Bereitstellen der Palo Alto-Firewall auf Amazon Web Services
by Rackspace Technology Staff
Einführung
Dieser Artikel enthält erste Schritte für die Bereitstellung von Palo Alto Firewall auf AWS, aber die Konfiguration erweiterter Funktionen in AWS geht über den Rahmen dieses Artikels hinaus.
Da sich die Welt des Cloud Computing schnell entwickelt, ist die Netzsicherheit in der Cloud von größter Bedeutung. Unternehmen benötigen konsistente Sicherheit in der Cloud, ohne dabei auf Flexibilität und Wahlmöglichkeiten bei der Bereitstellung verzichten zu müssen. Neben den Inline-Funktionen zur Bedrohungsabwehr bietet die Integration der virtualisierten Palo Alto- Firewall der VM-Serie in die neu angekündigte virtuelle private Verbindung (VPC) von Amazon Web Services (AWS) Unternehmen die folgenden Möglichkeiten:
- Um die Firewall für die Sichtbarkeit der Anwendung out-of-band einzusetzen.
- So stellen Sie erweiterte Bedrohungserkennung in der AWS-Cloud bereit und erweitern Ihr Unternehmensnetzwerk.
Sie können Unternehmensanwendungen in die Cloud verlagern, zusätzliche Webserver starten oder Ihrem Netzwerk mehr Rechenkapazität hinzufügen, indem Sie Ihre VPC mit Ihrem Unternehmensnetzwerk verbinden. Da Sie Ihre VPC hinter Ihrer Unternehmens-Firewall hosten können, können Sie Ihre IT-Ressourcen nahtlos in die Cloud verlagern, ohne die Art und Weise zu ändern, wie Ihre Benutzer auf diese Anwendungen zugreifen.
Übersicht
Die folgenden detaillierten Schritte zeigen Ihnen, wie Sie Schlüsselpaare erstellen und speichern, Ihre VPC für verschiedene Subnetze vorbereiten und eine AWS-Instanz mit einem Palo Alto-Image erstellen.
Schritt 1: Erstellen der Schlüsselpaare
1. Melden Sie sich bei Ihrem AWS-Konto an. 2. Wählen Sie in der linken Navigationsleiste Netzwerksicherheit -> Schlüsselpaare. 3. Erstellen Sie ein Schlüsselpaar, indem Sie ihm einen Namen geben und das Schlüsselpaar speichern. Wählen Sie im PuTTY© Key Generator den Typ RSA. 4. Wählen Sie die von Ihnen erstellte PEM-Datei. 5. Wählen Sie Privaten Schlüssel speichern, aber geben Sie das Passwort nicht ein. 6. Speichern Sie die Datei mit der Erweiterung .ppk . 7. Wechseln Sie zu PuTTY. Wählen Sie im linken Bereich SSH und wählen Sie Auth. 8. Klicken Sie auf Browse und zeigen Sie mit PuTTY auf die soeben erstellte Datei .ppk . 9. Speichern Sie die Sitzung, indem Sie auf die Sitzung auf der linken Seite von PuTTY klicken und Savewählen.
Schritt 2: Vorbereiten der VPC
1. Wählen Sie in AWS Services -> VPC und löschen Sie die Standard-Subnetze. 2. Erstellen Sie vier neue Subnetze: Management, Inside, Outside und DMZ. Sie können die IP-Adressen frei wählen, aber sie sollten im VPC-Adressbereich liegen.
Schritt 3: Wählen Sie das Palo-Alto-Bild
1. Melden Sie sich in Ihrem AWS-Konto an, gehen Sie zu AWS Services -> Unter Services -> EC2und erstellen Sie eine Instanz. 2. Wählen Sie Amazon Market Place, und suchen Sie nach Palo Alto. 3. Wählen Sie VM-Series Next Generation Firewall Bundle 2.
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Um ein Amazon Machine Image (AMI) auszuwählen, gehen Sie zum AWS Marketplace. Suchen Sie auf der linken Seite nach Paloalto -> Wählen Sie VM-Series Next-Generation Firewall Bundle 2
- Klicken Sie auf Wählen Sie
Schritt 4: Erstellen einer Instanz
1. Starten Sie eine neue EC2-Instanz, indem Sie auf das Optionsfeld Launch Instance klicken, wie in der folgenden Abbildung dargestellt:
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Um ein Amazon Machine Image (AMI) auszuwählen, gehen Sie zum AWS Marketplace. Suchen Sie auf der linken Seite nach Paloalto -> Wählen Sie VM-Series Next-Generation Firewall Bundle 2
- Klicken Sie auf Wählen Sie
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Markieren Sie den Instanztyp M3 Extra Large
- Klicken Sie auf Weiter: Instanzdetails konfigurieren
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Konfigurieren Sie die Details der Instanz. Wählen Sie Management für das Subnetz, weisen Sie die öffentliche IP automatisch zu und klicken Sie auf Weiter: Speicher hinzufügen wie in den folgenden Abbildungen gezeigt:
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Wählen Sie General Purpose SSD (Solid State Drive) (GP2) Volume-Typ und klicken Sie auf Weiter: Tags hinzufügen.
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Behalten Sie die Standardeinstellungen für Tags hinzufügen bei und klicken Sie auf Weiter: Konfigurieren Sie die Sicherheitsgruppe, verwenden Sie die Unrestricted Security Group, und klicken Sie auf Review and Launch.
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Überprüfen Sie alle Details der Instanz und klicken Sie auf Launch
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
- Wählen Sie das zuvor erstellte Schlüsselpaar aus und klicken Sie auf Launch Instances
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
Gehen Sie zu Services -> EC2 -> Instances und überprüfen Sie, ob die neue Instanz wie in der folgenden Abbildung gezeigt läuft:
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
Konfigurieren Sie die VPC
1. Rufen Sie das VPC-Dashboard unter Services -> VPC -> Subnetsauf. 2. Wählen Sie das Subnetz Management und wählen Sie die Registerkarte Route Table . 3. Klicken Sie auf Bearbeiten und verknüpfen Sie es mit der Tabelle Outside Routing , um es vom Internet aus zu erreichen. Überprüfen Sie, ob der neue zugehörige Routeneintrag unter Route Tableaufgeführt ist.
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
Weisen Sie der Instanz eine IP-Adresse zu
1. Gehen Sie zu EC2 und wählen Sie Ihre Instanz aus. 2. Gehen Sie auf Network & Security auf der linken Seite, wählen Sie Elastic IPs, und klicken Sie auf Allocate new address.
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
# die Konfiguration anwenden
Da die Verwaltungsschnittstelle mit der externen öffentlichen IP-Adresse verknüpft ist, sollten Sie in der Lage sein, über eine PuTTY-Sitzung und einen Webbrowser (z. B. https://) eine Verbindung zur Verwaltungsschnittstelle mit der externen AWS-Öffentlichkeits-IP-Adresse der EC2-Instanz herzustellen.
Die folgenden Bilder zeigen einige Beispiele für diesen Test:
< Drupal-Entität data-align="left" data-embed-button="media_entity_embed" data-entity-embed-display="view_mode:media.full" data-entity-type="media" data-entity-uuid="ffc70d81-8bc0-42e9-b646-2faec089e354" data-langcode="en"> < /drupal-entity>
Erstellen Sie ein Palo Alto-Supportkonto
1. Gehen Sie zu support.paloaltonetworks.com und erstellen Sie ein Konto. 2. Melden Sie sich bei Ihrem Palo Alto-Supportkonto an. 3. Klicken Sie auf die Registerkarte Assets . 4. Klicken Sie auf Neues Gerät registrieren. 5. Wählen Sie Software-Updates , um zu überprüfen, ob Sie Zugriff auf die Software haben.
Fazit
Mithilfe der in diesem Beitrag beschriebenen Schritte können Sie eine Palo Alto-Firewall in AWS bereitstellen. Beachten Sie, dass AWS für Palo Alto nicht kostenlos ist und Ihnen pro Stunde berechnet wird, wenn die Instanz läuft. Die Gebühren sind für EC2 und eine Softwarelizenz für Palo Alto, die etwa 1,50 Dollar pro Stunde kostet. Für die Speicherung fallen außerdem monatliche Kosten an. Vergewissern Sie sich, dass Sie über das nötige Budget verfügen, bevor Sie sich für die Nutzung von Palo Alto entscheiden.
Wenn Sie die Arbeit an der Instanz beendet haben, stellen Sie sicher, dass Sie sie stoppen, damit Ihnen keine weiteren Kosten entstehen. Beenden Sie die Instanz nicht, wodurch die Instanz vollständig gelöscht wird.
Recent Posts
Der Bericht über den Zustand der Cloud 2025
Januar 10th, 2025
Google Cloud Hybrid Networking-Muster - Teil 2
Oktober 16th, 2024
Google Cloud Hybrid Networking-Muster - Teil 2
Oktober 15th, 2024
How Rackspace Leverages AWS Systems Manager
Oktober 9th, 2024
Windows Server verhindert Zeitsynchronisation mit Rackspace NTP
Oktober 3rd, 2024