Interfacce PaloAlto

• Tap Mode
• Virtual Wire
• Layer 2
• Layer 3
• Aggregate Interfaces
• HA

Porta TAP
La modalità TAP consente il monitoraggio passivo del flusso di traffico attraverso una rete utilizzando la funzione SPAN (nota anche come mirroring).

Una distribuzione tipica implicherebbe la configurazione di SPAN su switch Cisco Catalyst in cui la porta SPAN di destinazione è la porta dello switch a cui si connette il nostro Palo Alto Firewall.

Il vantaggio di questo modello di distribuzione è che consente alle organizzazioni di monitorare attentamente il traffico verso i loro server o rete senza richiedere alcuna modifica all’infrastruttura di rete.

Durante la configurazione di SPAN è importante assicurarsi che siano configurate le porte SPAN e SPAN Destination corrette e che si abiliti anche la modalità Tap sul Firewall. La modalità Tap offre visibilità sull’applicazione, sull’utente e sui contenuti, tuttavia, dobbiamo tenere presente che il firewall non è in grado di controllare il traffico poiché in questa modalità non è possibile applicare regole di sicurezza.

Modalità Virtual WIRE (V-WIRE)

Virtual Wire, noto anche come V-Wire. Il bello della distribuzione di V-Wire è che il firewall può essere inserito in una topologia esistente senza richiedere modifiche alla topologia di rete esistente.

Le opzioni di distribuzione V-Wire superano i limiti della distribuzione in modalità TAP, poiché si è in grado di monitorare e controllare il traffico che attraversa il collegamento. Un’interfaccia Virtual Wire supporta App-ID, User-ID, Content-ID, NAT e decrittazione.

Modalita’ Layer 2

Palo Alto Networks Next Generation Firewall può anche essere implementato in modalità Livello 2. In questa modalità la commutazione viene eseguita tra due o più segmenti di rete, come mostrato nello schema seguente:

Nella modalità layer 2 il firewall è configurata per eseguire il passaggio tra due o più segmenti di rete. Il traffico che attraversa il firewall viene esaminato, come da criteri impostati, fornendo maggiore sicurezza e visibilità all’interno della rete interna.

In questa modalità le interfacce firewall sono in grado di supportare Access o Trunk Link (trunking 802.1Q) e non partecipano alla topologia Spanning Tree. Qualsiasi BPDU ricevuto sulle interfacce del firewall viene inoltrato direttamente allo switch Layer 2 adiacente senza essere elaborato. Il traffico di routing tra reti VLAN o altre reti può essere ottenuto tramite un gateway predefinito che di solito è uno switch Layer 3 che supporta il routing InterVLAN, un’appliance di sicurezza Firewall o persino il design Router-on-a-Stick.

Interfaccia modalità LAYER 3

La modalità di livello 3 è una configurazione usuale. In questa modalità il firewall instrada il traffico tra più interfacce, ognuna delle quali è configurata con un indirizzo IP e una zona di sicurezza. Le interfacce Firewall possono anche essere configurate per ottenere il loro indirizzo IP tramite un server DHCP e possono essere utilizzate per gestire l’appliance di sicurezza.

About Author

crazynet

Da oltre 20 anni nel settore informatico.
Dopo anni come sistemista Microsoft negli ultimi dieci anni appassionato al mondo delle reti.

See author's posts