Cómo configurar Palo Alto Networks Firewalls cuando conectado a una red de MPLS
Resolution
Detalles
Conectando diferentes sitios a la WAN MPLS, las empresas pueden proporcionar conectividad de red interna conveniente entre sitios. A menudo, los routers MPLS desplegados están conectados a la red interna a través del cortafuegos, proporcionando visibilidad y control para el tráfico que pasa a través de la MPLS. Cómo se configura el firewall de Palo Alto Networks es un aspecto importante en la determinación de qué tráfico debe pasar a o desde la nube MPLS. Es importante recordar que los firewalls de Palo Alto Networks no son routers MPLS, pero pueden servir como un punto de conexión lógica a la nube MPLS por estar conectado al router MPLS que termina MPLS en el sitio.
Topología de red de ejemplo:
Recomendaciones
Zonas
Para el control y paso del tráfico de monitor a través de la nube MPLS, es importante asignar la interfaz de Ethernet conectar al router MPLS a una zona diferente que las otras interfaces. Será más fácil para más tarde definir políticas de seguridad que permitan el tráfico a o desde la zona MPLS y también o de otras zonas del interiores. En este escenario, los registros de tráfico pueden estar disponibles para las políticas de seguridad que se crean entre las zonas. Si la interfaz de conexión a la nube MPLS está en la misma zona que la confianza por ejemplo, entonces por el tráfico por defecto entre MPLS Redes y redes de confianza serán permitidas y no registradas a menos que haya un seguridad explícita política niega el tráfico hacia y desde la confianza zona.
Rutas
El firewall requiere rutas para cada red en los sitios a través de la MPLS. Esto puede lograrse mediante la configuración de rutas estáticas para las redes con el siguiente salto IP dirección como dirección IP del router MPLS. Otra posibilidad es implementar enrutamiento dinámico sobre los routers en cada sitio si hay muchas redes y muchos sitios.
Políticas de seguridad
Si plena conectividad entre los sitios es necesario o deseado en la configuración inicial, luego dos permiten pueden crearse políticas; uno para la zona MPLS llegar a las zonas internas y otro para las zonas internas llegar a la zona MPLS. Dependiendo de qué acceso se necesita a través de los sitios, entonces pueden restringirse las políticas de seguridad para permitir sólo lo que es necesario.
Políticas NAT
No hay políticas NAT necesitan ser configurado ya que normalmente no es necesario traducir las gamas de dirección privadas porque la WAN permite a redes privadas de un sitio para llegar a las redes privadas en otro sitio. Si sin embargo parece una superposición de subredes en dos sitios NAT puede ser empleada para ocultar las direcciones en un extremo mediante la asignación a una subred única. UNA técnica similar se utiliza con los túneles VPN IPSEC y que se documenta en la forma de utilizar NAT en un túnel VPN IPSec. La subred cuyas direcciones se asignan sólo se puede desde que punto utilizando las direcciones asignadas, así que tenga en cuenta las implicaciones para el acceso a servidores y hace referencia a los registros DNS.
Nota: normalmente, el enrutador local de MPLS necesita tener rutas para llegar a las redes de sitios remotos. También, el sitio remoto debe contar con rutas al llegar al sitio local. Si hay un cortafuegos en el lugar en el sitio remoto, sus políticas igualmente tendrá que permitir el tráfico a través de.
Propietario: astanton