علیرغم تمام مزایای فایروالهای Palo Alto Networks، مطالب زیادی در RuNet در مورد راهاندازی این دستگاهها و همچنین متنهایی که تجربه پیادهسازی آنها را توصیف میکنند، وجود ندارد. ما تصمیم گرفتیم مطالبی را که در طول کار با تجهیزات این فروشنده جمع آوری کرده ایم خلاصه کنیم و در مورد ویژگی هایی که در اجرای پروژه های مختلف با آن مواجه شده ایم صحبت کنیم.
برای معرفی شبکه های Palo Alto، این مقاله به پیکربندی مورد نیاز برای حل یکی از رایج ترین مشکلات فایروال - SSL VPN برای دسترسی از راه دور می پردازد. همچنین در مورد توابع کاربردی برای پیکربندی کلی فایروال، شناسایی کاربر، برنامهها و سیاستهای امنیتی صحبت خواهیم کرد. اگر موضوع مورد علاقه خوانندگان باشد، در آینده مطالبی را منتشر خواهیم کرد که آنالیز VPN سایت به سایت، مسیریابی پویا و مدیریت متمرکز با استفاده از پانوراما است.
فایروال های Palo Alto Networks از تعدادی فناوری نوآورانه از جمله App-ID، User-ID، Content-ID استفاده می کنند. استفاده از این قابلیت به شما امکان می دهد تا از سطح بالایی از امنیت اطمینان حاصل کنید. به عنوان مثال، با App-ID می توان ترافیک برنامه را بر اساس امضا، رمزگشایی و اکتشافی، بدون توجه به پورت و پروتکل مورد استفاده، از جمله در داخل یک تونل SSL، شناسایی کرد. User-ID به شما امکان می دهد تا کاربران شبکه را از طریق یکپارچه سازی LDAP شناسایی کنید. Content-ID امکان اسکن ترافیک و شناسایی فایل های ارسالی و محتویات آنها را فراهم می کند. سایر عملکردهای فایروال شامل حفاظت از نفوذ، محافظت در برابر آسیب پذیری ها و حملات DoS، ضد جاسوس افزار داخلی، فیلتر URL، خوشه بندی و مدیریت متمرکز است.
برای نمایش، ما از یک پایه جدا شده، با پیکربندی مشابه با واقعی استفاده خواهیم کرد، به استثنای نام دستگاه، نام دامنه AD و آدرس های IP. در واقعیت، همه چیز پیچیده تر است - می تواند شاخه های زیادی وجود داشته باشد. در این حالت به جای یک فایروال واحد، یک کلاستر در مرزهای سایت های مرکزی نصب می شود و ممکن است به مسیریابی پویا نیز نیاز باشد.
روی پایه استفاده می شود PAN-OS 7.1.9. به عنوان یک پیکربندی معمولی، یک شبکه با فایروال Palo Alto Networks در لبه در نظر بگیرید. فایروال دسترسی از راه دور SSL VPN را به دفتر مرکزی فراهم می کند. دامنه Active Directory به عنوان پایگاه داده کاربر استفاده خواهد شد (شکل 1).
شکل 1 - دیاگرام بلوک شبکه
مراحل راه اندازی:
- پیش پیکربندی دستگاه تنظیم نام، آدرس IP مدیریت، مسیرهای ثابت، حسابهای سرپرست، پروفایلهای مدیریت
- نصب مجوزها، پیکربندی و نصب به روز رسانی
- پیکربندی مناطق امنیتی، رابط های شبکه، سیاست های ترافیک، ترجمه آدرس
- پیکربندی نمایه احراز هویت LDAP و ویژگی شناسایی کاربر
- راه اندازی SSL VPN
1. از پیش تعیین شده
ابزار اصلی برای پیکربندی فایروال Palo Alto Networks رابط وب است؛ مدیریت از طریق CLI نیز امکان پذیر است. به طور پیش فرض، رابط مدیریت روی آدرس IP 192.168.1.1/24، ورود: admin، رمز عبور: admin تنظیم شده است.
می توانید آدرس را با اتصال به رابط وب از همان شبکه یا با استفاده از دستور تغییر دهید تنظیم دستگاه پیکربندی سیستم آدرس IP <> netmask <>. در حالت پیکربندی انجام می شود. برای تغییر به حالت پیکربندی، از دستور استفاده کنید پیکربندی. تمام تغییرات روی فایروال تنها پس از تایید تنظیمات توسط دستور انجام می شود مرتکب شدن، هم در حالت خط فرمان و هم در رابط وب.
برای تغییر تنظیمات در رابط وب، از بخش استفاده کنید دستگاه -> تنظیمات عمومی و دستگاه -> تنظیمات رابط مدیریت. نام، بنرها، منطقه زمانی و سایر تنظیمات را می توان در قسمت تنظیمات عمومی تنظیم کرد (شکل 2).
شکل 2 - پارامترهای رابط مدیریت
اگر از فایروال مجازی در محیط ESXi استفاده می کنید، در بخش تنظیمات عمومی باید استفاده از آدرس MAC اختصاص داده شده توسط هایپروایزر را فعال کنید، یا آدرس های MAC مشخص شده بر روی رابط های فایروال در هایپروایزر را پیکربندی کنید، یا تنظیمات را تغییر دهید. سوئیچ های مجازی اجازه می دهد تا MAC آدرس ها را تغییر دهد. در غیر این صورت ترافیک عبور نخواهد کرد.
رابط مدیریت به طور جداگانه پیکربندی شده است و در لیست رابط های شبکه نمایش داده نمی شود. در فصل تنظیمات رابط مدیریت دروازه پیش فرض را برای رابط مدیریت مشخص می کند. سایر مسیرهای استاتیک در بخش روترهای مجازی پیکربندی شدهاند؛ این موضوع بعداً مورد بحث قرار خواهد گرفت.
برای اجازه دسترسی به دستگاه از طریق رابط های دیگر، باید یک نمایه مدیریت ایجاد کنید مشخصات مدیریت بخش Network -> Network Profiles -> Interface Mgmt و آن را به رابط مناسب اختصاص دهید.
در مرحله بعد، باید DNS و NTP را در بخش پیکربندی کنید دستگاه -> خدمات برای دریافت به روز رسانی ها و نمایش صحیح زمان (شکل 3). به طور پیش فرض، تمام ترافیک تولید شده توسط فایروال از آدرس IP رابط مدیریت به عنوان آدرس IP منبع خود استفاده می کند. شما می توانید برای هر سرویس خاص در بخش، یک رابط متفاوت اختصاص دهید پیکربندی مسیر خدمات.
شکل 3 - پارامترهای سرویس DNS، NTP و مسیرهای سیستم
2. نصب لایسنس ها، راه اندازی و نصب آپدیت ها
برای عملکرد کامل تمام عملکردهای فایروال، باید مجوز نصب کنید. شما می توانید با درخواست از شرکای Palo Alto Networks از مجوز آزمایشی استفاده کنید. مدت اعتبار آن 30 روز است. مجوز یا از طریق یک فایل یا با استفاده از Auth-Code فعال می شود. مجوزها در بخش پیکربندی می شوند دستگاه -> مجوزها (شکل 4).
پس از نصب لایسنس، باید نصب آپدیت ها را در قسمت پیکربندی کنید دستگاه -> به روز رسانی های پویا.
در بخش دستگاه -> نرم افزار می توانید نسخه های جدید PAN-OS را دانلود و نصب کنید.
شکل 4 - کنترل پنل مجوز
3. پیکربندی مناطق امنیتی، رابط های شبکه، سیاست های ترافیک، ترجمه آدرس
فایروال های Palo Alto Networks از منطق منطقه هنگام پیکربندی قوانین شبکه استفاده می کنند. رابط های شبکه به یک منطقه خاص اختصاص داده می شوند و این منطقه در قوانین ترافیکی استفاده می شود. این رویکرد اجازه می دهد تا در آینده، هنگام تغییر تنظیمات رابط، قوانین ترافیک را تغییر ندهید، بلکه به جای آن، رابط های لازم را مجدداً به مناطق مناسب اختصاص دهید. به طور پیش فرض، تردد در یک منطقه مجاز است، تردد بین مناطق ممنوع است، قوانین از پیش تعریف شده مسئول این هستند. intrazone-default и interzone-default.
شکل 5 - مناطق ایمنی
در این مثال، یک رابط در شبکه داخلی به منطقه اختصاص داده شده است داخلی، و رابط رو به اینترنت به منطقه اختصاص داده می شود خارجی. برای SSL VPN، یک رابط تونل ایجاد شده و به منطقه اختصاص داده شده است شبکه اختصاصی مجازی (شکل 5).
رابط های شبکه دیوار آتش Palo Alto Networks می توانند در پنج حالت مختلف کار کنند:
- شیر - برای جمع آوری ترافیک برای اهداف نظارت و تجزیه و تحلیل استفاده می شود
- HA - برای عملیات خوشه ای استفاده می شود
- سیم مجازی – در این حالت، Palo Alto Networks دو اینترفیس را با هم ترکیب می کند و بدون تغییر آدرس های MAC و IP، ترافیک را به صورت شفاف بین آنها منتقل می کند.
- Layer2 - حالت سوئیچ
- Layer3 - حالت روتر
شکل 6 - تنظیم حالت عملکرد رابط
در این مثال از حالت Layer3 استفاده خواهد شد (شکل 6). پارامترهای رابط شبکه نشان دهنده آدرس IP، حالت عملیاتی و منطقه امنیتی مربوطه است. علاوه بر حالت عملکرد رابط، باید آن را به روتر مجازی Virtual Router اختصاص دهید، این آنالوگ یک نمونه VRF در شبکه های Palo Alto است. روترهای مجازی از یکدیگر جدا هستند و جداول مسیریابی و تنظیمات پروتکل شبکه خود را دارند.
تنظیمات روتر مجازی مسیرهای ثابت و تنظیمات پروتکل مسیریابی را مشخص می کند. در این مثال، فقط یک مسیر پیش فرض برای دسترسی به شبکه های خارجی ایجاد شده است (شکل 7).
شکل 7 - راه اندازی یک روتر مجازی
مرحله بعدی پیکربندی، بخش سیاست های ترافیکی است سیاست -> امنیت. یک مثال از پیکربندی در شکل 8 نشان داده شده است. منطق قوانین مانند تمام فایروال ها است. قوانین از بالا به پایین، تا اولین مسابقه بررسی می شوند. شرح مختصری از قوانین:
1. دسترسی SSL VPN به پورتال وب. دسترسی به پورتال وب برای احراز هویت اتصالات راه دور را می دهد
2. ترافیک VPN – امکان ترافیک بین اتصالات راه دور و دفتر مرکزی
3. اینترنت اولیه – اجازه دادن به برنامه های dns، ping، traceroute، ntp. فایروال به برنامه های کاربردی بر اساس امضا، رمزگشایی و اکتشافی اجازه می دهد تا شماره پورت ها و پروتکل ها، به همین دلیل است که بخش Service می گوید برنامه-default. پورت/پروتکل پیش فرض برای این برنامه
4. دسترسی به وب – امکان دسترسی به اینترنت از طریق پروتکل های HTTP و HTTPS بدون کنترل برنامه
5,6. قوانین پیش فرض برای سایر ترافیک ها
شکل 8 - مثالی از تنظیم قوانین شبکه
برای پیکربندی NAT، از بخش استفاده کنید سیاست ها -> NAT. نمونه ای از پیکربندی NAT در شکل 9 نشان داده شده است.
شکل 9 - نمونه ای از پیکربندی NAT
برای هر ترافیکی از داخلی به خارجی، می توانید آدرس منبع را به آدرس IP خارجی فایروال تغییر دهید و از یک آدرس پورت پویا (PAT) استفاده کنید.
4. پیکربندی نمایه احراز هویت LDAP و عملکرد شناسایی کاربر
قبل از اتصال کاربران از طریق SSL-VPN، باید مکانیزم احراز هویت را پیکربندی کنید. در این مثال، احراز هویت از طریق رابط وب Palo Alto Networks برای کنترل کننده دامنه Active Directory انجام می شود.
شکل 10 – نمایه LDAP
برای اینکه احراز هویت کار کند، باید پیکربندی کنید نمایه LDAP и نمایه احراز هویت. در بخش دستگاه -> پروفایل های سرور -> LDAP (شکل 10) باید آدرس IP و پورت کنترل کننده دامنه، نوع LDAP و حساب کاربری موجود در گروه ها را مشخص کنید. اپراتورهای سرور, خوانندگان گزارش رویداد, کاربران COM توزیع شده. سپس در بخش Device -> Authentication Profile یک نمایه احراز هویت ایجاد کنید (شکل 11)، نمایه ایجاد شده قبلی را علامت بزنید نمایه LDAP و در تب Advanced گروهی از کاربران را نشان می دهیم (شکل 12) که اجازه دسترسی از راه دور را دارند. توجه به پارامتر در نمایه خود مهم است دامنه کاربر، در غیر این صورت مجوز مبتنی بر گروه کار نخواهد کرد. فیلد باید نام دامنه NetBIOS را نشان دهد.
شکل 11 - نمایه احراز هویت
شکل 12 - انتخاب گروه AD
مرحله بعدی راه اندازی است دستگاه -> شناسایی کاربر. در اینجا باید آدرس IP کنترل کننده دامنه، اعتبار اتصال و همچنین تنظیمات را پیکربندی کنید. گزارش امنیتی را فعال کنید, Session را فعال کنید, Probing را فعال کنید (شکل 13). در فصل نقشه برداری گروهی (شکل 14) باید پارامترهای شناسایی اشیاء در LDAP و لیست گروه هایی که برای مجوز استفاده می شوند را یادداشت کنید. درست مانند نمایه احراز هویت، در اینجا نیز باید پارامتر دامنه کاربر را تنظیم کنید.
شکل 13 - پارامترهای نقشه برداری کاربر
شکل 14 - پارامترهای نقشه برداری گروهی
آخرین مرحله در این مرحله ایجاد یک منطقه VPN و یک رابط برای آن منطقه است. شما باید گزینه را در رابط فعال کنید شناسایی کاربر را فعال کنید (شکل 15).
شکل 15 - راه اندازی یک منطقه VPN
5. راه اندازی SSL VPN
قبل از اتصال به یک SSL VPN، کاربر راه دور باید به پورتال وب رفته، احراز هویت و دانلود کلاینت Global Protect را دریافت کند. در مرحله بعد، این کلاینت درخواست اعتبار می کند و به شبکه شرکت متصل می شود. پورتال وب در حالت https کار می کند و بر این اساس، باید یک گواهی برای آن نصب کنید. در صورت امکان از گواهی عمومی استفاده کنید. سپس کاربر اخطاری در مورد بی اعتباری گواهی در سایت دریافت نخواهد کرد. اگر امکان استفاده از گواهی عمومی وجود ندارد، باید گواهینامه خود را صادر کنید که در صفحه وب برای https استفاده می شود. می توان آن را امضا کرد یا از طریق یک مرجع گواهی محلی صادر کرد. رایانه راه دور باید دارای گواهی ریشه یا خودامضا در لیست مقامات ریشه قابل اعتماد باشد تا کاربر هنگام اتصال به پورتال وب خطایی دریافت نکند. این مثال از گواهی صادر شده از طریق Active Directory Certificate Services استفاده می کند.
برای صدور گواهی، باید در قسمت درخواست گواهی ایجاد کنید دستگاه -> مدیریت گواهی -> گواهینامه ها -> ایجاد. در درخواست ما نام گواهی و آدرس IP یا FQDN پورتال وب را نشان می دهیم (شکل 16). پس از ایجاد درخواست، دانلود کنید .csr فایل و محتوای آن را در قسمت درخواست گواهی در فرم وب AD CS Web Enrollment کپی کنید. بسته به نحوه پیکربندی مرجع گواهی، درخواست گواهی باید تایید شود و گواهی صادر شده باید در قالب دانلود شود. گواهی کدگذاری شده Base64. علاوه بر این، باید گواهی ریشه مرجع صدور گواهینامه را دانلود کنید. سپس باید هر دو گواهی را به فایروال وارد کنید. هنگام وارد کردن گواهی برای یک پورتال وب، باید درخواست را در وضعیت معلق انتخاب کنید و روی واردات کلیک کنید. نام گواهی باید با نام مشخص شده قبلی در درخواست مطابقت داشته باشد. نام گواهی ریشه را می توان خودسرانه مشخص کرد. پس از وارد کردن گواهی، باید ایجاد کنید نمایه سرویس SSL/TLS بخش دستگاه -> مدیریت گواهی. در نمایه گواهی واردات قبلی را نشان می دهیم.
شکل 16 - درخواست گواهی
مرحله بعدی تنظیم اشیا است دروازه حفاظت جهانی и پرتال حفاظت جهانی بخش Network -> Global Protect... در تنظیمات دروازه حفاظت جهانی آدرس IP خارجی فایروال و همچنین ایجاد شده قبلی را نشان می دهد نمایه SSL, نمایه احراز هویت، رابط تونل و تنظیمات IP مشتری. شما باید مجموعه ای از آدرس های IP را مشخص کنید که از آن آدرس به مشتری اختصاص داده می شود، و مسیر دسترسی - اینها زیرشبکه هایی هستند که کلاینت مسیری برای آنها خواهد داشت. اگر وظیفه قرار دادن تمام ترافیک کاربر از طریق فایروال است، باید زیرشبکه 0.0.0.0/0 را مشخص کنید (شکل 17).
شکل 17 - پیکربندی مجموعه ای از آدرس های IP و مسیرها
سپس باید پیکربندی کنید پرتال حفاظت جهانی. آدرس IP فایروال را مشخص کنید، نمایه SSL и نمایه احراز هویت و لیستی از آدرس های IP خارجی فایروال هایی که مشتری به آنها متصل می شود. اگر چندین فایروال وجود دارد، می توانید برای هر کدام یک اولویت تعیین کنید که بر اساس آن، کاربران یک فایروال را برای اتصال انتخاب می کنند.
در بخش Device -> GlobalProtect Client شما باید توزیع مشتری VPN را از سرورهای Palo Alto Networks دانلود کرده و آن را فعال کنید. برای اتصال، کاربر باید به صفحه وب پورتال مراجعه کند، جایی که از او خواسته می شود دانلود کند مشتری GlobalProtect. پس از دانلود و نصب، می توانید اطلاعات کاربری خود را وارد کرده و از طریق SSL VPN به شبکه شرکت خود متصل شوید.
نتیجه
این قسمت Palo Alto Networks از راه اندازی را تکمیل می کند. امیدواریم اطلاعات مفید بوده باشد و خواننده به درک درستی از فناوریهای مورد استفاده در شبکههای پالو آلتو دست یابد. اگر سؤالی در مورد راه اندازی و پیشنهاداتی در مورد موضوعات برای مقالات بعدی دارید، آنها را در نظرات بنویسید، ما خوشحال خواهیم شد که پاسخ دهیم.
منبع: www.habr.com