Er gwaethaf holl fanteision waliau tân Palo Alto Networks, nid oes llawer o ddeunydd ar y RuNet ar sefydlu'r dyfeisiau hyn, yn ogystal â thestunau sy'n disgrifio'r profiad o'u gweithredu. Penderfynasom grynhoi'r deunyddiau yr ydym wedi'u cronni yn ystod ein gwaith gydag offer y gwerthwr hwn a siarad am y nodweddion y daethom ar eu traws wrth weithredu amrywiol brosiectau.
Er mwyn eich cyflwyno i Palo Alto Networks, bydd yr erthygl hon yn edrych ar y cyfluniad sydd ei angen i ddatrys un o'r problemau wal dân mwyaf cyffredin - SSL VPN ar gyfer mynediad o bell. Byddwn hefyd yn siarad am swyddogaethau cyfleustodau ar gyfer cyfluniad wal dân cyffredinol, adnabod defnyddwyr, cymwysiadau a pholisïau diogelwch. Os yw'r pwnc o ddiddordeb i ddarllenwyr, yn y dyfodol byddwn yn rhyddhau deunyddiau sy'n dadansoddi VPN Safle-i-Safle, llwybro deinamig a rheolaeth ganolog gan ddefnyddio Panorama.
Mae waliau tân Palo Alto Networks yn defnyddio nifer o dechnolegau arloesol, gan gynnwys App-ID, User-ID, Content-ID. Mae defnyddio'r swyddogaeth hon yn eich galluogi i sicrhau lefel uchel o ddiogelwch. Er enghraifft, gydag App-ID mae'n bosibl nodi traffig cymhwysiad yn seiliedig ar lofnodion, datgodio a heuristics, waeth beth fo'r porthladd a'r protocol a ddefnyddir, gan gynnwys y tu mewn i dwnnel SSL. Mae ID Defnyddiwr yn eich galluogi i adnabod defnyddwyr rhwydwaith trwy integreiddio LDAP. Mae ID Cynnwys yn ei gwneud hi'n bosibl sganio traffig ac adnabod ffeiliau a drosglwyddir a'u cynnwys. Mae swyddogaethau waliau tân eraill yn cynnwys amddiffyn rhag ymwthiad, amddiffyniad rhag gwendidau ac ymosodiadau DoS, gwrth-ysbïwedd adeiledig, hidlo URL, clystyru, a rheolaeth ganolog.
Ar gyfer yr arddangosiad, byddwn yn defnyddio stand ynysig, gyda chyfluniad union yr un fath â'r un go iawn, ac eithrio enwau dyfeisiau, enw parth AD a chyfeiriadau IP. Mewn gwirionedd, mae popeth yn fwy cymhleth - gall fod llawer o ganghennau. Yn yr achos hwn, yn lle un wal dân, bydd clwstwr yn cael ei osod ar ffiniau safleoedd canolog, ac efallai y bydd angen llwybro deinamig hefyd.
Defnyddir ar y stondin PAN-OS 7.1.9. Fel cyfluniad nodweddiadol, ystyriwch rwydwaith gyda wal dân Palo Alto Networks ar yr ymyl. Mae'r wal dân yn darparu mynediad SSL VPN o bell i'r brif swyddfa. Bydd y parth Active Directory yn cael ei ddefnyddio fel cronfa ddata defnyddwyr (Ffigur 1).
Ffigur 1 – Diagram bloc rhwydwaith
Camau gosod:
- Rhag-ffurfweddu dyfais. Gosod yr enw, cyfeiriad IP rheoli, llwybrau sefydlog, cyfrifon gweinyddwr, proffiliau rheoli
- Gosod trwyddedau, ffurfweddu a gosod diweddariadau
- Ffurfweddu parthau diogelwch, rhyngwynebau rhwydwaith, polisïau traffig, cyfieithu cyfeiriadau
- Ffurfweddu Proffil Dilysu LDAP a Nodwedd Adnabod Defnyddiwr
- Sefydlu SSL VPN
1. rhagosodedig
Y prif offeryn ar gyfer ffurfweddu wal dân Palo Alto Networks yw'r rhyngwyneb gwe; mae rheolaeth trwy'r CLI hefyd yn bosibl. Yn ddiofyn, mae'r rhyngwyneb rheoli wedi'i osod i gyfeiriad IP 192.168.1.1/24, mewngofnodi: admin, cyfrinair: admin.
Gallwch chi newid y cyfeiriad naill ai trwy gysylltu â'r rhyngwyneb gwe o'r un rhwydwaith, neu ddefnyddio'r gorchymyn gosod system deviceconfig-cyfeiriad ip <> netmask <>. Mae'n cael ei berfformio yn y modd ffurfweddu. I newid i'r modd ffurfweddu, defnyddiwch y gorchymyn ffurfweddu. Mae'r holl newidiadau ar y wal dân yn digwydd dim ond ar ôl i'r gosodiadau gael eu cadarnhau gan y gorchymyn ymrwymo, yn y modd llinell orchymyn ac yn y rhyngwyneb gwe.
I newid gosodiadau yn y rhyngwyneb gwe, defnyddiwch yr adran Dyfais -> Gosodiadau a Dyfais Cyffredinol -> Gosodiadau Rhyngwyneb Rheoli. Gellir gosod yr enw, baneri, parth amser a gosodiadau eraill yn yr adran Gosodiadau Cyffredinol (Ffig. 2).
Ffigur 2 – Paramedrau rhyngwyneb rheoli
Os ydych chi'n defnyddio wal dân rithwir mewn amgylchedd ESXi, yn yr adran Gosodiadau Cyffredinol mae angen i chi alluogi'r defnydd o'r cyfeiriad MAC a neilltuwyd gan yr hypervisor, neu ffurfweddu'r cyfeiriadau MAC a nodir ar y rhyngwynebau wal dân ar yr hypervisor, neu newid gosodiadau'r y switshis rhithwir i ganiatáu MAC newid cyfeiriadau. Fel arall, ni fydd traffig yn mynd drwodd.
Mae'r rhyngwyneb rheoli wedi'i ffurfweddu ar wahân ac nid yw'n cael ei arddangos yn y rhestr o ryngwynebau rhwydwaith. Yn bennod Gosodiadau Rhyngwyneb Rheoli yn pennu'r porth rhagosodedig ar gyfer y rhyngwyneb rheoli. Mae llwybrau sefydlog eraill wedi'u ffurfweddu yn yr adran llwybryddion rhithwir; bydd hyn yn cael ei drafod yn nes ymlaen.
Er mwyn caniatáu mynediad i'r ddyfais trwy ryngwynebau eraill, rhaid i chi greu proffil rheoli Proffil Rheoli adran Rhwydwaith -> Proffiliau Rhwydwaith -> Rhyngwyneb Mgmt a'i aseinio i'r rhyngwyneb priodol.
Nesaf, mae angen i chi ffurfweddu DNS a NTP yn yr adran Dyfais -> Gwasanaethau i dderbyn diweddariadau ac arddangos yr amser yn gywir (Ffig. 3). Yn ddiofyn, mae'r holl draffig a gynhyrchir gan y wal dân yn defnyddio cyfeiriad IP y rhyngwyneb rheoli fel ei gyfeiriad IP ffynhonnell. Gallwch chi neilltuo rhyngwyneb gwahanol ar gyfer pob gwasanaeth penodol yn yr adran Ffurfweddu Llwybr Gwasanaeth.
Ffigur 3 – paramedrau gwasanaeth DNS, NTP a llwybrau system
2. Gosod trwyddedau, sefydlu a gosod diweddariadau
Er mwyn gweithredu'r holl swyddogaethau wal dân yn llawn, rhaid i chi osod trwydded. Gallwch ddefnyddio trwydded brawf trwy ofyn amdani gan bartneriaid Palo Alto Networks. Ei gyfnod dilysrwydd yw 30 diwrnod. Mae'r drwydded yn cael ei actifadu naill ai trwy ffeil neu gan ddefnyddio Auth-Code. Mae trwyddedau wedi'u ffurfweddu yn yr adran Dyfais -> Trwyddedau (Ffig. 4).
Ar ôl gosod y drwydded, mae angen i chi ffurfweddu gosod diweddariadau yn yr adran Dyfais -> Diweddariadau Dynamig.
Yn adran Dyfais -> Meddalwedd gallwch lawrlwytho a gosod fersiynau newydd o PAN-OS.
Ffigur 4 – Panel rheoli trwydded
3. Ffurfweddu parthau diogelwch, rhyngwynebau rhwydwaith, polisïau traffig, cyfieithu cyfeiriadau
Mae waliau tân Palo Alto Networks yn defnyddio rhesymeg parth wrth ffurfweddu rheolau rhwydwaith. Mae rhyngwynebau rhwydwaith yn cael eu neilltuo i barth penodol, a defnyddir y parth hwn mewn rheolau traffig. Mae'r dull hwn yn caniatáu yn y dyfodol, wrth newid gosodiadau rhyngwyneb, i beidio â newid y rheolau traffig, ond yn hytrach i ailbennu'r rhyngwynebau angenrheidiol i'r parthau priodol. Yn ddiofyn, caniateir traffig o fewn parth, gwaherddir traffig rhwng parthau, rheolau rhagddiffiniedig sy'n gyfrifol am hyn intrazone-diofyn и rhyng-barthol.
Ffigur 5 – Parthau diogelwch
Yn yr enghraifft hon, mae rhyngwyneb ar y rhwydwaith mewnol yn cael ei neilltuo i'r parth mewnol, ac mae'r rhyngwyneb sy'n wynebu'r Rhyngrwyd yn cael ei neilltuo i'r parth allanol. Ar gyfer SSL VPN, mae rhyngwyneb twnnel wedi'i greu a'i neilltuo i'r parth vpn (Ffig. 5).
Gall rhyngwynebau rhwydwaith wal dân Palo Alto Networks weithredu mewn pum dull gwahanol:
- Tap – yn cael ei ddefnyddio i gasglu traffig at ddibenion monitro a dadansoddi
- HA - a ddefnyddir ar gyfer gweithrediad clwstwr
- Wire Rhithwir - yn y modd hwn, mae Palo Alto Networks yn cyfuno dau ryngwyneb ac yn pasio traffig rhyngddynt yn dryloyw heb newid cyfeiriadau MAC ac IP
- Haen2 - modd switsh
- Haen3 - modd llwybrydd
Ffigur 6 – Gosod y modd gweithredu rhyngwyneb
Yn yr enghraifft hon, bydd modd Layer3 yn cael ei ddefnyddio (Ffig. 6). Mae paramedrau rhyngwyneb y rhwydwaith yn nodi'r cyfeiriad IP, y modd gweithredu a'r parth diogelwch cyfatebol. Yn ogystal â dull gweithredu'r rhyngwyneb, rhaid i chi ei aseinio i lwybrydd rhithwir y Llwybrydd Rhithwir, mae hwn yn analog o enghraifft VRF yn Palo Alto Networks. Mae llwybryddion rhithwir wedi'u hynysu oddi wrth ei gilydd ac mae ganddyn nhw eu tablau llwybro eu hunain a gosodiadau protocol rhwydwaith.
Mae'r gosodiadau llwybrydd rhithwir yn nodi llwybrau statig a gosodiadau protocol llwybro. Yn yr enghraifft hon, dim ond llwybr rhagosodedig sydd wedi'i greu ar gyfer cyrchu rhwydweithiau allanol (Ffig. 7).
Ffigur 7 – Sefydlu llwybrydd rhithwir
Y cam cyfluniad nesaf yw polisïau traffig, adran Polisïau -> Diogelwch. Dangosir enghraifft o ffurfweddiad yn Ffigur 8. Mae rhesymeg y rheolau yr un fath ag ar gyfer pob wal dân. Mae'r rheolau'n cael eu gwirio o'r top i'r gwaelod, i lawr i'r gêm gyntaf. Disgrifiad byr o'r rheolau:
1. Mynediad SSL VPN i Borth Gwe. Yn caniatáu mynediad i'r porth gwe i ddilysu cysylltiadau o bell
2. Traffig VPN – caniatáu traffig rhwng cysylltiadau anghysbell a'r brif swyddfa
3. Rhyngrwyd Sylfaenol – caniatáu rhaglenni dns, ping, traceroute, ntp. Mae'r wal dân yn caniatáu cymwysiadau yn seiliedig ar lofnodion, datgodio, a heuristics yn hytrach na rhifau porthladd a phrotocolau, a dyna pam mae'r adran Gwasanaeth yn dweud mai cais-diofyn yw'r rhaglen. Porth/protocol diofyn ar gyfer y cais hwn
4. Mynediad i'r We – caniatáu mynediad i'r Rhyngrwyd trwy brotocolau HTTP a HTTPS heb reolaeth cymhwysiad
5,6. Rheolau diofyn ar gyfer traffig arall.
Ffigur 8 — Enghraifft o sefydlu rheolau rhwydwaith
I ffurfweddu NAT, defnyddiwch yr adran Polisïau -> NAT. Dangosir enghraifft o ffurfweddiad NAT yn Ffigur 9.
Ffigur 9 – Enghraifft o ffurfweddiad NAT
Ar gyfer unrhyw draffig o'r tu mewn i'r tu allan, gallwch newid y cyfeiriad ffynhonnell i gyfeiriad IP allanol y wal dân a defnyddio cyfeiriad porthladd deinamig (PAT).
4. Ffurfweddu Proffil Dilysu LDAP a Swyddogaeth Adnabod Defnyddiwr
Cyn cysylltu defnyddwyr trwy SSL-VPN, mae angen i chi ffurfweddu mecanwaith dilysu. Yn yr enghraifft hon, bydd dilysiad yn digwydd i reolwr parth Active Directory trwy ryngwyneb gwe Palo Alto Networks.
Ffigur 10 – Proffil LDAP
Er mwyn i ddilysu weithio, mae angen i chi ffurfweddu Proffil LDAP и Proffil Dilysu. Yn adran Dyfais -> Proffiliau Gweinydd -> LDAP (Ffig. 10) mae angen i chi nodi cyfeiriad IP a phorth y rheolydd parth, math LDAP a chyfrif defnyddiwr sydd wedi'u cynnwys yn y grwpiau Gweithredwyr Gweinydd, Darllenwyr Cofnod Digwyddiadau, Defnyddwyr COM wedi'u Dosbarthu. Yna yn yr adran Dyfais -> Proffil Dilysu creu proffil dilysu (Ffig. 11), marcio'r un a grëwyd yn flaenorol Proffil LDAP ac yn y tab Uwch rydym yn nodi'r grŵp o ddefnyddwyr (Ffig. 12) y caniateir mynediad o bell iddynt. Mae'n bwysig nodi'r paramedr yn eich proffil Parth Defnyddiwr, fel arall ni fydd awdurdodiad seiliedig ar grŵp yn gweithio. Rhaid i'r maes nodi enw parth NetBIOS.
Ffigur 11 – Proffil dilysu
Ffigur 12 – Dewis grŵp AD
Y cam nesaf yw gosod Dyfais -> Adnabod Defnyddiwr. Yma mae angen i chi nodi cyfeiriad IP y rheolwr parth, manylion cyswllt, a hefyd ffurfweddu gosodiadau Galluogi Log Diogelwch, Galluogi Sesiwn, Galluogi Ymchwilio (Ffig. 13). Yn bennod Mapio Grŵp (Ffig. 14) mae angen i chi nodi'r paramedrau ar gyfer adnabod gwrthrychau yn LDAP a'r rhestr o grwpiau a ddefnyddir ar gyfer awdurdodi. Yn union fel yn y Proffil Dilysu, yma mae angen i chi osod y paramedr Parth Defnyddiwr.
Ffigur 13 – Paramedrau Mapio Defnyddwyr
Ffigur 14 – Paramedrau Mapio Grŵp
Y cam olaf yn y cam hwn yw creu parth VPN a rhyngwyneb ar gyfer y parth hwnnw. Mae angen i chi alluogi'r opsiwn ar y rhyngwyneb Galluogi Adnabod Defnyddiwr (Ffig. 15).
Ffigur 15 – Sefydlu parth VPN
5. Sefydlu SSL VPN
Cyn cysylltu â SSL VPN, rhaid i'r defnyddiwr o bell fynd i'r porth gwe, dilysu a lawrlwytho'r cleient Global Protect. Nesaf, bydd y cleient hwn yn gofyn am gymwysterau ac yn cysylltu â'r rhwydwaith corfforaethol. Mae'r porth gwe yn gweithredu yn y modd https ac, yn unol â hynny, mae angen i chi osod tystysgrif ar ei gyfer. Defnyddiwch dystysgrif gyhoeddus os yn bosibl. Yna ni fydd y defnyddiwr yn derbyn rhybudd am annilysrwydd y dystysgrif ar y wefan. Os nad yw'n bosibl defnyddio tystysgrif gyhoeddus, yna mae angen i chi gyhoeddi eich tystysgrif eich hun, a fydd yn cael ei defnyddio ar y dudalen we ar gyfer https. Gellir ei hunan-lofnodi neu ei gyhoeddi trwy awdurdod tystysgrif lleol. Rhaid i'r cyfrifiadur anghysbell fod â thystysgrif gwraidd neu hunan-lofnod yn y rhestr o awdurdodau gwraidd dibynadwy fel nad yw'r defnyddiwr yn derbyn gwall wrth gysylltu â'r porth gwe. Bydd yr enghraifft hon yn defnyddio tystysgrif a roddwyd trwy Active Directory Certificate Services.
I gyhoeddi tystysgrif, mae angen i chi greu cais am dystysgrif yn yr adran Dyfais -> Rheoli Tystysgrif -> Tystysgrifau -> Cynhyrchu. Yn y cais rydym yn nodi enw'r dystysgrif a chyfeiriad IP neu FQDN y porth gwe (Ffig. 16). Ar ôl cynhyrchu'r cais, lawrlwythwch .csr ffeil a chopïo ei gynnwys i'r maes cais am dystysgrif yn y ffurflen AD CS Web Enrollment web. Yn dibynnu ar sut mae'r awdurdod tystysgrif wedi'i ffurfweddu, rhaid cymeradwyo'r cais am dystysgrif a rhaid lawrlwytho'r dystysgrif a gyhoeddwyd yn y fformat Tystysgrif Amgodedig Base64. Yn ogystal, mae angen i chi lawrlwytho tystysgrif gwraidd yr awdurdod ardystio. Yna mae angen i chi fewnforio'r ddwy dystysgrif i'r wal dân. Wrth fewnforio tystysgrif ar gyfer porth gwe, rhaid i chi ddewis y cais yn y statws arfaeth a chlicio mewnforio. Rhaid i enw'r dystysgrif gyfateb i'r enw a nodwyd yn gynharach yn y cais. Gellir nodi enw'r dystysgrif gwraidd yn fympwyol. Ar ôl mewngludo'r dystysgrif, mae angen i chi greu Proffil Gwasanaeth SSL/TLS adran Dyfais -> Rheoli Tystysgrif. Yn y proffil rydym yn nodi'r dystysgrif a fewnforiwyd yn flaenorol.
Ffigur 16 – Cais am dystysgrif
Y cam nesaf yw gosod gwrthrychau Porth Diogelu Byd-eang и Porth Diogelu Byd-eang adran Rhwydwaith -> Diogelu Byd-eang... Mewn gosodiadau Porth Diogelu Byd-eang nodi cyfeiriad IP allanol y wal dân, yn ogystal â'r hyn a grëwyd yn flaenorol Proffil SSL, Proffil Dilysu, rhyngwyneb twnnel a gosodiadau IP cleient. Mae angen i chi nodi cronfa o gyfeiriadau IP lle bydd y cyfeiriad yn cael ei neilltuo i'r cleient, a Llwybr Mynediad - dyma'r is-rwydweithiau y bydd gan y cleient lwybr iddynt. Os mai'r dasg yw lapio'r holl draffig defnyddwyr trwy wal dân, yna mae angen i chi nodi'r isrwyd 0.0.0.0/0 (Ffig. 17).
Ffigur 17 – Ffurfweddu cronfa o gyfeiriadau IP a llwybrau
Yna mae angen i chi ffurfweddu Porth Diogelu Byd-eang. Nodwch gyfeiriad IP y wal dân, Proffil SSL и Proffil Dilysu a rhestr o gyfeiriadau IP allanol waliau tân y bydd y cleient yn cysylltu â nhw. Os oes sawl wal dân, gallwch chi osod blaenoriaeth ar gyfer pob un, yn unol â pha un y bydd defnyddwyr yn dewis wal dân i gysylltu â hi.
Yn adran Dyfais -> Cleient GlobalProtect mae angen i chi lawrlwytho'r dosbarthiad cleient VPN o weinyddion Palo Alto Networks a'i actifadu. I gysylltu, rhaid i'r defnyddiwr fynd i dudalen we'r porth, lle gofynnir iddo lawrlwytho Cleient GlobalProtect. Ar ôl ei lawrlwytho a'i osod, gallwch nodi'ch tystlythyrau a chysylltu â'ch rhwydwaith corfforaethol trwy SSL VPN.
Casgliad
Mae hyn yn cwblhau rhan Palo Alto Networks o'r gosodiad. Gobeithiwn fod y wybodaeth yn ddefnyddiol a bod y darllenydd wedi dod i ddeall y technolegau a ddefnyddir yn Palo Alto Networks. Os oes gennych gwestiynau am setup ac awgrymiadau ar bynciau ar gyfer erthyglau yn y dyfodol, ysgrifennwch nhw yn y sylwadau, byddwn yn hapus i ateb.
Ffynhonnell: hab.com