1. Distribuisci il firewall Palo Alto in modalità attiva/attiva con il load balancer di rete flessibile OCI
  2. Configurare le impostazioni di distribuzione

Configurare le impostazioni di distribuzione

In questa sezione verranno esaminati i passi di configurazione per la VCN, le tabelle di instradamento, i gateway, il firewall Palo Alto e il load balancer di rete flessibile OCI visualizzati nell'architettura di riferimento.

Configura VCN

Configurare la VCN, le subnet e le tabelle di instradamento come descritto nella sezione riportata di seguito.

  • La VCN dell'hub avrà quattro subnet dedicate a Palo Alto, una denominata hub-tok-inbound-sn è pubblica.
  • La subnet hub-tok-mgmt-sn si riferisce alle interfacce di gestione di Palo Alto ed è qui che vengono distribuite le interfacce principali di Palo Alto.
  • La subnet hub-tok-trust-sn si riferisce alle interfacce sicure di Palo Alto, in cui viene distribuito il load balancer di rete flessibile OCI interno.
  • La subnet hub-tok-untrust-sn è una subnet privata e verrà utilizzata per fornire l'accesso Internet in uscita alle VM in OCI.
  • La subnet hub-tok-publiclb-sn è la subnet pubblica per l'esposizione dei servizi DMZ a Internet, dove contiene tutti gli IP pubblici. Il load balancer di rete flessibile OCI si troverà in questa subnet, mentre le VM supportate si troveranno nella VCN spoke dell'applicazione o dell'ambiente.
  • Al gateway Internet, al gateway di servizi e al gateway NAT della VCN dell'hub sarà collegata una tabella di instradamento che rende Palo Alto un dispositivo pass-through tra le zone.
  • Non esiste un IP pubblico collegato a Palo Alto per l'esposizione del servizio a Internet.
  • I load balancer, gli NLB e i server che devono esporre il servizio a Internet verranno distribuiti nella subnet hub-tok-publiclb-sn con IP pubblico collegato.
  • La tabella di instradamento IGW RT avrà l'instradamento per la subnet pubblica a 10.1.1.0/25 che punta all'IP NLB in entrata 10.1.1.198.
  • La tabella di instradamento NGW-RT e SGW-RT saranno vuote e non sarà necessario alcun instradamento.
  • La tabella di instradamento degli allegati della VCN avrà un instradamento predefinito 0.0.0.0/0 e un instradamento specifico di hub-tok-shared-sn 10.1.1.128/27 che punta all'IP NLB sicuro 10.1.1.229.
  • La tabella di instradamento della subnet hub-tok-publiclb-sn avrà un instradamento predefinito che punta all'IP NLB in entrata 10.1.1.198 e per gli intervalli spoke verso il DRG.
  • La tabella di instradamento della subnet hub-tok-inbound-sn avrà l'instradamento predefinito al gateway Internet.
  • La tabella di instradamento della subnet hub-tok-untrust-sn avrà l'instradamento predefinito al gateway NAT e a tutti i servizi di Oracle Services Network di quell'area al gateway di servizio.
  • La tabella di instradamento della subnet hub-tok-trust-sn avrà gli instradamenti per gli intervalli spoke e gli intervalli on premise verso il DRG.
  • Tutte le tabelle di instradamento delle subnet spoke avranno l'instradamento predefinito statico su DRG.

Configurare OCI Flexible Network Load Balancer

In questa sezione verrà illustrata la configurazione del load balancer di rete flessibile OCI per la distribuzione di Palo Alto attivo/attivo.

  1. Crea un NLB in entrata privato con conservazione dell'intestazione e hashing simmetrico.
  2. Scegliere la subnet in entrata, anche se si tratta di una subnet pubblica e creare un NLB privato.
  3. Il listener deve essere di tipo UDP/TCP/ICMP e qualsiasi porta.
  4. Aggiungere l'IP NIC in entrata delle VM Palo Alto come backend su qualsiasi porta al set backend NLB.
  5. Configurare il controllo dello stato sulla porta TCP 22, i valori del timer possono essere modificati in base al requisito della velocità di rilevamento dell'errore. Abbiamo usato il valore predefinito) in questo esempio.
  6. Seguire gli stessi passi precedenti per configurare l'NLB sicuro nella subnet sicura. L'unica modifica consiste nel scegliere gli IP dell'interfaccia sicura di Palo Alto come set backend.

Configura impostazioni firewall Palo Alto

In questa sezione, esamineremo i passaggi di configurazione del firewall Palo Alto.

  1. Distribuire due dispositivi Palo Alto standalone in OCI facendo riferimento al collegamento condiviso nella sezione Prima di iniziare, in questa distribuzione ogni dispositivo avrà quattro NIC: NIC di gestione, NIC sicuro, NIC non sicuro e NIC in entrata.
  2. Assicurarsi che le schede NIC sulla GUI di configurazione del dispositivo Palo Alto siano nello stesso ordine della console.
  3. Creare un router virtuale aggiuntivo: inbound-rtr in Palo Alto e collegare la NIC in entrata al nuovo router virtuale.
  4. Questo router virtuale è necessario per assicurarsi che Palo Alto possa avere due instradamenti predefiniti sul proprio piano dati, uno per l'accesso a Internet in uscita tramite il gateway NAT OCI e l'altro per l'esposizione a Internet in entrata tramite gateway Internet.

Configura gateway di instradamento dinamico

Il DRG funge da router nel piano data di OCI tra l'hub e le VCN spoke. Modificheremo la tabella di instradamento e importeremo la distribuzione di ogni collegamento per forzare tutto il traffico tramite il firewall Palo Alto in OCI.

  1. Crea la distribuzione di importazione per la tabella di instradamento degli allegati dell'hub e importa tutti i tipi di instradamenti.
  2. Collegare la distribuzione di importazione alla tabella di instradamento collegata alla VCN dell'hub.
  3. Nella tabella di instradamento del collegamento IPSec VPN e OCI FastConnect, aggiungere un instradamento statico agli intervalli della VCN spoke e della VCN hub che puntano alla VCN hub e rimuovere la distribuzione di importazione.

Nota

Questa architettura può essere referenziata e modificata per implementare qualsiasi altro firewall di marketplace come Checkpoint, Cisco firepower e altri. La sezione di configurazione di Palo Alto dovrà essere modificata con la configurazione equivalente di altri firewall di marketplace.