1. 使用 OCI Flexible Network Load Balancer 在作用中 / 作用中模式部署 Palo Alto 防火牆
  2. 設定部署設定值

設定部署設定值

在本節中,我們將檢閱參考架構中顯示的 VCN、路由表、閘道、Palo Alto 防火牆及 OCI Flexible Network Load Balancer 組態步驟。

設定 VCN

設定 VCN、子網路以及路由表,如以下小節所述。

  • Hub VCN 將有四個專用於 Palo Alto 的子網路,一個名為 hub-tok-inbound-sn 的子網路為公用子網路。
  • 子網路 hub-tok-mgmt-sn 適用於 Palo Alto 管理介面,也是主要 Palo Alto 介面部署位置。
  • 子網路 hub-tok-trust-sn 適用於 Palo Alto 信任介面,可部署內部的 OCI Flexible Network Load Balancer
  • 子網路 hub-tok-untrust-sn 是一個專用子網路,將用於提供對 OCI 中 VM 的外送網際網路存取。
  • 子網路 hub-tok-publiclb-sn 是將 DMZ 服務公開到網際網路的公用子網路,其中包含所有公用 IP。OCI 彈性網路負載平衡器將位於此子網路中,而備份的 VM 將位於應用程式或環境的支點 VCN 上。
  • Hub VCN 的網際網路閘道、服務閘道、NAT 閘道會連附路由表,讓 Palo Alto 成為區域之間的通過裝置。
  • 沒有公用 IP 連附至 Palo Alto,無法將服務公開至網際網路。
  • 需要將服務公開給網際網路的負載平衡器、NLB 以及伺服器,都將部署在已連附公用 IP 的 hub-tok-publiclb-sn 子網路中。
  • 路由表 IGW RT 的「公用子網路」路由將指向內送 NLB IP 10.1.1.198 的 10.1.1.0/25。
  • 路由表 NGW-RTSGW-RT 將會是空的,且不需要任何路由。
  • 路由表 VCN 連附項路由表的預設路由 0.0.0.0/0,以及指向信任 NLB IP 10.1.1.229 的 hub-tok-shared-sn 10.1.1.128/27 特定路由。
  • 子網路 hub-tok-publiclb-sn 的路由表將具有指向內送 NLB IP 10.1.1.198 的預設路由,以及指向 DRG 的網輻範圍。
  • 子網路 hub-tok-inbound-sn 的路由表會有網際網路閘道的預設路由。
  • 子網路 hub-tok-untrust-sn 的路由表將有預設路由至 NAT 閘道,而該區域的所有 Oracle Services Network 則會傳送至服務閘道。
  • 子網路 hub-tok-trust-sn 的路由表將有網輻範圍的路由,以及 DRG 的內部部署範圍。
  • 所有網輻子網路路由表都將具有 DRG 的靜態預設路由。

設定 OCI 彈性網路負載平衡器

在此區段中,我們將複查 Active/Active Palo Alto 部署的 OCI Flexible Network Load Balancer 組態。

  1. 建立含有標頭保留和對稱雜湊的專用 Inbound-nlb。
  2. 選擇內送子網路,但它是公用子網路並建立專用 NLB。
  3. 監聽器的類型應為 UDP/TCP/ICMP 和任何連接埠。
  4. 將 Palo Alto VM 內送 NIC IP 新增為任何連接埠的後端至 NLB 後端集。
  5. 設定 TCP 連接埠 22 的狀況檢查,計時器值可根據偵測到失敗的速度需求變更。在此範例中使用了預設值。
  6. 依照上述相同步驟在信任子網路上設定信任 NLB,只要變更即可選擇 Palo Alto 的信任介面 IP 作為後端集。

設定 Palo Alto 防火牆設定

在此區段中,我們將複查 Palo Alto 防火牆組態步驟。

  1. 在 OCI 中部署兩個獨立的 Palo Alto 裝置,參照開始之前區段中共用的連結,在此部署中,每個裝置都會有四個 NIC:管理 NIC、信任 NIC、不信任 NIC 及內送 NIC。
  2. 確定 Palo Alto 裝置配置 GUI 上的 NIC 與主控台的順序相同。
  3. 在 Palo Alto 中建立額外的虛擬路由器: inbound-rtr ,然後將內送 NIC 附加到新的虛擬路由器。
  4. 必須使用此虛擬路由器,才能確保 Palo Alto 在其資料層上擁有兩個預設路由,一個用於透過 OCI NAT 閘道進行傳出網際網路存取,另一個則用於透過網際網路閘道傳入網際網路。

設定動態路由閘道

DRG 在 Hub 與 Spoke VCN 之間的 OCI 日期平面中作為路由器。我們將修改每個連附項的路由表和匯入分配,以強制透過 OCI 中 Palo Alto 防火牆的所有流量。

  1. 建立 Hub 附件路由表的匯入分配,並將所有類型的路由匯入至該路由。
  2. 將匯入分配連附至 Hub VCN 路由表。
  3. 在 IPSec VPN 和 OCI FastConnect 連附項的路由表上,對指向 Hub VCN 的支點 VCN 和 Hub VCN 範圍新增靜態路由,然後移除匯入分配。

附註:

您可以參考和修改此架構,以部署任何其他市集防火牆,例如 Checkpoint、Cisco Firepower 和其他防火牆。必須使用其他市集防火牆的同等組態來修改 Palo Alto 設定區段。