🥇Palo Alto Networks ማዋቀር ባህሪያት፡ SSL VPN

የፓሎ አልቶ አውታረ መረቦች ፋየርዎል ሁሉም ጥቅሞች ቢኖሩም, እነዚህን መሳሪያዎች በማዋቀር ላይ በይነመረብ ላይ ብዙ ቁሳቁሶች የሉም, እንዲሁም የአተገባበሩን ልምድ የሚገልጹ ጽሑፎች. ከዚህ ሻጭ እቃዎች ጋር ስንሰራ ያከማቸናቸውን ቁሳቁሶች ጠቅለል አድርገን ለማቅረብ እና በተለያዩ ፕሮጀክቶች ትግበራ ወቅት ስላጋጠሙን ባህሪያት ለመነጋገር ወስነናል.

ለ Palo Alto Networks መግቢያ ይህ መጣጥፍ በጣም ከተለመዱት የፋየርዎል ስራዎች አንዱን ለመፍታት በሚያስፈልጉት ቅንብሮች ውስጥ ይመራዎታል SSL VPN ለርቀት መዳረሻ። እንዲሁም ስለ አጠቃላይ የፋየርዎል ውቅር፣ የተጠቃሚ ማረጋገጥ፣ መተግበሪያዎች እና የደህንነት ፖሊሲዎች ስለ ረዳት ተግባራት እንነጋገራለን። ርዕሱ ለአንባቢዎች ትኩረት የሚስብ ከሆነ ለወደፊቱ ከሳይት-ወደ-ጣቢያ VPN ፣ ተለዋዋጭ ማዞሪያ እና ፓኖራማ በመጠቀም የተማከለ አስተዳደርን በመተንተን ቁሳቁሶችን እንለቃለን።

Palo Alto Networks ፋየርዎሎች አፕ-መታወቂያ፣ የተጠቃሚ መታወቂያ፣ የይዘት መታወቂያን ጨምሮ በርካታ አዳዲስ ቴክኖሎጂዎችን ይጠቀማሉ። የዚህ ተግባር አጠቃቀም ከፍተኛ የደህንነት ደረጃ እንዲያቀርቡ ያስችልዎታል. ለምሳሌ የመተግበሪያ መታወቂያን በመጠቀም የኤስ ኤስ ኤል ዋሻ ውስጥ ጨምሮ ወደብ እና ፕሮቶኮል ምንም ይሁን ምን በፊርማዎች ፣ ዲኮዲንግ እና ሂዩሪስቲክስ ላይ በመመስረት የመተግበሪያ ትራፊክን መለየት ይቻላል ። የተጠቃሚ-መታወቂያ ከኤልዲኤፒ ጋር በመዋሃድ የአውታረ መረብ ተጠቃሚዎችን እንዲለዩ ያስችልዎታል። የይዘት-መታወቂያ ትራፊክን ለመፈተሽ እና የተዘዋወሩ ፋይሎችን እና ይዘቶቻቸውን ለመለየት ያስችላል። ሌሎች የፋየርዎል ባህሪያት የወረራ ጥበቃ፣ ከተጋላጭነት እና ከ DoS ጥቃቶች ጥበቃ፣ አብሮ የተሰራ ጸረ-ስፓይዌር፣ ዩአርኤል ማጣሪያ፣ ክላስተር እና የተማከለ አስተዳደር ያካትታሉ።

ለሠርቶ ማሳያው፣ ከመሳሪያው ስሞች፣ የ AD ጎራ ስም እና የአይፒ አድራሻዎች በስተቀር ከእውነተኛው ጋር ተመሳሳይ የሆነ ውቅር ያለው ገለልተኛ መቆሚያ እንጠቀማለን። በእውነቱ, ሁሉም ነገር የበለጠ የተወሳሰበ ነው - ብዙ ቅርንጫፎች ሊኖሩ ይችላሉ. በዚህ ሁኔታ፣ ከአንድ ፋየርዎል ይልቅ፣ ክላስተር በማዕከላዊ ቦታዎች ወሰኖች ላይ ይጫናል፣ እና ተለዋዋጭ ማዞሪያም ሊያስፈልግ ይችላል።

መቆሚያው ይጠቀማል PAN-OS 7.1.9. እንደ ተለመደው ውቅር፣ ጠርዝ ላይ ካለው የፓሎ አልቶ አውታረ መረቦች ፋየርዎል ጋር ያለውን አውታረ መረብ ያስቡ። ፋየርዎል የርቀት ኤስኤስኤል ቪፒኤን ለዋናው መሥሪያ ቤት መዳረሻ ይሰጣል። የንቁ ዳይሬክተሩ ጎራ እንደ የተጠቃሚ ዳታቤዝ ጥቅም ላይ ይውላል (ምስል 1)።

ምስል 1 - የአውታረ መረቡ ንድፍ አግድ

የማዋቀር ደረጃዎች፡-

የመሣሪያ ቅድመ-ቅምጥ. የማቀናበር ስም፣ የአስተዳደር አይፒ አድራሻ፣ የማይለዋወጥ መንገዶች፣ የአስተዳዳሪ መለያዎች፣ የአስተዳደር መገለጫዎች
ፍቃዶችን መጫን, ማሻሻያዎችን ማዋቀር እና መጫን
የደህንነት ዞኖችን, የአውታረ መረብ በይነገጾችን, የትራፊክ ፖሊሲን, የአድራሻ ትርጉምን ማዘጋጀት
የኤልዲኤፒ ማረጋገጫ መገለጫ እና የተጠቃሚ መለያን በማዋቀር ላይ
SSL VPN በማዋቀር ላይ

1. ቅድመ ዝግጅት

የፓሎ አልቶ ኔትወርኮች ፋየርዎልን ለማዋቀር ዋናው መሳሪያ የድር በይነገጽ ነው፣ እና በCLI በኩል ማስተዳደርም ይቻላል። በነባሪ፣ የአስተዳደር በይነገጽ የአይ ፒ አድራሻ 192.168.1.1/24፣ መግቢያ፡ አስተዳዳሪ፣ የይለፍ ቃል፡ አስተዳዳሪ አለው።

ከተመሳሳዩ አውታረ መረብ ወደ የድር በይነገጽ በማገናኘት ወይም ትዕዛዙን በመጠቀም አድራሻውን መለወጥ ይችላሉ። መሣሪያን ያቀናብሩ ስርዓት ip-address <> netmask <>. በማዋቀር ሁነታ ላይ ይሰራል. ወደ ውቅረት ሁነታ ለመቀየር ትዕዛዙን ይጠቀሙ ማዋቀር. በፋየርዎል ላይ ያሉ ሁሉም ለውጦች የሚከሰቱት ቅንብሮቹ በትእዛዙ ከተረጋገጡ በኋላ ብቻ ነው መሰጠት, ሁለቱም በትእዛዝ መስመር ሁነታ እና በድር በይነገጽ ውስጥ.

በድር በይነገጽ ውስጥ ቅንብሮችን ለመቀየር ክፍሉን ይጠቀሙ መሣሪያ -> አጠቃላይ ቅንብሮች እና መሣሪያ -> የአስተዳደር በይነገጽ ቅንብሮች። ስም, ባነሮች, የሰዓት ሰቅ እና ሌሎች መቼቶች በአጠቃላይ ቅንጅቶች ክፍል (ምስል 2) ውስጥ ሊዘጋጁ ይችላሉ.

ምስል 2 - የመቆጣጠሪያ በይነገጽ መለኪያዎች

ቨርቹዋል ፋየርዎል በ ESXi አካባቢ ጥቅም ላይ የሚውል ከሆነ በጄኔራል ቅንጅቶች ክፍል ውስጥ በሃይፐርቫይዘሩ የተመደበውን የ MAC አድራሻ መጠቀምን ማንቃት ወይም በፋየርዎል መገናኛዎች ላይ በተጠቀሰው ሃይፐርቫይዘር ላይ ያለውን የ MAC አድራሻዎችን ማዋቀር ወይም ቅንብሩን መቀየር አለብዎት. የ MAC ለውጦች አድራሻዎችን ለመፍቀድ ምናባዊ መቀየሪያዎች። አለበለዚያ ትራፊክ አያልፍም።

የአስተዳደር በይነገጹ ለብቻው የተዋቀረ ነው እና በአውታረ መረብ በይነገጾች ዝርዝር ውስጥ አይታይም። በምዕራፍ ውስጥ የአስተዳደር በይነገጽ ቅንብሮች ለአስተዳደር በይነገጽ ነባሪ መግቢያ በርን ይገልጻል። ሌሎች የማይንቀሳቀሱ መንገዶች በቨርቹዋል ራውተሮች ክፍል ውስጥ ተዋቅረዋል፣ እሱም በኋላ ላይ ይብራራል።

መሣሪያውን በሌሎች በይነገጾች እንዲደርስ ለመፍቀድ የአስተዳደር መገለጫ መፍጠር አለብዎት የአስተዳደር መገለጫ ክፍል አውታረ መረብ -> የአውታረ መረብ መገለጫዎች -> በይነገጽ Mgmt እና ለተገቢው በይነገጽ ይመድቡ.

በመቀጠል, በክፍሉ ውስጥ ዲ ኤን ኤስ እና NTP ማዋቀር ያስፈልግዎታል መሣሪያ -> አገልግሎቶች ዝመናዎችን ለመቀበል እና ጊዜውን በትክክል ለማሳየት (ምስል 3). በነባሪ፣ በፋየርዎል የሚመነጨው ሁሉም ትራፊክ የአስተዳደር በይነገጽን የአይፒ አድራሻ እንደ ምንጭ አይፒ አድራሻ ይጠቀማል። በክፍሉ ውስጥ ለእያንዳንዱ የተለየ አገልግሎት የተለየ በይነገጽ መመደብ ይችላሉ የአገልግሎት መስመር ውቅር.

ምስል 3 - የዲ ኤን ኤስ, የኤንቲፒ አገልግሎቶች እና የስርዓት መስመሮች መለኪያዎች

2. ፍቃዶችን መጫን, ዝመናዎችን ማዘጋጀት እና መጫን

ለሁሉም የፋየርዎል ተግባራት ሙሉ ስራ፣ ፍቃድ መጫን አለቦት። ከPalo Alto Networks አጋሮች በመጠየቅ የሙከራ ፍቃድ መጠቀም ትችላለህ። የሚቆይበት ጊዜ 30 ቀናት ነው። ፈቃዱ የሚሰራው በፋይል ወይም Auth-code በመጠቀም ነው። ፍቃዶች በክፍሉ ውስጥ ተዋቅረዋል መሣሪያ -> ፈቃዶች (ምስል 4).
ፈቃዱን ከጫኑ በኋላ በክፍሉ ውስጥ የዝማኔዎችን ጭነት ማዋቀር አለብዎት መሣሪያ -> ተለዋዋጭ ዝመናዎች.
ክፍል መሳሪያ -> ሶፍትዌር አዲስ የ PAN-OS ስሪቶችን ማውረድ እና መጫን ይችላሉ።

ምስል 4 - የፍቃድ መቆጣጠሪያ ፓነል

3. የደህንነት ዞኖችን ማዘጋጀት, የአውታረ መረብ በይነገጾች, የትራፊክ ፖሊሲ, የአድራሻ ትርጉም

የፓሎ አልቶ አውታረ መረቦች ፋየርዎሎች የአውታረ መረብ ደንቦችን ሲያዋቅሩ የዞን ሎጂክን ይጠቀማሉ። የአውታረ መረብ መገናኛዎች ለተወሰነ ዞን ተመድበዋል, እና በትራፊክ ደንቦች ውስጥ ጥቅም ላይ ይውላል. ይህ አቀራረብ ለወደፊቱ, የበይነገጽ ቅንጅቶችን በሚቀይርበት ጊዜ, የትራፊክ ደንቦችን እንዳይቀይር, ይልቁንም አስፈላጊ የሆኑትን መገናኛዎች ወደ ተገቢው ዞኖች ይመድቡ. በነባሪ ፣ በዞኑ ውስጥ ያለው ትራፊክ ይፈቀዳል ፣ በዞኖች መካከል የሚደረግ ትራፊክ የተከለከለ ነው ፣ አስቀድሞ የተገለጹ ህጎች ለዚህ ተጠያቂ ናቸው ። intrazone-ነባሪ и interzone-ነባሪ.

ምስል 5 - የደህንነት ዞኖች

በዚህ ምሳሌ, በውስጣዊው አውታረመረብ ላይ ያለው በይነገጽ ለዞኑ ተመድቧል ውስጣዊ, እና ወደ በይነመረብ የሚመራው በይነገጽ ለዞኑ ተመድቧል ውጫዊ. ለSSL VPN የዋሻ በይነገጽ ተፈጥሯል እና ለዞኑ ተመድቧል VPN (ምስል 5).

የፓሎ አልቶ አውታረ መረቦች የፋየርዎል አውታረ መረብ በይነገጾች በአምስት የተለያዩ ሁነታዎች ሊሠሩ ይችላሉ፡

መታ ያድርጉ - ለክትትል እና ለመተንተን ዓላማ ትራፊክ ለመሰብሰብ ጥቅም ላይ ይውላል
HA - ለክላስተር አሠራር ጥቅም ላይ ይውላል
ምናባዊ ሽቦ - በዚህ ሁኔታ ፣ ፓሎ አልቶ አውታረ መረቦች ሁለት በይነገጾችን በማጣመር የማክ እና የአይፒ አድራሻዎችን ሳይቀይሩ በመካከላቸው ትራፊክን በግልፅ ያስተላልፋል
ንብርብር 2 - የመቀየሪያ ሁነታ
ንብርብር 3 - ራውተር ሁነታ

ምስል 6 - የበይነገጽ አሠራር ሁነታን ማዘጋጀት

በዚህ ምሳሌ, የ Layer3 ሁነታ ጥቅም ላይ ይውላል (ምስል 6). የአውታረመረብ በይነገጽ መለኪያዎች የአይፒ አድራሻውን, የአሠራር ሁኔታን እና ተዛማጅ የደህንነት ዞኖችን ይገልጻሉ. ከመገናኛው የአሠራር ሁኔታ በተጨማሪ ወደ ቨርቹዋል ራውተር ምናባዊ ራውተር መመደብ አስፈላጊ ነው, ይህ በፓሎ አልቶ አውታረ መረቦች ውስጥ የ VRF ምሳሌ ነው. ቨርቹዋል ራውተሮች አንዳቸው ከሌላው የተገለሉ እና የራሳቸው የማዞሪያ ሰንጠረዦች እና የአውታረ መረብ ፕሮቶኮል መቼቶች አሏቸው።

የቨርቹዋል ራውተር ቅንጅቶች የማይንቀሳቀሱ መንገዶችን እና የማስተላለፊያ ፕሮቶኮል መቼቶችን ይገልፃሉ። በዚህ ምሳሌ፣ ውጫዊ አውታረ መረቦችን ለማግኘት ነባሪ መንገድ ብቻ ተፈጥሯል (ምስል 7)።

ምስል 7 - ምናባዊ ራውተር በማዋቀር ላይ

የሚቀጥለው የማዋቀሪያ ደረጃ የትራፊክ ፖሊሲዎች, ክፍል ፖሊሲዎች -> ደህንነት. የማቀናበር ምሳሌ በስእል 8 ይታያል. የደንቦቹ አመክንዮ ከሁሉም ፋየርዎል ጋር ተመሳሳይ ነው. የመጀመሪያው ግጥሚያ ድረስ ደንቦች ከላይ ወደ ታች ይጣራሉ. የሕጎች አጭር መግለጫ:

1. የኤስኤስኤል ቪፒኤን የድር ፖርታል መዳረሻ። የርቀት ግንኙነቶችን ለማረጋገጥ የድረ-ገጽ መግቢያን ይፈቅዳል
2. የቪፒኤን ትራፊክ - በርቀት ግንኙነቶች እና በዋናው መሥሪያ ቤት መካከል ትራፊክ እንዲኖር ያስችላል
3. መሰረታዊ በይነመረብ - ዲ ኤን ኤስ ፣ ፒንግ ፣ traceroute ፣ ntp መተግበሪያዎችን መፍቀድ። ፋየርዎል ከወደብ ቁጥሮች እና ፕሮቶኮሎች ይልቅ በፊርማዎች፣ ዲኮዲንግ እና ሂዩሪስቲክስ ላይ የተመሰረቱ መተግበሪያዎችን ይፈቅዳል፣ለዚህም ነው የአገልግሎት ክፍል ትግበራ-ነባሪ የሚለው። ለዚህ መተግበሪያ ነባሪ ወደብ/ፕሮቶኮል
4. የድር መዳረሻ - የኢንተርኔት አገልግሎትን ያለመተግበሪያ ቁጥጥር በ HTTP እና HTTPS ፕሮቶኮሎች መፍቀድ
5,6. ለሌላ ትራፊክ ነባሪ ህጎች።

ምስል 8 - የአውታረ መረብ ደንቦችን የማዋቀር ምሳሌ

NAT ን ለማዋቀር ክፍሉን ይጠቀሙ ፖሊሲዎች -> NAT. NAT የማዋቀር ምሳሌ በስእል 9 ይታያል።

ምስል 9 - NAT ማዋቀር ምሳሌ

ለማንኛውም ከውስጥ ወደ ውጫዊ ትራፊክ የምንጭ አድራሻውን ወደ ፋየርዎል ውጫዊ አይፒ አድራሻ መቀየር እና ተለዋዋጭ ወደብ አድራሻ (PAT) መጠቀም ይችላሉ።

4. የኤልዲኤፒ ማረጋገጫ መገለጫ እና የተጠቃሚ መለያ ተግባርን ማዋቀር
ተጠቃሚዎችን በSSL-VPN ከማገናኘትዎ በፊት የማረጋገጫ ዘዴ ማዘጋጀት ያስፈልግዎታል። በዚህ ምሳሌ፣ ማረጋገጥ በፓሎ አልቶ አውታረ መረቦች የድር በይነገጽ በኩል በActive Directory ጎራ መቆጣጠሪያ ላይ ይከሰታል።

ምስል 10 - LDAP መገለጫ

ማረጋገጥ እንዲሰራ ማዋቀር ያስፈልግዎታል የኤልዲኤፒ መገለጫ и የማረጋገጫ መገለጫ... በክፍል ውስጥ መሣሪያ -> የአገልጋይ መገለጫዎች -> ኤልዲኤፒ (ምስል 10) የጎራ መቆጣጠሪያውን የአይፒ አድራሻ እና ወደብ ፣ የኤልዲኤፒ ዓይነት እና የተጠቃሚ መለያ በቡድኖቹ ውስጥ የተካተተውን መለያ መግለፅ ያስፈልግዎታል ። የአገልጋይ ኦፕሬተሮች, የክስተት ምዝግብ ማስታወሻ አንባቢዎች, የ COM ተጠቃሚዎች ተሰራጭተዋል።. ከዚያም በክፍሉ ውስጥ መሣሪያ -> የማረጋገጫ መገለጫ የማረጋገጫ መገለጫ (ምስል 11) ይፍጠሩ, ቀደም ሲል የተፈጠረውን ምልክት ያድርጉ የኤልዲኤፒ መገለጫ እና በላቀ ትር ውስጥ የተጠቃሚዎችን ቡድን ይግለጹ (ምስል 12) በርቀት መዳረሻ የተፈቀደላቸው። በመገለጫው ውስጥ ያለውን መለኪያ ልብ ማለት አስፈላጊ ነው የተጠቃሚ ጎራ, አለበለዚያ በቡድን ላይ የተመሰረተ ፍቃድ አይሰራም. መስኩ የNetBIOS ጎራ ስም መያዝ አለበት።

ምስል 11 - የማረጋገጫ መገለጫ

ምስል 12 - AD የቡድን ምርጫ

ቀጣዩ ደረጃ በማቀናበር ላይ ነው መሣሪያ -> የተጠቃሚ መለያ. እዚህ የጎራ መቆጣጠሪያውን የአይፒ አድራሻ, የግንኙነቱን ምስክርነቶችን መግለጽ እና ቅንብሮቹን ማዋቀር ያስፈልግዎታል. የደህንነት ምዝግብ ማስታወሻን አንቃ, ክፍለ ጊዜን አንቃ, ምርመራን አንቃ (ምስል 13). በምዕራፍ ውስጥ የቡድን ካርታ ስራ (ምስል 14) በኤልዲኤፒ ውስጥ ያሉትን ነገሮች ለመለየት መለኪያዎች እና ለፈቃድ ጥቅም ላይ የሚውሉ የቡድኖች ዝርዝርን ልብ ይበሉ። ልክ እንደ ማረጋገጫው መገለጫ፣ እዚህ የተጠቃሚውን ጎራ መለኪያ ማዘጋጀት ያስፈልግዎታል።

ምስል 13 - የተጠቃሚ የካርታ መለኪያዎች

ምስል 14 - የቡድን ካርታዎች መለኪያዎች

በዚህ ደረጃ የመጨረሻው እርምጃ የቪፒኤን ዞን እና ለዚህ ዞን በይነገጽ መፍጠር ነው. በይነገጹ ላይ, መለኪያውን ማንቃት ያስፈልግዎታል የተጠቃሚ መለያን አንቃ (ምስል 15).

ምስል 15 - የ VPN ዞን ማዘጋጀት

5. SSL VPN ያዋቅሩ

የኤስኤስኤል ቪፒኤንን ከማገናኘትዎ በፊት የርቀት ተጠቃሚው ወደ ዌብ ፖርታል መሄድ፣ ማረጋገጥ እና የግሎባል ጥበቃ ደንበኛን ማውረድ አለበት። በመቀጠል ይህ ደንበኛ ምስክርነቶችን ይጠይቃል እና ከኮርፖሬሽኑ አውታረ መረብ ጋር ይገናኛል። የድር ፖርታል በ https ሁነታ ይሰራል እና በዚህ መሰረት ለእሱ የምስክር ወረቀት መጫን ያስፈልግዎታል. ከተቻለ ይፋዊ የምስክር ወረቀት ይጠቀሙ። ከዚያ ተጠቃሚው በጣቢያው ላይ የምስክር ወረቀቱ ልክ አለመሆኑን ማስጠንቀቂያ አይቀበልም። ይፋዊ ሰርተፍኬት መጠቀም የማይቻል ከሆነ, የራስዎን መስጠት አለብዎት, ይህም በድረ-ገጹ ላይ ለ https ጥቅም ላይ ይውላል. በራሱ ሊፈረም ወይም በአካባቢው CA በኩል ሊሰጥ ይችላል። የርቀት ኮምፒዩተሩ ከድር ፖርታል ጋር ሲገናኝ ተጠቃሚው ስህተት እንዳይደርስበት በታመኑ የስር ማእከሎች ዝርዝር ውስጥ ስር ወይም በራስ የተፈረመ ሰርተፍኬት ሊኖረው ይገባል። ይህ ምሳሌ በActive Directory ሰርቲፊኬት አገልግሎቶች CA በኩል የተሰጠ የእውቅና ማረጋገጫ ይጠቀማል።

የምስክር ወረቀት ለመስጠት በክፍሉ ውስጥ የምስክር ወረቀት ጥያቄ መፍጠር ያስፈልግዎታል መሣሪያ -> የምስክር ወረቀት አስተዳደር -> የምስክር ወረቀቶች -> ማመንጨት. በጥያቄው ውስጥ የምስክር ወረቀቱን ስም እና የአይፒ አድራሻውን ወይም የዌብ ፖርታሉን FQDN ይግለጹ (ምሥል 16)። ጥያቄውን ካመነጩ በኋላ ያውርዱ .csr ይዘቱን በ AD CS ድር ምዝገባ ድር ቅጽ ውስጥ ወደ የምስክር ወረቀት መጠየቂያ መስክ ያቅርቡ እና ይቅዱ። በምስክር ወረቀት ባለስልጣን መቼት ላይ በመመስረት የምስክር ወረቀት ጥያቄው መጽደቅ እና የተሰጠው የምስክር ወረቀት በቅርጸት መውረድ አለበት። Base64 የተመሰጠረ የምስክር ወረቀት. በተጨማሪም፣ የማረጋገጫ ባለስልጣን ስርወ ሰርተፍኬት ማውረድ ያስፈልግዎታል። ከዚያ ሁለቱንም የምስክር ወረቀቶች ወደ ፋየርዎል ማስገባት ያስፈልግዎታል. ለድር ፖርታል ሰርተፍኬት ሲያስገቡ በመጠባበቅ ላይ ያለውን ጥያቄ ይምረጡ እና አስመጣን ጠቅ ያድርጉ። የምስክር ወረቀቱ ስም ቀደም ሲል በጥያቄው ውስጥ ከተገለጸው ስም ጋር መዛመድ አለበት። የስር ሰርተፍኬቱን ስም በዘፈቀደ መግለጽ ይችላሉ። የምስክር ወረቀቱን ካስገቡ በኋላ, መፍጠር ያስፈልግዎታል SSL/TLS አገልግሎት መገለጫ ክፍል መሣሪያ -> የምስክር ወረቀት አስተዳደር. በመገለጫው ውስጥ ቀደም ሲል ከውጭ የመጣውን የምስክር ወረቀት ይግለጹ.

ምስል 16 - የምስክር ወረቀት ጥያቄ

ቀጣዩ ደረጃ እቃዎችን ማዘጋጀት ነው ግሎባል ጥበቃ ጌትዌይ и ግሎባል ጥበቃ ፖርታል ክፍል አውታረ መረብ -> ዓለም አቀፍ ጥበቃ... በቅንብሮች ውስጥ ግሎባል ጥበቃ ጌትዌይ የፋየርዎሉን ውጫዊ IP አድራሻ ይግለጹ, እንዲሁም ቀደም ሲል የተፈጠረውን SSL መገለጫ, የማረጋገጫ መገለጫ፣ የዋሻ በይነገጽ እና የደንበኛ IP መቼቶች። አድራሻው ለደንበኛው የሚመደብበትን የአይፒ አድራሻዎች ገንዳ መጥቀስ ያስፈልግዎታል ፣ እና የመዳረሻ ራውት ደንበኛው የሚሄድባቸው ንዑስ አውታረ መረቦች ናቸው። ስራው ሁሉንም የተጠቃሚ ትራፊክ በፋየርዎል ውስጥ መጠቅለል ከሆነ ፣ ከዚያ ንዑስኔትን 0.0.0.0/0 (ምስል 17) መግለጽ ያስፈልግዎታል።

ምስል 17 - የአይፒ አድራሻዎችን እና መስመሮችን ገንዳ ማዘጋጀት

ከዚያ ማዋቀር ያስፈልግዎታል ግሎባል ጥበቃ ፖርታል. የፋየርዎሉን አይፒ አድራሻ ይግለጹ ፣ SSL መገለጫ и የማረጋገጫ መገለጫ እና ደንበኛው የሚያገናኘው የውጭ ፋየርዎል አይፒ አድራሻዎች ዝርዝር። ብዙ ፋየርዎሎች ካሉ, ለእያንዳንዱ ሰው ቅድሚያ መስጠት ይችላሉ, በዚህ መሰረት ተጠቃሚዎች ለማገናኘት ፋየርዎልን ይመርጣሉ.

ክፍል መሣሪያ -> GlobalProtect ደንበኛ የቪፒኤን ደንበኛን የማከፋፈያ ኪት ከፓሎ አልቶ አውታረ መረቦች አገልጋዮች ማውረድ እና እሱን ማግበር ያስፈልግዎታል። ለመገናኘት ተጠቃሚው ወደ ፖርታል ድረ-ገጽ መሄድ አለበት፣ እዚያም እንዲያወርድ ይጠየቃል። GlobalProtect ደንበኛ. ካወረዱ እና ከጫኑ በኋላ ምስክርነቶችዎን ማስገባት እና በSSL VPN በኩል ከኮርፖሬት አውታረመረብ ጋር መገናኘት ይችላሉ።

መደምደሚያ

ይህ የፓሎ አልቶ አውታረ መረቦች ማዋቀር ክፍልን ያጠናቅቃል። መረጃው ጠቃሚ ነበር ብለን ተስፋ እናደርጋለን እና አንባቢው በፓሎ አልቶ አውታረ መረቦች ውስጥ ጥቅም ላይ የዋሉትን ቴክኖሎጂዎች ሀሳብ አግኝቷል። ስለወደፊቱ መጣጥፎች ርእሶች ስለማዘጋጀት እና ምኞቶች ካሉዎት - በአስተያየቶቹ ውስጥ ይፃፉ ፣ መልስ ለመስጠት ደስተኞች ነን ።

ምንጭ: hab.com

የፓሎ አልቶ አውታረ መረቦች ማዋቀር ባህሪዎች፡ SSL VPN

1. ቅድመ ዝግጅት

2. ፍቃዶችን መጫን, ዝመናዎችን ማዘጋጀት እና መጫን

3. የደህንነት ዞኖችን ማዘጋጀት, የአውታረ መረብ በይነገጾች, የትራፊክ ፖሊሲ, የአድራሻ ትርጉም

5. SSL VPN ያዋቅሩ

መደምደሚያ

አስተያየት ያክሉ ምላሽ መሰረዝ