على الرغم من كل مزايا جدران الحماية Palo Alto Networks ، لا توجد مواد كثيرة على الإنترنت حول تكوين هذه الأجهزة ، بالإضافة إلى نصوص تصف تجربة تنفيذها. قررنا تلخيص المواد التي جمعناها أثناء العمل مع معدات هذا البائع والتحدث عن الميزات التي واجهناها أثناء تنفيذ المشاريع المختلفة.
للحصول على مقدمة حول Palo Alto Networks ، ستلقي هذه المقالة نظرة على الإعدادات المطلوبة لحل إحدى مهام جدار الحماية الأكثر شيوعًا ، SSL VPN للوصول عن بُعد. سنتحدث أيضًا عن الوظائف المساعدة للتكوين العام لجدار الحماية ، وتعريف المستخدم ، وسياسات التطبيق والأمان. إذا كان الموضوع يهم القراء ، فسنصدر في المستقبل مواد مع تحليل Site-to-Site VPN والتوجيه الديناميكي والإدارة المركزية باستخدام Panorama.
تستخدم جدران الحماية Palo Alto Networks عددًا من التقنيات المبتكرة ، بما في ذلك معرف التطبيق ومعرف المستخدم ومعرف المحتوى. يتيح لك استخدام هذه الوظيفة توفير مستوى عالٍ من الأمان. على سبيل المثال ، باستخدام معرف التطبيق ، من الممكن تحديد حركة مرور التطبيق بناءً على التوقيعات وفك التشفير والاستدلال ، بغض النظر عن المنفذ والبروتوكول المستخدم ، بما في ذلك داخل نفق SSL. يسمح لك User-ID بتحديد مستخدمي الشبكة من خلال التكامل مع LDAP. يتيح Content-ID فحص حركة المرور وتحديد الملفات المنقولة ومحتوياتها. تشمل ميزات جدار الحماية الأخرى الحماية من التطفل ، والحماية من الثغرات الأمنية وهجمات DoS ، ومكافحة برامج التجسس المضمنة ، وتصفية عناوين URL ، والتجميع ، والإدارة المركزية.
في العرض التوضيحي ، سنستخدم حاملًا معزولًا ، بتكوين مماثل للتكوين الحقيقي ، باستثناء أسماء الأجهزة واسم مجال AD وعناوين IP. في الواقع ، كل شيء أكثر تعقيدًا - يمكن أن يكون هناك العديد من الفروع. في هذه الحالة ، بدلاً من جدار حماية واحد ، سيتم تثبيت مجموعة على حدود المواقع المركزية ، وقد يكون التوجيه الديناميكي مطلوبًا أيضًا.
يستخدم الحامل بان-OS 7.1.9. كتكوين نموذجي ، ضع في اعتبارك شبكة بها جدار حماية Palo Alto Networks على الحافة. يوفر جدار الحماية وصول SSL VPN بعيد إلى المكتب الرئيسي. سيتم استخدام مجال Active Directory كقاعدة بيانات مستخدم (الشكل 1).
الشكل 1 - رسم تخطيطي للشبكة
خطوات الإعداد:
- ضبط الجهاز مسبقًا. اسم الإعداد ، عنوان IP للإدارة ، المسارات الثابتة ، حسابات المسؤول ، ملفات تعريف الإدارة
- تثبيت التراخيص وتكوين التحديثات وتثبيتها
- إنشاء مناطق الأمان ، واجهات الشبكة ، سياسة المرور ، ترجمة العناوين
- تكوين ملف تعريف مصادقة LDAP وتعريف المستخدم
- تكوين SSL VPN
1. الإعداد المسبق
الأداة الرئيسية لتكوين جدار حماية Palo Alto Networks هي واجهة ويب ، كما يمكن الإدارة عبر CLI. بشكل افتراضي ، تحتوي واجهة الإدارة على عنوان IP 192.168.1.1/24 ، تسجيل الدخول: المسؤول ، كلمة المرور: المسؤول.
يمكنك تغيير العنوان إما عن طريق الاتصال بواجهة الويب من نفس الشبكة ، أو باستخدام الأمر تعيين عنوان IP للجهاز تكوين <> قناع الشبكة <>. يتم تشغيله في وضع التكوين. للتبديل إلى وضع التكوين ، استخدم الأمر تكوين. تحدث جميع التغييرات على جدار الحماية فقط بعد تأكيد الإعدادات بواسطة الأمر ارتكاب، سواء في وضع سطر الأوامر أو في واجهة الويب.
لتغيير الإعدادات في واجهة الويب ، استخدم القسم الجهاز -> الإعدادات العامة والجهاز -> إعدادات واجهة الإدارة. يمكن تعيين الاسم واللافتات والمنطقة الزمنية والإعدادات الأخرى في قسم الإعدادات العامة (الشكل 2).
الشكل 2 - معلمات واجهة التحكم
إذا تم استخدام جدار حماية افتراضي في بيئة ESXi ، في قسم الإعدادات العامة ، فأنت بحاجة إلى تمكين استخدام عنوان MAC المعين بواسطة برنامج Hypervisor ، أو تكوين عناوين MAC على برنامج Hypervisor المحدد في واجهات جدار الحماية ، أو تغيير الإعدادات من المفاتيح الافتراضية للسماح لـ MAC بتغيير العناوين. خلاف ذلك ، لن تمر حركة المرور.
يتم تكوين واجهة الإدارة بشكل منفصل ولا يتم عرضها في قائمة واجهات الشبكة. في الفصل إعدادات واجهة الإدارة يحدد البوابة الافتراضية لواجهة الإدارة. يتم تكوين المسارات الثابتة الأخرى في قسم أجهزة التوجيه الافتراضية ، والتي ستتم مناقشتها لاحقًا.
للسماح بالوصول إلى الجهاز من خلال واجهات أخرى ، يجب عليك إنشاء ملف تعريف إدارة الملف الإدارة قسم الشبكة -> ملفات تعريف الشبكة -> إدارة الواجهة وتخصيصه للواجهة المناسبة.
بعد ذلك ، تحتاج إلى تكوين DNS و NTP في القسم الجهاز -> الخدمات لتلقي التحديثات وعرض الوقت بشكل صحيح (الشكل 3). بشكل افتراضي ، تستخدم كل حركة المرور التي تم إنشاؤها بواسطة جدار الحماية عنوان IP لواجهة الإدارة كعنوان IP المصدر الخاص بها. يمكنك تعيين واجهة مختلفة لكل خدمة محددة في القسم تكوين مسار الخدمة.
الشكل 3 - معلمات DNS وخدمات NTP وطرق النظام
2. تثبيت التراخيص وإعداد التحديثات وتثبيتها
للتشغيل الكامل لجميع وظائف جدار الحماية ، يجب عليك تثبيت ترخيص. يمكنك استخدام ترخيص تجريبي بطلبه من شركاء Palo Alto Networks. فترة صلاحيتها 30 يومًا. يتم تنشيط الترخيص إما من خلال ملف أو باستخدام رمز المصادقة. يتم تكوين التراخيص في القسم الجهاز -> التراخيص (الشكل 4).
بعد تثبيت الترخيص ، يجب عليك تكوين تثبيت التحديثات في القسم الجهاز -> التحديثات الديناميكية.
في القسم الجهاز -> البرامج يمكنك تنزيل وتثبيت إصدارات جديدة من PAN-OS.
الشكل 4 - لوحة تحكم الترخيص
3. إنشاء مناطق أمنية ، واجهات الشبكة ، سياسة المرور ، ترجمة العناوين
تستخدم جدران الحماية Palo Alto Networks منطق المنطقة عند تكوين قواعد الشبكة. يتم تعيين واجهات الشبكة لمنطقة معينة ، ويتم استخدامها في قواعد المرور. يسمح هذا الأسلوب في المستقبل ، عند تغيير إعدادات الواجهة ، بعدم تغيير قواعد المرور ، ولكن بدلاً من ذلك ، إعادة تعيين الواجهات الضرورية إلى المناطق المناسبة. بشكل افتراضي ، يُسمح بحركة المرور داخل المنطقة ، وحركة المرور بين المناطق محظورة ، والقواعد المحددة مسبقًا مسؤولة عن ذلك داخل المنطقة الافتراضية и بين المناطق الافتراضية.
الشكل 5 - مناطق الأمان
في هذا المثال ، يتم تعيين الواجهة على الشبكة الداخلية للمنطقة داخلي، ويتم تخصيص الواجهة الموجهة إلى الإنترنت للمنطقة خارجي. تم إنشاء واجهة نفق لـ SSL VPN وتعيينها إلى المنطقة VPN (الشكل 5).
يمكن أن تعمل واجهات شبكة جدار الحماية Palo Alto Networks في خمسة أوضاع مختلفة:
- نقر - تستخدم لتجميع حركة المرور لغرض المراقبة والتحليل
- HA - تستخدم لعملية الكتلة
- سلك افتراضي - في هذا الوضع ، تجمع Palo Alto Networks بين واجهتين وتمرير حركة المرور بينهما بشفافية دون تغيير عناوين MAC و IP
- Layer2 - تغيير النظام
- Layer3 - وضع جهاز التوجيه
الشكل 6 - ضبط وضع تشغيل الواجهة
في هذا المثال ، سيتم استخدام وضع Layer3 (الشكل 6). تحدد معلمات واجهة الشبكة عنوان IP وطريقة التشغيل ومنطقة الأمان المقابلة. بالإضافة إلى وضع تشغيل الواجهة ، يجب عليك تعيينه إلى جهاز التوجيه الظاهري Virtual Router ، وهذا تناظرية لمثيل VRF في Palo Alto Networks. يتم عزل أجهزة التوجيه الظاهرية عن بعضها البعض ولها جداول التوجيه الخاصة بها وإعدادات بروتوكول الشبكة.
تحدد إعدادات جهاز التوجيه الظاهري المسارات الثابتة وإعدادات بروتوكول التوجيه. في هذا المثال ، تم إنشاء المسار الافتراضي فقط للوصول إلى الشبكات الخارجية (الشكل 7).
الشكل 7 - تكوين جهاز توجيه افتراضي
خطوة التكوين التالية هي سياسات المرور ، القسم السياسات -> الأمان. يظهر مثال على الإعداد في الشكل 8. منطق القواعد هو نفسه بالنسبة لجميع جدران الحماية. يتم فحص القواعد من أعلى إلى أسفل ، حتى المباراة الأولى. وصف موجز للقواعد:
1. وصول SSL VPN إلى بوابة الويب. يسمح بالوصول إلى بوابة الويب لمصادقة الاتصالات عن بُعد
2. حركة مرور VPN - تسمح بحركة المرور بين الاتصالات البعيدة والمكتب الرئيسي
3. الإنترنت الأساسي - السماح بتطبيقات DNS و ping و traceroute و ntp. يسمح جدار الحماية بالتطبيقات التي تستند إلى التوقيعات وفك التشفير والاستدلال بدلاً من أرقام المنافذ والبروتوكولات ، وهذا هو السبب في أن قسم الخدمة يقول التطبيق الافتراضي. المنفذ / البروتوكول الافتراضي لهذا التطبيق
4. الوصول إلى الويب - السماح بالوصول إلى الإنترنت عبر بروتوكولات HTTP و HTTPS دون التحكم في التطبيق
5,6 القواعد الافتراضية لحركة المرور الأخرى.
الشكل 8 - مثال على تكوين قواعد الشبكة
لتكوين NAT ، استخدم القسم السياسات -> NAT. يظهر مثال على إعداد NAT في الشكل 9.
الشكل 9 - مثال على إعداد NAT
بالنسبة لأي حركة مرور من الداخل إلى الخارج ، يمكنك تغيير عنوان المصدر إلى عنوان IP الخارجي لجدار الحماية واستخدام عنوان منفذ ديناميكي (PAT).
4. تكوين ملف تعريف مصادقة LDAP ووظيفة تعريف المستخدم
قبل توصيل المستخدمين عبر SSL-VPN ، تحتاج إلى إعداد آلية مصادقة. في هذا المثال ، ستحدث المصادقة على وحدة تحكم مجال Active Directory من خلال واجهة الويب Palo Alto Networks.
الشكل 10 - ملف تعريف LDAP
لكي تعمل المصادقة ، تحتاج إلى تكوين ملف تعريف LDAP и ملف المصادقة. في القسم الجهاز -> ملفات تعريف الخادم -> LDAP (الشكل 10) تحتاج إلى تحديد عنوان IP ومنفذ وحدة تحكم المجال ونوع LDAP وحساب المستخدم المضمّن في المجموعات مشغلي الخادم, قراء سجل الأحداث, مستخدمي COM الموزعين. ثم في القسم الجهاز -> ملف تعريف المصادقة إنشاء ملف تعريف المصادقة (الشكل 11) ، قم بتمييز الملف الذي تم إنشاؤه مسبقًا ملف تعريف LDAP وفي علامة التبويب خيارات متقدمة ، حدد مجموعة المستخدمين (الشكل 12) المسموح لهم بالوصول عن بُعد. من المهم ملاحظة المعلمة في ملف التعريف مجال المستخدم، وإلا فلن يعمل التفويض المستند إلى المجموعة. يجب أن يحتوي الحقل على اسم مجال NetBIOS.
الشكل 11 - ملف تعريف المصادقة
الشكل 12 - اختيار المجموعة الإعلانية
الخطوة التالية هي الإعداد الجهاز -> تعريف المستخدم. تحتاج هنا إلى تحديد عنوان IP لوحدة تحكم المجال وبيانات اعتماد الاتصال وتكوين الإعدادات تفعيل سجل الأمان, تمكين الجلسة, تمكين الاستقصاء (الشكل 13). في الفصل تعيين المجموعة (الشكل 14) تحتاج إلى ملاحظة المعلمات لتحديد الكائنات في LDAP وقائمة المجموعات التي سيتم استخدامها للترخيص. تمامًا كما هو الحال في ملف تعريف المصادقة ، هنا تحتاج إلى تعيين معلمة مجال المستخدم.
الشكل 13 - معلمات تعيين المستخدم
الشكل 14 - معلمات تعيين المجموعة
الخطوة الأخيرة في هذه الخطوة هي إنشاء منطقة VPN وواجهة لهذه المنطقة. على الواجهة ، تحتاج إلى تمكين المعلمة قم بتمكين تعريف المستخدم (الشكل 15).
الشكل 15 - إعداد منطقة VPN
5. قم بإعداد SSL VPN
قبل توصيل SSL VPN ، يجب على المستخدم البعيد الانتقال إلى بوابة الويب والمصادقة وتنزيل عميل Global Protect. بعد ذلك ، سيطلب هذا العميل بيانات الاعتماد ويتصل بشبكة الشركة. تعمل بوابة الويب في وضع https ، وبالتالي تحتاج إلى تثبيت شهادة لها. استخدم شهادة عامة إن أمكن. ثم لن يتلقى المستخدم تحذيرًا بشأن بطلان الشهادة على الموقع. إذا لم يكن من الممكن استخدام شهادة عامة ، فأنت بحاجة إلى إصدار شهادة خاصة بك ، والتي سيتم استخدامها على صفحة الويب لـ https. يمكن أن تكون موقعة ذاتيًا أو يتم إصدارها من خلال مرجع مصدق محلي. يجب أن يكون للكمبيوتر البعيد شهادة جذر أو شهادة موقعة ذاتيًا في قائمة المراكز الجذرية الموثوقة حتى لا يتلقى المستخدم خطأ عند الاتصال ببوابة الويب. سيستخدم هذا المثال شهادة تم إصدارها من خلال المرجع المصدق لخدمات شهادات Active Directory.
لإصدار شهادة ، تحتاج إلى إنشاء طلب شهادة في القسم الجهاز -> إدارة الشهادات -> الشهادات -> إنشاء. في الطلب ، حدد اسم الشهادة وعنوان IP أو FQDN لبوابة الويب (الشكل 16). بعد إنشاء الطلب ، قم بالتحميل csr ملف ونسخ محتوياته في حقل طلب الشهادة في نموذج ويب تسجيل ويب AD CS. اعتمادًا على إعداد المرجع المصدق ، يجب الموافقة على طلب الشهادة وتنزيل الشهادة الصادرة بالتنسيق شهادة Base64 المشفرة. بالإضافة إلى ذلك ، تحتاج إلى تنزيل الشهادة الجذر للمرجع المصدق. ثم تحتاج إلى استيراد كلتا الشهادتين إلى جدار الحماية. عند استيراد شهادة لبوابة الويب ، حدد الطلب في الحالة المعلقة وانقر فوق استيراد. يجب أن يتطابق اسم الشهادة مع الاسم المحدد مسبقًا في الطلب. يمكنك تحديد اسم الشهادة الجذر بشكل تعسفي. بعد استيراد الشهادة ، تحتاج إلى إنشاء ملف تعريف خدمة SSL / TLS قسم الجهاز -> إدارة الشهادة. حدد الشهادة التي تم استيرادها مسبقًا في ملف التعريف.
الشكل 16 - طلب شهادة
الخطوة التالية هي إعداد الأشياء بوابة الحماية العالمية и بوابة الحماية العالمية قسم الشبكة -> الحماية العالمية. في الاعدادات بوابة الحماية العالمية تحديد عنوان IP الخارجي لجدار الحماية ، وكذلك الذي تم إنشاؤه مسبقًا ملف تعريف SSL, ملف المصادقةوواجهة النفق وإعدادات عنوان IP للعميل. تحتاج إلى تحديد مجموعة من عناوين IP التي سيتم من خلالها تعيين العنوان للعميل ، و Access Route هي الشبكات الفرعية التي سيكون للعميل مسار لها. إذا كانت المهمة هي التفاف كل حركة مرور المستخدم من خلال جدار الحماية ، فأنت بحاجة إلى تحديد الشبكة الفرعية 0.0.0.0/0 (الشكل 17).
الشكل 17 - إعداد مجموعة من عناوين IP والمسارات
ثم تحتاج إلى إقامة بوابة الحماية العالمية. حدد عنوان IP لجدار الحماية ، ملف تعريف SSL и ملف المصادقة وقائمة بعناوين IP لجدار الحماية الخارجي التي سيتصل بها العميل. إذا كان هناك العديد من جدران الحماية ، فيمكنك تعيين أولوية لكل منها ، وفقًا لما سيختار المستخدمون جدار حماية للاتصال به.
في القسم الجهاز -> عميل GlobalProtect تحتاج إلى تنزيل مجموعة توزيع عميل VPN من خوادم Palo Alto Networks وتفعيلها. للاتصال ، يجب على المستخدم الانتقال إلى صفحة ويب البوابة ، حيث سيُطلب منه التنزيل عميل GlobalProtect. بعد التنزيل والتثبيت ، ستتمكن من إدخال بيانات الاعتماد الخاصة بك والاتصال بشبكة الشركة عبر SSL VPN.
اختتام
هذا يكمل جزء إعداد Palo Alto Networks. نأمل أن تكون المعلومات مفيدة وأن يكون لدى القارئ فكرة عن التقنيات المستخدمة في شبكات بالو ألتو. إذا كانت لديك أسئلة حول الإعداد ورغبات في مواضيع المقالات المستقبلية - اكتبها في التعليقات ، وسنكون سعداء بالإجابة.
المصدر: www.habr.com