1. 使用 Palo Alto Networks VM 系列防火墙保护您的云负载并简化设计
  2. 利用 Palo Alto Networks VM 系列防火墙保护您的云负载并简化设计

利用 Palo Alto Networks VM 系列防火墙保护您的云负载并简化设计

云端安全性基于共享的责任模式。Oracle 负责底层基础设施的安全性,例如数据中心设施、硬件以及用于管理云运营和服务的软件。客户负责保护负载并安全地配置其服务和应用,以满足其合规性义务。

Oracle Cloud Infrastructure (OCI) 提供了先进的安全技术和运营流程来保护其企业云服务。OCI 的 VM 系列防火墙可帮助网络安全团队在云环境中实现一致的威胁预防并内嵌网络安全性,从而帮助他们重新获得可见性并控制其云网络中的流量。作为 Palo Alto Networks ML 功能 NGFW 的系列,VM 系列提供的功能与 Palo Alto 行业领先的硬件防火墙在 VM 表单因子中的功能相同,因此具有高度可扩展的云环境先决条件。

VM 系列通过无缝集成到 Palo Alto Networks 云提供的安全订阅(例如 Palo Alto Networks 的其他新一代防火墙(CN-Series 容器防火墙和 PA 系列物理防火墙)和 Prisma Access),可以扩展第 7 层防火墙功能。这些云提供的安全订阅可以协调智能功能,并为所有攻击向量提供保护。这种安全性可消除由不同网络安全工具产生的覆盖差距,并提供一致的平台体验来保护您的组织免受先进的恶意威胁。

此参考体系结构显示如何使用 VM 系列防火墙来保护负载,并提供基于 Terraform 的模板来部署体系结构。

体系结构

此参考体系结构展示了组织如何使用 Palo Alto Networks VM-Series 防火墙和灵活的网络负载平衡器来保护 Oracle 应用(例如 Oracle E-Business Suite、PeopleSoft 和 OCI 中部署的应用),并简化了使用动态路由网关 (Dynamic Routing gateways, DRG) 的设计。

为了保护这些流量,Palo Alto 网络建议使用集线器对网络进行分段并讲述拓扑,其中流量通过中央集线器传送,并连接到多个不同的网络(发言人)。确保您在灵活的网络负载平衡器之间部署了多个 VM 系列实例,将其视为三明治拓扑。无论是来自互联网、内部部署还是来自 Oracle 服务网络,发言人之间的所有流量都通过集线器进行路由,并通过 Palo Alto Networks VM 系列防火墙的多层威胁预防技术进行检查。

将应用的每一层部署在其自己的虚拟云网络 (VCN) 中,该虚拟云网络充当请求者。集线器 VCN 包含 Palo Alto Networks VM 系列防火墙活动 - 主动集群、Oracle Internet 网关、DRG、Oracle Service Gateway 以及内部和外部灵活的网络负载平衡器。

集线器 VCN 通过 DRG 连接到分支 VCN。每个 VCN 都有 DRG 的附件,通过该附件,可以彼此进行通信。所有请求流量都使用路由表规则将流量通过 DRG 路由到集线器,使用灵活的网络负载平衡器进行检查,以便 Palo Alto Networks VM 系列防火墙集群进行检查。

您可以在本地配置和管理 Palo Alto 网络防火墙,也可以使用 Palo Alto Networks 集中安全管理系统 Panorama 集中管理防火墙。Panorama 帮助客户降低管理配置、策略、软件和动态内容更新的复杂性和管理开销。通过在 Panorama 上使用设备组和模板,可以在防火墙本地有效地管理特定于防火墙的配置,并在所有防火墙或设备组之间强制实施共享策略。

下图说明了此参考体系结构。

下面是 Drg_nlb_oci_pan_arch.png 的说明
插图 Drg_nlb_oci_pan_arch.png 的说明

每个通信流确保在 VM 系列防火墙上打开网络地址转换 (network address translation, NAT) 和安全策略。灵活的网络负载平衡器当前支持的用例要求在流出通信的防火墙上启用源 NAT。

南北互联网流量

下图说明了南北入站流量如何从 Internet 访问 Web 应用程序层。

后面是 North_south_inbound.png 的说明
插图 North_south_inbound.png 的说明

南北出站互联网流量

下图说明了从 Web 应用程序和数据库层到 Internet 的传出连接如何提供软件更新和对外部 Web 服务的访问。

后面是 North_south_outbound.png 的说明
插图 North_south_outbound.png 的说明

东西流量 (Web 到数据库)

下图说明了流量如何从 Web 应用程序移到数据库层。

下面是 east_west_w2db.png 的说明
插图 east_west_w2db.png 的说明

东西流量(数据库到 Web)

下图说明了流量如何从数据库层移至 Web 应用程序。

下面是 east_west_db2w.png 的说明
插图 east_west_db2w.png 的说明

东西流量(Web 应用到 Oracle 服务网络)

下图说明了流量如何从 Web 应用程序移到 Oracle 服务网络。

下面是 east_west_webapp2osn.png 的说明
插图 east_west_webapp2osn.png 的说明

东西流量(Oracle 服务网络到 Web 应用)

下图说明了流量如何从 Oracle 服务网络迁移到 Web 应用程序。

下面是 east_west_osn2webapp.png 的说明
插图 east_west_osn2webapp.png 的说明

该体系结构包含以下组件:
  • Palo Alto 网络 VM 系列防火墙

    以虚拟机 (VM) 格式提供物理下一代防火墙的所有功能,从而提供内联网络安全性和威胁预防,以始终如一地保护公有云和私有云。

  • Oracle E-Business Suite 或 PeopleSoft 应用程序层

    由 Oracle E-Business Suite 或 PeopleSoft 应用程序服务器和文件系统组成。

  • Oracle E-Business Suite 或 PeopleSoft 数据库层

    由 Oracle Database 组成,但不限于 Oracle Exadata 数据库云服务或 Oracle Database 服务。

  • 区域

    OCI 区域是本地化地理区域,包含一个或多个数据中心,称为可用性域。区域独立于其他区域,大片距离可以分开(跨国家甚至大陆)。

  • 可用性域

    可用性域是区域内的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。

  • 故障域

    故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个容错域,具有独立电源和硬件。在多个容错域之间分配资源时,您的应用可以在容错域内承受物理服务器故障、系统维护和电源故障。

  • 虚拟云网络 (VCN) 和子网

    VCN 是在 OCI 区域中设置的可定制软件定义网络。与传统的数据中心网络类似,VCN 允许您完全控制您的网络环境。VCN 可以有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。可以将 VCN 划分到子网中,您可以将其作用域限定在区域或可用性域中。每个子网都包含与 VCN 中的其他子网不重叠的连续地址范围。您可以在创建子网后更改其大小。子网可以是公共的,也可以是专用的。

  • Hub VCN

    集线器 VCN 是部署了 Palo Alto Networks VM 系列防火墙的集中网络。它为所有请求式 VCN、OCI 服务、公共端点和客户机以及内部部署数据中心网络提供安全连接。应用程序层请求了 VCN 应用程序层请求 VCN 包含用于托管 Oracle E-Business Suite 或 PeopleSoft 组件的专用子网。

  • 数据库层发出了 VCN 命令

    数据库层请求 VCN 包含用于托管 Oracle 数据库的专用子网。

  • 负载平衡器

    OCI 负载平衡服务提供从单入口点到后端多个服务器的自动流量分配。

  • 弹性网络负载平衡器

    OCI 的灵活网络负载平衡器提供从一个入口点到 VCN 中多个后端服务器的自动流量分配。它在连接级别运行,并且负载平衡器根据 Layer3 或 Layer4(IP 协议)数据传入到运行正常后端服务器的客户端连接。

  • 安全列表

    对于每个子网,您可以创建安全规则来指定必须允许进出子网的源、目标和流量类型。

  • 路由表

    虚拟路由表包含用于将流量从子网路由到 VCN 之外的目标(通常通过网关)的规则。在集线器 VCN 中,有以下路由表:

    • 连接到管理子网的管理路由表,该子网具有连接到互联网网关的默认路由。
    • 连接到不可信任子网的不信任路由表或默认 VCN 用于将流量从集线器 VCN 路由到互联网或内部部署的不信任路由表通过 DRG 引发 VCN。此路由表还具有通过 DRG 的每个请求 VCN 的 CIDR 块路由的条目。
    • 连接到信任子网的信任路由表,指向通过 DRG 已请求 VCN 的 CIDR 块。
    • 连接到 NLB 子网的网络负载平衡器 (NLB) 路由表,指向通过 DRG 已请求 VCN 的 CIDR 块。
    • 对于 DRG 连接到集线器的每个请求,定义了不同的路由表,并且路由目标用作 DRG。该路由表将来自请求中的 VCN 的所有流量 (0.0.0.0/0) 转发到 DRG 的内部灵活网络负载平衡器,也可以在粒度级别定义该流量。
    • 连接到 Oracle 服务网络通信的 Oracle 服务网关路由表。该路由将所有流量 (0.0.0.0/0) 转发到内部专用网络负载平衡器 VIP IP。
    • 为了维护流量对称,还会向每个 Palo Alto Networks VM-Series 防火墙添加路由,以便将请求通信的 CIDR 块指向信任(内部)子网的默认网关 IP 以及指向不可信任子网默认网关 IP 的默认 CIDR 块 (0.0.0.0/0)。默认网关 IP 在集线器 VCN 的信任子网中可用。
  • Internet 网关

    互联网网关允许 VCN 中的公共子网与公共互联网之间的流量。

  • NAT 网关

    NAT 网关允许 VCN 中的专用资源访问互联网上的主机,而不会向传入的 Internet 连接公开这些资源。

  • 动态路由网关 (DRG)

    DRG 是虚拟路由器,用于为 VCN 与区域外网络之间的专用网络通信提供路径,例如另一个 OCI 区域中的 VCN、内部部署网络或其他云提供商中的网络。

  • 服务网关

    通过服务网关,可以从 VCN 访问其他服务,例如 OCI 对象存储。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传播,从不穿过互联网。

  • FastConnect

    OCI FastConnect 可以在您的数据中心与 OCI 之间轻松创建专用连接。与基于 Internet 的连接相比,FastConnect 提供更高带宽选项和更可靠的网络体验。

  • 虚拟网络接口卡 (virtual network interface card, VNIC)

    OCI 数据中心中的服务具有物理网络接口卡 (NIC)。VM 实例使用与物理 NIC 关联的虚拟 NIC (virtual NIC, VNIC) 进行通信。每个实例都有一个主要 VNIC,在部署期间自动创建并连接,并在实例的生命周期内可用。DHCP 仅提供给主 VNIC。您可以在实例部署后添加辅助 VNIC。为每个接口设置静态 IP。

  • 专用 IP

    用于寻址实例的专用 IPv4 地址和相关信息。每个 VNIC 都有一个主要专用 IP,您可以添加和删除辅助专用 IP。实例上的主要专用 IP 地址在实例部署期间连接,在实例生命周期内不会更改。辅助 IP 还属于 VNIC 子网的同一 CIDR。辅助 IP 用作浮动 IP,因为它可以在同一子网内的不同实例上的不同 VNIC 之间移动。您还可以将其用作托管不同服务的不同端点。

  • 公共 IP
    网络服务定义由 Oracle 选择的映射到专用 IP 的公共 IPv4 地址。公共 IP 具有以下类型:
    • 临时:此地址是临时地址,在实例的有效期内存在。
    • 保留:此地址在实例的有效期内保留。它可以取消分配并重新分配到另一实例。
  • 源和目标检查

    每个 VNIC 都对其网络流量执行源和目标检查。禁用此标志可使 Palo Alto Networks VM 系列防火墙处理不是防火墙目标的网络通信。

  • 计算配置

    计算实例的配置指定分配给实例的 CPU 数和内存量。计算配置还确定可用于计算实例的 VNIC 数量和最大带宽。

建议

使用以下建议作为起点,使用 Palo Alto Networks VM 系列防火墙在 OCI 上保护 Oracle E-Business Suite 或 PeopleSoft 负载。您的要求可能与此处介绍的体系结构有所不同。
  • VCN

    创建 VCN 时,请根据您计划附加到 VCN 中的子网的资源数量确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。

    创建 VCN 后,可以更改、添加和删除其 CIDR 块。

    设计子网时,请考虑您的流量和安全性要求。将特定层或角色中的所有资源连接到可充当安全边界的同一子网。

    如果您希望检查整个分支 VCN 的流量,请使用区域子网并确保分支 VCN 的 CIDR 与请求子网完全关联。

  • Palo Alto Networks VM 系列防火墙
    • 部署主动 - 主动群集并添加必要的实例。
    • 尽可能在不同的容错域中部署至少可用性域或不同的可用性域。
    • 确保所有 VNIC 上的 MTU 设置为 9000。利用 VFIO 接口。
  • Palo Alto Networks VM 系列防火墙管理
    • 如果要创建以 OCI 托管的部署,请创建一个专用子网进行管理。
    • 使用安全列表或网络服务网关限制从 Internet 访问端口 443 和 22,以便管理安全策略以及查看日志和事件。
  • Palo Alto Networks VM 系列防火墙策略

    有关所需安全策略、端口和协议的最新信息,请参阅“浏览更多”部分中的防火墙文档。确保已在 VM 系列防火墙实例上配置了所需的网络地址转换策略。

考虑事项

使用 Palo Alto Networks VM 系列防火墙在 OCI 上保护 Oracle E-Business Suite 或 PeopleSoft 负载时,请考虑以下因素:

  • 性能
    • 选择适当的实例大小(由计算配置确定)可确定最大可用吞吐量、CPU、RAM 和接口数。
    • 组织需要知道哪些类型的流量会遍历环境,确定适当的风险级别,并根据需要实施适当的安全控制。启用的安全控制的不同组合会影响性能。
    • 考虑为 FastConnect 或 VPN 服务添加专用接口。
    • 考虑使用大型计算配置来提高吞吐量和访问更多网络接口。
    • 运行性能测试以验证设计是否能够维持所需的性能和吞吐量。
  • 安全性

    在 OCI 中部署 Palo Alto 网络 VM 系列防火墙有助于集中配置安全策略,并监视所有物理和虚拟 Palo Alto 网络 VM 系列实例。

  • 可用性
    • 将您的架构部署到不同的地理区域,以实现最大的冗余。
    • 通过相关的组织网络配置站点到站点 VPN,以便与内部部署网络建立冗余连接。
  • 成本
    Palo Alto Networks VM-Series Firewall is available in bring-your-own-license (BYOL) and Pay As You Go license model for bundle 1 and bundle 2 in the Oracle Cloud Marketplace.
    • 捆绑包 1 包括 VM 系列容量许可证、防止威胁许可证和高级支持权利。
    • 捆绑包 2 包括具有完整许可证套件的 VM 系列容量许可证,其中包括防止威胁、WildFire、URL 过滤、DNS 安全性、GlobalProtect 和高级支持权利。

部署

您可以使用 Oracle Cloud Marketplace 在 OCI 上部署 VM 系列防火墙。您还可以从 GitHub 下载代码并进行定制,以满足您的特定业务需求。Oracle 建议从 Oracle Cloud Marketplace 部署体系结构。
  • 使用 Oracle Cloud Marketplace 中的堆栈进行部署:
    1. 按体系结构图中所示设置所需的网络基础结构。见例,建立中心和网络拓扑。
    2. 在您的环境中部署应用程序(Oracle E-Business Suite 或 PeopleSoft 或应用程序)。
    3. 对于不同的配置和许可要求,Oracle Cloud Marketplace 有多个清单。例如,以下列表功能提供您自己的许可 (BYOL) 或付费。对于所选的每个列表,单击 "Get App"(获取应用程序)并按照屏幕上的提示操作:
  • 在 GitHub 中使用 Terraform 代码部署:
    1. 转至 GitHub
    2. 将资料档案库克隆或下载到本地计算机。
    3. 按照 README 文档中的说明进行操作。

浏览更多

要了解有关此体系结构的功能和相关资源的更多信息,请查看以下附加出版物: