy régiót a virtuális központhoz. Győződjön meg arról, hogy a régió szerepel a Palo Alto Cloud NGFW-régiókban. Emellett adjon meg egy nevet, címteret, virtuális központ kapacitást és hub-útválasztási beállításokat a központ számára. Képernyőkép a központi létrehozási oldalról. A Régióválasztó mező ki van emelve.
  5. Válassza ki és konfigurálja a virtuális központban üzembe helyezni kívánt átjárókat (helyek közötti VPN, pont–hely VPN, ExpressRoute). Ha szeretné, később telepítheti az átjárókat.
  6. Kattintson a Felülvizsgálat + létrehozás elemre.
  7. Kattintson a Létrehozás gombra
  8. Lépjen az újonnan létrehozott központra, és várja meg az útválasztási állapotkiépítését. Ez a lépés akár 30 percet is igénybe vehet.

Palo Alto Networks Cloud NGFW üzembe helyezése

Feljegyzés

A Cloud NGFW üzembe helyezése előtt meg kell várnia, amíg a központ útválasztási állapota "ki van építve".

  1. Lépjen a Virtual Hubra, és kattintson a Külső szolgáltatók alatt található SaaS-megoldásokra.
  2. Kattintson az SaaS létrehozása elemre, és válassza a Palo Alto Networks Cloud NGFW lehetőséget.
  3. Kattintson a Létrehozás gombra. Képernyőkép az SaaS létrehozási oldaláról.
  4. Adjon nevet a tűzfalnak. Győződjön meg arról, hogy a tűzfal régiója megegyezik a virtuális központ régiójával. A Palo Alto Networks Cloud NGFW-hez elérhető konfigurációs lehetőségekről további információt a Palo Alto Networks Cloud NGFW dokumentációjában talál.

Útválasztás konfigurálása

Feljegyzés

Az útválasztási szándék csak akkor konfigurálható, ha a cloud NGFW kiépítése sikeresen megtörtént.

  1. Keresse meg a virtuális központot, és kattintson az Útválasztási szándék és szabályzatok elemre az Útválasztás területen
  2. Ha a Palo Alto Networks Cloud NGFW-t szeretné használni a kimenő internetes forgalom (a virtuális hálózatok vagy a helyszíni és az internet közötti forgalom) vizsgálatához, az internetes forgalom alatt válassza az SaaS-megoldást. A Következő ugrás erőforráshoz válassza ki a Cloud NGFW-erőforrást. Képernyőkép az internetes útválasztási szabályzat létrehozásáról.
  3. Ha a Palo Alto Networks Cloud NGFW-t szeretné használni a magánforgalom (az összes virtuális hálózat és a virtual WAN helyszíni hálózatai közötti forgalom) vizsgálatához, a privát forgalom alatt válassza az SaaS-megoldást. A Következő ugrás erőforráshoz válassza ki a Cloud NGFW-erőforrást. Képernyőkép a privát útválasztási szabályzat létrehozásáról.

Palo Alto Networks Cloud NGFW kezelése

A következő szakasz azt ismerteti, hogyan kezelheti a Palo Alto Networks Cloud NGFW-t (szabályok, IP-címek, biztonsági konfigurációk stb.)

  1. Lépjen a Virtual Hubra, és kattintson az SaaS-megoldásokra.
  2. Kattintson ide az SaaS kezelése csoportban. Képernyőkép az SaaS-megoldás kezeléséről.
  3. A Palo Alto Networks Cloud NGFW-hez elérhető konfigurációs lehetőségekről további információt a Palo Alto Networks Cloud NGFW dokumentációjában talál.

Palo Alto Networks Cloud NGFW törlése

Feljegyzés

A Virtual Hub csak akkor törölhető, ha mind a Cloud NGFW, mind a Virtual WAN SaaS-megoldás törlődik.

A következő lépések bemutatják, hogyan törölhet egy felhőbeli NGFW-ajánlatot:

  1. Lépjen a Virtual Hubra, és kattintson az SaaS-megoldásokra.
  2. Kattintson ide az SaaS kezelése csoportban. Képernyőkép az SaaS-megoldás kezeléséről.
  3. Kattintson a Törlés gombra a lap bal felső sarkában. Képernyőkép a cloud NGFW-beállítások törléséről.
  4. A törlési művelet sikeres végrehajtása után lépjen vissza a Virtual Hub SaaS-megoldásainak lapjára.
  5. Kattintson a Cloud NGFW-nek megfelelő sorra, és kattintson az SaaS törlése elemre a lap bal felső sarkában. Ez a beállítás csak akkor érhető el, ha a 3. lépés befejeződik. Képernyőkép az SaaS-megoldás törléséről.

Hibaelhárítás

Az alábbi szakasz a Palo Alto Networks Cloud NGFW virtual WAN-ban való használatakor tapasztalt gyakori problémákat ismerteti.

Felhőalapú NGFW-létrehozás hibaelhárítása

  • Győződjön meg arról, hogy a virtual hubok a Palo Alto Networks dokumentációjában felsorolt alábbi régiókban vannak üzembe helyezve.
  • Győződjön meg arról, hogy a virtuális központ útválasztási állapota "Ki van építve". Sikertelen lesz a Cloud NGFW létrehozása az útválasztás kiépítése előtt.
  • Győződjön meg arról, hogy a PaloAltoNetworks.Cloudngfw erőforrás-szolgáltató regisztrációja sikeres.

Törlés hibaelhárítása

  • Az SaaS-megoldás csak akkor törölhető, ha a csatolt cloud NGFW-erőforrás törlődik. Ezért törölje a Cloud NGFW-erőforrást az SaaS-megoldás erőforrásának törlése előtt.
  • Nem törölhető egy SaaS-megoldáserőforrás, amely jelenleg az útválasztási szándék következő ugrási erőforrása. Az útválasztási szándékot törölni kell, mielőtt az SaaS-megoldás erőforrása törölhető lenne.
  • Hasonlóképpen, az SaaS-megoldással rendelkező Virtual Hub-erőforrás nem törölhető. Az SaaS-megoldást a virtuális központ törlése előtt törölni kell.

Útválasztási szándék és szabályzatok hibaelhárítása

  • Az útválasztási szándék konfigurálásának megkísérlése előtt győződjön meg arról, hogy a felhőalapú NGFW üzembe helyezése sikeresen befejeződött.
  • Győződjön meg arról, hogy az összes helyszíni és Azure-beli virtuális hálózat RFC1918 van (alhálózatok a 10.0.0.0/8,192.168.0.0/16- és 172.16.0.0/12-ben). Ha vannak olyan hálózatok, amelyek nincsenek RFC1918, győződjön meg arról, hogy ezek az előtagok szerepelnek a Privát forgalom előtagok szövegmezőben.
  • Az útválasztási szándék hibaelhárításával kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját. Ez a dokumentum az útválasztási szándék konfigurálásával kapcsolatos előfeltételeket, gyakori hibákat és hibaelhárítási tippeket ismerteti.

A Palo Alto Networks Cloud NGFW-konfigurációjának hibaelhárítása

Következő lépések

  • A Virtual WAN-ról további információt a gyakori kérdések között talál.
  • Az útválasztási szándékkal kapcsolatos további információkért tekintse meg az Útválasztási szándék dokumentációját.
  • A Palo Alto Networks Cloud NGFW-ről további információt a Palo Alto Networks Cloud NGFW dokumentációjában talál.