1. Déployer le pare-feu Palo Alto en mode actif/actif avec OCI Flexible Network Load Balancer
  2. Configurer les paramètres de déploiement

Configurer les paramètres de déploiement

Dans cette section, nous allons examiner les étapes de configuration pour VCN, les tables de routage, les passerelles, le pare-feu Palo Alto et l'équilibreur de charge réseau flexible OCI présentés dans l'architecture de référence.

Configurer le réseau cloud virtuel

Configurez le VCN, les sous-réseaux et les tables de routage comme décrit dans la section suivante.

  • Le VCN du hub aura quatre sous-réseaux dédiés à Palo Alto, un sous-réseau nommé hub-tok-inbound-sn étant public.
  • Le sous-réseau hub-tok-mgmt-sn est destiné aux interfaces de gestion Palo Alto et c'est là que les interfaces Palo Alto principales sont déployées.
  • Le sous-réseau hub-tok-trust-sn est destiné aux interfaces de confiance Palo Alto, dans lesquelles l'équilibreur de charge réseau flexible OCI interne est déployé.
  • Le sous-réseau hub-tok-untrust-sn est un sous-réseau privé qui sera utilisé pour fournir un accès Internet sortant aux machines virtuelles dans OCI.
  • Le sous-réseau hub-tok-publiclb-sn est le sous-réseau public permettant d'afficher les services de zone démilitarisée sur Internet, où sont stockées toutes les adresses IP publiques. L'équilibreur de charge réseau flexible OCI se trouve dans ce sous-réseau, tandis que les machines virtuelles sauvegardées se trouvent sur le VCN spoke de l'application ou de l'environnement.
  • La passerelle Internet, la passerelle de service et la passerelle NAT du VCN Hub auront une table de routage attachée à celle-ci, ce qui fait de Palo Alto un périphérique de passage entre les zones.
  • Aucune adresse IP publique n'est attachée à Palo Alto pour exposer le service à Internet.
  • Les équilibreurs de charge, les équilibreurs de charge réseau et les serveurs qui doivent exposer le service à Internet seront déployés dans le sous-réseau hub-tok-publiclb-sn avec une adresse IP publique attachée.
  • La table de routage IGW RT aura un routage pour le sous-réseau public vers 10.1.1.0/25 pointant vers l'adresse IP d'équilibreur de charge réseau entrant 10.1.1.198.
  • La table de routage NGW-RT et SGW-RT seront vides et aucun routage n'est nécessaire.
  • La table de routage Table de routage d'attachement de VCN aura un routage par défaut 0.0.0.0/0 et un routage spécifique de hub-tok-shared-sn 10.1.1.128/27 pointant vers l'adresse IP d'équilibreur de charge réseau sécurisé 10.1.1.229.
  • La table de routage du sous-réseau hub-tok-publiclb-sn aura un routage par défaut pointant vers l'adresse IP d'équilibreur de charge réseau entrante 10.1.1.198 et, pour les plages de spoke, vers le DRG.
  • La table de routage du sous-réseau hub-tok-inbound-sn aura le routage par défaut vers la passerelle Internet.
  • La table de routage du sous-réseau hub-tok-untrust-sn aura le routage par défaut vers la passerelle NAT et tous les services Oracle Services Network de cette région vers la passerelle de service.
  • La table de routage du sous-réseau hub-tok-trust-sn aura les routages pour les plages Spoke et les plages sur site vers DRG.
  • Toutes les tables de routage de sous-réseaux spoke auront la route statique par défaut vers DRG.

Configuration d'OCI Flexible Network Load Balancer

Dans cette section, nous allons examiner la configuration de l'équilibreur de charge réseau flexible OCI pour le déploiement actif/actif de Palo Alto.

  1. Créez une instance Inbound-nlb privée avec conservation d'en-tête et hachage symétrique.
  2. Choisissez le sous-réseau entrant, bien qu'il s'agisse d'un sous-réseau public, et créez un NLB privé.
  3. Le processus d'écoute doit être de type UDP/TCP/ICMP et n'importe quel port.
  4. Ajoutez l'adresse IP des cartes d'interface réseau entrantes des machines virtuelles Palo Alto en tant que back-ends sur n'importe quel port à l'ensemble de back-ends NLB.
  5. Configurez la vérification de l'état sur le port TCP 22. Les valeurs d'horloge peuvent être modifiées en fonction des exigences relatives à la vitesse à laquelle la panne doit être détectée. Dans cet exemple, nous avons utilisé la valeur par défaut.
  6. Suivez les mêmes étapes ci-dessus pour configurer l'équilibreur de charge réseau sécurisé sur le sous-réseau sécurisé. La seule modification consiste à choisir les adresses IP d'interface sécurisée de Palo Alto comme ensemble de back-ends.

Configuration des paramètres du pare-feu Palo Alto

Dans cette section, nous allons examiner les étapes de configuration du pare-feu Palo Alto.

  1. Déployez deux périphériques Palo Alto autonomes dans OCI en référence au lien partagé dans la section Avant de commencer. Dans ce déploiement, chaque périphérique aura quatre cartes d'interface réseau : carte d'interface réseau de gestion, carte d'interface réseau sécurisée, carte d'interface réseau non sécurisée et carte d'interface réseau entrante.
  2. Assurez-vous que les cartes d'interface réseau de l'interface graphique de configuration du périphérique Palo Alto sont dans le même ordre que la console.
  3. Créez un routeur virtuel supplémentaire : inbound-rtr dans Palo Alto et attachez la carte d'interface réseau entrante au nouveau routeur virtuel.
  4. Ce routeur virtuel est nécessaire pour s'assurer que Palo Alto peut disposer de deux routes par défaut sur son plan de données, l'une pour l'accès Internet sortant via la passerelle NAT OCI et l'autre pour l'exposition Internet entrante via la passerelle Internet.

Configurer la passerelle de routage dynamique

DRG agit en tant que routeur dans le plan de date d'OCI entre le hub et les réseaux cloud virtuels satellite. Nous modifierons la table de routage et importerons la distribution de chaque attachement pour forcer tout le trafic via le pare-feu Palo Alto dans OCI.

  1. Créez une distribution d'importation pour la table de routage d'attachement de hub et importez tous les types de routage vers cette table.
  2. Attachez la distribution d'importation à la table de routage attachée au VCN du hub.
  3. Sur la table de routage du VPN IPSec et de l'attachement OCI FastConnect, ajoutez un routage statique aux plages VCN Spoke et VCN Hub pointant vers le VCN Hub et enlevez la distribution d'importation.

Remarques :

Cette architecture peut être référencée et modifiée pour déployer tout autre pare-feu du marché comme Checkpoint, Cisco firepower et autres. La section de configuration de Palo Alto devra être modifiée avec la configuration équivalente d'autres pare-feu Marketplace.