Comment faire pour configurer Palo Alto Networks Firewalls lorsqu’il est connecté à un réseau MPLS
Resolution
Détails
En reliant différents sites au MPLS WAN, entreprises peuvent fournir une connectivité réseau interne commode entre les sites. Souvent, les routeurs MPLS déployés sont connectés au réseau interne via le pare-feu, fournissant la visibilité et le contrôle pour le trafic traversant le MPLS. La configuration du pare-feu de Palo Alto Networks est un aspect important pour déterminer quel trafic autorisé à transiter vers ou à partir du nuage MPLS. Il est important de se rappeler que les firewalls Palo Alto Networks ne sont pas des routeurs MPLS, mais peuvent servir de point de connexion logique vers le nuage MPLS en étant connecté au routeur MPLS qui termine MPLS sur le site.
Exemple de topologie réseau :
Recommandations
Zones
Pour contrôler et surveiller le trafic traversant le nuage MPLS, il est important affecter l’interface Ethernet, connexion au routeur MPLS à une zone différente de l’autres interfaces. Il sera plus facile à définir ultérieurement des stratégies de sécurité qui autorisent le trafic à la zone MPLS et également à ou d’autres zones internes. Dans ce scénario, les journaux de trafic peuvent être disponibles pour les stratégies de sécurité qui sont créés entre les zones. Si l’interface de connexion vers le nuage MPLS est dans la même zone que la fiducie par exemple, puis par le trafic par défaut entre MPLS réseaux et les réseaux de confiance seront autorisés et pas connectés sauf s’il existe un trafic de qui refuse de politique de sécurité explicite vers et à partir de la fiducie zone.
Itinéraires
Le pare-feu nécessite des itinéraires pour chaque réseau sur les sites à travers le MPLS. Ceci peut être accompli en configurant des itinéraires statiques pour les réseaux avec l’adresse IP du prochain saut comme adresse IP du routeur MPLS. Une autre possibilité est déploiement du routage dynamique sur les routeurs à chaque site, s’il y a beaucoup de réseaux et de nombreux sites.
Stratégies de sécurité
Si une connectivité complète entre les sites est nécessaire ou souhaité dans la configuration initiale, puis deux permettent de stratégies peuvent être créées ; un pour la zone MPLS atteindre les zones internes et l’autre pour les zones internes atteindre la zone MPLS. Selon ce que l’accès est nécessaire dans les sites, puis les politiques de sécurité peuvent être restreint pour permettre seulement ce qui est nécessaire.
Politiques NAT
Aucune politique NAT ne doivent être configurés puisqu’il n’y a généralement pas besoin de traduire les plages d’adresses privées parce que le WAN permet aux réseaux privés d’un site pour atteindre les réseaux privés à l’autre site. Si toutefois, il semble se superposer des sous-réseaux dans deux sites NAT peut être employée pour masquer les adresses à une extrémité en mappant à un sous-réseau unique. Une technique similaire est utilisée avec les tunnels VPN IPSec et est documenté dans L'utilisation de nat dans un tunnel VPN IPSec. Le sous-réseau dont les adresses sont mappées uniquement accessibles depuis qui point à l’aide d’adresses mappées, alors gardez à l’esprit les conséquences pour l’accès aux serveurs et en référençant tous les enregistrements DNS.
Remarque: en règle générale, le routeur MPLS local doit avoir des itinéraires pour atteindre les réseaux de sites distants. En outre, le site distant doit avoir routes en place pour atteindre le site local. S’il existe un pare-feu en place sur le site distant, ses politiques devront de même afin de permettre le trafic à travers.
propriétaire : astanton