Способы внедрения Palo Alto NGFW в инфраструктуру

В этой статье мы поговорим о способах внедрения межсетевых экранов Palo Alto Next-Generation Firewall в уже имеющуюся сетевую инфраструктуру. Существует четыре основных режима его работы: TAP, Virtual Wire, Layer 2, Layer 3. В зависимости от задач, которые возложены на межсетевой экран, меняется и предпочтительный вариант внедрения.

Способы внедрения Palo Alto NGFW в инфраструктуру

 

TAP

Развертывание в режиме TAP позволяет пассивно отслеживать трафик по сети. В этом случае SPAN или зеркальный порт позволяют копировать трафик из портов на коммутаторе и передавать на межсетевой экран. Выделив интерфейс на Palo Alto NGFW в качестве интерфейса режима TAP и соединив его с портом SPAN коммутатора, порт SPAN коммутатора начнет передавать брандмауэру зеркальный трафик. Такой способ позволит анализировать трафик и собирать необходимую статистику.

При развертывании в режиме TAP межсетевой экран не в состоянии применять меры, такие как блокировка/разрешение трафика или управление приоритетами QoS.

 

Virtual Wire

Дословный перевод – виртуальный провод. В данном способе Palo Alto NGFW прозрачно внедряется в уже существующую сеть. Возможно соединить два порта Layer 2 или Layer 3, при этом сам межсетевой экран будет невидим на обоих интерфейсах. Назначать MAC и IP адрес Firewall’а в данном случае не требуется.

Способы внедрения Palo Alto NGFW в инфраструктуру

В отличие от TAP, такое внедрение позволяет полноценно управлять трафиком и поддерживает App-ID, User-ID, Content-ID, защиту от сетевых атак, DDOS защиту и так далее. Но при этом все так же невозможно использовать коммутацию и маршрутизацию.

Используйте данный способ только в том случае, если вы хотите легко интегрировать межсетевой экран в топологию сети, при этом не стоит задачи выполнять коммутацию или маршрутизацию.

 

Layer 2

При использовании режима Layer 2 межсетевой экран выступает в роли классического коммутатора. Появляется возможность коммутировать две или несколько сетей используя технологию VLAN. Как и в большинстве классических коммутаторов имеется возможность объединять интерфейсы в группы VLAN и использовать агрегацию.

 

Layer 3

В режиме Layer 3 Palo Alto NGFW начинает использовать весь имеющийся у него набор возможностей. Для его работы необходимо назначить IP адреса для всех интерфейсов, которые планируется использовать при подключении. Как и при использовании режима Virtual Wire, появляется возможность инспектировать трафик, устанавливать правила его прохождения, анализировать возможные угрозы и многое другое. При этом межсетевой экран способен производить как статическую, так и динамическую маршрутизацию. Возможно использовать DHCP службу.

Способы внедрения Palo Alto NGFW в инфраструктуру

Данный режим наиболее предпочтителен, так как позволяет использовать весь необходимый функционал для обеспечения контроля и безопасности сети предприятия.

Способы внедрения Palo Alto NGFW в инфраструктуру обновлено: Декабрь 4, 2018 автором: admin
Опубликовано в рубрике Palo Alto

Добавить комментарий

Ваш e-mail не будет опубликован.