パロ ・ アルトのネットワーク ファイアウォールの構成 MPLS ネットワークに接続する方法
Resolution
詳細
企業は MPLS の Wan に接続してさまざまなサイト、便利な内部ネットワーク サイト間の接続を提供できます。 多くの場合、展開された MPLS ルータは、MPLS を通過するトラフィックの可視性と制御を提供するファイアウォール経由で内部ネットワークに接続されます。 パロ ・ アルトのネットワーク ファイアウォールの構成方法や MPLS クラウドから渡す許可するトラフィックを決定する上で重要な側面です。パロ ・ アルトのネットワーク ファイアウォールが MPLS ルータではないが、終了サイトで MPLS MPLS ルータに接続によって MPLS クラウドへの論理接続ポイントとして使用できますが重要です。
ネットワーク トポロジの例:
推奨事項
ゾーン
制御およびモニターのトラフィック通過 MPLS クラウド中に他のインタ フェースとは異なるゾーンに MPLS ルータに接続するイーサネット インターフェイスに割り当てることが重要です。それは後で MPLS ゾーンからとも、または他の内部領域からのトラフィックを許可するセキュリティ ポリシーを定義する方が簡単になります。このシナリオでは、トラフィックのログはゾーン間で作成されたセキュリティ ポリシーの利用できます。MPLS クラウドに接続するインターフェイスがたとえば信頼と同じゾーンにある場合、MPLS の既定のトラフィックによってネットワークと信頼ネットワーク許可し、する明示的なセキュリティ ポリシー拒否するトラフィックから信頼がない限りログに記録されません。ゾーン。
ルーティング
ファイアウォール、MPLS でのサイトですべてのネットワークのためのルートが必要です。これは、MPLS ルータの IP アドレスと次ホップ IP アドレスによってこれらのネットワーク用の静的ルートを構成することによって実現できます。別の可能性は多くのネットワークと多くのサイトがある場合に、各サイトでルーターで動的経路制御を展開します。
セキュリティ ポリシー
2 つはポリシーを作成できる許可サイト間の完全な接続が必要なまたは初期設定で目的内部ゾーンと内部ゾーンが MPLS ゾーンに到達する 1 つに到達する MPLS ゾーンの一つ。 サイト間で、どのようなアクセスを必要に応じて、セキュリティ ポリシーを制限できますのみ必要な操作を許可します。
NAT のポリシー
NAT ポリシーは通常、WAN を使用する他のサイトにプライベート ネットワークに到達する 1 つのサイトからプライベート ネットワークからプライベート アドレスの範囲を変換する必要はありませんので構成する必要はありません。 しかし 2 つのサイトのサブネットを重ねることに表示されない場合は、一意のサブネットに割り当てることによって一方の端にアドレスを非表示にする NAT を使用できます。 同様の手法は、ipsec vpn トンネルで使用され、ipsec vpn トンネリングで NAT を使用する方法に 記載されています。 そのアドレスがマップされるサブネットのみアクセスできますからポイント マップされたアドレスを使用して、サーバーにアクセスして、すべての DNS レコードを参照するための影響を念頭に。
注:通常、ローカル MPLS ルーターは、リモートサイトネットワークに到達するためのルートを持っている必要があります。また、リモート サイトは、ローカル サイトに到達するためのルートを用意する必要があります。リモート サイトの場所にファイアウォールがある場合、そのポリシーは同様を通過するトラフィックを許可する必要があります。
所有者: astanton