Поделиться через

Настройка Palo Alto Networks Cloud NGFW в Виртуальная глобальная сеть

  • Статья

Брандмауэр нового поколения Palo Alto Networks Cloud Next Generation (NGFW) — это облачное программное обеспечение как услуга (SaaS), которое можно развернуть в центре Виртуальная глобальная сеть в качестве встроенного решения для проверки сетевого трафика. В следующем документе описываются некоторые ключевые функции, критически важные варианты использования и инструкции, связанные с использованием Palo Alto Networks Cloud NGFW в Виртуальная глобальная сеть.

Общие сведения

Интеграция Palo Alto Networks Cloud NGFW с Виртуальная глобальная сеть предоставляет следующие преимущества клиентам:

  • Защита критически важных рабочих нагрузок с помощью высокомасштабируемого предложения безопасности SaaS, которое можно внедрить в качестве решения для подключения к сети в Виртуальная глобальная сеть.
  • Полностью управляемая инфраструктура и жизненный цикл программного обеспечения в модели программного обеспечения как услуга.
  • Выставление счетов по мере использования на основе потребления. Обратите внимание, что если вы используете Palo Alto Networks Cloud NGFW, вы не оплачиваете счета за Виртуальная глобальная сеть единиц инфраструктуры NVA. Вместо этого вы оплачиваете использование SaaS с оплатой по мере использования через Azure Marketplace, как описано в ценах на Palo Alto Networks Cloud NGFW.
  • Облачная среда, которая имеет тесную интеграцию с Azure для обеспечения комплексного управления брандмауэром с помощью портал Azure или API Azure. Управление правилами и политиками также можно настроить с помощью решения Для управления сетями Palo Alto Network Panorama.
  • Выделенный и оптимизированный канал поддержки между Azure и Palo Alto Networks для устранения неполадок.
  • Для настройки Виртуальная глобальная сеть для проверки локального трафика, виртуальная сеть и исходящего трафика Через Интернет с помощью Palo Alto Networks Cloud NGFW.

Снимок экрана: пример Виртуальная глобальная сеть топологии концентратора с помощью Cloud NGFW.

Случаи использования

В следующем разделе описаны распространенные варианты использования безопасности для Palo Alto Networks Cloud NGFW в Виртуальная глобальная сеть.

Частный (локальный и виртуальный сетевой) трафик

Проверка трафика на востоке запада

Виртуальная глобальная сеть маршрутизирует трафик из виртуальная сеть в виртуальная сеть или из локальной сети (VPN типа "сеть — сеть", ExpressRoute, VPN типа "точка — сеть") в локальную среду в Cloud NGFW, развернутую в центре для проверки.

Снимок экрана: потоки трафика на востоке запада с помощью Cloud NGFW.

Проверка дорожного движения "Север-юг"

Виртуальная глобальная сеть также направляет трафик между виртуальная сеть и локальной сетью (VPN типа "сеть — сеть", ExpressRoute, VPN типа "точка — сеть") в локальную среду в Облако NGFW, развернутую в центре для проверки.

Снимок экрана: потоки трафика на юге с облаком NGFW.

Интернет-периметр

Примечание.

Маршрут 0.0.0.0/0 по умолчанию не распространяется между центрами. Локальные и виртуальная сеть могут использовать только локальные ресурсы CLOUD NGFW для доступа к Интернету. Кроме того, для вариантов использования NAT назначения Cloud NGFW может передавать только входящие трафик в локальные виртуальная сеть и локальные.

Исходящий интернет-трафик

Виртуальная глобальная сеть можно настроить для маршрутизации трафика, привязанного к Интернету, из виртуальная сеть или локальной среды в Cloud NGFW для проверки и отключения интернета. Вы можете выборочно выбрать виртуальная сеть или локальные маршруты по умолчанию (0.0.0.0.0/0/0) и использовать Palo Alto Cloud NGFW для исходящего трафика в Интернете. В этом случае Azure автоматически предоставляет IP-адрес исходного пакета, привязанного к Интернету, к общедоступным IP-адресам, связанным с Cloud NGFW.

Дополнительные сведения о возможностях исходящего трафика в Интернете и доступных параметрах см . в документации по Palo Alto Networks.

Снимок экрана: потоки исходящего трафика через Интернет с помощью Cloud NGFW.

Интернет-входящий трафик (DNAT)

Вы также можете настроить Palo Alto Networks для назначения-NAT (DNAT). Конечный NAT позволяет пользователю получать доступ к приложению, размещенном в локальной среде или в azure виртуальная сеть через общедоступные IP-адреса, связанные с Облаком NGFW.

Дополнительные сведения о возможностях входящего интернета (DNAT) и доступных параметрах см . в документации по Palo Alto Networks.

Снимок экрана: потоки входящего трафика через Интернет с помощью Cloud NGFW.

Подготовка к работе

Действия, описанные в этой статье, предполагают, что вы уже создали Виртуальная глобальная сеть.

Чтобы создать виртуальную глобальную сеть, выполните действия, описанные в следующей статье.

Известные ограничения

  • Ознакомьтесь с документацией по Palo Alto Networks в списке регионов, где доступен Palo Alto Networks Cloud NGFW.
  • Не удается развернуть Palo Alto Networks Cloud NGFW с сетевыми виртуальными устройствами в центре Виртуальная глобальная сеть.
  • Все остальные ограничения в разделе "Ограничения политик маршрутизации и маршрутизации" применяются к развертываниям Palo Alto Networks Cloud NGFW в Виртуальная глобальная сеть.

Регистрация поставщика ресурсов

Чтобы использовать Palo Alto Networks Cloud NGFW, необходимо зарегистрировать поставщик ресурсов PaloAltoNetworks.Cloudngfw в подписке с версией API, которая находится как минимум 2022-08-29-preview.

Дополнительные сведения о регистрации поставщика ресурсов в подписке Azure см . в документации по поставщикам и типам ресурсов Azure.

Развертывание виртуального концентратора

Ниже описано, как развернуть виртуальный концентратор, который можно использовать с Palo Alto Networks Cloud NGFW.

  1. Перейдите к ресурсу Виртуальная глобальная сеть.
  2. В меню слева выберите "Центры" в разделе "Подключение".
  3. Щелкните "Создать концентратор".
  4. В разделе "Основы" укажите регион для виртуального концентратора. Убедитесь, что регион указан в доступных регионах Palo Alto Cloud NGFW. Кроме того, укажите имя, адресное пространство, емкость виртуального концентратора и предпочтения маршрутизации концентратора для вашего концентратора. Снимок экрана: страница создания концентратора. Выделено поле выбора региона.
  5. Выберите и настройте шлюзы (VPN типа "сеть — сеть", VPN типа "точка — сеть", ExpressRoute), которые необходимо развернуть в Виртуальном концентраторе. Вы можете развернуть шлюзы позже, если вы хотите.
  6. Щелкните Просмотреть и создать.
  7. Нажмите кнопку Создать.
  8. Перейдите к новому центру и дождитесь подготовки состояния маршрутизации. Этот шаг может занять до 30 минут.

Развертывание Palo Alto Networks Cloud NGFW

Примечание.

Перед развертыванием Cloud NGFW необходимо дождаться, пока состояние маршрутизации концентратора будет подготовлено.

  1. Перейдите к виртуальному концентратору и щелкните решения SaaS в разделе сторонних поставщиков.
  2. Нажмите кнопку "Создать SaaS" и выберите Palo Alto Networks Cloud NGFW.
  3. Нажмите кнопку Создать. Снимок экрана: страница создания SaaS.
  4. Укажите имя брандмауэра. Убедитесь, что регион брандмауэра совпадает с регионом виртуального концентратора. Дополнительные сведения о доступных вариантах конфигурации для Palo Alto Networks Cloud NGFW см . в документации по Palo Alto Networks для Cloud NGFW.

Настройка маршрутизации

Примечание.

Невозможно настроить намерение маршрутизации до успешной подготовки Cloud NGFW.

  1. Перейдите к виртуальному концентратору и щелкните намерение маршрутизации и политики в разделе "Маршрутизация"
  2. Если вы хотите использовать Palo Alto Networks Cloud NGFW для проверки исходящего интернет-трафика (трафика между виртуальная сеть или локальной средой и Интернетом), в разделе интернет-трафик выберите решение SaaS. Для ресурса Next Hop выберите ресурс Cloud NGFW. Снимок экрана: создание политики маршрутизации в Интернете.
  3. Если вы хотите использовать Palo Alto Networks Cloud NGFW для проверки частного трафика (трафика между всеми виртуальная сеть и локальной средой в Виртуальная глобальная сеть), в разделе "Частный трафик" выберите решение SaaS. Для ресурса Next Hop выберите ресурс Cloud NGFW. Снимок экрана: создание политики частной маршрутизации.

Управление Palo Alto Networks Cloud NGFW

В следующем разделе описывается, как управлять palo Alto Networks Cloud NGFW (правила, IP-адреса, конфигурации безопасности и т. д.)

  1. Перейдите к виртуальному концентратору и щелкните решения SaaS.
  2. Щелкните здесь в разделе "Управление SaaS". Снимок экрана: управление решением SaaS.
  3. Дополнительные сведения о доступных вариантах конфигурации для Palo Alto Networks Cloud NGFW см . в документации по Palo Alto Networks для Cloud NGFW.

Удаление Palo Alto Networks Cloud NGFW

Примечание.

Вы не можете удалить виртуальный концентратор, пока не будет удалено решение Cloud NGFW и Виртуальная глобальная сеть SaaS.

Ниже описано, как удалить предложение Cloud NGFW:

  1. Перейдите к виртуальному концентратору и щелкните решения SaaS.
  2. Щелкните здесь в разделе "Управление SaaS". Снимок экрана: управление решением SaaS.
  3. Щелкните "Удалить" в левом верхнем углу страницы. Снимок экрана: удаление параметров Cloud NGFW.
  4. После успешной операции удаления вернитесь на страницу решений SaaS виртуального концентратора.
  5. Щелкните строку, соответствующую облачной NGFW, и щелкните "Удалить SaaS " в левом верхнем углу страницы. Этот параметр не будет доступен до завершения шага 3. Снимок экрана: удаление решения SaaS.

Устранение неполадок

В следующем разделе описываются распространенные проблемы, возникающие при использовании Palo Alto Networks Cloud NGFW в Виртуальная глобальная сеть.

Устранение неполадок при создании Cloud NGFW

  • Убедитесь, что виртуальные центры развернуты в одном из следующих регионов, перечисленных в документации по Palo Alto Networks.
  • Убедитесь, что состояние маршрутизации виртуального концентратора — "Подготовлено". Попытка создать Cloud NGFW до подготовки маршрутизации завершится ошибкой.
  • Убедитесь, что регистрация в поставщике ресурсов PaloAltoNetworks.Cloudngfw выполнена успешно.

Устранение неполадок при удалении

  • Решение SaaS нельзя удалить, пока связанный ресурс NGFW не будет удален. Поэтому удалите ресурс Cloud NGFW перед удалением ресурса решения SaaS.
  • Ресурс решения SaaS, который в настоящее время является ресурсом следующего прыжка для намерения маршрутизации, нельзя удалить. Перед удалением ресурса решения SaaS необходимо удалить намерение маршрутизации.
  • Аналогичным образом не удается удалить ресурс Виртуального концентратора с решением SaaS. Перед удалением виртуального концентратора необходимо удалить решение SaaS.

Устранение неполадок с намерением маршрутизации и политиками

  • Убедитесь, что развертывание Cloud NGFW завершено успешно, прежде чем пытаться настроить намерение маршрутизации.
  • Убедитесь, что все локальные и виртуальная сеть Azure находятся в RFC1918 (подсети в пределах 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Если в RFC1918 нет сетей, убедитесь, что эти префиксы перечислены в текстовом поле префиксов частного трафика.
  • Дополнительные сведения об устранении неполадок с намерением маршрутизации см . в документации по намерению маршрутизации. В этом документе описаны предварительные требования, распространенные ошибки, связанные с настройкой намерения маршрутизации и советами по устранению неполадок.

Устранение неполадок конфигурации Palo Alto Networks Cloud NGFW

Следующие шаги

  • Дополнительные сведения о виртуальной глобальной сети см. в статье, содержащей Часто задаваемые вопросы о ней.
  • Дополнительные сведения о намерении маршрутизации см. в документации по намерению маршрутизации.
  • Дополнительные сведения о Palo Alto Networks Cloud NGFW см . в документации по Palo Alto Networks Cloud NGFW.