Ten spyte van al die voordele van Palo Alto Networks-brandmure, is daar nie baie materiaal op die internet oor die konfigurasie van hierdie toestelle nie, sowel as tekste wat die ervaring van die implementering daarvan beskryf. Ons het besluit om die materiaal wat ons opgehoop het terwyl ons met die toerusting van hierdie verskaffer gewerk het op te som en te praat oor die kenmerke wat ons tydens die implementering van verskeie projekte teëgekom het.
Vir 'n inleiding tot Palo Alto Networks, sal hierdie artikel kyk na die instellings wat nodig is om een van die mees algemene firewall take op te los, SSL VPN vir afstandtoegang. Ons sal ook praat oor helperfunksies vir algemene firewall-konfigurasie, gebruikersidentifikasie, toepassings- en sekuriteitsbeleide. As die onderwerp vir lesers van belang is, sal ons in die toekoms materiaal vrystel met 'n ontleding van werf-tot-werf VPN, dinamiese roetering en gesentraliseerde bestuur met behulp van Panorama.
Palo Alto Networks-brandmure gebruik 'n aantal innoverende tegnologieë, insluitend App-ID, User-ID, Content-ID. Die gebruik van hierdie funksionaliteit laat jou toe om 'n hoë vlak van sekuriteit te bied. Met behulp van App-ID is dit byvoorbeeld moontlik om toepassingsverkeer op grond van handtekeninge, dekodering en heuristiek te identifiseer, ongeag die poort en protokol wat gebruik word, insluitend binne 'n SSL-tonnel. Gebruikers-ID laat jou toe om netwerkgebruikers te identifiseer deur integrasie met LDAP. Content-ID maak dit moontlik om verkeer te skandeer en oorgedra lêers en hul inhoud te identifiseer. Ander firewall-kenmerke sluit in indringingsbeskerming, beskerming teen kwesbaarhede en DoS-aanvalle, ingeboude anti-spioenware, URL-filtrering, groepering en gesentraliseerde bestuur in.
Vir die demonstrasie sal ons 'n geïsoleerde staander gebruik, met 'n konfigurasie identies aan die regte een, behalwe vir die toestelname, AD-domeinnaam en IP-adresse. In werklikheid is alles meer ingewikkeld - daar kan baie takke wees. In hierdie geval, in plaas van een brandmuur, sal 'n groepering by die grense van die sentrale terreine geïnstalleer word, en dinamiese roetering kan ook vereis word.
Die staander gebruik PAN-OS 7.1.9. As 'n tipiese konfigurasie, oorweeg 'n netwerk met 'n Palo Alto Networks-firewall aan die rand. Die firewall bied afgeleë SSL VPN-toegang tot die hoofkantoor. Die Active Directory-domein sal as die gebruikersdatabasis gebruik word (Figuur 1).
Figuur 1 - Blokdiagram van die netwerk
Opstel stappe:
- Toestel voorafinstelling. Instellingsnaam, bestuurs-IP-adres, statiese roetes, administrateurrekeninge, bestuursprofiele
- Installeer lisensies, konfigurasie en installering van opdaterings
- Die opstel van sekuriteitsones, netwerkkoppelvlakke, verkeersbeleid, adresvertaling
- Die opstel van die LDAP-verifikasieprofiel en gebruikersidentifikasie
- Konfigureer 'n SSL VPN
1. Vooraf ingesteld
Die hoofinstrument vir die opstel van die Palo Alto Networks-firewall is 'n webkoppelvlak, en bestuur via die CLI is ook moontlik. By verstek het die bestuurskoppelvlak die IP-adres 192.168.1.1/24, login: admin, wagwoord: admin.
Jy kan die adres verander deur óf aan die webkoppelvlak van dieselfde netwerk te koppel, óf deur die opdrag te gebruik stel deviceconfig stelsel ip-adres <> netmasker <>. Dit werk in konfigurasiemodus. Gebruik die opdrag om na konfigurasiemodus oor te skakel instel. Alle veranderinge op die firewall vind eers plaas nadat die instellings deur die opdrag bevestig is pleeg, beide in die opdragreëlmodus en in die webkoppelvlak.
Om instellings in die webkoppelvlak te verander, gebruik die afdeling Toestel -> Algemene instellings en Toestel -> Bestuurskoppelvlakinstellings. Die naam, baniere, tydsone en ander instellings kan in die Algemene Instellings-afdeling (Fig. 2) gestel word.
Figuur 2 - Beheer koppelvlak parameters
As 'n virtuele firewall in 'n ESXi-omgewing gebruik word, in die Algemene Instellings-afdeling, moet jy die gebruik aktiveer van die MAC-adres wat deur die hiperviser toegewys is, of die MAC-adresse op die hipervisor wat op die firewall-koppelvlakke gespesifiseer word, konfigureer, of die instellings verander van virtuele skakelaars om MAC-adresse te verander. Andersins sal die verkeer nie verbygaan nie.
Die bestuurskoppelvlak is afsonderlik gekonfigureer en word nie in die lys netwerkkoppelvlakke vertoon nie. In hoofstuk Bestuurskoppelvlak-instellings spesifiseer die verstekpoort vir die bestuurskoppelvlak. Ander statiese roetes word in die virtuele routers-afdeling gekonfigureer, wat later bespreek sal word.
Om toegang tot die toestel deur ander koppelvlakke toe te laat, moet jy 'n bestuursprofiel skep Bestuursprofiel artikel Netwerk -> Netwerkprofiele -> Interface Mgmt en ken dit toe aan die toepaslike koppelvlak.
Vervolgens moet u DNS en NTP in die afdeling konfigureer Toestel -> Dienste om opdaterings te ontvang en die tyd korrek te vertoon (Fig. 3). Alle verkeer wat deur die brandmuur gegenereer word, gebruik standaard die IP-adres van die bestuurskoppelvlak as sy bron-IP-adres. U kan 'n ander koppelvlak vir elke spesifieke diens in die afdeling toewys Diensroete-konfigurasie.
Figuur 3 - Parameters van DNS, NTP-dienste en stelselroetes
2. Installering van lisensies, opstel en installering van opdaterings
Vir die volle werking van alle firewall-funksies moet jy 'n lisensie installeer. U kan 'n proeflisensie gebruik deur dit van Palo Alto Networks-vennote aan te vra. Die geldigheidstydperk daarvan is 30 dae. Die lisensie word óf deur 'n lêer óf met behulp van Auth-Code geaktiveer. Lisensies word in die afdeling gekonfigureer Toestel -> Lisensies (fig. 4).
Nadat u die lisensie geïnstalleer het, moet u die installering van opdaterings in die afdeling opstel Toestel -> Dinamiese opdaterings.
In artikel Toestel -> Sagteware jy kan nuwe weergawes van PAN-OS aflaai en installeer.
Figuur 4 - Lisensiebeheerpaneel
3. Die opstel van sekuriteitsones, netwerkkoppelvlakke, verkeersbeleid, adresvertaling
Palo Alto Networks-brandmure gebruik sone-logika wanneer netwerkreëls gekonfigureer word. Netwerkkoppelvlakke word aan 'n spesifieke sone toegewys, en dit word in verkeersreëls gebruik. Hierdie benadering laat toe om in die toekoms, wanneer die koppelvlakinstellings verander word, nie die verkeersreëls te verander nie, maar eerder die nodige koppelvlakke aan die toepaslike sones toe te wys. By verstek word verkeer binne die sone toegelaat, verkeer tussen sones is verbode, voorafbepaalde reëls is hiervoor verantwoordelik intrasone-verstek и intersone-verstek.
Figuur 5 - Sekuriteitsones
In hierdie voorbeeld word die koppelvlak op die interne netwerk aan die sone toegewys interne, en die koppelvlak wat na die internet gerig is, word aan die sone toegewys eksterne. 'n Tonnelkoppelvlak is vir SSL VPN geskep en aan die sone toegewys vpn (fig. 5).
Palo Alto Networks firewall netwerk koppelvlakke kan in vyf verskillende modusse werk:
- Tik – gebruik om verkeer in te samel vir die doel van monitering en ontleding
- HA - word gebruik vir groepering
- virtuele draad - in hierdie modus kombineer Palo Alto Networks twee koppelvlakke en stuur verkeer deursigtig tussen hulle deur sonder om die MAC- en IP-adresse te verander
- Layer2 - skakel modus
- Layer3 - router-modus
Figuur 6 - Stel die koppelvlak werkingsmodus in
In hierdie voorbeeld sal die Layer3-modus gebruik word (Fig. 6). Die netwerkkoppelvlakparameters spesifiseer die IP-adres, werkingsmodus en die ooreenstemmende sekuriteitsone. Benewens die bedryfsmodus van die koppelvlak, moet u dit toewys aan die virtuele router virtuele router, dit is 'n analoog van die VRF-instansie in Palo Alto Networks. Virtuele roeteerders is van mekaar geïsoleer en het hul eie roeteertabelle en netwerkprotokolinstellings.
Die virtuele roeteerderinstellings spesifiseer statiese roetes en roeteprotokolinstellings. In hierdie voorbeeld is slegs die verstekroete vir toegang tot eksterne netwerke geskep (Figuur 7).
Figuur 7 - Opstel van 'n virtuele router
Die volgende konfigurasiestap is verkeersbeleide, afdeling Beleide -> Sekuriteit. 'n Voorbeeld van instelling word in Figuur 8 getoon. Die logika van die reëls is dieselfde as vir alle brandmure. Reëls word van bo na onder nagegaan, tot die eerste wedstryd. Kort beskrywing van die reëls:
1. SSL VPN-toegang tot webportaal. Laat toegang tot die webportaal toe om afgeleë verbindings te staaf
2. VPN-verkeer - laat verkeer toe tussen afgeleë verbindings en die hoofkantoor
3. Basiese internet - laat dns, ping, traceroute, ntp toepassings toe. Die firewall laat toepassings toe wat gebaseer is op handtekeninge, dekodering en heuristiek eerder as poortnommers en protokolle, en daarom sê die diensafdeling toepassing-verstek. Verstekpoort/protokol vir hierdie toepassing
4. Webtoegang - wat internettoegang via HTTP- en HTTPS-protokolle toelaat sonder toepassingsbeheer
5,6. Verstekreëls vir ander verkeer.
Figuur 8 — 'n Voorbeeld van die opstel van netwerkreëls
Gebruik die afdeling om NAT op te stel Beleide -> NAT. 'n Voorbeeld van die opstel van NAT word in Figuur 9 getoon.
Figuur 9 - NAT opstelling voorbeeld
Vir enige verkeer van intern na ekstern, kan jy die bronadres na die firewall se eksterne IP-adres verander en 'n dinamiese poortadres (PAT) gebruik.
4. Opstel van die LDAP-verifikasieprofiel en gebruikersidentifikasiefunksie
Voordat u gebruikers via SSL-VPN koppel, moet u 'n verifikasiemeganisme opstel. In hierdie voorbeeld sal verifikasie op die Active Directory-domeinbeheerder plaasvind deur die Palo Alto Networks-webkoppelvlak.
Figuur 10 - LDAP-profiel
Om verifikasie te laat werk, moet jy konfigureer LDAP-profiel и Stawingsprofiel. In die afdeling Toestel -> Bedienerprofiele -> LDAP (Fig. 10) moet jy die IP-adres en poort van die domeinbeheerder, die LDAP-tipe en die gebruikersrekening wat by die groepe ingesluit is, spesifiseer Bedieneroperateurs, Gebeurtenislogboeklesers, Verspreide COM-gebruikers. Dan in die afdeling Toestel -> Verifikasieprofiel skep 'n verifikasie profiel (Fig. 11), merk die voorheen geskep LDAP-profiel en in die Gevorderde-oortjie, spesifiseer die groep gebruikers (Fig. 12) wat afstandtoegang toegelaat word. Dit is belangrik om die parameter in die profiel te let Gebruikersdomein, anders sal groepgebaseerde magtiging nie werk nie. Die veld moet die NetBIOS-domeinnaam bevat.
Figuur 11 - Verifikasieprofiel
Figuur 12 - AD groep seleksie
Die volgende stap is instelling Toestel -> Gebruikersidentifikasie. Hier moet u die IP-adres van die domeinbeheerder, die geloofsbriewe vir die verbinding spesifiseer en die instellings konfigureer Aktiveer sekuriteitlogboek, Aktiveer sessie, Aktiveer ondersoek (Fig. 13). In hoofstuk Groepkartering (Fig. 14) jy moet let op die parameters vir die identifisering van voorwerpe in LDAP en die lys van groepe wat vir magtiging gebruik sal word. Net soos in die verifikasieprofiel, moet u hier die gebruikersdomeinparameter instel.
Figuur 13 - Gebruikerskarteringparameters
Figuur 14 - Groepkarteringparameters
Die laaste stap in hierdie stap is om 'n VPN-sone en 'n koppelvlak vir hierdie sone te skep. Op die koppelvlak moet u die parameter aktiveer Aktiveer gebruikeridentifikasie (fig. 15).
Figuur 15 - Die opstel van 'n VPN-sone
5. Stel 'n SSL VPN op
Voordat die SSL-VPN verbind word, moet die afgeleë gebruiker na die webportaal gaan, die Global Protect-kliënt verifieer en aflaai. Vervolgens sal hierdie kliënt vir geloofsbriewe vra en aan die korporatiewe netwerk koppel. Die webportaal werk in https-modus en dienooreenkomstig moet u 'n sertifikaat daarvoor installeer. Gebruik 'n openbare sertifikaat indien moontlik. Dan sal die gebruiker nie 'n waarskuwing oor die ongeldigheid van die sertifikaat op die webwerf ontvang nie. As dit nie moontlik is om 'n publieke sertifikaat te gebruik nie, moet jy jou eie uitreik, wat op die webblad vir https gebruik sal word. Dit kan selfonderteken of deur 'n plaaslike GR uitgereik word. Die afgeleë rekenaar moet 'n wortel- of selfondertekende sertifikaat in die lys van vertroude wortelsentrums hê sodat die gebruiker nie 'n fout ontvang wanneer hy aan die webportaal koppel nie. Hierdie voorbeeld sal 'n sertifikaat gebruik wat uitgereik is deur 'n Active Directory Certificate Services CA.
Om 'n sertifikaat uit te reik, moet jy 'n sertifikaatversoek in die afdeling skep Toestel -> Sertifikaatbestuur -> Sertifikate -> Genereer. In die versoek, spesifiseer die naam van die sertifikaat en die IP-adres of FQDN van die webportaal (Fig. 16). Nadat u die versoek gegenereer het, laai af .csr lêer en kopieer die inhoud daarvan in die sertifikaatversoekveld in die AD CS Web Inskrywing-webvorm. Afhangende van die instelling van die sertifikaatowerheid, moet die sertifikaatversoek goedgekeur word en die uitgereikte sertifikaat moet in die formaat afgelaai word Base64-gekodeerde sertifikaat. Daarbenewens moet u die wortelsertifikaat van die sertifiseringsowerheid aflaai. Dan moet jy albei sertifikate na die firewall invoer. Wanneer u 'n sertifikaat vir die webportaal invoer, kies die versoek in die hangende status en klik invoer. Die naam van die sertifikaat moet ooreenstem met die naam wat vroeër in die versoek gespesifiseer is. U kan die naam van die wortelsertifikaat arbitrêr spesifiseer. Nadat u die sertifikaat ingevoer het, moet u dit skep SSL/TLS-diensprofiel artikel Toestel -> Sertifikaatbestuur. Spesifiseer die voorheen ingevoerde sertifikaat in die profiel.
Figuur 16 - Versoek om 'n sertifikaat
Die volgende stap is die opstel van voorwerpe Global Protect Gateway и Globale Beskermingsportaal artikel Netwerk -> Globale Beskerm... In instellings Global Protect Gateway spesifiseer die eksterne IP-adres van die firewall, sowel as voorheen geskep SSL-profiel, Stawingsprofiel, tonnelkoppelvlak en kliënt IP-instellings. Jy moet 'n poel van IP-adresse spesifiseer waarvandaan die adres aan die kliënt toegeken sal word, en Toegangsroete is die subnette waarheen die kliënt 'n roete sal hê. As die taak is om alle gebruikersverkeer deur die firewall te draai, dan moet jy die subnet 0.0.0.0/0 spesifiseer (Fig. 17).
Figuur 17 - Opstel van 'n poel van IP-adresse en roetes
Dan moet jy opstel Globale Beskermingsportaal. Spesifiseer die IP-adres van die firewall, SSL-profiel и Stawingsprofiel en 'n lys van eksterne firewall IP-adresse waaraan die kliënt sal koppel. As daar verskeie firewalls is, kan jy vir elkeen 'n prioriteit stel, waarvolgens gebruikers 'n firewall sal kies om aan te koppel.
In artikel Toestel -> GlobalProtect-kliënt jy moet die verspreidingskit van die VPN-kliënt van die Palo Alto Networks-bedieners aflaai en dit aktiveer. Om te koppel, moet die gebruiker na die portaalwebblad gaan, waar hy gevra sal word om af te laai GlobalProtect-kliënt. Nadat u afgelaai en geïnstalleer het, sal u u geloofsbriewe kan invoer en via SSL VPN aan die korporatiewe netwerk kan koppel.
Gevolgtrekking
Dit voltooi die Palo Alto Networks-opstellingsdeel. Ons hoop die inligting was nuttig en die leser het 'n idee gekry van die tegnologieë wat in Palo Alto Networks gebruik word. As jy vrae het oor die opstel en wense oor die onderwerpe van toekomstige artikels - skryf dit in die kommentaar, ons sal met graagte antwoord.
Bron: will.com