1. Implante o firewall Palo Alto no modo Ativo/Ativo com o OCI Flexible Network Load Balancer
  2. Configurar as Definições de Implantação

Configurar as Definições de Implantação

Nesta seção, analisaremos as etapas de configuração de VCN, tabelas de roteamento, gateways, firewall Palo Alto e OCI Flexible Network Load Balancer mostradas na arquitetura de referência.

Configurar VCN

Configure a VCN, as sub-redes e as tabelas de roteamento conforme descrito na seção a seguir.

  • A VCN do Hub terá quatro sub-redes dedicadas a Palo Alto. Uma sub-rede chamada hub-tok-inbound-sn é pública.
  • A sub-rede hub-tok-mgmt-sn é para as interfaces de gerenciamento do Palo Alto e é aqui que as interfaces principais do Palo Alto são implantadas.
  • A sub-rede hub-tok-trust-sn destina-se às interfaces confiáveis de Palo Alto, nas quais o OCI Flexible Network Load Balancer interno é implantado.
  • A sub-rede hub-tok-untrust-sn é uma sub-rede privada e será usada para fornecer acesso à internet de saída às VMs no OCI.
  • A sub-rede hub-tok-publiclb-sn é a sub-rede pública para expor serviços DMZ à internet, onde contém todos os IPs Públicos. O OCI Flexible Network Load Balancer estará nesta sub-rede, enquanto as VMs com backup estarão na VCN spoke do aplicativo ou ambiente.
  • Gateway de internet, gateway de serviço, gateway NAT da VCN do Hub terá tabela de roteamento anexada a ele, o que torna Palo Alto um dispositivo de passagem entre zonas.
  • Não há IP público anexado a Palo Alto para expor o serviço à Internet.
  • Os balanceadores de carga, NLBs e servidores que precisam expor o serviço à internet serão implantados na sub-rede hub-tok-publiclb-sn com IP Público anexado.
  • A tabela de roteamento IGW RT terá a rota da Sub-rede Pública para 10.1.1.0/25 apontando para o IP 10.1.1.198 do NLB de Entrada.
  • A tabela de roteamento NGW-RT e SGW-RT estarão vazias e nenhuma rota será necessária.
  • A tabela de roteamento tabela de Roteamento de Anexo da VCN terá uma rota padrão 0.0.0.0/0 e uma rota específica de hub-tok-shared-sn 10.1.1.128/27 apontando para o IP Confiável do NLB 10.1.1.229.
  • A tabela de roteamento da sub-rede hub-tok-publiclb-sn terá uma rota padrão apontando para o IP de entrada do NLB 10.1.1.198 e para os intervalos do Spoke para o DRG.
  • A tabela de roteamento da sub-rede hub-tok-inbound-sn terá a rota padrão para o gateway de internet.
  • A tabela de roteamento da sub-rede hub-tok-untrust-sn terá a rota padrão para o gateway NAT e todo o Oracle Services Network dessa região para o gateway de serviço.
  • A tabela de roteamento da sub-rede hub-tok-trust-sn terá as rotas para intervalos do Spoke e locais para o DRG.
  • Todas as tabelas de roteamento das sub-redes spoke terão a rota padrão estática para DRG.

Configurar o OCI Flexible Network Load Balancer

Nesta seção, analisaremos a configuração do OCI Flexible Network Load Balancer para implantação de Palo Alto Ativo/Ativo.

  1. Crie um Inbound-nlb privado com preservação de Cabeçalho e hashing simétrico.
  2. Escolha a sub-rede de entrada, embora ela seja uma sub-rede pública e crie um NLB Privado.
  3. O listener deve ser do tipo UDP/TCP/ICMP e qualquer porta.
  4. Adicione o IP de NICs de entrada das VMs Palo Alto como backends em qualquer porta ao conjunto de backend do NLB.
  5. Configure a verificação de integridade na porta TCP 22, os valores do temporizador podem ser alterados de acordo com o requisito de quão rápido a falha deve ser detectada. Usamos o valor padrão) neste exemplo.
  6. Siga as mesmas etapas acima para configurar o NLB de confiança na sub-rede de confiança. Somente a alteração é escolher os IPs de interface de confiança de Palo Alto como o conjunto de backend.

Configurar configurações do Firewall Palo Alto

Nesta seção, analisaremos as etapas de configuração do firewall Palo Alto.

  1. Implante dois dispositivos Palo Alto independentes no OCI referentes ao link compartilhado na seção Antes de Iniciar. Nessa implantação, cada dispositivo terá quatro NICs: NIC de Gerenciamento, NIC Confiável, NIC Não Confiável e NIC de Entrada.
  2. Verifique se os NICs na GUI de configuração do dispositivo Palo Alto estão na mesma ordem do console.
  3. Crie um roteador virtual adicional: inbound-rtr em Palo Alto e anexe o NIC de Entrada ao novo roteador virtual.
  4. Esse roteador virtual é necessário para garantir que o Palo Alto possa ter duas rotas padrão em seu plano de dados, uma para acesso à internet de saída por meio do gateway OCI NAT e outra para exposição à internet de entrada por meio do gateway de internet.

Configurar Gateway de Roteamento Dinâmico

O DRG atua como roteador no plano de data do OCI entre o Hub e as VCNs Spoke. Modificaremos a tabela de roteamento e a distribuição de importação de cada anexo para forçar todo o tráfego por meio do firewall Palo Alto na OCI.

  1. Crie uma distribuição de importação para a tabela de roteamento de anexo do Hub e importe todos os tipos de rotas para ela.
  2. Anexe a distribuição de Importação à tabela de roteamento anexada à VCN do Hub.
  3. Na tabela de roteamento do anexo IPSec VPN e OCI FastConnect, adicione uma rota estática às faixas de VCN do Spoke e VCN do Hub que apontam para a VCN do Hub e remova a distribuição de importação.

Observação:

Essa arquitetura pode ser referenciada e modificada para implantar qualquer outro firewalls de mercado, como Checkpoint, Cisco Firepower e outros. A seção de configuração Palo Alto precisará ser modificada com a configuração equivalente de outros firewalls de mercado.