運用 Palo Alto Network VM-Series 防火牆保護應用程式工作負載
使用 Palo Alto Network VM-Series 虛擬新一代防火牆 (NGFWs),從雲端的 Oracle E-Business Suite 或 PeopleSoft 安全地移動或擴充應用程式工作負載。
Palo Alto Networks VM-Series 虛擬 NGFWs 藉由提供完整的多雲端環境流量可見性並控制自訂應用程式、一致的跨雲端防火牆管理與政策強制實行、機器語言安全威脅保護及現存保護,以及自動化部署與佈建功能,以保持大多數的動態環境。
雲端中的安全性是以共用職責模型為基礎。Oracle 負責基礎架構的安全性,例如資料中心設備,以及管理雲端作業和服務的硬體和軟體。客戶負責保護其工作負載,並安全地設定其服務與應用系統以符合其合規責任。
Palo Alto Networks VM-Series 防火牆在雲端環境之間提供一致的威脅預防和內嵌網路安全性,可協助網路安全團隊將雲端網路中的流量視為可見性及控制。Palo Alto Networks VM-Series 的主要功能包括 Layer 7 防火牆、雲端提供的安全性訂閱,以及合併的安全管理。
架構
此參考架構說明組織如何使用 Palo Alto Networks VM-Series 防火牆保護 Oracle Cloud Infrastructure 中部署的 Oracle 應用系統 (例如 Oracle E-Business Suite 和 PeopleSoft)。
為保護這些流量,Palo Alto Networks 建議您使用集線器和軸輻拓樸來區隔網路,其中流量會透過中央集線器來遞送並連線至多個不同的網路 (網輻)。網輻之間的所有流量,不論是從網際網路到內部部署或從內部部署至 Oracle Services Network,都會透過集線器進行路由,並使用 Palo Alto Networks VM-Series 防火牆的多層威脅預防技術進行檢查。
在應用程式本身的虛擬雲端網路 (VCN) 中部署每個層,作為網幅。集線器 VCN 包含一個 Palo Alto Networks VM-Series 防火牆高可用性叢集、Oracle 網際網路閘道、動態路由閘道 (DRG)、Oracle 服務閘道以及本機對等互連閘道 (LPG)。
集線器 VCN 會透過 LPG 連線至網幅 VCN,或將次要虛擬網路介面卡 (VNIC) 連附至 Palo Alto Network VM-Series 防火牆。所有網幅流量都使用路由表規則,透過 LPG 將流量遞送至集線器,以供 Palo Alto Networks VM-Series 防火牆高可用性叢集檢查。
您可以在本機配置和管理 Palo Alto Networks VM-Series 防火牆,或使用 Palo Alto Networks 集中式安全管理系統 Panorama 集中管理防火牆。Panorama 可協助客戶減少管理組態、原則、軟體以及動態內容更新的複雜性和管理負荷。您可以使用 Panorama 上的裝置群組和樣板,在本機防火牆上有效地管理防火牆特定組態,並在所有防火牆或裝置群組間強制實行共用原則。
下圖說明此參考架構。
北部入埠流量
下圖說明一般-south 輸入流量如何從網際網路和遠端資料中心存取 Web 應用程式層。此組態可確保在 Palo Alto Networks VM-Series 防火牆上開啟網路位址轉譯 (NAT) 和安全原則。
palo_alto_north_south_inbound.png 圖解描述
北部出埠流量
下圖說明從 Web 應用程式和資料庫層到網際網路的外送連線如何提供外部 Web 服務的軟體更新和存取。此組態可確保已在 Palo Alto Networks VM-Series 防火牆原則中為相關網路設定來源 NAT。
palo_alto_north_south_outbound.png 圖解描述
復原-測試流量 (Web 至資料庫)
下圖說明流量如何從 Web 應用程式移至資料庫層。
palo_alto_east_west_web_db.png 圖解描述
復原-測試流量 (資料庫至 Web)
下圖說明流量如何從資料庫層移至 Web 應用程式。
palo_alto_east_west_db_web.png 圖解描述
復活節測試流量 (Oracle 服務網路的 Web 應用程式)
下圖說明流量如何從 Web 應用程式移至 Oracle Services Network。此組態可確保您已在 Palo Alto Networks VM-Series 防火牆介面上啟用 Jumbo Frames。
palo_alto_east_west_webapp_osn.png 圖解描述
復原流量 (Oracle 服務網路至 Web 應用程式)
下圖說明流量如何從 Oracle Services Network 移至 Web 應用程式。
palo_alto_east_west_osn_webapp.png 圖解描述
架構包含下列元件:
- Palo Alto 網路 VM-Series 防火牆
在虛擬機器 (VM) 表單中提供實體下一代防火牆的所有功能,提供內嵌網路安全性與威脅,以防止一致地保護公用和專用雲端。
- Oracle E-Business Suite 或 PeopleSoft 應用程式層
由 Oracle E-Business Suite 或 PeopleSoft 應用程式伺服器和檔案系統組成。
- Oracle E-Business Suite 或 PeopleSoft 資料庫層
由 Oracle Database 組成,但不限於 Oracle Database Exadata Cloud Service 服務或 Oracle Database 服務。
- 地區
Oracle Cloud Infrastructure 區域是一個區域化的地理區域,包含一或多個稱為可用性網域的資料中心。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎架構,例如電源、冷卻或內部可用性網域網路。因此,一個可用性網域的失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯域是一組可用性網域內的硬體和基礎架構。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分配到多個容錯域時,應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完全控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路後變更子網路的大小。子網路可以是公用或專用。
- Hub VCN
集線器 VCN 是部署 Palo Alto Networks VM-Series 防火牆的集中式網路。它提供所有網幅 VCN、Oracle Cloud Infrastructure 服務、公用端點與從屬端以及企業內部部署資料中心網路的安全連線。
- 應用程式層網幅 VCN
應用程式層網幅 VCN 包含代管 Oracle E-Business Suite 或 PeopleSoft 元件的專用子網路。
- 資料庫層網幅 VCN
資料庫層網幅 VCN 包含代管 Oracle 資料庫的專用子網路。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供自動化的流量分佈,從單一進入點到後端的多部伺服器。
- 安全清單
您可以為每個子網路建立安全規則,以指定子網路中必須允許的來源、目的地以及流量類型。
- 路由表格
虛擬路由表包含將流量從子網路路由至 VCN 外部之目的地的規則,通常會透過閘道。
在 Hub VCN 中,您有下列路由表:
- 連附至管理子網路的管理路由表具有連線至網際網路閘道的預設路由。
- 附加至不受信任子網路的未受信任路由表,或用於將流量從集線器 VCN 遞送至網際網路或內部部署目標的預設 VCN。
- 信任路由表已透過關聯的 LPG 連附至指向網輻 VCN CIDR 區塊的信任子網路。
- 連附至高可用性子網路的高可用性路由表,此子網路可管理 Palo Alto Networks VM-Series Firewall 執行處理之間的高可用性。
- 對於連附至集線器的每個網幅,會定義不同的路由表並連附至關聯的 LPG。該路由表會透過 Palo Alto Networks VM-Series Firewall 信任介面浮動 IP,從關聯的網幅 LPG 轉送所有流量 (0.0.0.0/0)。
- 連附至 Oracle 服務閘道的 Oracle 服務閘道路由表,以進行 Oracle 服務網路通訊。該路由會將所有流量 (0.0.0.0/0) 轉送至 Palo Alto Networks VM-Series Firewall 信任介面浮動 IP。
- 為了維護流量對稱,也會將路由新增至每個 Palo Alto Networks VM-Series Firewall,以將軸輻流量的 CIDR 區塊指向信任 (內部) 子網路的預設閘道 IP (Hub VCN 上信任子網路中可用的預設閘道 IP)。
- 網際網路閘道
網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會向內送網際網路連線暴露這些資源。
- 本地對等互連閘道 (LPG)
LPG 可讓您將一個 VCN 與同一區域中的另一個 VCN 對等。對等互連表示 VCN 使用專用 IP 位址進行通訊,而不需要透過內部部署網路周遊網際網路或路由的流量。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務 (例如 Oracle Cloud Infrastructure Object Storage )。從 VCN 傳送至 Oracle 服務的流量會透過 Oracle 網路結構傳輸,且永遠不會傳輸網際網路。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您輕鬆建立資料中心與 Oracle Cloud Infrastructure 之間的專用專用連線。與網際網路連線相比,FastConnect 提供較高寬度的選項和更可靠的網路體驗。
- 虛擬網路介面卡 (VNIC)
Oracle Cloud Infrastructure 資料中心的服務具有實體網路介面卡 (NIC)。虛擬機器執行處理使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都會有一個在啟動期間自動建立並連附的主要 VNIC,而且可在執行處理的存留期間使用。DHCP 僅提供給主要 VNIC。您可以在執行處理啟動後新增次要 VNIC。您應該為每個介面設定靜態 IP。
- 專用 IP
用於定址執行處理的專用 IPv4 位址和相關資訊。每個 VNIC 都有主要專用 IP,您可以新增和移除次要專用 IP。執行處理上的主要專用 IP 位址會在執行處理啟動期間連附,而且不會在執行處理存留期間變更。次要 IP 也必須屬於 VNIC 子網路的相同 CIDR。次要 IP 可作為浮動 IP 使用,因為它可以在相同子網路內不同執行處理上的不同 VNIC 之間移動。您也可以使用它作為不同端點來代管不同的服務。
- 公用 IP
網路服務會定義 Oracle 所選擇的公用 IPv4 位址 (對應至專用 IP)。
- 臨時:此位址為暫時位址,存在於執行處理的存留時間。
- 保留:此位址在執行處理存留時間之後仍然存在。您可以將它取消指派並重新指派給其他執行處理。
- 來源和目的地檢查
每個 VNIC 都會針對其網路流量執行來源和目的地檢查。停用此旗標可讓 CGNS 處理未定位到防火牆的網路流量。
- 運算資源配置
運算執行處理的資源配置指定配置給執行處理的 CPU 數目和記憶體大小。運算資源配置也會決定運算執行處理的 VNIC 數目和最大頻寬。
建議
- VCN
建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目和每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
當您設計子網路時,請考慮流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
使用區域子網路。
驗證服務限額中每個 VCN 的 LPG 數目上限 (若要為多個環境和應用程式擴充此架構)。
- Palo Alto 網路 VM-Series 防火牆
- 建置高可用性叢集。
- 儘可能在不同的可用性網域中部署在不同的容錯域。
- 確定所有 VNIC 的 MTU 均設為 9000。
- 使用 VFIO 介面。
- Palo Alto 網路 VM-Series 防火牆安全管理
- 如果您要建立在 Oracle Cloud Infrastructure 中代管的部署,請建立專用子網路以進行管理。
- 您可以使用安全清單或 NSG 來限制內送存取來自網際網路的連接埠 443 和 22,以管理安全原則及檢視日誌和事件。
- Palo Alto 網路 VM-Series 防火牆政策
如需所需安全原則、連接埠和協定的最新資訊,請參閱「瀏覽詳細資訊」區段中的防火牆文件。
考量
使用 Palo Alto Networks VM-Series Firewall 保護 Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 或 PeopleSoft 工作負載時,請考慮下列事項:
- 效能
- 選取由運算資源配置決定的適當執行處理大小,以決定可用的傳輸量上限、CPU、RAM 以及介面數目。
- 組織需要知道哪些流量類型周遊環境、決定適當的風險等級,並視需要套用適當的安全性控制。不同的已啟用安全控制組合會影響效能。
- 請考慮新增 FastConnect 或 VPN 服務的專用介面。
- 請考慮使用大型運算資源配置來提高傳輸量和存取更多網路介面。
- 執行效能測試以驗證設計,可維持必要的效能和傳輸量。
- 安全
- 在 Oracle Cloud Infrastructure 中部署 Palo Alto Networks VM-Series Firewall 可讓您集中設定安全原則組態及監督所有實體和虛擬 Palo Alto Networks VM-Series 執行處理。
- 定義每個叢集部署的不同身分識別與存取管理 (IAM) 動態群組或原則。
- 使用狀態
- 將架構部署到不同的地理區域,以獲得最大的備援。
- 使用相關組織網路設定站對站 VPN,以與企業內部部署網路進行備援連線。
- 成本
- Palo Alto Networks VM-Series Firewall 可於 Oracle Cloud Marketplace 的 bring-your-own-license (BYOL) 與隨用隨付授權模型中取得 Oracle Cloud Marketplace 中的 Bundle 1 與 Bundle 2。
- 組合 1 包含 VM-Series 容量授權、威脅預防授權,以及溢價支援權益。
- 組合 2 包含具有完整授權套件的 VM-Series 容量授權,其中包括威脅防範、WildFire、URL 篩選、DNS 安全性、GlobalProtect 以及溢價支援權益。
- Palo Alto Networks VM-Series Firewall 可於 Oracle Cloud Marketplace 的 bring-your-own-license (BYOL) 與隨用隨付授權模型中取得 Oracle Cloud Marketplace 中的 Bundle 1 與 Bundle 2。
建置
- 使用 Oracle Cloud Marketplace 中的堆疊進行部署:
- 如架構圖表所示,設定必要的網路基礎架構。請參閱使用本地對等互連閘道設定軸輻式網路拓樸。
- 在您的環境中部署應用程式 ( Oracle E-Business Suite 或 PeopleSoft)。
- Oracle Cloud Marketplace 對於不同的組態和授權需求有多個堆疊。例如,下列堆疊功能可自備授權 (BYOL)。針對您選擇的每個堆疊,按一下取得應用程式,然後依照畫面提示進行:
- 使用 GitHub 中的 Terraform 程式碼進行部署:
- 移至 GitHub 儲存區域。
- 將儲存區域複製或下載至您的本機電腦。
- 依照
README文件中的指示進行。