Malgraŭ ĉiuj avantaĝoj de fajroŝirmiloj de Palo Alto Networks, ekzistas ne multe da materialo en la RuNet pri agordo de ĉi tiuj aparatoj, same kiel tekstoj priskribantaj la sperton de ilia efektivigo. Ni decidis resumi la materialojn, kiujn ni amasigis dum nia laboro kun la ekipaĵo de ĉi tiu vendisto kaj paroli pri la funkcioj, kiujn ni renkontis dum la efektivigo de diversaj projektoj.
Por prezenti vin al Palo Alto Networks, ĉi tiu artikolo rigardos la agordon necesan por solvi unu el la plej oftaj fajroŝirmilaj problemoj - SSL VPN por fora aliro. Ni ankaŭ parolos pri utilaj funkcioj por ĝenerala fajroŝirmila agordo, uzanta identigo, aplikoj kaj sekurecaj politikoj. Se la temo interesas legantojn, estonte ni liberigos materialojn analizantajn retejon al retejo VPN, dinamikan vojigon kaj centralizitan administradon uzante Panoramon.
Palo Alto Networks fajroŝirmiloj uzas kelkajn novigajn teknologiojn, inkluzive de App-ID, User-ID, Content-ID. La uzo de ĉi tiu funkcio permesas vin certigi altan nivelon de sekureco. Ekzemple, kun App-ID eblas identigi aplikan trafikon surbaze de subskriboj, malkodigo kaj heŭristiko, sendepende de la haveno kaj protokolo uzataj, inkluzive ene de SSL-tunelo. Uzanto-ID permesas vin identigi retajn uzantojn per LDAP-integriĝo. Content-ID ebligas skani trafikon kaj identigi transdonitajn dosierojn kaj ilian enhavon. Aliaj fajroŝirmilaj funkcioj inkluzivas entrudiĝan protekton, protekton kontraŭ vundeblecoj kaj DoS-atakoj, enkonstruitan kontraŭspionan programon, URL-filtradon, grupigon kaj centralizitan administradon.
Por la pruvo, ni uzos izolitan standon, kun agordo identa al la reala, escepte de aparataj nomoj, AD-domajna nomo kaj IP-adresoj. En realeco, ĉio estas pli komplika - povas esti multaj branĉoj. En ĉi tiu kazo, anstataŭ ununura fajroŝirmilo, areto estos instalita ĉe la limoj de centraj ejoj, kaj dinamika vojigo ankaŭ povas esti postulata.
Uzita sur la stando PAN-OS 7.1.9. Kiel tipan agordon, konsideru reton kun fajroŝirmilo de Palo Alto Networks ĉe la rando. La fajroŝirmilo disponigas malproksiman SSL VPN-aliron al la ĉefsidejo. La domajno de Active Directory estos uzata kiel uzantdatumbazo (Figuro 1).
Figuro 1 - Reta blokdiagramo
Agordaj paŝoj:
- Antaŭagordo de aparato. Agordo de la nomo, administrado de IP-adreso, senmovaj itineroj, administraj kontoj, administraj profiloj
- Instali licencojn, agordi kaj instali ĝisdatigojn
- Agordi sekurecajn zonojn, retajn interfacojn, trafikpolitikojn, adrestradukadon
- Agordi LDAP-Aŭtentikan Profilon kaj Uzantan Identigan Trajton
- Agordi SSL-VPN
1. Antaŭdifinita
La ĉefa ilo por agordi la fajroŝirmilon de Palo Alto Networks estas la retinterfaco; administrado per la CLI ankaŭ eblas. Defaŭlte, la administra interfaco estas agordita al IP-adreso 192.168.1.1/24, ensaluto: admin, pasvorto: admin.
Vi povas ŝanĝi la adreson aŭ konektante al la retinterfaco de la sama reto, aŭ uzante la komandon agordu deviceconfig sistemo ip-adreso <> retmasko <>. Ĝi estas farita en agorda reĝimo. Por ŝanĝi al agorda reĝimo, uzu la komandon agordi. Ĉiuj ŝanĝoj sur la fajroŝirmilo okazas nur post kiam la agordoj estas konfirmitaj per la komando fari, kaj en komandlinia reĝimo kaj en la retinterfaco.
Por ŝanĝi agordojn en la retinterfaco, uzu la sekcion Aparato -> Ĝeneralaj Agordoj kaj Aparato -> Administrada Interfaco Agordoj. La nomo, standardoj, horzono kaj aliaj agordoj povas esti agorditaj en la sekcio Ĝeneralaj Agordoj (Fig. 2).
Figuro 2 - Parametroj de administrado de interfaco
Se vi uzas virtualan fajroŝirmilon en ESXi-medio, en la sekcio Ĝeneralaj Agordoj vi devas ebligi la uzon de la MAC-adreso asignita de la hiperviziero, aŭ agordi la MAC-adresojn specifitajn sur la fajroŝirmilaj interfacoj sur la hiperviziero, aŭ ŝanĝi la agordojn de la virtualaj ŝaltiloj por permesi MAC ŝanĝas adresojn. Alie, trafiko ne trapasos.
La administrada interfaco estas agordita aparte kaj ne estas montrata en la listo de retaj interfacoj. En ĉapitro Agordoj pri Administra Interfaco specifas la defaŭltan enirejon por la administrada interfaco. Aliaj senmovaj itineroj estas agorditaj en la sekcio de virtualaj enkursigiloj; ĉi tio estos diskutita poste.
Por permesi aliron al la aparato per aliaj interfacoj, vi devas krei administradan profilon Administra Profilo sekcio Reto -> Retaj Profiloj -> Interfaco Gmt kaj asignu ĝin al la taŭga interfaco.
Poste, vi devas agordi DNS kaj NTP en la sekcio Aparato -> Servoj por ricevi ĝisdatigojn kaj ĝuste montri la horon (Fig. 3). Defaŭlte, la tuta trafiko generita de la fajroŝirmilo uzas la IP-adreson de administrada interfaco kiel sian fontan IP-adreson. Vi povas asigni malsaman interfacon por ĉiu specifa servo en la sekcio Serva Itinera Agordo.
Figuro 3 - Servaj parametroj de DNS, NTP kaj sistemaj itineroj
2. Instali permesilojn, instali kaj instali ĝisdatigojn
Por plena funkciado de ĉiuj fajroŝirmilaj funkcioj, vi devas instali permesilon. Vi povas uzi provan permesilon petante ĝin de partneroj de Palo Alto Networks. Ĝia valideco estas 30 tagoj. La permesilo estas aktivigita aŭ per dosiero aŭ uzante Auth-Code. Permesiloj estas agorditaj en la sekcio Aparato -> Permesiloj (fig. 4).
Post instalo de la permesilo, vi devas agordi la instaladon de ĝisdatigoj en la sekcio Aparato -> Dinamikaj Ĝisdatigoj.
sekcio Aparato -> Programaro vi povas elŝuti kaj instali novajn versiojn de PAN-OS.
Figuro 4 - Licenca kontrolpanelo
3. Agordi sekurecajn zonojn, retajn interfacojn, trafikajn politikojn, adrestradukadon
Palo Alto Networks fajroŝirmiloj uzas zonlogikon dum agordado de retaj reguloj. Retaj interfacoj estas asignitaj al specifa zono, kaj ĉi tiu zono estas uzata en trafikreguloj. Ĉi tiu aliro ebligas estonte, kiam oni ŝanĝas interfacajn agordojn, ne ŝanĝi la trafikregulojn, sed anstataŭe reasigni la necesajn interfacojn al la taŭgaj zonoj. Defaŭlte, trafiko ene de zono estas permesita, trafiko inter zonoj estas malpermesita, antaŭdifinitaj reguloj respondecas pri tio intrazono-defaŭlta и interzono-defaŭlta.
Figuro 5 - Sekurecaj zonoj
En ĉi tiu ekzemplo, interfaco sur la interna reto estas asignita al la zono interna, kaj la interfaco al la Interreto estas asignita al la zono ekstera. Por SSL VPN, tunela interfaco estis kreita kaj asignita al la zono VPN (fig. 5).
Palo Alto Networks firewall retinterfacoj povas funkcii en kvin malsamaj reĝimoj:
- frapeto – uzata por kolekti trafikon por monitorado kaj analizo
- HA – uzata por grapo-funkciado
- Virtuala Drato - en ĉi tiu reĝimo, Palo Alto Networks kombinas du interfacojn kaj travideble pasas trafikon inter ili sen ŝanĝi MAC kaj IP-adresojn
- Tavolo2 - ŝanĝreĝimo
- Tavolo3 - enkursigilo-reĝimo
Figuro 6 - Agordi la interfacan operacian reĝimon
En ĉi tiu ekzemplo, Layer3-reĝimo estos uzata (Fig. 6). La retaj interfaco-parametroj indikas la IP-adreson, operacian reĝimon kaj la respondan sekurecan zonon. Krom la operacia reĝimo de la interfaco, vi devas asigni ĝin al la virtuala enkursigilo de Virtuala Router, ĉi tio estas analogo de VRF-instanco en Palo Alto Networks. Virtualaj enkursigiloj estas izolitaj unu de la alia kaj havas siajn proprajn envojigtablojn kaj retajn protokolajn agordojn.
La agordoj de virtuala enkursigilo specifas senmovajn itinerojn kaj agordojn pri vojprotokolo. En ĉi tiu ekzemplo, nur defaŭlta itinero estis kreita por aliri eksterajn retojn (Fig. 7).
Figuro 7 - Agordo de virtuala enkursigilo
La sekva agorda etapo estas trafikaj politikoj, sekcio Politikoj -> Sekureco. Ekzemplo de agordo estas montrita en Figuro 8. La logiko de la reguloj estas la sama kiel por ĉiuj fajroŝirmiloj. La reguloj estas kontrolitaj de supre ĝis malsupre, malsupren ĝis la unua matĉo. Mallonga priskribo de la reguloj:
1. SSL VPN-Aliro al Reta Portalo. Permesas aliron al la retportalo por aŭtentikigi forajn konektojn
2. VPN-trafiko - permesante trafikon inter foraj konektoj kaj la ĉefsidejo
3. Baza Interreto - permesante dns, ping, traceroute, ntp aplikoj. La fajroŝirmilo permesas aplikojn bazitajn sur subskriboj, malkodado kaj heŭristiko prefere ol havenaj nombroj kaj protokoloj, tial la sekcio de Servo diras aplikaĵo-defaŭlta. Defaŭlta haveno/protokolo por ĉi tiu aplikaĵo
4. Reta Aliro - permesante Interretan aliron per HTTP kaj HTTPS protokoloj sen aplika kontrolo
5,6. Defaŭltaj reguloj por alia trafiko.
Figuro 8 — Ekzemplo de starigo de retaj reguloj
Por agordi NAT, uzu la sekcion Politikoj -> NAT. Ekzemplo de NAT-agordo estas montrita en Figuro 9.
Figuro 9 - Ekzemplo de NAT-agordo
Por iu ajn trafiko de interna al ekstera, vi povas ŝanĝi la fontadreson al la ekstera IP-adreso de la fajroŝirmilo kaj uzi dinamikan havenadreson (PAT).
4. Agordi LDAP-Aŭtentikig-Profilon kaj Uzantan Identigan Funkcion
Antaŭ ol konekti uzantojn per SSL-VPN, vi devas agordi aŭtentikan mekanismon. En ĉi tiu ekzemplo, aŭtentikigo okazos al la domajna regilo de Active Directory per la interfaco de Palo Alto Networks.
Figuro 10 - LDAP-profilo
Por ke aŭtentikigado funkciu, vi devas agordi LDAP Profilo и Aŭtentikiga Profilo. En la sekcio Aparato -> Servilaj Profiloj -> LDAP (Fig. 10) vi devas specifi la IP-adreson kaj havenon de la domajna regilo, LDAP-tipo kaj uzantkonto inkluzivita en la grupoj. Servilaj Operaciistoj, Event Log Legantoj, Distribuitaj COM-Uzantoj. Poste en la sekcio Aparato -> Aŭtentiga Profilo kreu aŭtentigan profilon (Fig. 11), marku la antaŭe kreitan LDAP Profilo kaj en la Altnivela langeto ni indikas la grupon de uzantoj (Fig. 12) kiuj rajtas foran aliron. Gravas noti la parametron en via profilo Uzanta Domajno, alie grup-bazita rajtigo ne funkcios. La kampo devas indiki la NetBIOS-domajnan nomon.
Figuro 11 - Aŭtentiga profilo
Figuro 12 - Elekto de AD-grupo
La sekva etapo estas aranĝo Aparato -> Uzanto-Identigo. Ĉi tie vi devas specifi la IP-adreson de la domajna regilo, konektilojn, kaj ankaŭ agordi agordojn Ebligu Sekurecan Protokolon, Ebligu Sesion, Ebligu Sondado (Fig. 13). En ĉapitro Grupo-Mapado (Fig. 14) vi devas noti la parametrojn por identigi objektojn en LDAP kaj la liston de grupoj, kiuj estos uzataj por rajtigo. Same kiel en la Aŭtentiga Profilo, ĉi tie vi devas agordi la parametron de Uzanto-Domajno.
Figuro 13 - Parametroj de Uzanto-Mapado
Figuro 14 - Parametroj de Grupo-Mapado
La lasta paŝo en ĉi tiu fazo estas krei VPN-zonon kaj interfacon por tiu zono. Vi devas ebligi la opcion sur la interfaco Ebligu Uzantan Identigon (fig. 15).
Figuro 15 - Agordo de VPN-zono
5. Agordi SSL VPN
Antaŭ ol konekti al SSL VPN, la fora uzanto devas iri al la retportalo, aŭtentikigi kaj elŝuti la Global Protect-klienton. Poste, ĉi tiu kliento petos akreditaĵojn kaj konektos al la kompania reto. La retportalo funkcias en https-reĝimo kaj, sekve, vi devas instali atestilon por ĝi. Uzu publikan atestilon se eble. Tiam la uzanto ne ricevos averton pri la nevalideco de la atestilo en la retejo. Se ne eblas uzi publikan atestilon, tiam vi devas elsendi vian propran, kiu estos uzata sur la retpaĝo por https. Ĝi povas esti memsubskribita aŭ eldonita per loka atestila aŭtoritato. La fora komputilo devas havi radikan aŭ memsubskribitan atestilon en la listo de fidindaj radikaj aŭtoritatoj, por ke la uzanto ne ricevu eraron kiam li konektas al la retportalo. Ĉi tiu ekzemplo uzos atestilon eldonitan per Active Directory Certificate Services.
Por eldoni atestilon, vi devas krei atestilpeton en la sekcio Aparato -> Atestila Administrado -> Atestiloj -> Generu. En la peto ni indikas la nomon de la atestilo kaj la IP-adreson aŭ FQDN de la retportalo (Fig. 16). Post generi la peton, elŝutu .csr dosieron kaj kopiu ĝian enhavon en la atestilpeton en la retformularo AD CS Web Enrollment. Depende de kiel la atestila aŭtoritato estas agordita, la atestilpeto devas esti aprobita kaj la eldonita atestilo devas esti elŝutita en la formato Base64 Kodita Atestilo. Aldone, vi devas elŝuti la radikan atestilon de la atestadaŭtoritato. Tiam vi devas importi ambaŭ atestilojn en la fajroŝirmilon. Kiam vi importas atestilon por retportalo, vi devas elekti la peton en la pritraktata stato kaj klaki importi. La atestilnomo devas kongrui kun la nomo specifita pli frue en la peto. La nomo de la radika atestilo povas esti specifita arbitre. Post importi la atestilon, vi devas krei SSL/TLS Serva Profilo sekcio Aparato -> Atestila Administrado. En la profilo ni indikas la antaŭe importitan atestilon.
Figuro 16 - Atestilpeto
La sekva paŝo estas agordi objektojn Tutmonda Protekta Enirejo и Tutmonda Protekta Portalo sekcio Reto -> Tutmonda Protekto... En agordoj Tutmonda Protekta Enirejo indiku la eksteran IP-adreson de la fajroŝirmilo, same kiel antaŭe kreitan SSL-Profilo, Aŭtentikiga Profilo, tunela interfaco kaj klienta IP-agordoj. Vi devas specifi aron da IP-adresoj de kiuj la adreso estos asignita al la kliento, kaj Alirvojo - ĉi tiuj estas la subretoj al kiuj la kliento havos itineron. Se la tasko estas envolvi la tutan uzanttrafikon per fajroŝirmilo, tiam vi devas specifi la subreton 0.0.0.0/0 (Fig. 17).
Figuro 17 - Agordante grupon de IP-adresoj kaj itineroj
Tiam vi devas agordi Tutmonda Protekta Portalo. Indiku la IP-adreson de la fajroŝirmilo, SSL-Profilo и Aŭtentikiga Profilo kaj listo de eksteraj IP-adresoj de fajroŝirmiloj al kiuj la kliento konektos. Se estas pluraj fajroŝirmiloj, vi povas agordi prioritaton por ĉiu, laŭ kiu uzantoj elektos fajroŝirmilon al kiu konektiĝi.
sekcio Aparato -> GlobalProtect Kliento vi devas elŝuti la VPN-klientan distribuon de la serviloj de Palo Alto Networks kaj aktivigi ĝin. Por konektiĝi, la uzanto devas iri al la portala retpaĝo, kie li estos petita elŝuti GlobalProtect Kliento. Fojo elŝutita kaj instalita, vi povas enigi viajn akreditaĵojn kaj konekti al via kompania reto per SSL VPN.
konkludo
Ĉi tio kompletigas la parton de Palo Alto Networks de la aranĝo. Ni esperas, ke la informoj estis utilaj kaj ke la leganto ekkomprenis la teknologiojn uzatajn ĉe Palo Alto Networks. Se vi havas demandojn pri aranĝo kaj sugestoj pri temoj por estontaj artikoloj, skribu ilin en la komentoj, ni volonte respondos.
fonto: www.habr.com