Es muy común que entornos de producción se quiere contar con la seguridad de distintos proveedores o incluso... que queramos introducir nuestra solución (como lo puede ser un NGFW de Palo Alto Networks) en una topología de red compleja que no puede ser alterada.
Caso de uso y escenario real
Imagina que tenemos la siguiente topología de red:
- Router del ISP (192.168.1.1/24)
- Fortigate (Firewall de Fortinet)
- WAN: 192.168.1.2/24 (Port1)
- VLAN10: 192.168.10.1/24 (Port2)
- VLAN20: 192.168.20.1/24 (Port2)
- Switch Gestionable en modo Trunk con puertos en modo access para VLAN10 y VLAN20
- Dispositivos finales (clientes en la red)
¿Qué funcionalidades de un NGFW de Palo Alto Networks podemos aplicar con interfaces de tipo Virtual Wired?
- App-ID: Identificación y control de aplicaciones.
- User-ID: Asociación del tráfico con usuarios y grupos del directorio activo.
- Content-ID: Prevención de amenazas gracias los perfiles de seguridad (Antivirus, AntiSpyware, URl Filtering, Threat Prevention, File Blocking y Data Filtering)
- Descifrado SSL en su modo SSL Forward Proxy.
- Aplicación de políticas NAT sobre el tráfico.
Ejemplos reales de uso sobre esta configuración
Podemos aplicar esta configuración después de realizar una auditoria con interfaces de tipo Tap (tema que se tratará más adelante en el blog) sin necesidad de modificar la red. Pudiendo realizar un despliegue rápido y sencillo.
Resumen del contenido
Las interfaces Virtual Wired son una solución poderosa que podemos aplicar para desplegar nuestro NGFW detrás de otros proveedores o incluso en entornos donde no podemos modificar la red pero si necesitamos la seguridad de los NGFW de Palo Alto Networks.
Demostración explicativa paso a paso con un video en Castellano
Más abajo tienes un vídeo breve que resume los conceptos y muestra un ejemplo de configuración de interfaces Virtual Wired en un laboratorio que simula un entorno de producción