1. Palo Alto-Firewall im aktiven/aktiven Modus mit OCI Flexible Network Load Balancer bereitstellen
  2. Deployment-Einstellungen konfigurieren

Deployment-Einstellungen konfigurieren

In diesem Abschnitt werden die Konfigurationsschritte für VCN, Routentabellen, Gateways, Palo Alto-Firewall und OCI Flexible Network Load Balancer in der Referenzarchitektur beschrieben.

VCN konfigurieren

Konfigurieren Sie das VCN, die Subnetze und Routentabellen wie im folgenden Abschnitt beschrieben.

  • Das Hub-VCN verfügt über vier für Palo Alto dedizierte Subnetze, wobei ein Subnetz namens hub-tok-inbound-sn öffentlich ist.
  • Das Subnetz hub-tok-mgmt-sn ist für die Palo Alto-Verwaltungsschnittstellen vorgesehen und hier werden die primären Palo Alto-Schnittstellen bereitgestellt.
  • Das Subnetz hub-tok-trust-sn ist für die Palo Alto-Trust-Schnittstellen vorgesehen, in denen der interne OCI Flexible Network Load Balancer bereitgestellt wird.
  • Das Subnetz hub-tok-untrust-sn ist ein privates Subnetz und wird verwendet, um ausgehenden Internetzugriff auf die VMs in OCI bereitzustellen.
  • Das Subnetz hub-tok-publiclb-sn ist das öffentliche Subnetz für die Bereitstellung von DMZ-Services im Internet, in dem alle öffentlichen IPs enthalten sind. Der OCI Flexible Network Load Balancer befindet sich in diesem Subnetz, während sich die unterstützten VMs im Spoke-VCN der Anwendung oder Umgebung befinden.
  • An das Internetgateway, das Servicegateway und das NAT-Gateway des Hub-VCN ist eine Routingtabelle angehängt, die Palo Alto als Durchlaufgerät zwischen Zonen macht.
  • Es gibt keine öffentliche IP, die an Palo Alto angeschlossen ist, um den Dienst dem Internet zugänglich zu machen.
  • Die Load Balancer, NLBs und Server, die den Service für das Internet bereitstellen müssen, werden im Subnetz hub-tok-publiclb-sn mit angehängter öffentlicher IP bereitgestellt.
  • Routentabelle IGW RT enthält eine Route für das öffentliche Subnetz an 10.1.1.0/25, die auf die eingehende NLB-IP 10.1.1.198 verweist.
  • Routentabelle NGW-RT und SGW-RT sind leer, und es sind keine Routen erforderlich.
  • Die Routentabelle VCN-Anhangsroutentabelle enthält eine Standardroute 0.0.0.0/0 und eine spezifische Route von hub-tok-shared-sn 10.1.1.128/27, die auf die Trust-NLB-IP 10.1.1.229 verweist.
  • Die Routentabelle des Subnetzes hub-tok-publiclb-sn enthält eine Standardroute, die auf die eingehende NLB-IP 10.1.1.198 und für die Spoke-Bereiche auf das DRG verweist.
  • Die Routentabelle des Subnetzes hub-tok-inbound-sn enthält die Standardroute zum Internetgateway.
  • Die Routentabelle des Subnetzes hub-tok-untrust-sn enthält die Standardroute zum NAT-Gateway und zum gesamten Oracle Services Network dieser Region zum Servicegateway.
  • Die Routentabelle des Subnetzes hub-tok-trust-sn enthält die Routen für Spoke-Bereiche und On-Premise-Bereiche zu DRG.
  • Alle Routentabellen der Spoke-Subnetze weisen die statische Standardroute zu DRG auf.

OCI Flexible Network Load Balancer konfigurieren

In diesem Abschnitt wird die Konfiguration des OCI Flexible Network Load Balancers für das Active/Active Palo Alto-Deployment geprüft.

  1. Erstellen Sie eine private Inbound-nlb mit Headerbeibehaltung und symmetrischem Hashing.
  2. Wählen Sie das eingehende Subnetz aus, obwohl es ein öffentliches Subnetz ist, und erstellen Sie einen privaten NLB.
  3. Der Listener muss vom Typ UDP/TCP/ICMP und einem beliebigen Port sein.
  4. Fügen Sie die IP der eingehenden NICs von Palo Alto-VMs als Backends auf einem beliebigen Port zum NLB-Backend-Set hinzu.
  5. Konfigurieren Sie den Health Check für TCP-Port 22. Die Timerwerte können je nach Anforderung geändert werden, wie schnell der Fehler erkannt werden soll. In diesem Beispiel wurde der Standardwert verwendet.
  6. Befolgen Sie die oben genannten Schritte, um den Trust-NLB in einem Trust-Subnetz zu konfigurieren. Ändern Sie nur, die Trust-Schnittstellen-IPs von Palo Alto als Backend-Set auszuwählen.

Konfigurieren von Palo Alto Firewall-Einstellungen

In diesem Abschnitt werden die Schritte zur Konfiguration der Palo Alto-Firewall beschrieben.

  1. Stellen Sie zwei eigenständige Palo Alto-Geräte in OCI bereit, die sich auf den Link beziehen, der im Abschnitt Bevor Sie beginnen geteilt wird. In diesem Deployment verfügt jedes Gerät über vier NICs: Management-NIC, Trust NIC, Untrust NIC und Inbound NIC.
  2. Stellen Sie sicher, dass die NICs auf der Palo Alto-Gerätekonfigurations-GUI in derselben Reihenfolge wie die Konsole sind.
  3. Erstellen Sie einen zusätzlichen virtuellen Router: inbound-rtr in Palo Alto, und hängen Sie die eingehende NIC an den neuen virtuellen Router an.
  4. Dieser virtuelle Router ist erforderlich, um sicherzustellen, dass Palo Alto zwei Standardrouten auf seiner Data Plane haben kann, eine für den Egress-Internetzugriff über das OCI-NAT-Gateway und die andere für die Ingress-Internetpräsenz über das Internetgateway.

Dynamisches Routinggateway konfigurieren

DRG fungiert als Router in der Datumsebene von OCI zwischen dem Hub und den Spoke-VCNs. Wir ändern die Routentabelle und die Importverteilung jedes Anhangs, um den gesamten Traffic über die Palo Alto-Firewall in OCI zu erzwingen.

  1. Erstellen Sie eine Importkontierung für die Routentabelle für Hubanhänge, und importieren Sie alle Routentypen in diese.
  2. Hängen Sie die Importverteilung an die an Hub-VCN angehängte Routentabelle an.
  3. Fügen Sie in der Routentabelle des IPSec-VPN- und OCI FastConnect-Anhangs eine statische Route zu den Spoke-VCN- und Hub-VCN-Bereichen hinzu, die auf das Hub-VCN verweisen, und entfernen Sie die Importverteilung.

Hinweis:

Diese Architektur kann referenziert und geändert werden, um andere Marketplace-Firewalls wie Checkpoint, Cisco Firepower und andere bereitzustellen. Der Palo Alto-Setup-Abschnitt muss mit der entsprechenden Konfiguration anderer Marketplace-Firewalls geändert werden.