如何在连接到 MPLS 网络时配置帕洛阿尔托网络防火墙
Resolution
详细
通过将不同站点连接到 MPLS 广域网, 公司可以在站点之间提供方便的内部网络连接。 通常, 部署的 mpls 路由器通过防火墙连接到内部网络, 为跨 mpls 的通信提供可见性和控制。 如何配置帕洛阿尔托网络防火墙是确定允许哪些通信流传递到或来自 MPLS 云的重要方面。重要的是要记住, 帕洛阿尔托网络防火墙不是 mpls 路由器, 但可以作为一个逻辑连接点的 mpls 云通过连接到 mpls 路由器, 终止在该网站的 mpls。
网络拓扑示例:
建议
区域
要控制和监视跨 mpls 云的通信, 必须将连接到 mpls 路由器的以太网接口分配到与其他接口不同的区域。以后定义允许流量从 MPLS 区域传输到或来自其他内部区域的安全策略会更容易。在此方案中, 可以对在区域之间创建的安全策略使用通信日志。如果连接到 mpls 云的接口与信任在同一区域中, 则在 mpls 网络和信任网络之间的默认通信将被允许并且不会被记录, 除非有明确的安全策略拒绝来往于信任的通信区.
路线
防火墙需要跨 MPLS 站点的每个网络的路由。通过为具有下一跃点 ip 地址的网络配置静态路由作为 MPLS 路由器的 ip 地址, 可以实现这一点。另一个可能是在每个站点的路由器上部署动态路由, 如果有许多网络和多个站点。
安全策略
如果在初始设置中需要或需要站点之间的完全连接, 则可以创建两个允许策略;一个为 mpls 区域到达内部区域和一个为内部区域到达 mpls 区域。 根据站点所需的访问权限, 可以将安全策略限制为只允许需要的内容。
NAT 策略
不需要配置 NAT 策略, 因为通常不需要翻译专用地址范围, 因为 WAN 允许从一个站点的专用网络到达另一个站点的专用网络。 但是, 如果在两个站点上出现了重叠子网, 则 NAT 可以通过将地址映射到一个唯一的子网来隐藏它们的一端。 在 ipsec vpn 隧道中使用类似的技术, 并在如何在ipsec vpn 隧道中使用 NAT 文档中进行了说明。 只能使用映射地址从该点访问其地址映射的子网, 因此请记住访问服务器和引用任何 DNS 记录的含义。
注意:通常, 本地 MPLS 路由器需要有路由才能到达远程站点网络. 此外, 远程站点需要有路由才能到达本地站点。如果远程站点上有防火墙, 则其策略同样需要允许通信通过。
业主: astanton