AWS GWLB集成Palo Alto防火墙

已于 2022-10-24 00:03:35 修改
阅读量973 收藏 2
点赞数 1
分类专栏: AWS 文章标签: aws 网络 云计算 1024程序员节
于 2022-10-14 15:52:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuqianglong_liu/article/details/127322087
版权
本文档详细介绍了如何在AWS环境中利用GWLB集成Palo Alto防火墙,实现流量集中检测。通过VPC配置、实例创建、防火墙配置、GWLB部署和访问测试,展示了AWS PrivateLink的GWLBe如何作为路由下一跳,以及GWLB如何通过GENEVE隧道与防火墙交互。实验中指出了AWS官方博客存在的错误,并提供了配置和清理实验环境的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

AWS VPC 流量集中检测系列–(1)AWS GWLB集成paloalto防火墙

B站视频:​​https://www.bilibili.com/video/BV13m4y1P72M/?spm_id_from=333.999.0.0​​

文章目录

一、背景

1.1 流量集中检测

传统网络都会在出口部署防火墙,用于检测内网进出互联网的流量。到了AWS云上,这个需求并不太容易实现,因为每个VPC都可以认为是一个独立的网络,有独立的出口。但是对AWS云上的南北向(VPC访问互联网)和东西向(VPC互访)流量做集中检测一直都是比较常见的需求。

流量集中检测架构的核心主要是两个点,一是如何将流量引导到防火墙上,二是防火墙如何实现高可用。

以前常见方法是通过AWS Lambda函数来修改路由表,从而切换流量,并且实现防火墙的高可用。这种方案扩展性不好,而且不太容易实施。

AWS Gateway Load Balancer(GWLB)的出现很好的解决了上面两个问题。AWS PrivateLink提供了新的VPC终端节点GWLB endpoint(GWLBe),它可以做为下一跳路由节点,解决了流量引导的问题。GWLB在防火墙的前面做负载均衡,解决了防火墙高可用的问题。另外关于流量引导,也可结合Transit Gateway来进行引流,可以实现更具扩展性的架构。

1.2 参考的博客

最开始我是对着AWS官方博客[参见链接1]来做实验的,发现无论如何都无法实验成功,后来发现博客里面一个重要参数写错了导致异常。坑出现在原博客[3.2.1 创建PA防火墙实例],里面写到plugin-op-commands=Amazon-gwlb-inspect:enable,应该将Amazon修改为aws,即plugin-op-commands=aws-gwlb-inspect:enable。

测试完paloalto之后,我想测试FortiGate防火墙,飞塔是对这个AWS官方博客[参见链接2]来做实验的,两个拓扑基本一致,只是替换了防火墙,但是发现这篇博客更坑,关键步骤有缺失,无法实现防火墙的高可用切换。后续我会在相同的拓扑下,使用FortiGate防火墙来测试,会填上博客缺失步骤的坑。

这次实验是在AWS Console上操作的,后续我会演示AWS CloudFormation来部署这个环境。

二、实验介绍

这里AppVpc模拟业务的VPC,APP进出互联网的流量会被引导到SecVpc内的防火墙做安全检测,防火墙允许通过后,流量才能正常通信。

这次实验的核心组件:

GWLB:Gateway Load Balancer与防火墙建立GENEVE[参见链接3]隧道,使用UDP 6081来转发数据,这种封装方式让防火墙不用关闭源/目的地址检查,也不用做源/目的NAT的转换。GWLB会在子网创建一个弹性接口,流量通过这个弹性接口来转发。

GWLBe:Gateway Load Balancer endpoint 是由AWS PrivateLink提供的VPC终端节点,可以作为路由表中的下一跳存在,流量送到GWLBe后,会继续送往GWLB背后的实例。

Ingress Route Table:这个路由表关联在IGW上,路由表一般都是关联在子网,这里是AWS 2019年发布的一个功能VPC Ingress Routing[参见链接4],让路由表可以关联到IGW上,用于控制入向的流量。

GWLB paloalto

APP访问互联网流量路径(红色箭头)

  1. AppVpc内的APP1想要访问Internet上的资源,所在子网关联的路由表将默认路由指向了GWLB Endpoint1。
  2. GWLB Endpoint1 使用 AWS PrivateLink 将流量送到到GWLB,这里流量是由AWS来控制,无需用户配置。
  3. GWLB会使用IP数据包的5元组或者3元组哈希来选择实例。GWLB使用GENEVE来封装原始IP流量,并通过UDP 6081发送到防火墙。GENEVE封装可以将所有的IP流量送到实例上,GWLB的侦听组上不需要为每个协议和端口配置侦听器。
    • 当 GWLB 接收到新的 TCP/UDP 流时,它会使用 5 元组流哈希(源 IP、目标 IP、传输协议、源端口、目标端口)从目标组中选择一个健康的设备。随后,GWLB 将该流的所有数据包(正向和反向)路由到同一设备(粘性)。对于非 TCP/UDP 流,GWLB 仍然使用 3 元组(源 IP、目标 IP、传输协议)进行转发决策。
  4. 防火墙收到GENEVE报文,需要解封装流量,然后根据防火墙的安全策略决定是否允许流量通过。
  5. 防火墙重新使用GENEVE封装流量,并发送到GWLB。
  6. GWLB根据 GENEVE TLV字段,选择转发到GWLB Endpoint1,并且发送时会去除GENEVE封装。
    • 为了支持具有重叠 CIDR 的多租户设备,设备需要知道流量的来源。GWLB 还需要跟踪流量并避免用户流量的混合。GWLB 可以通过将每个数据包的类型-长度-值 (TLV) 三元组发送到设备的额外信息(例如 GWLBE/VPCE ID、附件 ID、流 Cookie)来实现这一点。
  7. GWLB Endpoint1接受到流量,查看子网关联路由表,默认路由指向IGW,流量通过IGW访问Internet。

互联网访问APP的流量路径(蓝色箭头)

  1. 客户发起对App1公网地址的访问,流量到达AppVpc的IGW,IGW查看所关联的路由表,将流量送往GWLB Endpoint1。
  2. GWLB Endpoint1 使用 AWS PrivateLink 将流量送到到GWLB。
  3. GWLB使用GENEVE来封装原始IP流量,并通过UDP 6081转发到实例。
  4. 防火墙收到GENEVE报文,需要解封装流量,然后根据防火墙的安全策略决定是否允许流量通过。
  5. 防火墙重新使用GENEVE封装流量,并发送到GWLB。
  6. GWLB根据 GENEVE TLV字段,选择转发到GWLB Endpoint1,并去除GENEVE封装。
  7. GWLB Endpoint1接受到流量,查看子网关联路由表,匹配到local路由,流量送到APP1。

三、 配置部署

3.1 VPC 配置

3.1.1 创建VPC

创建两个VPC

VPC名称		网段
AppVpc		10.10.0.0/16
SecVpc		10.20.0.0/16

3.1.2 创建IGW关联VPC

创建两个IGW,分别关联上VPC

3.1.3 创建子网

AppVpc 创建4个子网

子网名称              网段            备注
AppVpc-GWLBe1-Subnet  10.10.10.0/24		AZ1 的Gate
最低0.47元/天 解锁文章
AWS GWLB对访问ALB流量做安全检测
liuqianglong_liu的博客
11-15 636
AWS Gateway Load Balancer对访问Application Load Balancer流量做安全检测,并关联AWS WAF策略,使用Linux iptables模拟防火墙,全自动化搭建实验环境。
AWS GWLB对访问NLB流量做安全检测
liuqianglong_liu的博客
11-07 561
AWS Gateway Load Balancer对访问Network Load Balancer流量做安全检测,使用Linux iptables模拟防火墙,全自动化搭建实验环境。
基于AWS GWLB实现安全检测的线性扩展
cyt_317的博客
08-27 1538
无论是哪种应用场景,通过修改VPC路由表路由条目,调整数据转发路径,使需要安全检查的子网流量下一跳指向GWLB,从而使流量穿过安全网关进行安全检查或安全控制。AWS 网关负载均衡(GWLB)为AWS提供的托管型4层负载均衡服务,AWS网关负载均衡将互联网IGW流量或虚拟私有网关VGW流量负载分担到多个安全网关,扩展互联网出口和VPC互连网络安全处理性能,并且保障FortiGate安全网关的容错能力和扩展性。在防火墙上去互联网和GWLB都存在默认网关,启用VDOM把管理流量和GWLB流量分开。......
paloalto防火墙执行初始配置
热门推荐
weixin_34221276的博客
04-22 1万+
1.默认情况下,防火墙的 IP 地址为 192.168.1.1,用户名/密码为 admin/admin。   为了安全起见,在继续执行其他防火墙配置任务之前,必须更改这些设置。必须从 MGT 接口(即使计划不使用此接口进行防火墙管理),   或使用直接连接到防火墙控制台端口的串行连接来执行这些初始配置任务。   1)安装防火墙,并连接电源。   2)配置好MGT端口的IP地址、掩码、默认网...
利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙
liuqianglong_liu的博客
11-01 441
利用CloudFormation自动化部署AWS GWLB集成FortiGate防火墙
Palo alto 防火墙运维手册
12-05
Palo alto 防火墙运维手册》,基于Palo alto 防火墙设备,对设备的详细使用介绍,详细的操作技巧,运维管理必备的命令。
利用CloudFormation自动化部署AWS GWLB集成Palo Alto防火墙
liuqianglong_liu的博客
10-31 328
利用CloudFormation自动化部署AWS GWLB集成Palo Alto防火墙
AWS GWLB集成FortiGate防火墙
liuqianglong_liu的博客
10-31 805
AWS GWLB集成FortiGate防火墙
Palo Alto VM-Series防火墙AWS GWLB场景下的部署与配置详解
整体而言,这份手册提供了细致的步骤和最佳实践,帮助管理员在AWS中无缝集成Palo Alto VM-Series防火墙,实现网络安全和高性能的负载均衡。对于IT专业人士来说,这是一份实用的参考资料,能有效提升在AWS环境下...
Panorama系列--(2)AWS上搭建Panorama测试环境
liuqianglong_liu的博客
02-11 1061
Panorama主要用来管理多台防火墙,在AWS云上,对流量做集中安全检测一般会有多台防火墙,所以这里利用CloudFormation搭建了流量集中检测的LAB环境,然后利用Panorama管理这两台防火墙
Paloalto 防火墙技术指导手册
06-13
Paloalto 防火墙技术指导手册详细介绍了设备的三种配置模式,设备上架安装方法,策略配置方法,报告生成方法
palo+alto串口恢复出厂值方法.pdf
最新发布
10-22
PaloAlto
palo alto维护手册
06-18
palo alto防火墙基础配置手册,对于入门的兄弟有很大的帮助
PA5.0防火墙中文操作手册.pdf
02-10
Palo Alto Networks管理员指南版本 5.0中文版操作手册,非常的详细,第 1 章 简介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 防火墙概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 功能与优点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 管理方式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 第 2 章 入门 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 准备防火墙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 设置防火墙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 使用防火墙 Web 界面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 提交更改 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 导航到配置页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 使用配置页面上的表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 必填字段 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 锁定事务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 支持的浏览器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 获取配置防火墙的帮助 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 获取详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 技术支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 目录4 • Palo Alto Networks 第 3 章 设备管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 系统设置、配置和许可证管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 定义管理设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 定义操作设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 定义服务设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 定义内容 ID 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 定义会话设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 统计信息服务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 比较配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 安装许可证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 升级/降级 PAN-OS 软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 在高可用性配置中升级 PAN-OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 降级 PAN-OS 软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 维护版本降级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 功能版本降级 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 更新威胁和应用程序定义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 管理员角色、配置文件和帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 用户名和密码要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 定义管理员角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 定义密码配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 创建管理帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 指定管理员的访问域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 身份验证配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 设置身份验证配置文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 创建本地用户数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 配置 RADIUS 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 配置 LDAP 服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 配置 Kerberos 设置(本机 Active Directory 身份验证) . . . . . . . . . . . . . . 59 身份验证序列 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
paloalto防火墙web登录
weixin_44675999的博客
07-10 1430
1)电脑有线网卡配置成192.168.1.x,掩码255.255.255.0。2) 在浏览器输入https://192.168.1.1。3)可以正常登录到web。
paloalto防火墙初始化-console登录
weixin_44675999的博客
07-12 1060
3)大概5分钟左右(因型号版本时间浮动)PWR、TEMP、STAT都为常绿,已经完全启动了输入默认用户名密码admin/admin。2)1分钟左右,CLI显示PA-HDF还没有完全的启动,需要继续等待,PWR、TEMP常绿,STAT橘黄色。1)防火墙刚接电启动时只有PWR灯是绿灯。
paloalto防火墙注册
weixin_34384557的博客
04-24 1792
一、创建账户 1.注册网站:   https://support.paloaltonetworks.com/Support/Index 2.单击 Activate My Account    3.输入 Your Email Address(您的电子邮件地址), Enter the characters from the picture(输入图片中的字符),然后 Submit(提交)您的条...
Palo Alto防火墙虚拟机版本配置
weixin_34224941的博客
12-25 4492
1、下载Palo Alto虚拟机。链接: https://pan.baidu.com/s/1eksBzBG3uLWyxhvlgmxulQ 提取码: nc76 2、虚拟机的IP地址为192.168.1.1,账号密码 admin/admin 3、修改IP地址 configure edit deviceconfig system set ip-address 192.168.1.8 commit 转载于...
自动化部署AWS API Gateway,Lambda,防火墙与WAF实现动态威胁防护与响应
cyt_317的博客
03-01 952
当上节Terraform创建时,terraform.tfvar文件中的变量enableSimpleWebSrv = true 时,即表示部署一组简单的WEB应用实例,其中位于可用区1的subnet-app的IP为192.168.251.72 (请根据您Terraform部署后的实例实际IP填写),当从浏览器发起访问,如。当您完成上步,即Terraform工程与您AWS环境的适配后,您就可以执行下面的命令,测试Terraform是否满足部署条件。如果false,请参照文件中的指导,在DryRun时传入ID。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值