Bisan pa sa tanan nga mga bentaha sa mga firewall sa Palo Alto Networks, walaβy daghang materyal sa RuNet sa pag-set up niini nga mga aparato, ingon man mga teksto nga naghulagway sa kasinatian sa ilang pagpatuman. Nakahukom kami nga i-summarize ang mga materyales nga among natipon sa among pagtrabaho kauban ang kagamitan sa kini nga vendor ug hisgutan ang bahin sa mga bahin nga among nasugatan sa pagpatuman sa lainlaing mga proyekto.
Aron ipaila kanimo ang Palo Alto Networks, kini nga artikulo magtan-aw sa pagsumpo nga gikinahanglan aron masulbad ang usa sa labing kasagaran nga mga problema sa firewall - SSL VPN alang sa hilit nga pag-access. Maghisgot usab kami bahin sa mga gamit sa utility alang sa kinatibuk-ang pag-configure sa firewall, pag-ila sa gumagamit, aplikasyon, ug mga palisiya sa seguridad. Kung ang hilisgutan makapainteres sa mga magbabasa, sa umaabot magpagawas kami mga materyales nga nag-analisar sa Site-to-Site VPN, dinamikong ruta ug sentralisadong pagdumala gamit ang Panorama.
Ang mga firewall sa Palo Alto Networks naggamit ug daghang mga bag-ong teknolohiya, lakip ang App-ID, User-ID, Content-ID. Ang paggamit niini nga gamit nagtugot kanimo sa pagsiguro sa taas nga lebel sa seguridad. Pananglitan, sa App-ID posible nga mailhan ang trapiko sa aplikasyon base sa mga pirma, pag-decode ug heuristic, bisan unsa pa ang pantalan ug protocol nga gigamit, lakip ang sulod sa usa ka tunel sa SSL. Ang User-ID nagtugot kanimo sa pag-ila sa mga tiggamit sa network pinaagi sa LDAP integration. Ang Content-ID nagpaposible sa pag-scan sa trapiko ug pag-ila sa gipasa nga mga file ug sa sulod niini. Ang ubang mga function sa firewall naglakip sa intrusion protection, proteksyon batok sa mga kahuyangan ug pag-atake sa DoS, built-in nga anti-spyware, URL filtering, clustering, ug sentralisadong pagdumala.
Alang sa demonstrasyon, mogamit kami usa ka nahilit nga baroganan, nga adunay usa ka pagsumpo nga parehas sa tinuod, gawas sa mga ngalan sa aparato, AD domain name ug mga IP address. Sa tinuud, ang tanan labi ka komplikado - mahimong adunay daghang mga sanga. Sa kini nga kaso, imbis sa usa ka firewall, usa ka kumpol ang i-install sa mga utlanan sa sentral nga mga site, ug mahimo usab nga kinahanglan ang dinamikong pag-ruta.
Gigamit sa stand PAN-OS 7.1.9. Ingon sa usa ka tipikal nga configuration, hunahunaa ang usa ka network nga adunay usa ka Palo Alto Networks firewall sa ngilit. Ang firewall naghatag ug remote SSL VPN access sa head office. Ang domain sa Active Directory gamiton isip database sa user (Figure 1).
Figure 1 β Network block diagram
Mga lakang sa pag-setup:
- Pre-configuration sa device. Pagbutang sa ngalan, pagdumala sa IP address, static nga mga ruta, mga account sa tagdumala, mga profile sa pagdumala
- Pag-instalar sa mga lisensya, pag-configure ug pag-instalar sa mga update
- Pag-configure sa mga sona sa seguridad, mga interface sa network, mga palisiya sa trapiko, paghubad sa address
- Pag-configure sa usa ka LDAP Authentication Profile ug User Identification Feature
- Pag-set up ug SSL VPN
1. Preset
Ang nag-unang himan alang sa pag-configure sa Palo Alto Networks firewall mao ang web interface; ang pagdumala pinaagi sa CLI posible usab. Sa kasagaran, ang interface sa pagdumala gitakda sa IP address 192.168.1.1/24, login: admin, password: admin.
Mahimo nimong usbon ang adres pinaagi sa pagkonektar sa web interface gikan sa parehas nga network, o gamit ang mando itakda ang deviceconfig system ip-address <> netmask <>. Gihimo kini sa mode sa pag-configure. Aron mobalhin sa configuration mode, gamita ang command i-configure. Ang tanan nga mga pagbag-o sa firewall mahitabo lamang human ang mga setting gikumpirma sa sugo pasalig, pareho sa command line mode ug sa web interface.
Aron usbon ang mga setting sa web interface, gamita ang seksyon Device -> Kinatibuk-ang Settings ug Device -> Management Interface Settings. Ang ngalan, mga banner, time zone ug uban pang mga setting mahimong ibutang sa seksyon sa General Settings (Fig. 2).
Figure 2 - Mga parametro sa interface sa pagdumala
Kung mogamit ka usa ka virtual nga firewall sa usa ka palibot sa ESXi, sa seksyon sa General Settings kinahanglan nimo nga magamit ang paggamit sa MAC address nga gi-assign sa hypervisor, o i-configure ang mga MAC address nga gipiho sa mga interface sa firewall sa hypervisor, o usba ang mga setting sa ang mga virtual switch aron tugutan ang MAC nga magbag-o sa mga adres. Kay kon dili, ang trapiko dili moagi.
Ang interface sa pagdumala gi-configure nga gilain ug wala gipakita sa lista sa mga interface sa network. Sa kapitulo Mga Setting sa Interface sa Pagdumala nagtino sa default gateway alang sa management interface. Ang ubang mga static nga ruta gi-configure sa seksyon sa virtual nga mga router; kini hisgutan sa ulahi.
Aron tugutan ang pag-access sa aparato pinaagi sa ubang mga interface, kinahanglan ka maghimo usa ka profile sa pagdumala Profile sa Pagdumala seksyon Network -> Mga Profile sa Network -> Interface Mgmt ug i-assign kini sa angay nga interface.
Sunod, kinahanglan nimo nga i-configure ang DNS ug NTP sa seksyon Device -> Mga Serbisyo aron makadawat og mga update ug ipakita ang oras sa husto (Fig. 3). Sa kasagaran, ang tanang trapiko nga namugna sa firewall naggamit sa management interface IP address isip tinubdan nga IP address niini. Mahimo kang mag-assign og lain nga interface alang sa matag piho nga serbisyo sa seksyon Pag-configure sa Ruta sa Serbisyo.
Figure 3 - DNS, NTP ug mga parameter sa serbisyo sa ruta sa sistema
2. Pag-instalar sa mga lisensya, pag-set up ug pag-instalar sa mga update
Alang sa bug-os nga operasyon sa tanan nga mga function sa firewall, kinahanglan nimo nga mag-install usa ka lisensya. Mahimo nimong gamiton ang lisensya sa pagsulay pinaagi sa paghangyo niini gikan sa mga kauban sa Palo Alto Networks. Ang validity period niini 30 ka adlaw. Ang lisensya gi-activate pinaagi sa file o gamit ang Auth-Code. Ang mga lisensya gi-configure sa seksyon Device -> Mga Lisensya (fig 4).
Human ma-install ang lisensya, kinahanglan nimo nga i-configure ang pag-install sa mga update sa seksyon Device -> Dynamic nga mga Update.
seksyon Device -> Software mahimo nimong i-download ug i-install ang mga bag-ong bersyon sa PAN-OS.
Figure 4 β License control panel
3. Pag-configure sa mga zone sa seguridad, mga interface sa network, mga palisiya sa trapiko, paghubad sa address
Ang mga firewall sa Palo Alto Networks naggamit sa zone logic sa pag-configure sa mga lagda sa network. Ang mga interface sa network gi-assign sa usa ka piho nga sona, ug kini nga sona gigamit sa mga lagda sa trapiko. Kini nga pamaagi nagtugot sa umaabot, sa diha nga ang pag-usab sa mga setting sa interface, dili sa pag-usab sa mga lagda sa trapiko, apan sa baylo sa reassign sa gikinahanglan nga mga interface ngadto sa angay nga mga zones. Sa kasagaran, ang trapiko sa sulod sa usa ka sona gitugutan, ang trapiko tali sa mga sona gidili, ang gitakda nang daan nga mga lagda maoy responsable niini intrazone-default ΠΈ interzone-default.
Figure 5 β Safety zones
Niini nga pananglitan, usa ka interface sa internal nga network ang gi-assign sa zone internal nga, ug ang interface nga nag-atubang sa Internet gi-assign sa zone sa gawas. Alang sa SSL VPN, usa ka tunnel interface ang gihimo ug gi-assign sa zone VPN (fig 5).
Ang Palo Alto Networks firewall network interfaces mahimong molihok sa lima ka lain-laing mga mode:
- Tapik β gigamit sa pagkolekta sa trapiko alang sa mga katuyoan sa pagmonitor ug pagtuki
- HA - gigamit alang sa operasyon sa cluster
- Virtual Wire - sa kini nga mode, ang Palo Alto Networks naghiusa sa duha nga mga interface ug klaro nga gipasa ang trapiko sa taliwala nila nga wala gibag-o ang mga ad sa MAC ug IP
- Layer2 - switch mode
- Layer3 - mode sa router
Figure 6 - Pagbutang sa interface operating mode
Niini nga pananglitan, Layer3 mode ang gamiton (Fig. 6). Ang mga parameter sa interface sa network nagpakita sa IP address, operating mode ug ang katugbang nga security zone. Gawas pa sa operating mode sa interface, kinahanglan nimo nga i-assign kini sa Virtual Router virtual router, kini usa ka analogue sa usa ka pananglitan sa VRF sa Palo Alto Networks. Ang mga virtual nga router nahimulag gikan sa usag usa ug adunay ilang kaugalingong mga routing table ug network protocol settings.
Ang mga setting sa virtual nga router nagtino sa mga static nga ruta ug mga setting sa routing protocol. Niini nga pananglitan, usa lamang ka default nga ruta ang gihimo alang sa pag-access sa mga eksternal nga network (Fig. 7).
Figure 7 - Pag-set up sa usa ka virtual nga router
Ang sunod nga yugto sa pag-configure mao ang mga palisiya sa trapiko, seksyon Mga Polisiya -> Seguridad. Ang usa ka pananglitan sa pagsumpo gipakita sa Figure 8. Ang lohika sa mga lagda parehas sa tanan nga mga firewall. Ang mga lagda gisusi gikan sa taas hangtod sa ubos, hangtod sa una nga duwa. Mubo nga paghulagway sa mga lagda:
1. SSL VPN Access sa Web Portal. Gitugotan ang pag-access sa web portal aron mapamatud-an ang layo nga mga koneksyon
2. Ang trapiko sa VPN β nagtugot sa trapiko tali sa hilit nga mga koneksyon ug sa ulohang buhatan
3. Basic Internet β nagtugot sa dns, ping, traceroute, ntp nga mga aplikasyon. Gitugotan sa firewall ang mga aplikasyon nga gibase sa mga pirma, pag-decode, ug heuristics kaysa mga numero sa pantalan ug mga protocol, mao nga ang seksyon sa Serbisyo nag-ingon nga default-aplikasyon. Default nga port/protocol para niini nga aplikasyon
4. Web Access β pagtugot sa Internet access pinaagi sa HTTP ug HTTPS protocols nga walay kontrol sa aplikasyon
5,6. Default nga mga lagda alang sa ubang trapiko.
Figure 8 β Panig-ingnan sa pagpahimutang sa mga lagda sa network
Aron ma-configure ang NAT, gamita ang seksyon Mga Polisiya -> NAT. Usa ka pananglitan sa pagsumpo sa NAT gipakita sa Figure 9.
Figure 9 - Panig-ingnan sa pagsumpo sa NAT
Alang sa bisan unsang trapiko gikan sa internal hangtod sa gawas, mahimo nimong usbon ang gigikanan nga adres sa eksternal nga IP address sa firewall ug mogamit usa ka dinamikong adres sa pantalan (PAT).
4. Pag-configure sa LDAP Authentication Profile ug User Identification Function
Sa dili pa ikonektar ang mga tiggamit pinaagi sa SSL-VPN, kinahanglan nimo nga i-configure ang mekanismo sa pag-authenticate. Niini nga pananglitan, ang pag-authenticate mahitabo sa Active Directory domain controller pinaagi sa Palo Alto Networks web interface.
Hulagway 10 β LDAP profile
Aron molihok ang panghimatuud, kinahanglan nimo nga i-configure Profile sa LDAP ΠΈ Profile sa Pagpamatuod. Sa seksyon Device -> Mga Profile sa Server -> LDAP (Fig. 10) kinahanglan nimong ipiho ang IP address ug port sa domain controller, LDAP type ug user account nga gilakip sa mga grupo Mga Operator sa Server, Mga Magbabasa sa Log sa Panghitabo, Giapod-apod nga mga Gumagamit sa COM. Unya sa section Device -> Authentication Profile paghimo og usa ka authentication profile (Fig. 11), markahi ang nabuhat kaniadto Profile sa LDAP ug sa tab nga Advanced gipakita namon ang grupo sa mga tiggamit (Fig. 12) nga gitugotan nga layo nga pag-access. Importante nga timan-an ang parameter sa imong profile Domain sa Gumagamit, kung dili ang pagtugot nga nakabase sa grupo dili molihok. Ang natad kinahanglan magpakita sa ngalan sa domain sa NetBIOS.
Figure 11 - Profile sa panghimatuud
Figure 12 β Pagpili sa grupo sa AD
Ang sunod nga yugto mao ang pag-setup Device -> Pag-ila sa Gumagamit. Dinhi kinahanglan nimo nga ipiho ang IP address sa domain controller, mga kredensyal sa koneksyon, ug i-configure usab ang mga setting I-enable ang Security Log, I-enable ang Sesyon, I-enable ang Probing (Fig. 13). Sa kapitulo Pagmapa sa Grupo (Fig. 14) kinahanglan nimong timan-an ang mga parameter sa pag-ila sa mga butang sa LDAP ug ang lista sa mga grupo nga gamiton alang sa pagtugot. Sama sa Authentication Profile, dinhi kinahanglan nimo nga ibutang ang parameter sa User Domain.
Figure 13 - Mga parameter sa User Mapping
Figure 14 β Mga parametro sa Group Mapping
Ang katapusang lakang niini nga hugna mao ang paghimo og VPN zone ug interface alang sa maong zone. Kinahanglan nimo nga palihokon ang kapilian sa interface I-enable ang User Identification (fig 15).
Figure 15 - Pag-set up sa usa ka VPN zone
5. Pag-set up sa SSL VPN
Sa wala pa magkonektar sa usa ka SSL VPN, ang hilit nga tiggamit kinahanglan nga moadto sa web portal, pamatud-an ug i-download ang kliyente sa Global Protect. Sunod, kini nga kliyente mangayo og mga kredensyal ug magkonektar sa corporate network. Ang web portal naglihok sa https mode ug, sa ingon, kinahanglan nimo nga i-install ang usa ka sertipiko alang niini. Gamit ug public certificate kung mahimo. Unya ang user dili makadawat sa usa ka pasidaan bahin sa pagkadili balido sa sertipiko sa site. Kung dili mahimo ang paggamit sa usa ka publiko nga sertipiko, nan kinahanglan nimo nga mag-isyu sa imong kaugalingon, nga gamiton sa web page alang sa https. Mahimo kini nga pirmahan sa kaugalingon o ma-isyu pinaagi sa usa ka lokal nga awtoridad sa sertipiko. Ang hilit nga kompyuter kinahanglan adunay usa ka gamut o gipirmahan sa kaugalingon nga sertipiko sa lista sa kasaligan nga mga awtoridad sa gamut aron ang tiggamit dili makadawat usa ka sayup kung magkonektar sa web portal. Kini nga pananglitan mogamit usa ka sertipiko nga gi-isyu pinaagi sa Active Directory Certificate Services.
Aron mag-isyu og sertipiko, kinahanglan nimo nga maghimo usa ka hangyo sa sertipiko sa seksyon Device -> Pagdumala sa Sertipiko -> Mga Sertipiko -> Paghimo. Sa hangyo gipakita namo ang ngalan sa sertipiko ug ang IP address o FQDN sa web portal (Fig. 16). Human sa paghimo sa hangyo, download .csr file ug kopyaha ang mga sulod niini ngadto sa certificate request field sa AD CS Web Enrollment web form. Depende kung giunsa ang pag-configure sa awtoridad sa sertipiko, ang hangyo sa sertipiko kinahanglan aprobahan ug ang gi-isyu nga sertipiko kinahanglan ma-download sa format Base64 nga Gi-encode nga Sertipiko. Dugang pa, kinahanglan nimo nga i-download ang gamut nga sertipiko sa awtoridad sa sertipikasyon. Unya kinahanglan nimo nga i-import ang duha nga mga sertipiko sa firewall. Kung nag-import og sertipiko alang sa usa ka web portal, kinahanglan nimo nga pilion ang hangyo sa pending status ug i-klik ang import. Ang ngalan sa sertipiko kinahanglang mohaum sa ngalan nga gipiho sa sayo pa sa hangyo. Ang ngalan sa root certificate mahimong ipiho nga arbitraryo. Pagkahuman sa pag-import sa sertipiko, kinahanglan nimo nga maghimo Profile sa Serbisyo sa SSL/TLS seksyon Device -> Pagdumala sa Sertipiko. Sa profile gipakita namon ang na-import nga sertipiko kaniadto.
Figure 16 - Paghangyo sa sertipiko
Ang sunod nga lakang mao ang pag-set up sa mga butang Global Protect Gateway ΠΈ Global Panalipdan Portal seksyon Network -> Global Panalipdan... Sa mga setting Global Protect Gateway ipahibalo ang eksternal nga IP address sa firewall, ingon man ang gibuhat kaniadto Profile sa SSL, Profile sa Pagpamatuod, tunnel interface ug mga setting sa IP sa kliyente. Kinahanglan nimo nga itakda ang usa ka pool sa mga IP adres diin ang adres ma-assign sa kliyente, ug Access Route - kini ang mga subnet diin ang kliyente adunay ruta. Kung ang tahas mao ang pagputos sa tanan nga trapiko sa tiggamit pinaagi sa usa ka firewall, nan kinahanglan nimo nga ipiho ang subnet 0.0.0.0/0 (Fig. 17).
Figure 17 β Pag-configure sa usa ka pool sa mga IP address ug ruta
Unya kinahanglan nimo nga i-configure Global Panalipdan Portal. Tinoa ang IP address sa firewall, Profile sa SSL ΠΈ Profile sa Pagpamatuod ug usa ka lista sa mga eksternal nga IP address sa mga firewall diin ang kliyente magkonektar. Kung adunay daghang mga firewall, mahimo nimong itakda ang usa ka prayoridad alang sa matag usa, sumala kung diin ang mga tiggamit mopili usa ka firewall aron makonektar.
seksyon Device -> GlobalProtect nga Kliyente kinahanglan nimo nga i-download ang pag-apod-apod sa kliyente sa VPN gikan sa mga server sa Palo Alto Networks ug i-aktibo kini. Aron makonektar, ang user kinahanglan moadto sa portal web page, diin siya hangyoon sa pag-download Kliyente sa GlobalProtect. Sa higayon nga ma-download ug ma-install, mahimo nimong isulod ang imong mga kredensyal ug makonektar sa imong corporate network pinaagi sa SSL VPN.
konklusyon
Nakompleto niini ang Palo Alto Networks nga bahin sa setup. Kami nanghinaut nga ang impormasyon mapuslanon ug ang magbabasa nakabaton ug pagsabot sa mga teknolohiya nga gigamit sa Palo Alto Networks. Kung adunay ka mga pangutana bahin sa pag-setup ug mga sugyot sa mga hilisgutan alang sa umaabot nga mga artikulo, isulat kini sa mga komento, malipay kami nga motubag.
Source: www.habr.com