使用 Palo Alto Networks 保护应用负载 VM 系列防火墙

使用 Palo Alto Network VM 系列虚拟下一代防火墙 (virtual next-generation firewall, NGFW) 从云中的 Oracle E-Business Suite 或 PeopleSoft 安全移动或扩展应用程序负载。

Palo Alto Networks VM 系列虚拟 NGFW 安全的多云环境，提供对定制应用程序的全面应用通信可见性和控制、一致的跨云防火墙管理和策略实施、机器语言提供的威胁保护和撤消过滤预防，以及自动化的部署和预配功能，以跟上甚至最动态的环境。

云中的安全性基于共享责任模型。Oracle 负责基础基础结构（例如数据中心设施）以及用于管理云操作和服务的硬件和软件的安全性。客户负责保护其工作负载并安全地配置其服务和应用程序，以履行其合规性义务。

Palo Alto Networks VM 系列防火墙在云环境中提供一致的威胁预防和内嵌网络安全性，可帮助网络安全团队恢复对云网络中流量的可见性和控制。Palo Alto Networks VM 系列的主要功能包括第 7 层防火墙、云提供的安全订阅和合并安全管理。

后面是 pan-advanced-security.png 的说明插图 pan-advanced-security.png 的说明

体系结构

此引用体系结构说明了组织如何使用 Palo Alto Networks VM 系列防火墙保护 Oracle Cloud Infrastructure 中部署的 Oracle 应用程序（如 Oracle E-Business Suite 和 PeopleSoft）。

为了保护这些通信流，Palo Alto Networks 建议使用集线器和扬声器拓扑分段网络，其中通信通过中央集线器路由并连接到多个不同的网络（扬声器）。扬声器之间的所有通信（无论是上网还是上网、内部部署还是 Oracle 服务网络）都通过集线器进行路由，并使用 Palo Alto Networks VM 系列防火墙的多层威胁预防技术进行检查。

在自己的虚拟云网络 (VCN) 中部署应用程序的每个层，该虚拟云网络充当扬声器。中心服务器 VCN 包含一个 Palo Alto Networks VM 系列防火墙高可用性群集、Oracle Internet 网关、动态路由网关 (Dynamic Routing gateway, DRG)、Oracle 服务网关和本地对等网关 (LPG)。

集线器 VCN 通过 LPG 或通过将辅助虚拟网络接口卡 (VNIC) 连接到 Palo Alto Networks VM 系列防火墙来连接到扬声器 VCN。所有分支流量都使用路由表规则将流量通过 LPG 路由到集线器，以供 Palo Alto Networks VM 系列防火墙高可用性集群检查。

您可以在本地配置和管理 Palo Alto Networks VM 系列防火墙，或者集中使用 Palo Alto Networks 集中式安全管理系统 Panorama。全面帮助客户减少管理配置、策略、软件和动态内容更新的复杂性和管理开销。使用全局上的设备组和模板，您可以在防火墙的本地管理特定于防火墙的配置，并在所有防火墙或设备组中强制执行共享策略。

下图说明了此引用体系结构。

后面是 palo_alto_nw_vm_oci.png 的说明插图 palo_alto_nw_vm_oci.png 的说明

北南入站流量

下图说明了南北入站流量如何从 Internet 和远程数据中心访问 Web 应用程序层。此配置确保在 Palo Alto Networks VM 系列防火墙上打开网络地址转换 (NAT) 和安全策略。

后面是 palo_alto_north_south_inbound.png 的说明插图 palo_alto_north_south_inbound.png 的说明

北南出站流量

下图说明了从 Web 应用程序和数据库层到 Internet 的传出连接如何提供软件更新和对外部 Web 服务的访问。此配置确保在 Palo Alto Networks VM 系列防火墙策略中为相关网络配置源 NAT。

后面是 palo_alto_north_south_outbound.png 的说明插图 palo_alto_north_south_outbound.png 的说明

东西流量（Web 到数据库）

下图说明了流量如何从 Web 应用程序移动到数据库层。

后面是 palo_alto_east_west_web_db.png 的说明插图 palo_alto_east_west_web_db.png 的说明

东西流量（数据库到 Web）

下图说明了流量如何从数据库层移动到 Web 应用程序。

后面是 palo_alto_east_west_db_web.png 的说明插图 palo_alto_east_west_db_web.png 的说明

东西流量（Web 应用程序到 Oracle 服务网络）

下图说明了通信如何从 Web 应用程序移动到 Oracle 服务网络。此配置可确保已在 Palo Alto Networks VM 系列防火墙界面上启用巨型帧。

后面是 palo_alto_east_west_webapp_osn.png 的说明插图 palo_alto_east_west_webapp_osn.png 的说明

东西流量（Oracle 服务网络到 Web 应用程序）

下图说明了通信如何从 Oracle 服务网络移动到 Web 应用程序。

后面是 palo_alto_east_west_osn_webapp.png 的说明插图 palo_alto_east_west_osn_webapp.png 的说明

体系结构包含以下组成部分：

Palo Alto 网络 VM 系列防火墙
以虚拟机 (VM) 形式提供物理下一代防火墙的所有功能，提供内嵌网络安全性并防止威胁，从而始终保护公共云和专用云。
Oracle E-Business Suite 或 PeopleSoft 应用程序层
由 Oracle E-Business Suite 或 PeopleSoft 应用程序服务器和文件系统组成。
Oracle E-Business Suite 或 PeopleSoft 数据库层
由 Oracle Database 组成，但不限于 Oracle Database Exadata Cloud Service 服务或 Oracle Database 服务。
区域
Oracle Cloud Infrastructure 区域是包含一个或多个数据中心（称为可用性域）的本地化地理区域。区域独立于其他区域，其距离很广（跨越国家或甚至大陆）。
可用性域
可用性域是区域内的独立独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，这些资源提供了容错功能。可用性域不共享基础设施，例如电源、冷却或内部可用性域网络。因此，一个可用性域的故障不可能影响该区域中的其他可用性域。
故障域
故障域是可用性域中的一组硬件和基础结构。每个可用性域都有三个具有独立电源和硬件的故障域。在多个故障域之间分配资源时，应用程序可以容忍故障域中的物理服务器故障、系统维护和电源故障。
虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样，VCN 为您提供了对网络环境的完全控制。VCN 可以有多个非重叠 CIDR 块，您可以在创建 VCN 后更改这些块。可以将 VCN 细分为子网，子网可限定为区域或可用性域。每个子网包含一系列与 VCN 中的其他子网不重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或专用的。
Hub VCN
集线器 VCN 是一个集中网络，用于部署 Palo Alto Networks VM 系列防火墙。它提供与所有通话 VCN、Oracle Cloud Infrastructure 服务、公共端点和客户机以及内部部署数据中心网络的安全连接。
应用程序层语音 VCN
应用程序层 spoke VCN 包含托管 Oracle E-Business Suite 或 PeopleSoft 组件的专用子网。
数据库层表示 VCN
数据库层 spoke VCN 包含用于托管 Oracle 数据库的专用子网。
负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动通信分发。
安全列表
对于每个子网，可以创建安全规则来指定必须允许进出子网的流量源、目标和类型。
路由表
虚拟路由表包含用于将流量从子网路由到 VCN 外部的目标的规则，通常是通过网关路由。

在集线器 VCN 中，您具有以下路由表：
- 附加到具有连接到 Internet 网关的默认路由的管理子网的管理路由表。
- 连接到不可信子网或默认 VCN 的不信任路由表，用于将通信从中心服务器 VCN 路由到 Internet 或内部部署目标。
- 通过关联的 LPG 将信任路由表附加到指向分支 VCN 的 CIDR 块的信任子网。
- 连接到高可用性子网的高可用性路由表，该子网管理 Palo Alto Networks VM 系列防火墙实例之间的高可用性。
- 对于连接到集线器的每个扬声器，将定义一个不同的路由表并将其附加到关联的 LPG。该路由表通过 Palo Alto Networks VM 系列防火墙信任接口浮动 IP 从关联的语音 LPG 转发所有通信 (0.0.0.0/0)。
- 附加到 Oracle 服务网关的 Oracle 服务网关路由表，用于 Oracle 服务网络通信。该路由将所有通信 (0.0.0.0/0) 转发到 Palo Alto Networks VM 系列防火墙信任接口浮动 IP。
- 为了保持流量对称性，还会向每个 Palo Alto Networks VM 系列防火墙添加路由，以将 CIDR 语音流量块指向信任（内部）子网的默认网关 IP（中心服务器 VCN 上的信任子网中提供的默认网关 IP）。
Internet 网关
Internet 网关允许 VCN 中的公共子网与公共 Internet 之间的通信。
网络地址转换 (Network address translation， NAT) 网关
NAT 网关允许 VCN 中的专用资源访问互联网上的主机，而无需向传入的 Internet 连接公开这些资源。
本地对等连接网关 (LPG)
LPG 允许您将一个 VCN 与同一区域中的另一个 VCN 对等。对等是指 VCN 使用专用 IP 地址进行通信，而不是流量通过 Internet 或通过内部部署网络进行路由。
动态路由网关 (DRG)
DRG 是一个虚拟路由器，它为 VCN 与区域之外的网络（例如另一 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供程序中的网络）之间的专用网络通信提供路径。
服务网关
通过服务网关可以从 VCN 访问其他服务，例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络网状结构网络遍历，从不遍历 Internet。
FastConnect
Oracle Cloud Infrastructure FastConnect 提供了一种在数据中心和 Oracle Cloud Infrastructure 之间创建专用专用专用连接的简单方法。与基于 Internet 的连接相比，FastConnect 提供了更高的带宽选项和更可靠的网络体验。
虚拟网卡 (VNIC)
Oracle Cloud Infrastructure 数据中心中的服务具有物理网络接口卡 (physical network interface card, NIC)。虚拟机实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC, VNIC) 进行通信。每个实例都有一个主 VNIC，该 VNIC 在启动期间自动创建和连接，并在实例的生命周期内可用。DHCP 仅提供给主 VNIC。可以在实例启动后添加辅助 VNIC。应为每个接口设置静态 IP。
专用 IP
用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主专用 IP，您可以添加和删除辅助专用 IP。实例上的主要专用 IP 地址在实例启动期间附加，在实例生命周期内不会更改。辅助 IP 也应属于 VNIC 子网的相同 CIDR。辅助 IP 用作浮动 IP，因为它可以在同一子网内不同实例上的不同 VNIC 之间移动。您还可以将其用作其他端点来托管不同的服务。
公共 IP
网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。
- Ephemeral：此地址是临时地址，在实例生命周期内存在。
- 已保留：此地址在实例生命周期之后仍保留。可以取消分配它并将其重新分配给其他实例。
源和目标检查
每个 VNIC 都会对其网络通信执行源和目标检查。禁用此标志可使 CGNS 处理非防火墙目标的网络通信。
计算配置
计算实例的形状指定 CPU 数和分配到实例的内存量。计算配置还确定可用于计算实例的 VNIC 数和最大带宽。

建议

使用以下建议案作为使用 Palo Alto Networks VM 系列防火墙保护 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作负载的起点。您的要求可能不同于此处介绍的体系结构。

VCN
创建 VCN 时，根据计划附加到 VCN 中子网的资源数确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

选择不与您打算设置专用连接的任何其他网络（在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中）重叠的 CIDR 块。

创建 VCN 后，可以更改、添加和删除其 CIDR 块。

设计子网时，请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。

使用区域子网。

验证服务限制中每个 VCN 的最大 LPG 数，以防您要为多个环境和应用程序扩展此体系结构。
Palo Alto 网络 VM 系列防火墙
- 部署高可用性集群。
- 尽可能在最低或不同可用性域中部署不同的故障域。
- 确保在所有 VNIC 上将 MTU 设置为 9000。
- 利用 VFIO 接口。
Palo Alto 网络 VM 系列防火墙安全管理
- 如果要创建 Oracle Cloud Infrastructure 中托管的部署，请为管理创建专用子网。
- 使用安全列表或 NSG 限制从 Internet 获取的端口 443 和 22 的入站访问，以管理安全策略并查看日志和事件。
Palo Alto Networks VM 系列防火墙策略
有关所需安全策略、端口和协议的最新信息，请参阅“浏览更多”部分中的防火墙文档。

考虑事项

使用 Palo Alto Networks VM 系列防火墙保护 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作负载时，请考虑以下事项：

性能
- 选择正确的实例大小（由计算配置确定）将确定最大可用吞吐量、CPU、RAM 和接口数。
- 组织需要了解哪些类型的流量遍历环境，确定适当的风险级别，并根据需要应用适当的安全控制。启用的安全控制的不同组合会影响性能。
- 考虑为 FastConnect 或 VPN 服务添加专用接口。
- 考虑使用大型计算配置提高吞吐量和访问更多网络接口。
- 运行性能测试以验证设计可以保持所需的性能和吞吐量。
安全性
- 通过在 Oracle Cloud Infrastructure 中部署 Palo Alto Networks VM 系列防火墙，可以集中配置安全策略以及监视所有物理和虚拟 Palo Alto Networks VM 系列实例。
- 为每个集群部署定义不同的身份和访问管理 (IAM) 动态组或策略。
可用性
- 将体系结构部署到不同的地理区域，以实现最大的冗余。
- 使用相关组织网络配置站点到站点 VPN，以便与内部部署网络进行冗余连接。
成本
- Palo Alto Networks VM 系列防火墙可用于 Oracle Cloud Marketplace 中的 Bundle 1 和 Bundle 2 的 bring-your-own-license (BYOL) 和即付许可证模型。
  - 捆绑包 1 包括 VM 系列容量许可证、威胁预防许可证和高级支持权利。
  - 捆绑包 2 包括 VM 系列容量许可证以及完整的许可证套件，其中包括预防威胁、WildFire、URL 筛选、DNS 安全性、GlobalProtect 和高级支持权利。

部署

Oracle Cloud Marketplace 中的堆栈提供了使用 Palo Alto Networks VM 系列防火墙保护 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 负载的代码。您还可以从 GitHub 下载代码，并根据特定业务要求进行定制。

Oracle 建议从 Oracle Cloud Marketplace 部署体系结构。

使用 Oracle Cloud Marketplace 中的堆栈进行部署：
1. 按体系结构图中所示设置所需的网络基础结构。请参阅使用本地对等连接网关设置网络拓扑。
2. 在环境上部署应用程序（Oracle E-Business Suite 或 PeopleSoft）。
3. Oracle Cloud Marketplace 具有多种堆栈来满足不同的配置和许可要求。例如，以下堆栈功能自带许可证 (BYOL)。对于您选择的每个堆栈，单击获取应用程序并按照屏幕上的提示操作：
  - Palo Alto Networks VM 系列防火墙－ BYOL。
  - Palo Alto Networks VM 系列防火墙 - 列表。
在 GitHub 中使用 Terraform 代码进行部署：
1. 转到 GitHub 系统信息库。
2. 将资料档案库克隆或下载到本地计算机。
3. 按照 README 文档中的说明操作。

浏览更多

了解有关此体系结构的功能和相关资源的详细信息。