Palo Alto Networks firewalllarının bütün üstünlüklərinə baxmayaraq, İnternetdə bu cihazların konfiqurasiyasına dair çoxlu materiallar, eləcə də onların həyata keçirilməsi təcrübəsini təsvir edən mətnlər yoxdur. Bu satıcının avadanlıqları ilə işləyərkən topladığımız materialları ümumiləşdirmək və müxtəlif layihələrin həyata keçirilməsi zamanı qarşılaşdığımız xüsusiyyətlər haqqında danışmaq qərarına gəldik.
Palo Alto Şəbəkələrinə giriş üçün bu məqalə ən çox yayılmış firewall tapşırıqlarından birini, uzaqdan giriş üçün SSL VPN-ni həll etmək üçün tələb olunan parametrlərə baxacaq. Biz həmçinin ümumi firewall konfiqurasiyası, istifadəçi identifikasiyası, tətbiq və təhlükəsizlik siyasətləri üçün köməkçi funksiyalar haqqında danışacağıq. Mövzu oxucuların marağına səbəb olarsa, gələcəkdə biz Panorama-dan istifadə edərək Saytdan Sayta VPN, dinamik marşrutlaşdırma və mərkəzləşdirilmiş idarəetmənin təhlili ilə materiallar dərc edəcəyik.
Palo Alto Networks firewallları App-ID, User-ID, Content-ID daxil olmaqla bir sıra innovativ texnologiyalardan istifadə edir. Bu funksionallığın istifadəsi yüksək səviyyədə təhlükəsizliyi təmin etməyə imkan verir. Məsələn, App-ID-dən istifadə etməklə SSL tunelinin daxilində də daxil olmaqla, istifadə edilən port və protokoldan asılı olmayaraq, imzalara, dekodlaşdırmaya və evristikaya əsaslanan proqram trafikini müəyyən etmək mümkündür. User-ID LDAP ilə inteqrasiya vasitəsilə şəbəkə istifadəçilərini müəyyən etməyə imkan verir. Content-ID trafiki skan etməyə və ötürülən faylları və onların məzmununu müəyyən etməyə imkan verir. Digər firewall xüsusiyyətlərinə müdaxilədən qorunma, zəifliklərdən və DoS hücumlarından qorunma, quraşdırılmış anti-casus proqram, URL filtri, klasterləşdirmə və mərkəzləşdirilmiş idarəetmə daxildir.
Nümayiş üçün biz cihaz adları, AD domen adı və IP ünvanları istisna olmaqla, konfiqurasiyası real ilə eyni olan təcrid olunmuş stenddən istifadə edəcəyik. Əslində, hər şey daha mürəkkəbdir - bir çox filial ola bilər. Bu halda, bir firewall əvəzinə mərkəzi saytların sərhədlərində klaster quraşdırılacaq və dinamik marşrutlaşdırma da tələb oluna bilər.
Stend istifadə edir PAN-OS 7.1.9. Tipik bir konfiqurasiya olaraq kənarında Palo Alto Networks firewall olan şəbəkəni nəzərdən keçirin. Firewall baş ofisə uzaqdan SSL VPN girişini təmin edir. İstifadəçi verilənlər bazası kimi Active Directory domeni istifadə olunacaq (Şəkil 1).
Şəkil 1 - Şəbəkənin blok diaqramı
Quraşdırma addımları:
- Cihazın əvvəlcədən təyini. Parametr adı, İdarəetmə IP ünvanı, Statik marşrutlar, Administrator hesabları, İdarəetmə Profilləri
- Lisenziyaların quraşdırılması, yeniləmələrin konfiqurasiyası və quraşdırılması
- Təhlükəsizlik zonalarının qurulması, şəbəkə interfeysləri, trafik siyasəti, ünvan tərcüməsi
- LDAP Doğrulama Profilinin və İstifadəçi İdentifikasiyasının konfiqurasiyası
- SSL VPN konfiqurasiyası
1. Əvvəlcədən təyin
Palo Alto Networks firewallını konfiqurasiya etmək üçün əsas vasitə veb interfeysdir və CLI vasitəsilə idarəetmə də mümkündür. Varsayılan olaraq, idarəetmə interfeysi IP ünvanı 192.168.1.1/24, login: admin, parol: admin var.
Siz ya eyni şəbəkədən veb interfeysə qoşulmaqla, ya da əmrdən istifadə etməklə ünvanı dəyişə bilərsiniz cihaz konfiqurasiya sisteminin ip-ünvanını təyin edin <> şəbəkə maskası <>. Konfiqurasiya rejimində işləyir. Konfiqurasiya rejiminə keçmək üçün əmrdən istifadə edin konfiqurasiya. Firewalldakı bütün dəyişikliklər yalnız parametrlər əmrlə təsdiqləndikdən sonra baş verir törətmək, həm komanda xətti rejimində, həm də veb interfeysində.
Veb interfeysində parametrləri dəyişdirmək üçün bölmədən istifadə edin Cihaz -> Ümumi Parametrlər və Cihaz -> İdarəetmə İnterfeysi Parametrləri. Ad, bannerlər, saat qurşağı və digər parametrlər Ümumi Parametrlər bölməsində təyin edilə bilər (şək. 2).
Şəkil 2 - İdarəetmə interfeysi parametrləri
Əgər virtual firewall ESXi mühitində istifadə olunursa, Ümumi Parametrlər bölməsində siz hipervizor tərəfindən təyin edilmiş MAC ünvanının istifadəsini aktivləşdirməlisiniz və ya firewall interfeyslərində göstərilən hipervizorda MAC ünvanlarını konfiqurasiya etməlisiniz və ya parametrləri dəyişdirməlisiniz. MAC-in ünvanlarını dəyişməsinə icazə vermək üçün virtual açarların. Əks halda, trafik keçməyəcək.
İdarəetmə interfeysi ayrıca konfiqurasiya edilir və şəbəkə interfeysləri siyahısında göstərilmir. Fəsildə İdarəetmə interfeysi parametrləri idarəetmə interfeysi üçün standart şlüzünü müəyyən edir. Digər statik marşrutlar daha sonra müzakirə ediləcək virtual marşrutlaşdırıcılar bölməsində konfiqurasiya edilir.
Digər interfeyslər vasitəsilə cihaza girişə icazə vermək üçün siz idarəetmə profili yaratmalısınız İdarəetmə Profili bölmə Şəbəkə -> Şəbəkə Profilləri -> İnterfeys Mgmt və müvafiq interfeysə təyin edin.
Sonra bölmədə DNS və NTP-ni konfiqurasiya etməlisiniz Cihaz -> Xidmətlər yeniləmələri qəbul etmək və vaxtı düzgün göstərmək üçün (Şəkil 3). Varsayılan olaraq, firewall tərəfindən yaradılan bütün trafik mənbə IP ünvanı kimi idarəetmə interfeysinin IP ünvanından istifadə edir. Bölmədə hər bir xüsusi xidmət üçün fərqli interfeys təyin edə bilərsiniz Xidmət marşrutunun konfiqurasiyası.
Şəkil 3 - DNS, NTP xidmətlərinin və sistem marşrutlarının parametrləri
2. Lisenziyaların quraşdırılması, yeniləmələrin qurulması və quraşdırılması
Bütün firewall funksiyalarının tam işləməsi üçün siz lisenziya quraşdırmalısınız. Siz Palo Alto Networks tərəfdaşlarından tələb edərək sınaq lisenziyasından istifadə edə bilərsiniz. Onun etibarlılıq müddəti 30 gündür. Lisenziya ya fayl vasitəsilə və ya Auth-Code istifadə edərək aktivləşdirilir. Lisenziyalar bölmədə konfiqurasiya edilir Cihaz -> Lisenziyalar (Şəkil 4).
Lisenziyanı quraşdırdıqdan sonra bölmədə yeniləmələrin quraşdırılmasını konfiqurasiya etməlisiniz Cihaz -> Dinamik Yeniləmələr.
Bölmədə Cihaz -> Proqram təminatı siz PAN-OS-un yeni versiyalarını yükləyə və quraşdıra bilərsiniz.
Şəkil 4 - Lisenziya idarəetmə paneli
3. Təhlükəsizlik zonalarının qurulması, şəbəkə interfeysləri, trafik siyasəti, ünvan tərcüməsi
Palo Alto Networks firewallları şəbəkə qaydalarını konfiqurasiya edərkən zona məntiqindən istifadə edir. Şəbəkə interfeysləri müəyyən bir zonaya təyin edilir və o, yol hərəkəti qaydalarında istifadə olunur. Bu yanaşma gələcəkdə interfeys parametrlərini dəyişdirərkən yol hərəkəti qaydalarını dəyişdirməyə deyil, lazımi interfeysləri müvafiq zonalara yenidən təyin etməyə imkan verir. Varsayılan olaraq, zona daxilində nəqliyyata icazə verilir, zonalar arasında hərəkət qadağandır, əvvəlcədən müəyyən edilmiş qaydalar buna cavabdehdir intrazona-defolt и zonalararası-defolt.
Şəkil 5 - Təhlükəsizlik zonaları
Bu nümunədə daxili şəbəkədəki interfeys zonaya təyin edilmişdir daxili, və İnternetə yönəldilmiş interfeys zonaya təyin olunur xarici. SSL VPN üçün tunel interfeysi yaradılıb və zonaya təyin edilib VPN (Şəkil 5).
Palo Alto Networks firewall şəbəkə interfeysləri beş müxtəlif rejimdə işləyə bilər:
- Kran – monitorinq və təhlil məqsədi ilə trafik toplamaq üçün istifadə olunur
- HA - klaster əməliyyatı üçün istifadə olunur
- virtual tel - bu rejimdə Palo Alto Şəbəkələri iki interfeysi birləşdirir və MAC və IP ünvanlarını dəyişmədən onlar arasında trafiki şəffaf şəkildə ötürür.
- Layer2 - keçid rejimi
- Layer3 - marşrutlaşdırıcı rejimi
Şəkil 6 - İnterfeys iş rejiminin qurulması
Bu nümunədə Layer3 rejimi istifadə olunacaq (şək. 6). Şəbəkə interfeysi parametrləri IP ünvanını, iş rejimini və müvafiq təhlükəsizlik zonasını təyin edir. İnterfeys iş rejiminə əlavə olaraq, onu Virtual Router virtual marşrutlaşdırıcısına təyin etməlisiniz, bu Palo Alto Networks-də VRF instansiyasının analoqudur. Virtual marşrutlaşdırıcılar bir-birindən təcrid olunub və öz marşrutlaşdırma cədvəllərinə və şəbəkə protokolu parametrlərinə malikdir.
Virtual marşrutlaşdırıcı parametrləri statik marşrutları və marşrutlaşdırma protokolu parametrlərini təyin edir. Bu nümunədə yalnız xarici şəbəkələrə daxil olmaq üçün standart marşrut yaradılmışdır (Şəkil 7).
Şəkil 7 - Virtual marşrutlaşdırıcının konfiqurasiyası
Növbəti konfiqurasiya addımı trafik siyasəti bölməsidir Siyasətlər -> Təhlükəsizlik. Quraşdırma nümunəsi Şəkil 8-də göstərilmişdir. Qaydaların məntiqi bütün firewalllar üçün olduğu kimidir. Qaydalar yuxarıdan aşağıya, ilk matça qədər yoxlanılır. Qaydaların qısa təsviri:
1. Veb Portala SSL VPN Girişi. Uzaq əlaqələri təsdiqləmək üçün veb portala daxil olmağa imkan verir
2. VPN trafiki - uzaq bağlantılar və baş ofis arasında trafikə icazə verir
3. Əsas İnternet - dns, ping, traceroute, ntp proqramlarına icazə verir. Firewall port nömrələri və protokollara deyil, imzalara, dekodlaşdırmaya və evristikaya əsaslanan tətbiqlərə imkan verir, buna görə də Xidmət bölməsində proqram-defolt deyilir. Bu proqram üçün defolt port/protokol
4. Veb Girişi - tətbiq nəzarəti olmadan HTTP və HTTPS protokolları vasitəsilə İnternetə çıxış imkanı verir
5,6. Digər trafik üçün standart qaydalar.
Şəkil 8 — Şəbəkə qaydalarının konfiqurasiya nümunəsi
NAT-ı konfiqurasiya etmək üçün bölmədən istifadə edin Siyasətlər -> NAT. NAT-ın qurulması nümunəsi Şəkil 9-da göstərilmişdir.
Şəkil 9 - NAT quraşdırma nümunəsi
Daxilindən xaricə gedən istənilən trafik üçün mənbə ünvanını firewallun xarici IP ünvanına dəyişə və dinamik port ünvanından (PAT) istifadə edə bilərsiniz.
4. LDAP Doğrulama Profilinin və İstifadəçinin İdentifikasiyası Funksiyasının Konfiqurasiyası
İstifadəçiləri SSL-VPN vasitəsilə birləşdirməzdən əvvəl autentifikasiya mexanizmini qurmalısınız. Bu nümunədə identifikasiya Palo Alto Networks veb interfeysi vasitəsilə Active Directory domen nəzarətçisində baş verəcək.
Şəkil 10 - LDAP profili
Doğrulamanın işləməsi üçün konfiqurasiya etməlisiniz LDAP Profili и Doğrulama Profili. Bölmədə Cihaz -> Server Profilləri -> LDAP (Şəkil 10) siz qruplara daxil olan domen nəzarətçisinin IP ünvanını və portunu, LDAP tipini və istifadəçi hesabını göstərməlisiniz. Server Operatorları, Hadisə jurnalının oxucuları, Paylanmış COM İstifadəçiləri. Sonra bölmədə Cihaz -> Doğrulama Profili autentifikasiya profili yaradın (şək. 11), əvvəl yaradılmışı qeyd edin LDAP Profili və Qabaqcıl sekmesinde uzaqdan girişə icazə verilən istifadəçilər qrupunu (şək. 12) göstərin. Profildəki parametri qeyd etmək vacibdir İstifadəçi Domeni, əks halda qrup əsaslı icazə işləməyəcək. Sahədə NetBIOS domen adı olmalıdır.
Şəkil 11 - Doğrulama profili
Şəkil 12 - AD qrupunun seçimi
Növbəti addım quraşdırmadır Cihaz -> İstifadəçi İdentifikasiyası. Burada domen nəzarətçisinin IP ünvanını, əlaqə üçün etimadnamələri təyin etməli və parametrləri konfiqurasiya etməlisiniz. Təhlükəsizlik Qeydiyyatını aktivləşdirin, Sessiyanı aktivləşdirin, Yoxlamanı aktivləşdirin (şək. 13). Fəsildə Qrup Xəritəçəkmə (Şəkil 14) LDAP-da obyektlərin identifikasiyası parametrlərini və avtorizasiya üçün istifadə olunacaq qrupların siyahısını qeyd etməlisiniz. Authentication Profile-də olduğu kimi burada da İstifadəçi Domain parametrini təyin etməlisiniz.
Şəkil 13 - İstifadəçi Xəritəçəkmə Parametrləri
Şəkil 14 - Qrup Xəritəçəkmə Parametrləri
Bu addımda son addım VPN zonası və bu zona üçün interfeys yaratmaqdır. İnterfeysdə parametri aktivləşdirməlisiniz İstifadəçi İdentifikasiyasını aktivləşdirin (Şəkil 15).
Şəkil 15 - VPN zonasının qurulması
5. SSL VPN qurun
SSL VPN-ə qoşulmazdan əvvəl uzaq istifadəçi veb portala daxil olmalı, autentifikasiya etməli və Global Protect müştərisini endirməlidir. Sonra, bu müştəri etimadnamə tələb edəcək və korporativ şəbəkəyə qoşulacaq. Veb portal https rejimində işləyir və müvafiq olaraq, bunun üçün sertifikat quraşdırmaq lazımdır. Mümkünsə ictimai sertifikatdan istifadə edin. O zaman istifadəçi saytda sertifikatın etibarsızlığı barədə xəbərdarlıq almayacaq. Əgər ictimai sertifikatdan istifadə etmək mümkün deyilsə, o zaman https üçün veb-səhifədə istifadə olunacaq öz sertifikatınızı verməlisiniz. O, özünü imzalaya və ya yerli CA vasitəsilə verilə bilər. Uzaq kompüterin etibarlı kök mərkəzləri siyahısında kök və ya özünü imzalayan sertifikatı olmalıdır ki, istifadəçi veb portala qoşulduqda xəta almasın. Bu nümunə Active Directory Sertifikat Xidmətləri CA vasitəsilə verilmiş sertifikatdan istifadə edəcək.
Sertifikat vermək üçün bölmədə sertifikat sorğusu yaratmalısınız Cihaz -> Sertifikat İdarəetmə -> Sertifikatlar -> Yarat. Sorğuda sertifikatın adını və veb portalın IP ünvanını və ya FQDN-ni göstərin (şək. 16). Sorğunu yaratdıqdan sonra yükləyin .csr faylı açın və məzmununu AD CS Web Qeydiyyatı veb formasındakı sertifikat sorğusu sahəsinə köçürün. Sertifikat orqanının təyinatından asılı olaraq, sertifikat sorğusu təsdiq edilməli və verilmiş sertifikat formatda yüklənməlidir. Base64 Kodlanmış Sertifikat. Bundan əlavə, sertifikatlaşdırma orqanının kök sertifikatını yükləməlisiniz. Sonra hər iki sertifikatı firewall-a idxal etməlisiniz. Veb portal üçün sertifikat idxal edərkən, gözlənilən statusda sorğunu seçin və idxal üzərinə klikləyin. Sertifikatın adı sorğuda əvvəllər göstərilən ada uyğun olmalıdır. Kök sertifikatının adını özbaşına təyin edə bilərsiniz. Sertifikatı idxal etdikdən sonra yaratmalısınız SSL/TLS Xidmət Profili bölmə Cihaz -> Sertifikat İdarəetmə. Profildə əvvəllər idxal edilmiş sertifikatı göstərin.
Şəkil 16 - Sertifikat üçün sorğu
Növbəti addım obyektlərin qurulmasıdır Qlobal Qoruma Gateway и Qlobal Qoruma Portalı bölmə Şəbəkə -> Qlobal Qoruma... Parametrlərdə Qlobal Qoruma Gateway firewallun xarici IP ünvanını, eləcə də əvvəllər yaradılmışdır SSL Profili, Doğrulama Profili, tunel interfeysi və müştəri IP parametrləri. Siz ünvanın müştəriyə təyin ediləcəyi IP ünvanlar hovuzunu təyin etməlisiniz və Giriş marşrutu müştərinin marşrutu olacaq alt şəbəkələrdir. Əgər tapşırıq bütün istifadəçi trafikini firewall vasitəsilə bükməkdirsə, onda siz 0.0.0.0/0 alt şəbəkəsini təyin etməlisiniz (şək. 17).
Şəkil 17 - IP ünvanları və marşrutlar hovuzunun qurulması
Sonra qurmaq lazımdır Qlobal Qoruma Portalı. Firewallun IP ünvanını göstərin, SSL Profili и Doğrulama Profili və müştərinin qoşulacağı xarici firewall IP ünvanlarının siyahısı. Bir neçə firewall varsa, hər biri üçün prioritet təyin edə bilərsiniz, buna görə istifadəçilər qoşulmaq üçün firewall seçəcəklər.
Bölmədə Cihaz -> GlobalProtect Client VPN müştərisinin paylama dəstini Palo Alto Networks serverlərindən yükləməli və aktivləşdirməlisiniz. Qoşulmaq üçün istifadəçi portalın veb səhifəsinə keçməlidir, burada ona yükləmək təklif olunacaq GlobalProtect Müştəri. Yüklədikdən və quraşdırdıqdan sonra siz etimadnamənizi daxil edə və SSL VPN vasitəsilə korporativ şəbəkəyə qoşula biləcəksiniz.
Nəticə
Bu, Palo Alto Networks quraşdırma hissəsini tamamlayır. Ümid edirik ki, məlumat faydalı oldu və oxucu Palo Alto Networks-də istifadə olunan texnologiyalar haqqında təsəvvür əldə etdi. Quraşdırma ilə bağlı suallarınız və gələcək məqalələrin mövzuları ilə bağlı arzularınız varsa - şərhlərdə yazın, cavab verməkdən məmnun olarıq.
Mənbə: www.habr.com