使用 Palo Alto Networks 使用灵活网络负载平衡器保护 VM 系列防火墙的工作负载
Palo Alto Networks VM 系列虚拟下一代防火墙安全多云环境,提供对自定义应用程序的全面应用通信可见性和控制、一致的跨云防火墙管理和策略实施、机器语言提供的威胁保护和撤消过滤预防以及自动化的部署和预配功能,以跟上甚至最动态的环境。
VM 系列虚拟下一代防火墙通过防止剥削、恶意软件、已知和未知的威胁以及数据挖掘来增强 Oracle Cloud Infrastructure 的本机网络安全控制。
VM 系列虚拟下一代防火墙提供了虚拟机 (VM) 形式系数中物理下一代防火墙的所有功能,提供了内嵌网络安全性和防止威胁功能,以一致保护公共云和专用云、虚拟化数据中心和分支位置。VM 系列虚拟防火墙提供安全团队保护公共云环境所需的功能,包括全面可见性和控制、一致的策略执行、应用程序安全性、免过滤预防、合规性和风险管理、安全自动化和云忽略管理。
- 完全可见性和控制查找跨环境的威胁
- 一致的策略实施提供最佳的安全性
- 合规性和 Risk Management 变得更轻松
- 安全性自动化保障 DevOps
体系结构
此引用体系结构说明了组织如何使用 Palo Alto Networks VM 系列防火墙和灵活的网络负载平衡器保护 Oracle Cloud Infrastructure (OCI) 中部署的 Oracle 应用程序(如 Oracle E-Business Suite 和 PeopleSoft)。
为了保护这些通信流,Palo Alto Networks 建议使用集线器和扬声器拓扑分段网络,其中通信通过中央集线器路由并连接到多个不同的网络(扬声器)。确保已在被视为三明治拓扑的灵活网络负载平衡器之间部署了多个 VM 系列实例。发言人之间的所有通信(无论是上网还是上网、内部部署还是 Oracle 服务网络)都通过集线器进行路由,并使用 Palo Alto Networks VM 系列防火墙的多层威胁预防技术进行检查。
在自己的虚拟云网络 (VCN) 中部署应用程序的每个层,该虚拟云网络充当扬声器。中心服务器 VCN 包含一个 Palo Alto Networks VM 系列防火墙活动/活动群集、Oracle Internet 网关、动态路由网关 (Dynamic Routing gateway, DRG)、Oracle Service 网关、本地对等网关 (local peering gateways, LPG)、内部和外部灵活的网络负载平衡器。
集线器 VCN 通过 LPG 连接到扬声器 VCN。所有分支流量都使用路由表规则,使用灵活的网络负载平衡器将流量通过 LPG 路由到集线器,以供 Palo Alto Networks VM 系列防火墙群集检查。
您可以在本地配置和管理 Palo Alto Networks 防火墙,也可以使用 Palo Alto Networks 集中式安全管理系统 Panorama 集中管理它。全面帮助客户降低管理配置、策略、软件和动态内容更新的复杂性和管理开销。使用 Panorama 上的设备组和模板,您可以在防火墙的本地管理特定于防火墙的配置,并在所有防火墙或设备组中强制执行共享策略。
下图说明了此引用体系结构。
插图 palo_alto_nlb_nw_vm_oci.png 的说明
对于每个通信流,请确保在 Palo Alto Networks VM 系列防火墙上打开网络地址转换 (network address translation, NAT) 和安全策略。
北南入站流量
下图说明了北南入站通信如何从 Internet 和远程数据中心访问 Web 应用程序层。
插图 palo_alto_nlb_north_south_inbound.png 的说明
南北出站流量
下图说明了从 Web 应用程序和数据库层到 Internet 的传出连接如何提供软件更新和对外部 Web 服务的访问。
插图 palo_alto_nlb_north_south_outbound.png 的说明
东西流量(Web 到数据库)
下图说明了流量如何从 Web 应用程序移动到数据库层。
插图 palo_alto_nlb_east_west_web_db.png 的说明
东西流量(数据库到 Web)
下图说明了流量如何从数据库层移动到 Web 应用程序。
插图 palo_alto_nlb_east_west_db_web.png 的说明
东西流量(Web 应用程序到 Oracle 服务网络)
下图说明了流量如何从 Web 应用程序移动到 Oracle 服务网络。
插图 palo_alto_nlb_east_west_webapp_osn.png 的说明
东西流量(Oracle 服务网络到 Web 应用程序)
下图说明了流量如何从 Oracle 服务网络移动到 Web 应用程序。
插图 palo_alto_nlb_east_west_osn_webapp.png 的说明
体系结构具有以下组成部分:
- Palo Alto Networks VM 系列防火墙
以虚拟机 (virtual machine, VM) 形式提供物理下一代防火墙的所有功能,提供内嵌网络安全性和防止威胁功能,以始终保护公共云和专用云。
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个数据中心,称为可用性域。区域独立于其他区域,它们之间的巨大距离可以分开(跨越国家或甚至大陆)。
- 可用性域
可用性域是区域内的独立独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,从而提供故障容差。可用性域不共享基础设施,例如电源、冷却或内部可用性域网络。因此,一个可用性域出现故障不太可能影响该区域中的其他可用性域。
- 故障域
故障域是可用性域内的硬件和基础结构分组。每个可用性域都有三个具有独立电源和硬件的故障域。在多个故障域之间分配资源时,应用程序可以容忍故障域内的物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可自定义、软件定义的网络。与传统的数据中心网络一样,VCN 可使您完全控制网络环境。一个 VCN 可以有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为子网,子网可以被限定为区域或可用性域。每个子网包含一系列与 VCN 中的其他子网不重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或专用的。
- Hub VCN
集线器 VCN 是部署 Palo Alto Networks VM 系列防火墙的集中网络。它提供与所有通话 VCN、Oracle Cloud Infrastructure 服务、公共端点和客户机以及内部部署数据中心网络的安全连接。
- 应用程序层表示 VCN
应用程序层 spoke VCN 包含托管 Oracle E-Business Suite 或 PeopleSoft 组件的专用子网。
- 数据库层表示 VCN
数据库层扬声器 VCN 包含用于托管 Oracle 数据库的专用子网。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端的多个服务器的自动通信分发。
- 灵活的网络负载平衡器
Oracle Cloud Infrastructure 灵活网络负载平衡器提供虚拟云网络中从一个入口点到多个后端服务器的自动通信分配。它在连接级别运行,并根据 Layer3/Layer4 (IP 协议)数据负载平衡传入到健康后端服务器的客户机连接。
- 安全列表
对于每个子网,可以创建安全规则,以指定必须允许进出子网的源、目标和流量类型。
- 路由表
虚拟路由表包含用于将流量从子网路由到 VCN 外部的目标的规则,通常是通过网关路由。
在集线器 VCN 中,您具有以下路由表:
- 附加到具有连接到 Internet 网关的默认路由的管理子网的管理路由表。
- 连接到不可信子网或默认 VCN 的不信任路由表,用于将通信从中心服务器 VCN 路由到 Internet 或内部部署目标。
此路由表还有一个附加条目,指向使用动态路由网关的内部部署子网。这将确保在将来的本机网络地址转换支持期间不会发生通信中断。
- 通过关联的 LPG 将信任路由表附加到指向分支 VCN 的 CIDR 块的信任子网。
- 连接到 NLB 子网的网络负载平衡器 (Network load balancer, NLB) 路由表,该子网使用动态路由网关指向内部部署子网的 CIDR 块。
- 对于连接到集线器的每个扬声器,将定义一个不同的路由表并将其附加到关联的 LPG。该路由表通过内部灵活的网络负载平衡器从关联的扬声器 LPG 转发所有通信 (0.0.0.0/0),也可以在粒度级别定义它。
- 附加到 Oracle 服务网关的 Oracle 服务网关路由表,用于 Oracle 服务网络通信。该路由会将所有通信 (0.0.0.0/0) 转发到内部负载平衡器 VIP IP。
- 为了保持通信对称性,还会向每个 Palo Alto Networks VM 系列防火墙添加路由,以指向信任(内部)子网的默认网关 IP(中心服务器 VCN 上的信任子网中提供的默认网关 IP)和指向 Untrust 子网默认网关 IP 的默认 CIDR 块 (0.0.0.0/0)。
- Internet 网关
Internet 网关允许 VCN 中的公共子网与公共 Internet 之间的通信。
- NAT 网关
NAT 网关允许 VCN 中的专用资源访问 Internet 上的主机,而不会向传入的 Internet 连接公开这些资源。
- 本地对等网关 (LPG)
LPG 允许您将一个 VCN 与同一区域中的另一个 VCN 对等。对等意味着 VCN 使用专用 IP 地址进行通信,而无需流量遍历 Internet 或通过内部部署网络进行路由。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,用于为 VCN 与区域之外的网络(例如另一 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供程序中的网络)之间的专用网络通信提供路径。
- 服务网关
通过服务网关可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络网状结构网络遍历,从不遍历 Internet。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供了一种在数据中心和 Oracle Cloud Infrastructure 之间创建专用专用专用连接的简单方法。与基于 Internet 的连接相比,FastConnect 提供了更高的带宽选项和更可靠的网络体验。
- 虚拟网络接口卡 (Virtual Network Interface Card, VNIC)
Oracle Cloud Infrastructure 数据中心中的服务具有物理网络接口卡 (physical network interface card, NIC)。虚拟机实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC, VNIC) 进行通信。每个实例都有一个主 VNIC,该 VNIC 在启动期间自动创建和连接,并在实例的生命周期内可用。DHCP 仅提供给主 VNIC。可以在实例启动后添加辅助 VNIC。应为每个接口设置静态 IP。
- 专用 IP
用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主专用 IP,您可以添加和删除辅助专用 IP。实例上的主专用 IP 地址在实例启动期间附加,在实例生命周期内不会更改。辅助 IP 还应属于 VNIC 子网的相同 CIDR。辅助 IP 用作浮动 IP,因为它可以在同一子网内不同实例上的不同 VNIC 之间移动。您还可以将其用作其他端点来托管不同的服务。
- 公共 IP
网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。
- Ephemeral:此地址是临时地址,存在于实例的生命周期中。
- 保留:此地址在实例生命周期之后仍保留。可以取消分配它并将其重新分配给其他实例。
- 来源和目标检查
每个 VNIC 都会对其网络通信执行源和目标检查。禁用此标志可使 CGNS 处理非防火墙目标的网络通信。
- 计算形状
计算实例的形状指定分配给该实例的 CPU 数和内存量。计算配置还确定可用于计算实例的 VNIC 数和最大带宽。
建议
- VCN
创建 VCN 时,根据计划附加到 VCN 子网的资源数确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择不与您要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。
使用区域子网。
验证服务限制中每个 VCN 的最大 LPG 数,以防您要为多个环境和应用程序扩展此体系结构。
- Palo Alto Networks VM 系列防火墙
- 部署活动/活动集群,并根据需要添加其他实例。
- 尽可能在不同的故障域中部署最小或不同的可用性域。
- 确保在所有 VNIC 上将 MTU 设置为 9000。
- 利用 VFIO 接口。
- Palo Alto Networks VM 系列防火墙安全管理
- 如果要创建 Oracle Cloud Infrastructure 中托管的部署,请为管理创建专用子网。
- 使用安全列表或 NSG 限制从 Internet 获取的端口 443 和 22 的入站访问,以管理安全策略并查看日志和事件。
- Palo Alto Networks VM 系列防火墙策略
确保已在 VM 系列防火墙实例上配置了必需的网络地址转换策略。有关所需安全策略、端口和协议的最新信息,请参阅“浏览更多”部分中的防火墙文档。
考虑事项
使用 Palo Alto Networks VM 系列防火墙保护 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作负载时,请考虑以下事项:
- 性能
- 选择正确的实例大小(由计算配置确定)将确定最大可用吞吐量、CPU、RAM 和接口数。
- 组织需要了解哪些类型的通信遍历环境,确定适当的风险级别,并根据需要应用适当的安全控制。启用的安全控制的不同组合会影响性能。
- 考虑为 FastConnect 或 VPN 服务添加专用接口。
- 考虑使用大型计算形状提高吞吐量和访问更多网络接口。
- 运行性能测试以验证设计可以保持所需的性能和吞吐量。
- 安全性
在 Oracle Cloud Infrastructure 中部署 Palo Alto Networks VM 系列防火墙允许集中配置安全策略以及监视所有物理和虚拟 Palo Alto Networks VM 系列实例。
- 可用性
- 将体系结构部署到不同的地理区域,以实现最大的冗余。
- 使用相关组织网络配置站点到站点 VPN,以便与内部部署网络进行冗余连接。
- 成本
- Palo Alto Networks VM-Sries 防火墙可用于 Oracle Cloud Marketplace 中的 Bundle 1 和 Bundle 2 的 bring-your-own-license (BYOL) 和即付许可证模型。
- 捆绑包 1 包括 VM 系列容量许可证、威胁预防许可证和高级支持权利。
- 捆绑包 2 包括具有完整许可证套件的 VM 系列容量许可证,其中包括预防威胁、WildFire、URL 筛选、DNS 安全性、GlobalProtect 和高级支持权利。
- Palo Alto Networks VM-Sries 防火墙可用于 Oracle Cloud Marketplace 中的 Bundle 1 和 Bundle 2 的 bring-your-own-license (BYOL) 和即付许可证模型。
部署
您可以使用 Oracle Cloud Marketplace 在 Oracle Cloud Infrastructure 上部署 Palo Alto Networks VM 系列防火墙。您还可以从 Github 下载代码并自定义代码以满足特定的业务要求。
Oracle 建议从 Oracle Cloud Marketplace 部署体系结构。
- 在 Oracle Cloud Marketplace 中使用堆栈进行部署:
- 设置所需的网络基础结构,如体系结构图中所示。请参见 Set up a hub-and-spoke network topology。
- 在环境上部署应用程序(Oracle E-Business Suite 或 PeopleSoft)。
- 对于不同的配置和许可要求,Oracle Cloud Marketplace 具有多个列表。例如,以下列表功能带来您自己的许可 (BYOL)。对于您选择的每个列表,单击获取应用程序并按照屏幕上的提示操作:
- 在 GitHub 中使用 Terraform 代码进行部署:
- 转到 GitHub 系统信息库。
- 将资料档案库克隆或下载到本地计算机。
- 按照
README文档中的说明操作。