Open in app

Sign in

Write

Sign in

PaloAlto Prisma Access Infra概觀

本文介紹如何設定 Prisma Access service infrastructure以及如何擷取 Prisma Access 用於部署的 IP 位址。本文的重點有:

  • Prisma Access 服務基礎設施的概述
  • Prisma Access Infrastructure IP address

Service Infrastructure

本節介紹配置infrastructure subnet,該子網在service connections、remote networks與行動使用者之間建立 Prisma Access cloud network的主幹。

Service Infrastructure設定概觀

若要啟用remote network locations、 行動使用者與計劃透過service connection連接到 Prisma Access 的總部 或資料中心之間的通訊,請設定服務基礎設施子網路。 如果對remote network或service connection使用動態路由,則也必須設定符合 RFC 6696 的BGP AS number。

以下是有關為 Prisma Access 新增基礎設施子網路時的建議和需求的更多資訊:

  • 使用符合RFC-1918規範的Subnet
  • 注意可能overlapping subnets

設定Service Infrastructure

使用 BGP 為 Prisma Access 啟用動態路由。 Infra BGP AS 是標識 BGP 可以傳送流量的路由的編號。 如果沒有提供 AS number,Prisma Access 將使用預設 AS number(65534)。

複製 Egress IP API key以啟用 Prisma Access Egress IP address API。

如果我們計畫設定service connection以允許存取公司網路中的資源,並且還需要 Prisma Access 來解析內部網域,請定義內部網域清單。 輸入 Prisma Access 用於解析內部網域的Primary DNS 伺服器和secondary DNS 伺服器。 然後,新增希望 Prisma Access 解析的內部網域名稱。

Manage > Service Setup > Shared > Prisma Access Setup
Prisma Access > Manage > Service Setup > Infrastructure Settings — Shared

Infrastructure IP Address

本節介紹 Prisma Access 用於mobile和remote network部署的各種 IP 位址以及檢索這些 IP 位址的commands。

IP Address Concepts Related to Prisma Access

如果我們手動將 Prisma Access 基礎架構的 IP 位址新增至網路中的allow list中,我們應該了解這些位址的用途、為什麼需要允許它們,以及檢索它們所執行的任務。 雖然在完成 Prisma Access 配置後才執行這些任務,但提前了解這些概念很有用,這樣就可以了解部署完成後要做什麼。

  1. Prisma Access Infra IP address
  2. Run the API Script used to Retrieve IP address
  3. API command examples
  4. Legacy Scripts used to Retrieve IP and Loopback Addresses
  5. Pre-Allocate IP address for mobile user locations

Prisma Access Infrastructure IP Addresses

Prisma Access 使用各種 IP 位址進行mobile和remote network部署。下表為 Prisma Access 用於每種部署類型的 IP 位址清單,以及執行 API script 檢索 IP 位址時使用的關鍵字。

以下是每種 IP 位址類型的說明:

  • Prisma Access GlobalProtect (GP) Gateway —
    檢索gateway IP 位址。 我們必須新增gateway和portal IP 位址以新增mobile user部署的允許清單。 mobile user連接到 Prisma Access GP gateway以存取已提供存取權限的內部或網際網路資源,例如 SaaS 或對外應用程式。
  • Prisma Access GlobalProtect (GP) Portal —
    檢索portal IP 位址。 我們必須新增gateway和portal IP 位址以新增mobile user部署的允許清單。 與gateway一樣,我們可以檢索運作中 IP 位址和為擴充事件保留的 IP 位址。
  • Loopback IP Addresses —
    此位址是 Prisma Access 用於向內部來源發出請求的來源 IP 位址,並從基礎設施分配。 將loopback IP 位址新增至網路中的允許清單中,以便 Prisma Access 能夠存取內部資源,例如 RADIUS 或 Active Directory 驗證伺服器。
  • Remote Network IP Addresses —
    包括 Prisma Access 為 Prisma Access remote network connection指派的Service IP Addresses,以及 Prisma Access 用於確保remote network users獲得其所在region的正確預設語言的egress IP 位址。 新增這些位址以允許網路中的清單,以便 Prisma Access 能夠存取Internet資源。

Run the API Script Used to Retrieve IP Addresses

執行 API script分為三個步驟。 使用下列步驟檢索 Prisma Access 在其基礎架構中使用的 IP 位址。

Step 1: 產生API key
Manage > Service Setup > Shared。如果我們已產生 API key,現行的key將顯示在 Infrastructure Settings下。 點選 Prisma Access 環境中Infrastructure Settings下的Generate New API Key。

Step 2: 建立 .txt檔案

依下列格式指定 .txt 檔案中的選項:

ServiceType

  • all — 檢索需要新增至所有服務類型允許清單中的 IP 位址
  • Remote_network — 擷取需要新增至remote network部署允許清單中的 IP 位址
  • gp_gateway — 擷取需要新增至mobile user部署允許清單中的gateway IP 位址
  • gp_portal — 擷取需要新增至mobile user部署允許清單中的 portal IP 位址

addrType

  • all — 檢索需要新增至允許清單的所有 IP 位址
  • active — 檢索活動 IP 位址。 此關鍵字僅適用於mobile user部署
  • reserved — 檢索保留的 IP 位址。 此關鍵字僅適用於mobile user部署

actionType

  • pre_allocate — 允許擷取用於mobile use部署的 Prisma Access gateway和portal的 IP 位址或子網路。 將此與 gp_gateway 的 serviceType 一起使用以檢索預先指派的gateway IP 位址,並與 gp_portal 的 serviceType 一起使用以擷取預先指派的網gateway IP 位址。

location

  • all — 擷取所有位置的 IP 位址。 對於mobile users部署,此關鍵字會擷取在使用期間新增的位置和未新增的位置的 IP 位址。
  • deployed— 擷取在mobile users加入期間新增的所有位置的 IP 位址

Step 3: Enter the Command

命令模式
API模式

API 模式範例

下表列出了在 .txt 檔案中指定的用於檢索mobile userIP 位址的參數。

  • All active and reserved mobile user IP addresses:
    addrType 為 all 表示 Prisma Access 會擷取mobile user登入期間選擇的位置的活動 IP 和保留 IP 。 「all」location表示 Prisma Access 會擷取所有可用位置的 IP 位址,包括尚未登入的位置。
  • Active and reserved IP addresses for onboarded mobile user locations:
    部署的位置類型表示 Prisma Access 只檢索mobile user登入期間選擇的位置的 IP 位址。
  • All active IP addresses for onboarded mobile user locations:
    addrType 為 active 表示 Prisma Access 只檢索活動 IP 位址,並且不會檢索登入位置的保留 IP 位址。
  • All reserved IP addresses for onboarded mobile user locations:
    保留的 addrType 表示 Prisma Access 只檢索登入位置的保留 IP 位址。

下表列出了在 .txt 檔案中指定用於檢索remote network IP 位址的參數。 此命令會擷取已加入的remote network的public和egress IP 位址。 不要使用已部署的location或已保留的addrType。 可以使用 active 的 addrType,但它會檢索相同的位址,就像指定 all 的 addrType 一樣。

Legacy Scripts Used to Retrieve IP and Loopback Addresses

舊版commands檢索兩種類型的Ip address:

  • Public —
    Public IP 是 Prisma Access 對Internet的IP。 將Public IP 新增至網路中的allow list中,以便 Prisma Access 能夠存取 Internet 資源,例如 SaaS 應用程式或其他在Internet應用程式。 mobile user、remote network和clean pipe deployments使用Public IP 。
  • Egress —
    Egress IP 是 Prisma Access 用於到Internet 的出口流量的 IP ,我們也必須將這些位址新增至allow list中,以便 Prisma Access 能夠存取Internet資源。 除其他目的外,Prisma Access 使用egress IP ,以便使用者從 Prisma Access 位置接收採用他們期望的語言的網頁。

下表顯示了與 Prisma Access 一起使用的舊版 API script中可用的關鍵字和參數,並提供了有關針對部署類型使用哪個 API 的資訊和建議。

所有locations都有Public IP位址; 但是,並非所有location都有egress IP 。 以下位置不使用egress IP 。

檢索Mobile User Deployment的Public與Egress IP

如果我們要將Public IP 新增至allow list,以便mobile user能夠存取 SaaS 或其他外部應用程式,Prisma Access 會提供兩組Public IP 和egress IP ,以便它可以在擴展或其他事件期間自動加上位location。

一組指派給目前活動的 Prisma Access location和portal。 另一組被保留,以防擴展事件、基礎設施升級或導致 Prisma Access 新增location、portal或兩者的其他事件。

然後,可以在使用這組保留的 IP 之前將其新增至alloe list中,從而防止mobile user在擴充事件期間存取 SaaS 或外部應用程式時出現任何問題。

以下為檢索新IP的步驟

Step 1: Generate New API Key
Manage > Prisma Access > Prisma Access Setup > Infrastructure Settings; 然後選擇Generate New API Key

Step 2:檢索mobile user的Public IP

其中 current-api-key 是 Prisma Access API key

例如,特定 API key 12345abcde,使用下列 API 指令擷取所有位置的public IP :

檢索Public, Loopback與Egress IP

手動或在自動化腳本中使用 API key和 API endpoint URL:

我們需要將現行的 API key替換成我們的 API key,並使用以下關鍵字和參數之一或兩者:

使用檢索到的 IP 更新地端伺服器上的allow list或 SaaS 應用程式原則規則非常重要。

fwType Keyword Definitions

  • gpcs_gp_gw: 檢索Prisma Access GP gateway IP (for mobile user deployments).
  • gpcs_gp_portal: 檢索Prisma Access GP portal IP(for mobile user deployments)
  • gpcs_remote_network: 檢索Prisma Access remote network IP (for remote network deployments)
  • gpcs_clean_pipe: 檢索Prisma Access Clean Pipe IP .

addrType Keyword Definitions

  • public_ip —
    檢索 Prisma Access 用於對Internet的public ip。 對於mobile user位置,Prisma Access 會依位置列出 IP 。 對於remote network,Prisma Access 會依remote network名稱列出 IP 。
  • egress_ip_list —
    檢索 Prisma Access 與Public IP 一起使用的 IP ,以取得Internet的額外egress流量。 對於mobile user位置,Prisma Access 會依位置列出 IP 。 對於remote network,Prisma Access 會依remote network名稱列出 IP。
  • loopback_ip —
    檢索 Prisma Access 用於向內部來源(例如 RADIUS 或 Active Directory 伺服器)發出請求的來源 IP ,並從基礎架構子網路指派。

如果我們沒有指定參數,Prisma Access會檢索所有的IP。

Sase
安全存取服務邊緣
零信任

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams