甲骨文云OCI 使用灵活网络负载均衡器通过Palo Alto Networks VM系列防火墙保护工作负载

Palo Alto Networks VM系列虚拟下一代防火墙通过提供对自定义应用程序的完整应用流量可视性和控制、一致的跨云防火墙管理和策略执行、基于机器学习的威胁防护和数据泄露预防，以及自动化部署和配置能力，来保护多云环境。

VM系列虚拟下一代防火墙通过保护免受漏洞利用、恶意软件、已知和未知威胁以及数据泄露，增强了Oracle云基础设施的原生网络安全控制。

VM系列虚拟下一代防火墙以虚拟机器（VM）形态提供所有物理下一代防火墙的能力，为公有云、私有云、虚拟化数据中心和分支机构提供一致的内联网络安全和威胁防护。VM系列虚拟防火墙提供安全团队保护公共云环境所需的特性，包括完整的可视性和控制、一致的策略执行、应用安全、数据泄露预防、合规性和风险管理、安全自动化和云无关的管理。

• 全面可视性和控制，跨环境发现威胁

• 一致的策略执行提供最佳安全性

• 合规性和风险管理变得更加简单

• 安全自动化保障DevOps安全

架构

这个参考架构展示了如何使用Palo Alto Networks VM系列防火墙和灵活的网络负载均衡器，保护部署在Oracle云基础设施（OCI）上的Oracle应用程序，如Oracle E-Business Suite和PeopleSoft。

为了保护这些流量，Palo Alto Networks建议使用中心枢纽和辐射状拓扑结构对网络进行分段，其中流量通过中心枢纽路由并连接到多个不同的网络（辐射）。确保您在灵活的网络负载均衡器之间部署了多个VM系列实例，被认为是“三明治拓扑”。无论是来自互联网的流量，来自本地的流量，还是来自Oracle服务网络的流量，都通过中心枢纽路由，并通过Palo Alto Networks VM系列防火墙的多层威胁防护技术进行检查。

在自己的虚拟云网络（VCN）中部署应用程序的每个层级，该VCN充当辐射。中心枢纽VCN包含一个Palo Alto Networks VM系列防火墙的主动/被动集群、Oracle互联网网关、动态路由网关（DRG）、Oracle服务网关、本地对等网关（LPGs）以及内部和外部灵活网络负载均衡器。

中心枢纽VCN通过LPGs连接到辐射VCN。所有辐射流量都使用路由表规则，通过LPGs将流量路由至中心枢纽，使用灵活的网络负载均衡器由Palo Alto Networks VM系列防火墙集群进行检查。

您可以在本地配置和管理Palo Alto Networks防火墙，或者使用Panorama（Palo Alto Networks的中心化安全管理系统）进行集中管理。Panorama帮助客户减少管理配置、策略、软件和动态内容更新的复杂性和管理开销。通过在Panorama上使用设备组和模板，您可以在防火墙上有效管理防火墙特定的配置，并在所有防火墙或设备组中执行共享策略。

下图展示了这个参考架构。

针对每个流量路径，请确保在Palo Alto Networks VM系列防火墙上开放网络地址转换（NAT）和安全策略。

南北向入站流量

下图展示了南北向入站流量如何从互联网和远程数据中心访问Web应用程序层。

南北向出站流量

下图展示了Web应用程序层和数据库层如何向互联网发起出站连接，提供软件更新和访问外部网络服务。

东西向流量（Web到数据库）

下图展示了流量如何从Web应用程序移动到数据库层。

东西向流量（数据库到Web）

下图展示了流量如何从数据库层移动到Web应用程序。

东西向流量（Web应用程序到Oracle服务网络）

下图展示了流量如何从Web应用程序移动到Oracle服务网络。

东西向流量（Oracle服务网络到Web应用程序）

下图展示了流量如何从Oracle服务网络移动到Web应用程序。

架构包含以下组件：

Palo Alto Networks VM系列防火墙

• 提供与物理下一代防火墙相同的功能，以虚拟机（VM）的形式呈现，提供内联网络安全和威胁防护，以保护公共和私有云。

区域（Region）

• Oracle云基础设施区域是一个包含一个或多个数据中心的地理区域，称为可用性域。各个区域相互独立，可以跨越国家甚至大洲。

可用性域（Availability domains）

• 可用性域是区域内独立的数据中心。每个可用性域内的物理资源与其他可用性域的资源隔离，提供了容错能力。不同可用性域之间不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该区域内的其他可用性域。

故障域（Fault domains）

• 故障域是可用性域内的硬件和基础设施分组。每个可用性域有三个故障域，拥有独立的电力和硬件。在多个故障域间分配资源可以让应用程序承受物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

• VCN是您在Oracle云基础设施区域中设置的可定制的软件定义网络。和传统数据中心网络一样，VCN赋予您对网络环境的完全控制。VCN可以拥有多个不重叠的CIDR块，创建后可以更改。您可以将VCN分割为子网，这些子网可以是特定于区域或特定于可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。创建后，您可以更改子网的大小。子网可以是公共的或私有的。

中心枢纽VCN（Hub VCN）

• 中心枢纽VCN是部署了Palo Alto Networks VM系列防火墙的中心化网络。它为所有辐射VCN、Oracle云基础设施服务、公共端点和客户端以及本地数据中心网络提供安全连接。

应用层辐射VCN（Application tier spoke VCN）

• 应用层辐射VCN包含一个私有子网，用于托管Oracle E-Business Suite或PeopleSoft组件。

数据库层辐射VCN（Database tier spoke VCN）

• 数据库层辐射VCN包含一个私有子网，用于托管Oracle数据库。

负载均衡器（Load balancer）

• Oracle云基础设施负载均衡服务提供从一个入口点到后端多个服务器的自动流量分配。

灵活网络负载均衡器（Flexible network load balancer）

• Oracle云基础设施灵活网络负载均衡器提供从一个入口点到虚拟云网络中多个后端服务器的自动流量分配。它在连接层级上运行，根据Layer3/Layer4（IP协议）数据将传入的客户端连接负载均衡到健康的后端服务器。

安全列表（Security list）

• 对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的源、目的地和类型。

路由表（Route Table）

• 虚拟路由表包含将流量从子网路由到VCN外部目的地的规则，通常通过网关。

在中心VCN（Hub VCN），您拥有以下路由表：

• 管理路由表（Management route table）连接到管理子网，该管理子网拥有连接到互联网网关的默认路由。

• 不信任路由表（Untrust route table）连接到不信任子网或默认VCN，用于将流量从中心VCN路由到互联网或本地目标。

￮ 此路由表还有一个额外条目，通过动态路由网关指向您本地子网。这确保在未来支持原生网络地址转换时，不会发生流量中断。

• 信任路由表（Trust route table）连接到信任子网，指向通过相关LPG的辐射VCN的CIDR块。

• 网络负载均衡器（NLB）路由表连接到NLB子网，通过动态路由网关指向本地子网的CIDR块。

• 对于每个连接到中心的辐射，定义一个独立的路由表，并连接到相关LPG。该路由表将所有流量（0.0.0.0/0）从相关辐射LPG通过内部灵活网络负载均衡器转发，或者您也可以以更细粒度级别定义。

• Oracle服务网关路由表（Oracle service gateway route table）连接到Oracle服务网关，用于Oracle服务网络通信。该路由将所有流量（0.0.0.0/0）转发到内部负载均衡器VIP IP。

• 为了保持流量对称性，还在每个Palo Alto Networks VM-Series Firewall上添加路由，以将辐射流量的CIDR块指向中心VCN上信任（内部）子网的默认网关IP（在信任子网中可用的默认网关IP）和默认CIDR块（0.0.0.0/0）指向不信任子网的默认网关IP。

互联网网关（Internet gateway）

• 互联网网关允许VCN中的公共子网和公共互联网之间的流量通行。

NAT网关（NAT gateway）

• NAT网关使VCN中的私有资源能够访问互联网上的主机，而不会将这些资源暴露给传入的互联网连接。

本地对等网关（Local Peering Gateway，LPG）

• LPG允许您将一个VCN与同一区域中的另一个VCN进行对等连接。对等连接意味着VCN之间使用私有IP地址进行通信，流量不会穿越互联网或通过您的本地网络路由。

动态路由网关（Dynamic Routing Gateway，DRG）

• DRG是一种虚拟路由器，为VCN中的私有网络流量提供通往区域外网络的路径，如位于另一个Oracle Cloud Infrastructure区域的VCN、本地网络或其他云提供商的网络。

服务网关（Service gateway）

• 服务网关从VCN提供对其他服务的访问，例如Oracle Cloud Infrastructure对象存储。从VCN到Oracle服务的流量通过Oracle网络基础设施进行传输，从不穿越互联网。

FastConnect

• Oracle Cloud Infrastructure FastConnect提供了一种简便的方式，用于在您的数据中心和Oracle Cloud Infrastructure之间创建专用的私有连接。与基于互联网的连接相比，FastConnect提供了更高的带宽选项和更可靠的网络体验。

虚拟网络接口卡（VNIC）

• Oracle Cloud Infrastructure数据中心的服务使用物理网络接口卡（NIC）。虚拟机实例使用与物理NIC关联的虚拟NIC（VNIC）进行通信。每个实例都有一个在启动时自动创建并附加的主VNIC，并在实例的整个生命周期内可用。DHCP只提供给主VNIC。您可以在实例启动后添加次级VNIC。应为每个接口设置静态IP。

私有IP

• 用于地址实例的私有IPv4地址及相关信息。每个VNIC都有一个主要的私有IP，您可以添加和删除次级私有IP。实例上的主要私有IP地址在实例启动时附加，并且在实例的生命周期内不会更改。次级IP也应属于VNIC子网的同一CIDR。次级IP用作浮动IP，因为它可以在同一子网内不同实例的不同VNIC之间移动。您还可以将其用作托管不同服务的不同端点。

公共IP地址

• 网络服务定义了由Oracle选择的公共IPv4地址，该地址映射到私有IP地址。

￮ 短暂性地址（Ephemeral）：此地址是临时的，仅存在于实例的生命周期内。

￮ 保留地址（Reserved）：此地址在实例的生命周期之外持续存在。它可以被取消分配并重新分配给另一个实例。

源与目的地检查

• 每个VNIC都对其网络流量执行源与目的地检查。禁用此标志允许CGNS处理不是针对防火墙的网络流量。

计算实例类型（Compute shape）

• 计算实例的类型指定了分配给实例的CPU数量和内存量。计算实例的类型还决定了计算实例可用的VNIC数量和最大带宽。

推荐方案

遵循以下建议，以在甲骨文云基础设施上安全部署甲骨文电子商务套件或PeopleSoft工作负载，并使用Palo Alto Networks VM系列防火墙。您的需求可能与此处描述的架构有所不同。

VCN

• 创建VCN时，根据您计划附加到VCN子网中的资源数量，确定所需CIDR块的数量及其大小。使用标准私有IP地址空间内的CIDR块。

• 选择不与任何其他网络重叠的CIDR块（在甲骨文云基础设施、您的本地数据中心或其他云提供商中），以便您打算建立私有连接。

• 创建VCN后，您可以更改、添加和移除其CIDR块。

• 设计子网时，考虑您的流量流动和安全要求。将特定层或角色内的所有资源附加到同一子网，可作为安全边界。

• 使用区域子网。

• 在您的服务限制中验证每个VCN的最大LPG数量，以防您想将此架构扩展至多个环境和应用程序。

Palo Alto Networks VM系列防火墙

• 部署一个主动/主动集群，如有需要，添加额外实例。

• 尽可能在不同的故障域或不同的可用性域中部署。

• 确保所有VNICs的MTU设置为9000。

• 使用VFIO接口。

Palo Alto Networks VM系列防火墙安全管理

• 如果您正在甲骨文云基础设施中创建部署，请为管理创建专用子网。

• 使用安全列表或NSGs限制源自互联网的端口443和22的入站访问，用于管理安全策略、查看日志和事件。

Palo Alto Networks VM系列防火墙策略

• 确保您已配置VM系列防火墙实例上所需的网络地址转换策略。请参阅“探索更多”部分中的防火墙文档，了解最新的安全策略、端口和协议信息。

考虑因素

在甲骨文云基础设施上使用Palo Alto Networks VM系列防火墙保护甲骨文电子商务套件或PeopleSoft工作负载时，请考虑以下内容：

性能

• 选择适当的实例大小非常关键，这取决于计算形状，决定了可用的最大吞吐量、CPU、RAM和接口数量。

• 机构需要了解哪些类型的流量穿越环境，确定适当的风险水平，并根据需要应用适当的安全控制。启用的不同安全控制组合会影响性能。

• 考虑为FastConnect或VPN服务添加专用接口。

• 考虑使用大型计算形状以获得更高的吞吐量和更多的网络接口。

• 运行性能测试以验证设计是否能够承受所需的性能和吞吐量。

安全性

• 在甲骨文云基础设施中部署Palo Alto Networks VM系列防火墙，可实现对所有物理和虚拟Palo Alto Networks VM系列实例的集中安全策略配置和监控。

可用性

• 将您的架构部署到不同的地理区域，以获得最大的冗余性。

• 配置与相关组织网络的站点到站点VPN，以与本地网络实现冗余连接。

成本

• Palo Alto Networks VM系列防火墙在甲骨文云市场提供自带许可证（BYOL）和按需付费许可证模式，适用于套餐1和套餐2。

￮ 套餐1包括VM系列容量许可证、威胁防护许可证和高级支持权益。

￮ 套餐2包括VM系列容量许可证和完整的许可证套装，包括威胁防护、WildFire、URL过滤、DNS安全、GlobalProtect以及高级支持权益。

部署

您可以通过甲骨文云市场在甲骨文云基础设施上部署Palo Alto Networks VM系列防火墙。您也可以从Github下载代码，并根据您的具体业务需求进行定制。

甲骨文建议从甲骨文云市场部署架构。

通过甲骨文云市场中的堆栈部署：

1. 如架构图所示，设置所需的网络基础设施。参见设置中心辐射型网络拓扑。

2. 在您的环境中部署应用程序（甲骨文电子商务套件或PeopleSoft）。

• 甲骨文云市场有多个不同配置和许可需求的列表。例如，以下列表提供自带许可证（BYOL）的特点。对于您选择的每个列表，请点击“获取应用”并遵循屏幕上的提示：
Palo Alto Networks VM系列防火墙 - 自带许可证。
Palo Alto Networks VM系列防火墙 - 列表。

通过GitHub中的Terraform代码部署：

1. 访问GitHub仓库。

2. 将仓库克隆或下载到您的本地计算机。

3. 遵循README文档中的说明进行操作。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门