1. 使用 OCI Flexible Network Load Balancer 在主动/主动模式下部署 Palo Alto 防火墙
  2. 配置部署设置

配置部署设置

在此部分中,我们将查看参考架构中显示的 VCN、路由表、网关、Palo Alto 防火墙和 OCI Flexible Network Load Balancer 的配置步骤。

配置 VCN

按以下部分所述配置 VCN、子网和路由表。

  • Hub VCN 将有四个专用于 Palo Alto 的子网,一个名为 hub-tok-inbound-sn 的子网是公共子网。
  • 子网 hub-tok-mgmt-sn 用于 Palo Alto 管理接口,这是部署主要 Palo Alto 接口的地方。
  • 子网 hub-tok-trust-sn 用于 Palo Alto 信任接口,其中部署了内部 OCI Flexible Network Load Balancer
  • 子网 hub-tok-untrust-sn 是专用子网,将用于提供对 OCI 中 VM 的出站 Internet 访问。
  • 子网 hub-tok-publiclb-sn 是用于向 Internet 公开 DMZ 服务的公共子网,其中包含所有公共 IP。OCI 灵活网络负载平衡器将位于此子网中,而支持的 VM 将位于应用或环境的分支 VCN 上。
  • Hub VCN 的互联网网关、服务网关、NAT 网关将关联路由表,从而使 Palo Alto 成为区域之间的直通设备。
  • 没有连接到 Palo Alto 的公共 IP 来向 Internet 公开服务。
  • 需要向 Internet 公开服务的负载平衡器、NLB 和服务器将部署在连接了公共 IP 的 hub-tok-publiclb-sn 子网中。
  • 路由表 IGW RT 将具有指向入站 NLB IP 10.1.1.198 的公共子网到 10.1.1.0/25 的路由。
  • 路由表 NGW-RTSGW-RT 将为空,并且不需要路由。
  • 路由表 VCN 附件路由表将具有默认路由 0.0.0.0/0 和指向信任 NLB IP 10.1.1.229 的特定路由 hub-tok-shared-sn 10.1.1.128/27。
  • 子网 hub-tok-publiclb-sn 的路由表将具有指向入站 NLB IP 10.1.1.198 的缺省路由以及指向 DRG 的 Spoke 范围。
  • 子网 hub-tok-inbound-sn 的路由表将具有到 Internet 网关的默认路由。
  • 子网 hub-tok-untrust-sn 的路由表将具有到 NAT 网关的默认路由以及到服务网关的该区域的所有 Oracle 服务网络。
  • 子网 hub-tok-trust-sn 的路由表将具有 Spoke 范围和到 DRG 的内部部署范围的路由。
  • 所有分支子网路由表都将具有到 DRG 的静态默认路由。

配置 OCI Flexible Network Load Balancer

在本节中,我们将了解主动/主动 Palo Alto 部署的 OCI 灵活网络负载平衡器配置。

  1. 创建具有标头保留和对称散列功能的专用入站 nlb。
  2. 选择入站子网,但它是公共子网并创建专用 NLB。
  3. 侦听器的类型应为 UDP/TCP/ICMP 和任何端口。
  4. 将 Palo Alto VM 入站 NIC IP 添加为 NLB 后端集的任何端口上的后端。
  5. 配置 TCP 端口 22 上的运行状况检查,可以根据检测故障的速度要求更改计时器值。在本示例中,我们使用了默认值 )。
  6. 按照上述步骤在信任子网上配置信任 NLB,唯一的改变就是选择 Palo Alto 的信任接口 IP 作为后端集。

配置 Palo Alto 防火墙设置

在本节中,我们将介绍 Palo Alto 防火墙配置步骤。

  1. 在 OCI 中部署两个独立的 Palo Alto 设备,它们引用了开始之前部分中共享的链接,在此部署中,每个设备将具有四个 NIC:管理 NIC、信任 NIC、不可信 NIC 和入站 NIC。
  2. 确保 Palo Alto 设备配置 GUI 上的 NIC 与控制台的顺序相同。
  3. 创建其他虚拟路由器:Palo Alto 中的 inbound-rtr ,并将入站 NIC 连接到新的虚拟路由器。
  4. 需要此虚拟路由器来确保 Palo Alto 的数据层上有两个默认路由,一个用于通过 OCI NAT 网关进行出站互联网访问,另一个用于通过互联网网关进行入站互联网暴露。

配置动态路由网关

DRG 在 OCI 的日期层中充当 Hub 和 Spoke VCN 之间的路由器。我们将修改路由表并导入每个附件的分发,以强制通过 OCI 中的 Palo Alto 防火墙执行所有流量。

  1. 为 Hub 附加路由表创建导入分配并向其导入所有类型的路由。
  2. 将导入分发附加到 Hub VCN 连接的路由表。
  3. 在 IPSec VPN 和 OCI FastConnect 附加的路由表中,向指向 Hub VCN 的 Spoke VCN 和 Hub VCN 范围添加静态路由,并删除导入分发。

注意:

可以引用和修改此架构以部署任何其他市场防火墙,例如 Checkpoint、Cisco 防火墙和其他。Palo Alto 设置部分需要使用其他市场防火墙的等效配置进行修改。