Παρά όλα τα πλεονεκτήματα των τειχών προστασίας του Palo Alto Networks, δεν υπάρχει πολύ υλικό στο RuNet για τη ρύθμιση αυτών των συσκευών, καθώς και κείμενα που περιγράφουν την εμπειρία της υλοποίησής τους. Αποφασίσαμε να συνοψίσουμε τα υλικά που έχουμε συγκεντρώσει κατά τη διάρκεια της εργασίας μας με τον εξοπλισμό αυτού του προμηθευτή και να μιλήσουμε για τα χαρακτηριστικά που συναντήσαμε κατά την υλοποίηση διαφόρων έργων.
Για να σας παρουσιάσουμε τα δίκτυα Palo Alto, αυτό το άρθρο θα εξετάσει τη διαμόρφωση που απαιτείται για την επίλυση ενός από τα πιο συνηθισμένα προβλήματα τείχους προστασίας - το SSL VPN για απομακρυσμένη πρόσβαση. Θα μιλήσουμε επίσης για βοηθητικές λειτουργίες για τη γενική διαμόρφωση του τείχους προστασίας, την αναγνώριση χρήστη, τις εφαρμογές και τις πολιτικές ασφαλείας. Εάν το θέμα ενδιαφέρει τους αναγνώστες, στο μέλλον θα κυκλοφορήσουμε υλικό που θα αναλύει Site-to-Site VPN, τη δυναμική δρομολόγηση και την κεντρική διαχείριση χρησιμοποιώντας το Panorama.
Τα τείχη προστασίας του Palo Alto Networks χρησιμοποιούν μια σειρά από καινοτόμες τεχνολογίες, όπως το App-ID, το User-ID, το Content-ID. Η χρήση αυτής της λειτουργικότητας σάς επιτρέπει να εξασφαλίσετε υψηλό επίπεδο ασφάλειας. Για παράδειγμα, με το App-ID είναι δυνατός ο εντοπισμός της κυκλοφορίας εφαρμογών με βάση υπογραφές, αποκωδικοποίηση και ευρετικές μεθόδους, ανεξάρτητα από τη θύρα και το πρωτόκολλο που χρησιμοποιείται, συμπεριλαμβανομένου του τούνελ SSL. Το User-ID σάς επιτρέπει να αναγνωρίζετε τους χρήστες του δικτύου μέσω της ενοποίησης LDAP. Το Content-ID καθιστά δυνατή τη σάρωση της κυκλοφορίας και τον εντοπισμό των μεταδιδόμενων αρχείων και των περιεχομένων τους. Άλλες λειτουργίες του τείχους προστασίας περιλαμβάνουν προστασία από εισβολή, προστασία από τρωτά σημεία και επιθέσεις DoS, ενσωματωμένο λογισμικό προστασίας από spyware, φιλτράρισμα URL, ομαδοποίηση και κεντρική διαχείριση.
Για την επίδειξη, θα χρησιμοποιήσουμε μια απομονωμένη βάση, με διαμόρφωση ίδια με την πραγματική, με εξαίρεση τα ονόματα συσκευών, το όνομα τομέα AD και τις διευθύνσεις IP. Στην πραγματικότητα, όλα είναι πιο περίπλοκα - μπορεί να υπάρχουν πολλά υποκαταστήματα. Σε αυτήν την περίπτωση, αντί για ένα μόνο τείχος προστασίας, θα εγκατασταθεί ένα σύμπλεγμα στα όρια των κεντρικών τοποθεσιών και μπορεί επίσης να απαιτείται δυναμική δρομολόγηση.
Χρησιμοποιείται στο σταντ PAN-OS 7.1.9. Ως τυπική διαμόρφωση, θεωρήστε ένα δίκτυο με τείχος προστασίας Palo Alto Networks στην άκρη. Το τείχος προστασίας παρέχει απομακρυσμένη πρόσβαση SSL VPN στα κεντρικά γραφεία. Ο τομέας Active Directory θα χρησιμοποιηθεί ως βάση δεδομένων χρήστη (Εικόνα 1).
Εικόνα 1 – Μπλοκ διάγραμμα δικτύου
Βήματα ρύθμισης:
- Προδιαμόρφωση συσκευής. Ρύθμιση ονόματος, διεύθυνσης IP διαχείρισης, στατικών διαδρομών, λογαριασμών διαχειριστή, προφίλ διαχείρισης
- Εγκατάσταση αδειών, διαμόρφωση και εγκατάσταση ενημερώσεων
- Διαμόρφωση ζωνών ασφαλείας, διεπαφές δικτύου, πολιτικές κυκλοφορίας, μετάφραση διευθύνσεων
- Διαμόρφωση προφίλ ελέγχου ταυτότητας LDAP και δυνατότητα αναγνώρισης χρήστη
- Ρύθμιση ενός SSL VPN
1. Προεπιλογή
Το κύριο εργαλείο για τη διαμόρφωση του τείχους προστασίας του Palo Alto Networks είναι η διεπαφή ιστού· η διαχείριση μέσω του CLI είναι επίσης δυνατή. Από προεπιλογή, η διεπαφή διαχείρισης έχει οριστεί στη διεύθυνση IP 192.168.1.1/24, σύνδεση: διαχειριστής, κωδικός πρόσβασης: διαχειριστής.
Μπορείτε να αλλάξετε τη διεύθυνση είτε συνδέοντας τη διεπαφή ιστού από το ίδιο δίκτυο είτε χρησιμοποιώντας την εντολή ορίστε τη ρύθμιση παραμέτρων της διεύθυνσης IP του συστήματος <> μάσκα δικτύου <>. Εκτελείται σε λειτουργία διαμόρφωσης. Για να μεταβείτε στη λειτουργία διαμόρφωσης, χρησιμοποιήστε την εντολή ρυθμίσετε. Όλες οι αλλαγές στο τείχος προστασίας γίνονται μόνο αφού οι ρυθμίσεις επιβεβαιωθούν από την εντολή διαπράττουν, τόσο στη λειτουργία γραμμής εντολών όσο και στη διεπαφή ιστού.
Για να αλλάξετε τις ρυθμίσεις στη διεπαφή ιστού, χρησιμοποιήστε την ενότητα Συσκευή -> Γενικές ρυθμίσεις και Συσκευή -> Ρυθμίσεις διεπαφής διαχείρισης. Το όνομα, τα πανό, η ζώνη ώρας και άλλες ρυθμίσεις μπορούν να οριστούν στην ενότητα Γενικές ρυθμίσεις (Εικ. 2).
Εικόνα 2 – Παράμετροι διεπαφής διαχείρισης
Εάν χρησιμοποιείτε ένα εικονικό τείχος προστασίας σε περιβάλλον ESXi, στην ενότητα Γενικές ρυθμίσεις πρέπει να ενεργοποιήσετε τη χρήση της διεύθυνσης MAC που έχει εκχωρηθεί από τον hypervisor ή να διαμορφώσετε τις διευθύνσεις MAC που καθορίζονται στις διεπαφές του τείχους προστασίας στον hypervisor ή να αλλάξετε τις ρυθμίσεις του οι εικονικοί διακόπτες για να επιτρέπουν το MAC να αλλάζει διευθύνσεις. Διαφορετικά, η κυκλοφορία δεν θα διέρχεται.
Η διεπαφή διαχείρισης έχει διαμορφωθεί ξεχωριστά και δεν εμφανίζεται στη λίστα διεπαφών δικτύου. Στο κεφάλαιο Ρυθμίσεις διεπαφής διαχείρισης καθορίζει την προεπιλεγμένη πύλη για τη διεπαφή διαχείρισης. Άλλες στατικές διαδρομές διαμορφώνονται στην ενότητα εικονικών δρομολογητών· αυτό θα συζητηθεί αργότερα.
Για να επιτρέψετε την πρόσβαση στη συσκευή μέσω άλλων διεπαφών, πρέπει να δημιουργήσετε ένα προφίλ διαχείρισης Προφίλ Διαχείρισης τμήμα Δίκτυο -> Προφίλ δικτύου -> Διασύνδεση Mgmt και αντιστοιχίστε το στην κατάλληλη διεπαφή.
Στη συνέχεια, πρέπει να ρυθμίσετε τις παραμέτρους DNS και NTP στην ενότητα Συσκευή -> Υπηρεσίες για να λαμβάνετε ενημερώσεις και να εμφανίζετε σωστά την ώρα (Εικ. 3). Από προεπιλογή, όλη η κίνηση που δημιουργείται από το τείχος προστασίας χρησιμοποιεί τη διεύθυνση IP της διεπαφής διαχείρισης ως διεύθυνση IP προέλευσης. Μπορείτε να εκχωρήσετε διαφορετική διεπαφή για κάθε συγκεκριμένη υπηρεσία στην ενότητα Διαμόρφωση διαδρομής εξυπηρέτησης.
Εικόνα 3 – Παράμετροι υπηρεσίας DNS, NTP και δρομολογίων συστήματος
2. Εγκατάσταση αδειών, ρύθμιση και εγκατάσταση ενημερώσεων
Για την πλήρη λειτουργία όλων των λειτουργιών του τείχους προστασίας, πρέπει να εγκαταστήσετε μια άδεια χρήσης. Μπορείτε να χρησιμοποιήσετε μια δοκιμαστική άδεια, ζητώντας τη από συνεργάτες του Palo Alto Networks. Η διάρκεια ισχύος του είναι 30 ημέρες. Η άδεια ενεργοποιείται είτε μέσω αρχείου είτε με χρήση Auth-Code. Οι άδειες διαμορφώνονται στην ενότητα Συσκευή -> Άδειες (Εικ. 4).
Μετά την εγκατάσταση της άδειας χρήσης, πρέπει να διαμορφώσετε την εγκατάσταση ενημερώσεων στην ενότητα Συσκευή -> Δυναμικές ενημερώσεις.
Στο τμήμα Συσκευή -> Λογισμικό μπορείτε να κατεβάσετε και να εγκαταστήσετε νέες εκδόσεις του PAN-OS.
Εικόνα 4 – Πίνακας ελέγχου άδειας χρήσης
3. Διαμόρφωση ζωνών ασφαλείας, διεπαφών δικτύου, πολιτικών κυκλοφορίας, μετάφρασης διευθύνσεων
Τα τείχη προστασίας του Palo Alto Networks χρησιμοποιούν λογική ζώνης κατά τη διαμόρφωση κανόνων δικτύου. Οι διεπαφές δικτύου εκχωρούνται σε μια συγκεκριμένη ζώνη και αυτή η ζώνη χρησιμοποιείται στους κανόνες κυκλοφορίας. Αυτή η προσέγγιση επιτρέπει στο μέλλον, κατά την αλλαγή των ρυθμίσεων διεπαφής, να μην αλλάζουν οι κανόνες κυκλοφορίας, αλλά αντίθετα να εκχωρούνται εκ νέου οι απαραίτητες διεπαφές στις κατάλληλες ζώνες. Από προεπιλογή, επιτρέπεται η κυκλοφορία εντός μιας ζώνης, η κυκλοφορία μεταξύ ζωνών απαγορεύεται, οι προκαθορισμένοι κανόνες είναι υπεύθυνοι για αυτό intrazone-default и interzone-default.
Εικόνα 5 – Ζώνες ασφαλείας
Σε αυτό το παράδειγμα, μια διεπαφή στο εσωτερικό δίκτυο έχει εκχωρηθεί στη ζώνη εσωτερικός, και η διεπαφή που βλέπει στο Διαδίκτυο εκχωρείται στη ζώνη εξωτερικός. Για SSL VPN, έχει δημιουργηθεί μια διεπαφή σήραγγας και έχει εκχωρηθεί στη ζώνη VPN (Εικ. 5).
Οι διεπαφές δικτύου του τείχους προστασίας Palo Alto Networks μπορούν να λειτουργήσουν σε πέντε διαφορετικούς τρόπους λειτουργίας:
- Πατήστε – χρησιμοποιείται για τη συλλογή κίνησης για σκοπούς παρακολούθησης και ανάλυσης
- HA – χρησιμοποιείται για λειτουργία συμπλέγματος
- Εικονικό καλώδιο – σε αυτήν τη λειτουργία, τα δίκτυα Palo Alto συνδυάζουν δύο διεπαφές και μεταβιβάζουν με διαφάνεια την κίνηση μεταξύ τους χωρίς να αλλάζουν διευθύνσεις MAC και IP
- Layer2 – διακόπτης λειτουργίας
- Layer3 – λειτουργία δρομολογητή
Εικόνα 6 – Ρύθμιση του τρόπου λειτουργίας της διεπαφής
Σε αυτό το παράδειγμα, θα χρησιμοποιηθεί η λειτουργία Layer3 (Εικ. 6). Οι παράμετροι της διεπαφής δικτύου υποδεικνύουν τη διεύθυνση IP, τον τρόπο λειτουργίας και την αντίστοιχη ζώνη ασφαλείας. Εκτός από τον τρόπο λειτουργίας της διεπαφής, πρέπει να την αντιστοιχίσετε στον εικονικό δρομολογητή Virtual Router, αυτό είναι ένα ανάλογο μιας παρουσίας VRF στα δίκτυα Palo Alto. Οι εικονικοί δρομολογητές είναι απομονωμένοι μεταξύ τους και έχουν τους δικούς τους πίνακες δρομολόγησης και ρυθμίσεις πρωτοκόλλου δικτύου.
Οι ρυθμίσεις εικονικού δρομολογητή καθορίζουν στατικές διαδρομές και ρυθμίσεις πρωτοκόλλου δρομολόγησης. Σε αυτό το παράδειγμα, έχει δημιουργηθεί μόνο μια προεπιλεγμένη διαδρομή για πρόσβαση σε εξωτερικά δίκτυα (Εικ. 7).
Εικόνα 7 – Ρύθμιση εικονικού δρομολογητή
Το επόμενο στάδιο διαμόρφωσης είναι οι πολιτικές κυκλοφορίας, ενότητα Πολιτικές -> Ασφάλεια. Ένα παράδειγμα διαμόρφωσης φαίνεται στο Σχήμα 8. Η λογική των κανόνων είναι η ίδια όπως για όλα τα τείχη προστασίας. Οι κανόνες ελέγχονται από πάνω προς τα κάτω, μέχρι τον πρώτο αγώνα. Σύντομη περιγραφή των κανόνων:
1. Πρόσβαση SSL VPN στην Πύλη Web. Επιτρέπει την πρόσβαση στην πύλη Ιστού για τον έλεγχο ταυτότητας απομακρυσμένων συνδέσεων
2. Κυκλοφορία VPN – που επιτρέπει την κυκλοφορία μεταξύ απομακρυσμένων συνδέσεων και των κεντρικών γραφείων
3. Βασικό Διαδίκτυο – επιτρέποντας εφαρμογές dns, ping, traceroute, ntp. Το τείχος προστασίας επιτρέπει εφαρμογές που βασίζονται σε υπογραφές, αποκωδικοποίηση και ευρετικές μεθόδους αντί για αριθμούς θυρών και πρωτόκολλα, γι' αυτό η ενότητα Service αναφέρει την προεπιλογή εφαρμογής. Προεπιλεγμένη θύρα/πρωτόκολλο για αυτήν την εφαρμογή
4. Πρόσβαση στον Ιστό – που επιτρέπει την πρόσβαση στο Διαδίκτυο μέσω πρωτοκόλλων HTTP και HTTPS χωρίς έλεγχο εφαρμογής
5,6. Προεπιλεγμένοι κανόνες για άλλη κίνηση.
Εικόνα 8 — Παράδειγμα ρύθμισης κανόνων δικτύου
Για να διαμορφώσετε το NAT, χρησιμοποιήστε την ενότητα Πολιτικές -> ΝΑΤ. Ένα παράδειγμα διαμόρφωσης NAT φαίνεται στο Σχήμα 9.
Εικόνα 9 – Παράδειγμα διαμόρφωσης NAT
Για οποιαδήποτε κίνηση από εσωτερική σε εξωτερική, μπορείτε να αλλάξετε τη διεύθυνση πηγής στην εξωτερική διεύθυνση IP του τείχους προστασίας και να χρησιμοποιήσετε μια διεύθυνση δυναμικής θύρας (PAT).
4. Διαμόρφωση του προφίλ ελέγχου ταυτότητας LDAP και της λειτουργίας αναγνώρισης χρήστη
Πριν συνδέσετε χρήστες μέσω SSL-VPN, πρέπει να διαμορφώσετε έναν μηχανισμό ελέγχου ταυτότητας. Σε αυτό το παράδειγμα, ο έλεγχος ταυτότητας θα πραγματοποιηθεί στον ελεγκτή τομέα Active Directory μέσω της διεπαφής ιστού του Palo Alto Networks.
Εικόνα 10 – Προφίλ LDAP
Για να λειτουργήσει ο έλεγχος ταυτότητας, πρέπει να ρυθμίσετε τις παραμέτρους Προφίλ LDAP и Προφίλ ελέγχου ταυτότητας. Στο τμήμα Συσκευή -> Προφίλ διακομιστή -> LDAP (Εικ. 10) πρέπει να καθορίσετε τη διεύθυνση IP και τη θύρα του ελεγκτή τομέα, τον τύπο LDAP και τον λογαριασμό χρήστη που περιλαμβάνονται στις ομάδες Διακομιστές Διακομιστών, Αναγνώστες αρχείων καταγραφής συμβάντων, Κατανεμημένοι χρήστες COM. Στη συνέχεια στην ενότητα Συσκευή -> Προφίλ ελέγχου ταυτότητας δημιουργήστε ένα προφίλ ελέγχου ταυτότητας (Εικ. 11), σημειώστε το προφίλ που δημιουργήθηκε προηγουμένως Προφίλ LDAP και στην καρτέλα Advanced υποδεικνύουμε την ομάδα χρηστών (Εικ. 12) στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση. Είναι σημαντικό να σημειώσετε την παράμετρο στο προφίλ σας Τομέας χρήστη, διαφορετικά η εξουσιοδότηση βάσει ομάδας δεν θα λειτουργήσει. Το πεδίο πρέπει να υποδεικνύει το όνομα τομέα NetBIOS.
Εικόνα 11 – Προφίλ ελέγχου ταυτότητας
Εικόνα 12 – Επιλογή ομάδας AD
Το επόμενο στάδιο είναι η ρύθμιση Συσκευή -> Αναγνώριση χρήστη. Εδώ πρέπει να καθορίσετε τη διεύθυνση IP του ελεγκτή τομέα, τα διαπιστευτήρια σύνδεσης και επίσης να διαμορφώσετε τις ρυθμίσεις Ενεργοποίηση αρχείου καταγραφής ασφαλείας, Ενεργοποίηση συνεδρίας, Ενεργοποίηση ανίχνευσης (Εικ. 13). Στο κεφάλαιο Ομαδική χαρτογράφηση (Εικ. 14) πρέπει να σημειώσετε τις παραμέτρους για την αναγνώριση αντικειμένων στο LDAP και τη λίστα των ομάδων που θα χρησιμοποιηθούν για εξουσιοδότηση. Ακριβώς όπως στο Προφίλ ελέγχου ταυτότητας, εδώ πρέπει να ορίσετε την παράμετρο User Domain.
Εικόνα 13 – Παράμετροι χαρτογράφησης χρήστη
Εικόνα 14 – Παράμετροι αντιστοίχισης ομάδας
Το τελευταίο βήμα σε αυτή τη φάση είναι να δημιουργήσετε μια ζώνη VPN και μια διεπαφή για αυτήν τη ζώνη. Πρέπει να ενεργοποιήσετε την επιλογή στη διεπαφή Ενεργοποίηση αναγνώρισης χρήστη (Εικ. 15).
Εικόνα 15 – Ρύθμιση ζώνης VPN
5. Ρύθμιση SSL VPN
Πριν συνδεθείτε σε ένα SSL VPN, ο απομακρυσμένος χρήστης πρέπει να μεταβεί στην πύλη web, να ελέγξει την ταυτότητα και να πραγματοποιήσει λήψη του προγράμματος-πελάτη Global Protect. Στη συνέχεια, αυτός ο πελάτης θα ζητήσει διαπιστευτήρια και θα συνδεθεί στο εταιρικό δίκτυο. Η διαδικτυακή πύλη λειτουργεί σε λειτουργία https και, κατά συνέπεια, πρέπει να εγκαταστήσετε ένα πιστοποιητικό για αυτήν. Χρησιμοποιήστε ένα δημόσιο πιστοποιητικό εάν είναι δυνατόν. Τότε ο χρήστης δεν θα λάβει προειδοποίηση σχετικά με την ακυρότητα του πιστοποιητικού στον ιστότοπο. Εάν δεν είναι δυνατή η χρήση δημόσιου πιστοποιητικού, τότε πρέπει να εκδώσετε το δικό σας, το οποίο θα χρησιμοποιηθεί στην ιστοσελίδα για https. Μπορεί να υπογραφεί ή να εκδοθεί μέσω τοπικής αρχής έκδοσης πιστοποιητικών. Ο απομακρυσμένος υπολογιστής πρέπει να διαθέτει πιστοποιητικό ρίζας ή αυτο-υπογεγραμμένο στη λίστα των αξιόπιστων αρχών ρίζας, έτσι ώστε ο χρήστης να μην λαμβάνει σφάλμα κατά τη σύνδεση στην πύλη web. Αυτό το παράδειγμα θα χρησιμοποιεί ένα πιστοποιητικό που έχει εκδοθεί μέσω των Υπηρεσιών πιστοποιητικών Active Directory.
Για να εκδώσετε ένα πιστοποιητικό, πρέπει να δημιουργήσετε ένα αίτημα πιστοποιητικού στην ενότητα Συσκευή -> Διαχείριση πιστοποιητικών -> Πιστοποιητικά -> Δημιουργία. Στο αίτημα υποδεικνύουμε το όνομα του πιστοποιητικού και τη διεύθυνση IP ή FQDN της διαδικτυακής πύλης (Εικ. 16). Αφού δημιουργήσετε το αίτημα, πραγματοποιήστε λήψη .csr αρχείο και αντιγράψτε τα περιεχόμενά του στο πεδίο αίτησης πιστοποιητικού στη φόρμα web Εγγραφή AD CS Web. Ανάλογα με τον τρόπο διαμόρφωσης της αρχής έκδοσης πιστοποιητικών, το αίτημα πιστοποιητικού πρέπει να εγκριθεί και το εκδοθέν πιστοποιητικό πρέπει να ληφθεί στη μορφή Κωδικοποιημένο πιστοποιητικό Base64. Επιπλέον, πρέπει να κάνετε λήψη του πιστοποιητικού ρίζας της αρχής πιστοποίησης. Στη συνέχεια, πρέπει να εισαγάγετε και τα δύο πιστοποιητικά στο τείχος προστασίας. Κατά την εισαγωγή ενός πιστοποιητικού για μια πύλη web, πρέπει να επιλέξετε το αίτημα σε κατάσταση εκκρεμότητας και να κάνετε κλικ στην εισαγωγή. Το όνομα του πιστοποιητικού πρέπει να ταιριάζει με το όνομα που καθορίστηκε νωρίτερα στο αίτημα. Το όνομα του ριζικού πιστοποιητικού μπορεί να καθοριστεί αυθαίρετα. Μετά την εισαγωγή του πιστοποιητικού, πρέπει να δημιουργήσετε Προφίλ υπηρεσίας SSL/TLS τμήμα Συσκευή -> Διαχείριση πιστοποιητικών. Στο προφίλ υποδεικνύουμε το πιστοποιητικό που εισήχθη προηγουμένως.
Εικόνα 16 – Αίτημα πιστοποιητικού
Το επόμενο βήμα είναι η ρύθμιση αντικειμένων Global Protect Gateway и Πύλη Global Protect τμήμα Network -> Global Protect. Στις ρυθμίσεις Global Protect Gateway υποδεικνύουν την εξωτερική διεύθυνση IP του τείχους προστασίας, καθώς και την προηγούμενη διεύθυνση Προφίλ SSL, Προφίλ ελέγχου ταυτότητας, διεπαφή σήραγγας και ρυθμίσεις IP πελάτη. Πρέπει να καθορίσετε μια ομάδα διευθύνσεων IP από την οποία θα εκχωρηθεί η διεύθυνση στον πελάτη και Διαδρομή πρόσβασης - αυτά είναι τα υποδίκτυα στα οποία ο πελάτης θα έχει μια διαδρομή. Εάν η εργασία είναι να τυλίξετε όλη την κίνηση των χρηστών μέσω ενός τείχους προστασίας, τότε πρέπει να καθορίσετε το υποδίκτυο 0.0.0.0/0 (Εικ. 17).
Εικόνα 17 – Διαμόρφωση μιας ομάδας διευθύνσεων IP και διαδρομών
Στη συνέχεια, πρέπει να ρυθμίσετε τις παραμέτρους Πύλη Global Protect. Καθορίστε τη διεύθυνση IP του τείχους προστασίας, Προφίλ SSL и Προφίλ ελέγχου ταυτότητας και μια λίστα εξωτερικών διευθύνσεων IP των τείχη προστασίας στα οποία θα συνδεθεί ο πελάτης. Εάν υπάρχουν πολλά τείχη προστασίας, μπορείτε να ορίσετε μια προτεραιότητα για καθένα, σύμφωνα με την οποία οι χρήστες θα επιλέξουν ένα τείχος προστασίας για σύνδεση.
Στο τμήμα Συσκευή -> GlobalProtect Client πρέπει να κάνετε λήψη της διανομής πελάτη VPN από τους διακομιστές της Palo Alto Networks και να την ενεργοποιήσετε. Για να συνδεθείτε, ο χρήστης πρέπει να μεταβεί στην ιστοσελίδα της πύλης, όπου θα του ζητηθεί να πραγματοποιήσει λήψη Πελάτης GlobalProtect. Μετά τη λήψη και την εγκατάσταση, μπορείτε να εισαγάγετε τα διαπιστευτήριά σας και να συνδεθείτε στο εταιρικό σας δίκτυο μέσω SSL VPN.
Συμπέρασμα
Αυτό ολοκληρώνει το τμήμα Palo Alto Networks της εγκατάστασης. Ελπίζουμε ότι οι πληροφορίες ήταν χρήσιμες και ο αναγνώστης απέκτησε κατανόηση των τεχνολογιών που χρησιμοποιούνται στο Palo Alto Networks. Εάν έχετε ερωτήσεις σχετικά με τη ρύθμιση και προτάσεις για θέματα για μελλοντικά άρθρα, γράψτε τα στα σχόλια, θα χαρούμε να απαντήσουμε.
Πηγή: www.habr.com