保护私有 5G 和边缘应用带来了许多挑战。复杂的基于 AI 和 ML 的攻击活动需要安全性来实时响应。
Palo Alto Networks 的安全平台多年来一直在整合 ML 和 AI 技术突破,以确保实时 ML 功能和 AI 驱动的事件响应是自主的。
Palo Alto Networks 和 NVIDIA 的团队合作构建了 智能交通卸载(ITO),我们的目标非常明确:使任何企业都能在不损害安全性同时保持性能和效率的情况下接受 5G。我们创建了 ITO 作为一种基础解决方案,以帮助现代企业建立快速、安全的私有 5G 基础设施。
数据处理器(DPU)是边缘计算 AI 和 ML 基础设施、超大规模电信云以及任何提供 IT、OT 或 IoT 网络和服务的云中的关键组件。企业客户使用 ITO 扩展安全功能,并将防火墙的总体吞吐量提高至少 5 倍。
我们为 ITO 带来了多种增强功能,为您提供了更多的选择、易于部署和更高的性能,包括以下功能:
- 新增支持 NVIDIA BlueField-3 数据处理单元 (DPU)
- 具有第三层路由功能的扩展部署模式
- 基于网络地址转换(NAT)的卸载
虽然静态和动态路由提供了扩展的部署选项,但基于 NAT 的卸载可以帮助您保护互联网周边,以保护最终用户身份,同时卸载流量。
ITO 现在在 NVIDIA BlueField-3 上
除了现有的 NVIDIA BlueField-2 DPU 集成,我们正在扩大我们的产品范围,以包括对下一代 NVIDIA BlueField-3 DPU 的支持。
我们的 ITO 解决方案通过 NVIDIA BlueField DPU 加速 Palo Alto Networks 的 VM 系列虚拟下一代防火墙(NGFW),显著提高吞吐量,同时大幅降低基础设施成本。
ITO 增强选项:L3 支持
当我们推出 ITO 时,我们支持插入防火墙的 vWire 模式。这意味着防火墙不执行任何切换或路由功能。它就像电线上的一个凸起。这对于不需要路由或切换的特定环境是有益的,或者如果防火墙从单个 L3 域获取所有流量。
新的第 3 层模式真正扩展了您利用数据中心内安全性的能力,依靠防火墙将流量切换和路由到网络域。
图 1 显示了数据包流在第 3 层模式下的工作方式。
在图 1 中,数据包流具有以下特征:
- 接口 e1/1 和 e1/2 是在第 3 层模式下配置的。
- VR1 配置有到 5G 第 3 层路由器或 UPF 以及到互联网对等路由器的静态或动态路由。
- 支持标记和未标记的流量。路由器和 DPU 或 NIC 可以处于访问模式或中继模式。
这是第 3 层模式的数据包流过程:
- 数据包从 5G UPF(第 3 层路由器)发送到第 3 层叶/路由器。
- 当数据包到达连接到 DPU 和 SmartNIC PF0 的路由器端口 PA1 时,它们将被编程以添加
vlanX标记到数据包。 - 当数据包到达 DPU 端口
pf0vf0时,无论是否移除 VLAN,它们都会被传送到 VM 系列。 - 防火墙正在 L3 模式下运行。它找到数据包的下一跳及其 MAC 地址。
- 防火墙通过 gRPC 使用新的目标 MAC 地址和
vlanY,如果需要。 - 带有标签的数据包
vlanY从 DPU 和 SmartNIC 端口PF1到达路由器端口PA2。 - 如果数据包未标记,则路由器端口
PA2可以添加标签vlanY,以便进行标识。 - 数据包被发送到下一跳地址,并被传递到互联网对等端。在动态路由的情况下,通过任何路由更新,VM 系列都会使用新的下一跳 MAC 地址更新 DPU。
ITO 增强选项:对 vWire 和 L3 的 NAT 支持
通常,在 5G 部署和某些超大型企业环境中,PAN VM 系列虚拟 NGFW 可保护互联网周边或南北流量。在这样的部署中,您可以利用我们的 NAT 模式来确保最终用户设备不会暴露在互联网上。
我们在 vWire 和第 3 层部署模式中都提供了具有 ITO 功能的 NAT 支持。现在,您可以使用 IPv4 配置多种 NAT 模式,例如具有动态 IP 地址和端口转换的源 NAT、目标 NAT 端口转换和转发。
图 2 从数据包流的角度展示了这是如何工作的。
以下是 NAT 策略的配置方式:
- VM 系列已将 NAT 策略配置为执行 IP 和端口到动态 IP 和端口映射的源 NAT。
- 所定义的 NAT 策略还可以执行目的地 IP 和端口的转换和转发。
这是配置 NAT 策略时的数据包流过程:
- 数据包通过 5G UPF 或第 3 层路由器从 5G 设备发送,其源 IP 地址和端口为 172.10.20.30:320。
- 数据包到达 VM 系列,其中 NAT 策略被定义为执行源 NAT 到动态 IP 地址和端口的转换。源 IP:端口 172.10.20.30:320 被转换为 192.168.100.15:545。
- VM 系列根据定义的 NAT 策略对数据包进行第 2 层和第 3 层重写,可以是具有动态 IP 地址和端口转换的源 NAT,也可以是具有端口转换和转发的目的地 NAT。
- VM 系列通过带有 NAT 转换的 gRPC 更新 DPU 和 SmartNIC。
- SNAT DIPP 通过为具有相同原始源 IP 地址和端口对的后续会话保留专用源 IP 地址与端口对与特定公共(翻译的)源 IP 地址及端口对的绑定来保持持久性。在这种情况下,172.10.20.30:320 及其转换的 192.168.100.15:545 地址对于多个目标 IP 地址端口是持久的。
结论
通过利用 ITO 的增强功能,您现在可以扩展选项,以 vWire 或第 3 层模式部署 VM 系列 NGFW。您可以在带有 ITO 的 VM 系列上无缝地继续使用 NAT 功能。 NVIDIA BlueField-3 DPU 也提供了这些功能,您可以在这里以至少 5 倍的安全性能解锁更高吞吐量的进一步优势。
Palo Alto Networks 和 NVIDIA 共同为企业带来了零信任安全,在性能和效率方面没有任何妥协。立即开始使用 BlueField DPU 上的智能流量卸载,通过查看 ITO 部署指南。然后,采取下一步行动, 联系您的 NVIDIA 销售代表。
