Überlegungen zur Serviceroute für in der Public Cloud gehostete Firewalls, die in Aktiv/Passiv HAkonfiguriert sind.

• Floating-IPs werden nicht zwischen Ihren in der Public Cloud gehosteten Firewalls verschoben.
• A Die Serviceroute ist für den Datenverkehr für DNS die Verwaltungsschnittstelle konfiguriert, und diese Route verwendet zu einem bestimmten Zeitpunkt eine der oben genannten Floating-IPs oder wird in diese übersetzt.

• Firewalls, die auf einer Public-Cloud-Plattform gehostet werden, sind so konfiguriert, dass sie aktiv / passiv HA sind und über das VM-Serien-Plugin (Palo Alto Networks, Inc., 2023), verschieben Floating-IPs im Falle eines Failovers.
• Die Firewalls verfügen über eine Service-Route, die dazu führt, dass die betreffende Datenebenenschnittstelle (höchstwahrscheinlich die Trust-, Internal- oder Private-Schnittstelle) verwendet, um Datenverkehr für die Firewall Verwaltungsebene zu erzeugen DNS .
• PAN-OS ist so konfiguriert, dass eine der oben genannten Floating-IPs für diese statische Route auf eine von zwei Arten verwendet wird:
  • DNS Datenverkehr, der von einer Schnittstelle bezogen wird, um direkt an den DNSweitergeleitet zu werden, oder
  • DNS Datenverkehr, der von einer Schnittstelle bezogen wird, die über eine SNAT Policy (Palo Alto Networks, Inc., 2023) und dann an die weitergeleitet, wobei die DNS Quelladresse in eine Gleitkommaadresse IPgeändert wurde.

• Im Falle eines Failovers ruft das VM-Series-Plugin auf dem to-be-Active Firewall die Cloud-Plattform API auf, um die sekundäre IP Konfiguration vom aktuell aktiven Peer zu trennen und an den to-be-aktiven Peer anzuhängen, bevor er in den aktiven Zustand übergeht (Palo Alto Networks, Inc., 2023).
• Um dies zu tun, fordert der to-be-Active Firewall zunächst die auf, die DNS IP für besagten APIaufzulösen; zwischengespeicherte Einträge werden nicht verwendet.
• Die konfigurierte Service-Route leitet den Datenverkehr (entweder direkt oder über einen ) an einen SNAT PolicyFloating-Datenverkehr weiter, aber dies schlägt fehl, da der to-be-Active Firewall das Floating-Element IPIP überhaupt nicht angehängt hat.

• Verwenden Sie Dienstrouten nicht für DNSoder für andere Zwecke, die den Fluss des Verwaltungsdatenverkehrs zu den APIs von Cloudanbietern behindern könnten.
• Wenn eine Service-Route unbedingt verwendet werden muss, konfigurieren Sie sie so, dass der Verwaltungsdatenverkehr an Cloud-Anbieter-APIs nicht über eine Floating-Route IPweitergeleitet wird.

Verweise

Palo Alto Networks, Inc. (13.02.2023). Quelle NAT. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com//pan-os9-1/pan-os-admin/networking/nat/source-nat-and-destination-nat/source-nat

Palo Alto Networks, Inc. (2023, 02 15). Richten Sie Aktiv/Passiv HA in Azure ein. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/11-0/vm-series-deployment/set-up-the-on-azurevm-seriesfirewall/configure-activepassive-ha-for-vm-seriesfirewall--on-azure

Palo Alto Networks, Inc. (2023, 03 13). VM-Serien-Plugin und Panorama Plugins. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin/panorama-plugins/plugins-types