使用彈性網路負載平衡器保護 Palo Alto 網路 VM-Series 防火牆的工作負載
Palo Alto Networks VM-Series 虛擬新一代防火牆藉由提供完整的應用程式流量可見性並控制自訂應用程式、一致的跨雲端防火牆管理和原則強制實行、機器語言安全威脅保護及現代化防護,以及自動化部署與佈建功能,以保持大多數的動態環境。
VM-Series 虛擬新一代防火牆透過保護探索、惡意軟體、已知與未知的威脅以及資料過濾,來增強 Oracle Cloud Infrastructure 的原生網路安全控制。
VM-Series 虛擬新一代防火牆以虛擬機器 (VM) 形式提供實體新一代防火牆的所有功能、提供內嵌網路安全性,以及防止防護公用和專用雲端、虛擬化資料中心和分支位置。VM-Series 虛擬防火牆提供安全團隊保護公有雲環境所需的功能,包括完整可見性與控制、一致的原則強制實行、應用程式安全性、現存預防、規範與風險管理、安全性自動化以及雲端診斷管理。
- 完全可見性與控制發現跨環境的威脅
- 一致的原則強制實行可提供最佳的類別內安全
- 規範和 Risk Management 變得更容易
- 安全自動化安全防護 DevOps
架構
此參考架構說明組織如何使用 Palo Alto Networks VM Series Firewall 搭配彈性網路負載平衡器來保護 Oracle Cloud Infrastructure (OCI) 中部署的 Oracle 應用系統 (例如 Oracle E-Business Suite 和 PeopleSoft)。
為了保護這些流量,Palo Alto Networks 建議您使用集線器和軸輻拓樸來區隔網路,其中流量會透過中央集線器遞送並連線至多個不同的網路 (網輻)。請確定已在彈性網路負載平衡器之間部署多個 VM-Series 執行處理 (視為「三明治拓樸」)。網輻之間的所有流量,不論是從網際網路、內部部署網路或從 Oracle Services Network,都會透過集線器進行路由,並使用 Palo Alto Networks VM Series Firewall 的多層威脅預防技術進行檢查。
在應用程式的每層虛擬雲端網路 (VCN) 中部署作為網幅的每一層。集線器 VCN 包含一個 Palo Alto Networks VM Series Firewall 作用中/作用中叢集、Oracle Internet Gateway、動態路由閘道 (DRG)、Oracle Service 閘道、本機對等互連閘道 (LPG)、內部和外部彈性網路負載平衡器。
中樞 VCN 會透過 LPG 連線至網幅 VCN。所有網幅流量都使用路由表規則,利用 Palo Alto Networks VM 系列防火牆叢集的彈性網路負載平衡器,透過 LPG 將流量遞送至集線器。
您可以在本機設定和管理 Palo Alto Networks 防火牆,或是使用 Palo Alto Networks 集中式安全管理系統 Panorama 集中管理防火牆。Panorama 可協助客戶降低管理組態、原則、軟體以及動態內容更新的複雜性和管理負荷。您可以使用 Panorama 上的裝置群組和樣板,有效地管理防火牆上的本機防火牆特定組態,以及在所有防火牆或裝置群組間強制實行共用原則。
下圖說明此參考架構。
palo_alto_nlb_nw_vm_oci.png 圖解描述
對於每個流量流程,請確定已在 Palo Alto Networks VM Series Firewall 上開啟網路位址轉譯 (NAT) 和安全原則。
北方入埠流量
下圖說明一般-south 輸入流量如何從網際網路和遠端資料中心存取 Web 應用程式層。
palo_alto_nlb_north_south_inbound.png 圖解描述
北部出埠流量
下圖說明從 Web 應用程式和資料庫層到網際網路的外送連線如何提供外部 Web 服務的軟體更新和存取權。
palo_alto_nlb_north_south_outbound.png 圖解描述
復原-測試流量 (Web 至資料庫)
下圖說明流量如何從 Web 應用程式移至資料庫層。
palo_alto_nlb_east_west_web_db.png 圖解描述
復原-測試流量 (資料庫至 Web)
下圖說明流量如何從資料庫層移至 Web 應用程式。
palo_alto_nlb_east_west_db_web.png 圖解描述
復活節測試流量 (Oracle 服務網路的 Web 應用程式)
下圖說明流量如何從 Web 應用程式移至 Oracle Services Network。
palo_alto_nlb_east_west_webapp_osn.png 圖解描述
復活節測試流量 (Oracle 服務網路至 Web 應用程式)
下圖說明流量如何從 Oracle Services Network 移至 Web 應用程式。
palo_alto_nlb_east_west_osn_webapp.png 圖解描述
架構包含下列元件:
- Palo Alto 網路 VM-Series 防火牆
在虛擬機器 (VM) 表單中提供實體下一代防火牆的所有功能,提供內嵌網路安全性與威脅,以防一致地保護公用和專用雲端。
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎架構,例如電源、冷卻或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。
- 容錯域
容錯域是一組可用網域內的硬體和基礎架構。每個可用網域都有三個具有獨立電源與硬體的容錯域。當您將資源分配到多個容錯域時,應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完全控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可設為某個區域或可用網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。
- Hub VCN
Hub VCN 是部署 Palo Alto Networks VM-Series 防火牆的集中式網路。它提供所有網幅 VCN、Oracle Cloud Infrastructure 服務、公用端點與從屬端以及企業內部部署資料中心網路的安全連線。
- 應用程式層網幅 VCN
應用程式層網幅 VCN 包含代管 Oracle E-Business Suite 或 PeopleSoft 元件的專用子網路。
- 資料庫層網幅 VCN
資料庫層網幅 VCN 包含代管 Oracle 資料庫的專用子網路。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供自動化的流量分佈,從單一進入點到後端的多部伺服器。
- 彈性網路負載平衡器
Oracle Cloud Infrastructure 彈性網路負載平衡器可提供虛擬雲端網路中從一個進入點到多個後端伺服器的自動化流量分配。它會在連線層次運作,並根據 Layer3/Layer4 (IP 協定) 資料,將內送從屬端連線平衡至狀況良好的後端伺服器。
- 安全清單
您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。
- 路由表格
虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。
在 Hub VCN 中,您有下列路由表:
- 連附至管理子網路的管理路由表具有連線至網際網路閘道的預設路由。
- 連附至不信任子網路的不信任路由表,或連附至預設 VCN 以將流量從集線器 VCN 遞送至網際網路或內部部署目標。
此路由表也有一個額外的項目指向使用動態路由閘道的內部部署子網路。這可確保未來的原生網路位址轉譯支援期間不會發生流量中斷。
- 信任路由表已透過關聯的 LPG 連附至指向網輻 VCN CIDR 區塊的信任子網路。
- 連附至 NLB 子網路的網路負載平衡器 (NLB) 路由表,此子網路指向使用動態路由閘道的內部部署子網路 CIDR 區塊。
- 對於連附至集線器的每個網幅,會定義不同的路由表並連附至關聯的 LPG。該路由表會透過內部彈性網路負載平衡器,從關聯的網幅 LPG 轉送所有流量 (0.0.0.0/0),或者也可以在精細層次定義它。
- 連附至 Oracle 服務閘道以進行 Oracle Services Network 通訊的 Oracle 服務閘道路由表。該路由會將所有流量 (0.0.0.0/0) 轉送至內部負載平衡器 VIP IP。
- 若要維護流量對稱,也會將路由新增至每個 Palo Alto Networks VM-Series Firewall,以指向信任 (內部) 子網路的預設閘道 IP (Hub VCN 上信任子網路中可用的預設閘道 IP) 和指向不信任子網路預設閘道 IP 的 CIDR 區塊 (0.0.0.0/0)。
- 網際網路閘道
網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。
- NAT 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會對內送網際網路連線暴露這些資源。
- 本地對等互連閘道 (LPG)
LPG 可讓您將一個 VCN 與同一區域中的另一個 VCN 對等。對等互連表示 VCN 使用專用 IP 位址進行通訊,而不需要透過內部部署網路周遊網際網路或路由。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務 (例如 Oracle Cloud Infrastructure Object Storage )。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構進行旅遊,且永遠不會遍訪網際網路。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您輕鬆建立資料中心與 Oracle Cloud Infrastructure 之間的專用專用連線。與網際網路連線相比,FastConnect 提供較高寬度的選項和更可靠的網路體驗。
- 虛擬網路介面卡 (VNIC)
Oracle Cloud Infrastructure 資料中心的服務具有實體網路介面卡 (NIC)。虛擬機器執行處理使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有一個在啟動期間自動建立並連附的主要 VNIC,而且可以在執行處理的存留期間使用。DHCP 僅提供給主要 VNIC。您可以在執行處理啟動後新增次要 VNIC。您應該為每個介面設定靜態 IP。
- 專用 IP
用以處理執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有主要專用 IP,您可以新增和移除次要專用 IP。執行處理上的主要專用 IP 位址會在執行處理啟動期間連附,而且不會在執行處理存留期間變更。次要 IP 也必須屬於 VNIC 子網路的相同 CIDR。次要 IP 可作為浮動 IP 使用,因為它可以在相同子網路內不同執行處理上的不同 VNIC 之間移動。您也可以使用它作為不同的端點來代管不同的服務。
- 公用 IP
網路服務會定義 Oracle 選擇且對應至專用 IP 的公用 IPv4 位址。
- 臨時:此位址為暫時位址,存在於執行處理的存留期間。
- 保留:此位址在執行處理存留時間之後仍然存在。您可以將它取消指派並重新指派給其他執行處理。
- 來源和目的地檢查
每個 VNIC 都會針對其網路流量執行來源和目的地檢查。停用此旗標可讓 CGNS 處理未定位到防火牆的網路流量。
- 運算資源配置
運算執行處理的資源配置指定配置給執行處理的 CPU 數目和記憶體大小。運算資源配置也會決定運算執行處理可用的 VNIC 數目和最大頻寬。
建議
- VCN
建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
使用區域子網路。
驗證服務限額中每個 VCN 的 LPG 數目上限,以擴充多個環境和應用程式的這個架構。
- Palo Alto 網路 VM-Series 防火牆
- 部署作用中/作用中叢集,並視需要新增其他執行處理。
- 儘可能在不同的可用性網域中部署於不同的容錯域。
- 確定所有 VNIC 的 MTU 均設為 9000。
- 使用 VFIO 介面。
- Palo Alto 網路 VM-Series 防火牆安全管理
- 如果您要建立在 Oracle Cloud Infrastructure 中代管的部署,請建立專用子網路以進行管理。
- 您可以使用安全清單或 NSG 來限制內送存取來自網際網路的連接埠 443 和 22,以管理安全原則及檢視日誌和事件。
- Palo Alto 網路 VM-Series 防火牆原則
確定您已設定在 VM-Series 防火牆執行處理上啟用的必要網路位址轉譯原則。如需必要安全原則、連接埠和協定的最新資訊,請參閱 Explore More 一節中的防火牆文件。
考量
使用 Palo Alto Networks VM-Series Firewall 保護 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作負載時,請考慮下列事項:
- 效能
- 選取由運算資源配置決定的適當執行處理大小,以決定可用的傳輸量上限、CPU、RAM 以及介面數目。
- 組織需要知道哪些流量類型周遊環境、決定適當的風險等級,並視需要套用適當的安全性控制。不同的已啟用安全性控制組合會影響效能。
- 考慮新增 FastConnect 或 VPN 服務的專用介面。
- 請考慮使用大型運算資源配置來提高傳輸量和存取更多網路介面。
- 執行效能測試以驗證設計,可維持必要的效能和傳輸量。
- 安全性
在 Oracle Cloud Infrastructure 中部署 Palo Alto Networks VM-Series Firewall 可讓您集中設定安全原則組態及監督所有實體和虛擬 Palo Alto Networks VM-Series 執行處理。
- 使用狀態
- 將架構部署到不同的地理區域,以獲得最大的備援。
- 使用相關組織網路設定站對站 VPN,以與企業內部部署網路進行備援連線。
- 成本
- Palo Alto Networks VM-Series Firewall 可於 Oracle Cloud Marketplace 的 bring-your-own-license (BYOL) 與隨用隨付授權模型中取得 Oracle Cloud Marketplace 中的 Bundle 1 與 Bundle 2。
- 組合 1 包含 VM-Series 容量授權、威脅預防授權,以及溢價支援權益。
- 組合 2 包含具有完整授權套件的 VM-Series 容量授權,其中包括威脅防範、WildFire、URL 篩選、DNS 安全性、GlobalProtect 以及溢價支援權益。
- Palo Alto Networks VM-Series Firewall 可於 Oracle Cloud Marketplace 的 bring-your-own-license (BYOL) 與隨用隨付授權模型中取得 Oracle Cloud Marketplace 中的 Bundle 1 與 Bundle 2。
建置
您可以使用 Oracle Cloud Marketplace 在 Oracle Cloud Infrastructure 上部署 Palo Alto Networks VM-Series Firewall。您也可以從 Github 下載程式碼並加以自訂,以符合您的特定業務需求。
Oracle 建議您從 Oracle Cloud Marketplace 部署架構。
- 使用 Oracle Cloud Marketplace 中的堆疊進行部署:
- 如架構圖表所示,設定必要的網路基礎架構。請參閱設定軸輻式網路拓樸。
- 在您的環境中部署應用程式 ( Oracle E-Business Suite 或 PeopleSoft)。
- Oracle Cloud Marketplace 針對不同的組態和授權需求提供多個清單。例如,下列清單功能會自備授權 (BYOL)。針對您選擇的每個清單,按一下取得應用程式,然後依照畫面上的提示進行:
- 使用 GitHub 中的 Terraform 程式碼進行部署:
- 移至 GitHub 儲存區域。
- 將儲存區域複製或下載到您的本機電腦。
- 依照
README文件中的指示進行。