Konfigurace cloudových sítí Palo Alto Networks NGFW ve službě Virtual WAN
Palo Alto Networks Cloud Next Generation Firewall (NGFW) je nabídka zabezpečení SaaS (software jako služba) nativní pro cloud, která se dá nasadit do centra Virtual WAN jako řešení pro kontrolu síťového provozu. Následující dokument popisuje některé klíčové funkce, kritické případy použití a postupy spojené s používáním NGFW v Palo Alto Networks Cloud NGFW ve službě Virtual WAN.
Pozadí
Integrace NGFW cloudových sítí Palo Alto Networks se službou Virtual WAN poskytuje zákazníkům následující výhody:
- Chraňte kritické úlohy pomocí vysoce škálovatelné nabídky zabezpečení SaaS, kterou je možné v rámci řešení Virtual WAN vysunout jako nárazové řešení.
- Plně spravovaná infrastruktura a životní cyklus softwaru v rámci modelu softwaru jako služby
- Fakturace s průběžnou platbou na základě spotřeby Mějte na paměti, že pokud používáte Palo Alto Networks Cloud NGFW, neúčtujete se za jednotky infrastruktury síťového virtuálního zařízení Virtual WAN. Místo toho se vám fakturuje využití SaaS s průběžnými platbami prostřednictvím Azure Marketplace, jak je uvedeno v cenách Palo Alto Networks Cloud NGFW.
- Nativní cloudové prostředí , které má úzkou integraci s Azure a poskytuje kompletní správu brány firewall pomocí webu Azure Portal nebo rozhraní API Azure. Správapravidelch
- Vyhrazený a zjednodušený kanál podpory mezi Azure a Palo Alto Networks pro řešení problémů
- Směrování jedním kliknutím ke konfiguraci služby Virtual WAN pro kontrolu místního provozu, virtuální sítě a odchozího internetového provozu pomocí cloudových sítí Palo Alto Networks NGFW
Případy použití
Následující část popisuje běžné případy použití zabezpečení pro Palo Alto Networks Cloud NGFW ve Službě Virtual WAN.
Privátní provoz (místní a virtuální síť)
Kontrola provozu východ-západ
Virtual WAN směruje provoz z virtuálních sítí do virtuální sítě nebo z místní sítě (SITE-to-site VPN, ExpressRoute, Point-to-Site VPN) do místního prostředí do cloudu NGFW nasazeného v centru pro kontrolu.
Kontrola provozu na sever -jih
Virtual WAN také směruje provoz mezi virtuálními sítěmi a místními sítěmi (SITE-to-site VPN, ExpressRoute, Point-to-Site VPN) do místního prostředí do cloudových NGFW nasazených v centru pro kontrolu.
Internet edge
Poznámka:
Výchozí trasa 0.0.0.0/0 se nerozšíruje mezi rozbočovače. Místní a virtuální sítě můžou pro přístup k internetu používat pouze místní cloudové prostředky NGFW. V případě případů použití cílového překladu adres (NAT) může Cloud NGFW předávat příchozí provoz pouze do místních virtuálních sítí a místních sítí.
Internetový výchozí přenos dat
Virtual WAN je možné nakonfigurovat tak, aby směroval provoz směřující na internet z virtuálních sítí nebo z místního prostředí do cloudových NGFW pro kontrolu a přerušení internetu. Můžete selektivně zvolit, které virtuální sítě nebo místní sítě se naučí výchozí trasu (0.0.0.0.0/0) a použít palo Alto Cloud NGFW pro internetový výchozí přenos dat. V tomto případě Azure automaticky natuje zdrojovou IP adresu vašeho paketu vázaného na internet na veřejné IP adresy přidružené ke Cloud NGFW.
Další informace o možnostech odchozích přenosů internetu a dostupných nastaveních najdete v dokumentaci k Palo Alto Networks.
Internetový příchozí přenos dat (DNAT)
Můžete také nakonfigurovat Palo Alto Networks pro DNAT (Destination-NAT). Cílový překlad adres (NAT) umožňuje uživateli přístup k aplikaci hostované místně nebo ve službě Azure Virtual Network prostřednictvím veřejných IP adres přidružených ke cloudové síti NGFW a komunikovat s nimi.
Další informace o možnostech připojení k internetu (DNAT) a dostupných nastaveních najdete v dokumentaci k Palo Alto Networks.
Než začnete
Kroky v tomto článku předpokládají, že jste už vytvořili Virtual WAN.
Pokud chcete vytvořit novou virtuální síť WAN, postupujte podle kroků v následujícím článku:
Známá omezení
- Seznam oblastí, kde je k dispozici Palo Alto Networks Cloud NGFW, najdete v dokumentaci k Palo Alto Networks.
- Palo Alto Networks Cloud NGFW nejde nasadit s síťovými virtuálními zařízeními v centru Virtual WAN.
- Všechna ostatní omezení v dokumentaci k zásadám směrování a záměru směrování platí pro nasazení NGFW cloudu Palo Alto Networks ve službě Virtual WAN.
Registrace poskytovatele prostředků
Pokud chcete používat Cloud NGFW palo Alto Networks, musíte ve svém předplatném zaregistrovat poskytovatele prostředků PaloAltoNetworks.Cloudngfw s verzí rozhraní API, která je minimálně 2022-08-29-preview.
Další informace o registraci poskytovatele prostředků v předplatném Azure najdete v dokumentaci k poskytovatelům a typům prostředků Azure.
Nasazení virtuálního centra
Následující kroky popisují, jak nasadit virtuální centrum, které lze použít s Palo Alto Networks Cloud NGFW.
- Přejděte k prostředku služby Virtual WAN.
- V nabídce vlevo vyberte Hubs v části Připojení.
- Klikněte na nové centrum.
- V části Základy zadejte oblast pro vaše virtuální centrum. Ujistěte se, že je oblast uvedená v oblastech Palo Alto Cloud NGFW k dispozici. Kromě toho zadejte název, adresní prostor, kapacitu virtuálního centra a předvolbu směrování centra pro vaše centrum.
- Vyberte a nakonfigurujte brány (VPN typu Site-to-Site, VPN typu point-to-site, ExpressRoute), které chcete nasadit ve virtuálním centru. Brány můžete nasadit později, pokud chcete.
- Klikněte na Zkontrolovat a vytvořit.
- Klikněte na Vytvořit.
- Přejděte do nově vytvořeného centra a počkejte na zřízení stavu směrování. Tento krok může trvat až 30 minut.
Nasazení cloudových sítí Palo Alto Networks NGFW
Poznámka:
Než nasadíte Cloud NGFW, musíte počkat, až bude stav směrování centra zřízen.
- Přejděte do svého virtuálního centra a klikněte na řešení SaaS v rámci poskytovatelů třetích stran.
- Klikněte na Vytvořit SaaS a vyberte Palo Alto Networks Cloud NGFW.
- Klikněte na Vytvořit.
- Zadejte název brány firewall. Ujistěte se, že je oblast brány firewall stejná jako oblast vašeho virtuálního centra. Další informace o dostupných možnostech konfigurace pro Palo Alto Networks Cloud NGFW najdete v dokumentaci k Palo Alto Networks pro Cloud NGFW.
Konfigurace směrování
Poznámka:
Záměr směrování nemůžete nakonfigurovat, dokud se cloudová služba NGFW úspěšně nezřídí.
- Přejděte do svého virtuálního centra a v části Směrování klikněte na záměr směrování a zásady.
- Pokud chcete použít Palo Alto Networks Cloud NGFW ke kontrole odchozího internetového provozu (provoz mezi virtuálními sítěmi nebo místním prostředím a internetem), v části Internetový provoz vyberte řešení SaaS. Jako prostředek dalšího segmentu směrování vyberte prostředek Cloud NGFW.
- Pokud chcete použít Cloud NGFW palo Alto Networks ke kontrole privátního provozu (provoz mezi všemi virtuálními sítěmi a místním prostředím ve službě Virtual WAN), v části Privátní provoz vyberte řešení SaaS. Jako prostředek dalšího segmentu směrování vyberte prostředek Cloud NGFW.
Správa cloudových sítí Palo Alto Networks NGFW
Následující část popisuje, jak můžete spravovat cloudovou síť Palo Alto Networks NGFW (pravidla, IP adresy, konfigurace zabezpečení atd.).
- Přejděte do svého virtuálního centra a klikněte na řešení SaaS.
- Klikněte sem v části Spravovat SaaS.
- Další informace o dostupných možnostech konfigurace pro Palo Alto Networks Cloud NGFW najdete v dokumentaci k Palo Alto Networks pro Cloud NGFW.
Odstranění cloudových sítí Palo Alto Networks NGFW
Poznámka:
Dokud nedojde k odstranění cloudového řešení NGFW i Řešení SaaS virtual WAN, nemůžete odstranit virtuální centrum.
Následující kroky popisují, jak odstranit nabídku Cloud NGFW:
- Přejděte do svého virtuálního centra a klikněte na řešení SaaS.
- Klikněte sem v části Spravovat SaaS.
- Klikněte na Odstranit v levém horním rohu stránky.
- Po úspěšném odstranění přejděte zpět na stránku řešení SaaS vašeho virtuálního centra.
- Klikněte na čáru, která odpovídá vaší cloudové NGFW, a v levém horním rohu stránky klikněte na Odstranit SaaS . Tato možnost nebude dostupná, dokud se krok 3 nespustí do dokončení.
Řešení problému
Následující část popisuje běžné problémy, ke kterým dochází při používání sítě Palo Alto Networks Cloud NGFW ve službě Virtual WAN.
Řešení potíží s vytvářením cloudových NGFW
- Ujistěte se, že jsou vaše virtuální centra nasazená v jedné z následujících oblastí uvedených v dokumentaci k Palo Alto Networks.
- Ujistěte se, že je stav směrování virtuálního centra zřízený. Pokusy o vytvoření cloudových NGFW před zřizováním směrování selžou.
- Ujistěte se, že registrace poskytovatele prostředků PaloAltoNetworks.Cloudngfw je úspěšná.
Řešení potíží s odstraněním
- Řešení SaaS nejde odstranit, dokud se neodstraní propojený prostředek NGFW cloudu. Proto před odstraněním prostředku řešení SaaS odstraňte prostředek Cloud NGFW.
- Prostředek řešení SaaS, který je aktuálně prostředkem dalšího směrování pro záměr směrování, nejde odstranit. Před odstraněním prostředku řešení SaaS je nutné odstranit záměr směrování.
- Podobně nejde odstranit prostředek virtuálního centra, který má řešení SaaS. Řešení SaaS musí být odstraněno před odstraněním virtuálního centra.
Řešení potíží se záměrem a zásadami směrování
- Než se pokusíte nakonfigurovat záměr směrování, ujistěte se, že se nasazení Cloud NGFW úspěšně dokončilo.
- Ujistěte se, že jsou všechny místní a virtuální sítě Azure ve RFC1918 (podsítě v rozsahu 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Pokud jsou sítě, které nejsou v RFC1918, ujistěte se, že jsou tyto předpony uvedeny v textovém poli Předpony privátního provozu.
- Další informace o řešení potíží se záměrem směrování najdete v dokumentaci ke záměru směrování. Tento dokument popisuje požadavky, běžné chyby spojené s konfigurací záměru směrování a tipy pro řešení potíží.
Řešení potíží s konfigurací NGFW v cloudu Palo Alto Networks
- Referenční dokumentace k Palo Alto Networks
Další kroky
- Další informace o službě Virtual WAN najdete v nejčastějších dotazech.
- Další informace o záměru směrování najdete v dokumentaci ke záměru směrování.
- Další informace o Palo Alto Networks Cloud NGFW naleznete v dokumentaci k Palo Alto Networks Cloud NGFW.