Nettsjinsteande alle foardielen fan Palo Alto Networks-firewalls, is d'r net folle materiaal op it RuNet oer it ynstellen fan dizze apparaten, lykas teksten dy't de ûnderfining fan har ymplemintaasje beskriuwe. Wy besletten om de materialen te gearfetsje dy't wy hawwe sammele tidens ús wurk mei de apparatuer fan dizze ferkeaper en te praten oer de funksjes dy't wy tsjinkamen tidens de útfiering fan ferskate projekten.
Om jo foar te stellen oan Palo Alto Networks, sil dit artikel sjen nei de konfiguraasje dy't nedich is om ien fan 'e meast foarkommende firewallproblemen op te lossen - SSL VPN foar tagong op ôfstân. Wy sille ek prate oer nutsfunksjes foar algemiene firewall-konfiguraasje, brûkersidentifikaasje, applikaasjes en feiligensbelied. As it ûnderwerp fan belang is foar lêzers, sille wy yn 'e takomst materialen frijlitte dy't Site-to-Site VPN analysearje, dynamyske routing en sintralisearre behear mei Panorama.
Palo Alto Networks firewalls brûke in oantal ynnovative technologyen, ynklusyf App-ID, User-ID, Content-ID. It brûken fan dizze funksjonaliteit lit jo soargje foar in heech nivo fan feiligens. Bygelyks, mei App-ID is it mooglik om applikaasjeferkear te identifisearjen basearre op hantekeningen, dekodearring en heuristyk, nettsjinsteande de brûkte haven en protokol, ynklusyf binnen in SSL-tunnel. User-ID lit jo netwurk brûkers identifisearje fia LDAP-yntegraasje. Content-ID makket it mooglik om ferkear te scannen en oerdroegen bestannen en har ynhâld te identifisearjen. Oare brânmuorrefunksjes omfetsje ynbraakbeskerming, beskerming tsjin kwetsberens en DoS-oanfallen, ynboude anty-spyware, URL-filtering, klustering en sintralisearre behear.
Foar de demonstraasje sille wy in isolearre stand brûke, mei in konfiguraasje identyk oan 'e echte, mei útsûndering fan apparaatnammen, AD-domeinnamme en IP-adressen. Yn werklikheid is alles yngewikkelder - d'r kinne in protte tûken wêze. Yn dit gefal, ynstee fan in inkele firewall, sil in kluster wurde ynstalleare oan 'e grinzen fan sintrale siden, en dynamyske routing kin ek ferplicht wurde.
Brûkt op 'e stand PAN-OS 7.1.9. As in typyske konfiguraasje, beskôgje in netwurk mei in Palo Alto Networks firewall oan 'e râne. De brânmuorre jout SSL VPN tagong op ôfstân ta it haadkantoar. It Active Directory-domein sil brûkt wurde as in brûkersdatabase (figuer 1).
figuer 1 - Netwurk blokdiagram
Setup stappen:
- Apparaat pre-konfiguraasje. It ynstellen fan de namme, behear IP-adres, statyske rûtes, administrator akkounts, behear profilen
- Ynstallearje lisinsjes, konfigurearje en ynstallearje updates
- Befeiligingssônes konfigurearje, netwurkynterfaces, ferkearsbelied, adresoersetting
- It konfigurearjen fan in LDAP-ferifikaasjeprofyl en funksje foar brûkersidentifikaasje
- In SSL VPN ynstelle
1. Foarynstelde
It haadark foar it konfigurearjen fan de Palo Alto Networks-firewall is de webynterface; behear fia de CLI is ek mooglik. Standert is de behearynterface ynsteld op IP-adres 192.168.1.1/24, login: admin, wachtwurd: admin.
Jo kinne it adres feroarje troch te ferbinen mei de webynterface fan itselde netwurk, of troch it kommando te brûken set deviceconfig systeem ip-adres <> netmasker <>. It wurdt útfierd yn konfiguraasje modus. Om te wikseljen nei konfiguraasjemodus, brûk it kommando Konfigurearret. Alle wizigingen op 'e firewall komme pas nei't de ynstellings binne befêstige troch it kommando bedriuwe, sawol yn kommandorigelmodus as yn 'e webynterface.
Om ynstellings yn 'e webynterface te feroarjen, brûk de seksje Apparaat -> Algemiene ynstellings en apparaat -> Ynstellings foar behearynterface. De namme, banners, tiidsône en oare ynstellings kinne ynsteld wurde yn 'e seksje Algemiene ynstellings (fig. 2).
figuer 2 - Behear ynterface parameters
As jo in firtuele brânmuorre brûke yn in ESXi-omjouwing, yn 'e seksje Algemiene ynstellings moatte jo it gebrûk fan it MAC-adres oanwiisd troch de hypervisor ynskeakelje, of de MAC-adressen konfigurearje oantsjutte op' e firewall-ynterfaces op 'e hypervisor, of de ynstellings fan 'e hypervisor feroarje. de firtuele skeakels om MAC-adressen te feroarjen. Oars komt it ferkear net troch.
De behearynterface is apart konfigurearre en wurdt net werjûn yn 'e list fan netwurkynterfaces. Yn haadstik Management Interface Ynstellings spesifisearret de standert poarte foar de behear ynterface. Oare statyske rûtes binne konfigureare yn 'e seksje firtuele routers; dit sil letter besprutsen wurde.
Om tagong te krijen ta it apparaat fia oare ynterfaces, moatte jo in behearprofyl oanmeitsje Management Profile section Netwurk -> Netwurkprofilen -> Interface Mgmt en tawize it oan de passende ynterface.
Folgjende moatte jo DNS en NTP ynstelle yn 'e seksje Apparaat -> Tsjinsten om updates te ûntfangen en de tiid korrekt te sjen (figuer 3). Standert brûkt alle ferkear oanmakke troch de brânmuorre it IP-adres fan de behearynterface as it boarne IP-adres. Jo kinne in oare ynterface tawize foar elke spesifike tsjinst yn 'e seksje Service Route konfiguraasje.
figuer 3 - DNS, NTP en systeem rûtes tsjinst parameters
2. Ynstallearje lisinsjes, opsetten en ynstallearjen updates
Foar folsleine wurking fan alle firewall funksjes, Jo moatte ynstallearje in lisinsje. Jo kinne in proeflisinsje brûke troch it oan te freegjen fan partners fan Palo Alto Networks. De jildigensperioade is 30 dagen. De lisinsje wurdt aktivearre fia in bestân of mei Auth-Code. Lisinsjes wurde konfigurearre yn de seksje Apparaat -> Lisinsjes (pic 4).
Nei it ynstallearjen fan de lisinsje moatte jo de ynstallaasje fan updates yn 'e seksje konfigurearje Apparaat -> Dynamyske fernijings.
section Apparaat -> Software jo kinne nije ferzjes fan PAN-OS downloade en ynstallearje.
figuer 4 - Lisinsje kontrôle paniel
3. Konfigurearje feiligens sônes, netwurk Schnittstellen, ferkear belied, adres oersetting
Firewalls fan Palo Alto Networks brûke sônelogika by it konfigurearjen fan netwurkregels. Netwurk ynterfaces wurde tawiisd oan in spesifike sône, en dizze sône wurdt brûkt yn ferkear regels. Dizze oanpak makket it mooglik om yn 'e takomst, by it feroarjen fan ynterface-ynstellingen, de ferkearsregels net te feroarjen, mar ynstee de nedige ynterfaces nei de passende sônes opnij tawize. Standert is ferkear binnen in sône tastien, ferkear tusken sônes is ferbean, foarôf definieare regels binne ferantwurdlik foar dit intrazone-standert и interzone-standert.
figuer 5 - Safety sônes
Yn dit foarbyld wurdt in ynterface op it ynterne netwurk tawiisd oan 'e sône yntern, en de ynterface foar it ynternet wurdt tawiisd oan 'e sône ekstern. Foar SSL VPN is in tunnelynterface makke en tawiisd oan 'e sône VPN (pic 5).
Palo Alto Networks firewall netwurkynterfaces kinne operearje yn fiif ferskillende modi:
- tap - brûkt om ferkear te sammeljen foar tafersjoch- en analysedoelen
- HA - brûkt foar kluster operaasje
- Firtuele Wire - yn dizze modus kombineart Palo Alto Networks twa ynterfaces en bringt it ferkear transparant troch sûnder MAC- en IP-adressen te feroarjen
- Laach2 - wikselje modus
- Laach3 - router modus
figuer 6 - Ynstelle fan de ynterface bestjoeringssysteem modus
Yn dit foarbyld sil Layer3 modus brûkt wurde (figuer 6). De parameters foar netwurkynterface jouwe it IP-adres, de bestjoeringsmodus en de byhearrende feiligenssône oan. Neist de bestjoeringsmodus fan 'e ynterface, moatte jo it tawize oan' e Virtual Router firtuele router, dit is in analoog fan in VRF-eksimplaar yn Palo Alto Networks. Firtuele routers binne isolearre fan elkoar en hawwe har eigen routingtabellen en netwurkprotokolynstellingen.
De firtuele routerynstellingen spesifisearje statyske rûtes en rûteprotokolynstellingen. Yn dit foarbyld is allinnich in standert rûte makke foar tagong ta eksterne netwurken (figuer 7).
Ofbylding 7 - In firtuele router ynstelle
De folgjende konfiguraasje poadium is ferkear belied, seksje Belied -> Feiligens. In foarbyld fan konfiguraasje wurdt werjûn yn figuer 8. De logika fan de regels is itselde as foar alle firewalls. De regels wurde kontrolearre fan boppen nei ûnderen, oant de earste wedstriid. Koarte beskriuwing fan 'e regels:
1. SSL VPN Tagong ta Web Portal. Jout tagong ta it webportaal om ferbiningen op ôfstân te autentisearjen
2. VPN ferkear - wêrtroch ferkear tusken ôfstân ferbinings en it haadkantoar
3. Basis Ynternet - tastean dns, ping, traceroute, ntp applikaasjes. De brânmuorre lit applikaasjes basearre op hantekeningen, dekodearjen en heuristyk yn stee fan poartenûmers en protokollen, en dat is de reden dat de Service-seksje seit applikaasje-standert. Standert poarte / protokol foar dizze applikaasje
4. Web Access - wêrtroch ynternet tagong fia HTTP en HTTPS protokollen sûnder applikaasje kontrôle
5,6. Standert regels foar oar ferkear.
Figuer 8 - Foarbyld fan it ynstellen fan netwurkregels
Om NAT te konfigurearjen, brûk de seksje Belied -> NAT. In foarbyld fan NAT-konfiguraasje wurdt werjûn yn figuer 9.
figuer 9 - Foarbyld fan NAT konfiguraasje
Foar elk ferkear fan ynterne nei eksterne kinne jo it boarneadres feroarje yn it eksterne IP-adres fan 'e brânmuorre en in dynamysk poarteadres (PAT) brûke.
4. It ynstellen fan LDAP Authentication Profile en User Identification Function
Foardat jo brûkers ferbine fia SSL-VPN, moatte jo in autentikaasjemeganisme ynstelle. Yn dit foarbyld sil autentikaasje foarkomme foar de Active Directory-domeinkontrôler fia de Palo Alto Networks-webynterface.
figuer 10 - LDAP profyl
Foar autentikaasje om te wurkjen, moatte jo konfigurearje LDAP profyl и Autentikaasjeprofyl... Yn haadstik Apparaat -> Tsjinnerprofilen -> LDAP (Fig. 10) jo moatte it IP-adres en de haven fan 'e domeinkontrôler, LDAP-type en brûkersakkount opjaan yn 'e groepen Server Operators, Event Log Readers, Ferspraat COM-brûkers. Dan yn 'e seksje Apparaat -> Autentikaasjeprofyl meitsje in autentikaasjeprofyl (figuer 11), markearje de earder makke LDAP profyl en yn 'e Avansearre ljepper jouwe wy de groep brûkers oan (figuer 12) dy't tagong op ôfstân tastien hawwe. It is wichtich om de parameter yn jo profyl te notearjen Brûkersdomein, oars op groep basearre autorisaasje sil net wurkje. It fjild moat de NetBIOS-domeinnamme oanjaan.
figuer 11 - Autentikaasjeprofyl
figuer 12 - AD groep seleksje
De folgjende poadium is opset Apparaat -> Brûkersidentifikaasje. Hjir moatte jo it IP-adres fan 'e domeinkontrôler opjaan, ferbiningsgegevens, en ek ynstellings konfigurearje Befeiligingslog ynskeakelje, Sesje ynskeakelje, Probing ynskeakelje (ôfb. 13). Yn haadstik Groep Mapping (Fig. 14) jo moatte note de parameters foar in identifisearje objekten yn LDAP en de list fan groepen dy't brûkt wurde foar autorisaasje. Krekt as yn it Authentication Profile, hjir moatte jo de User Domain parameter ynstelle.
figuer 13 - User Mapping parameters
figuer 14 - Groep Mapping parameters
De lêste stap yn dizze faze is it meitsjen fan in VPN-sône en in ynterface foar dy sône. Jo moatte de opsje ynskeakelje op 'e ynterface Brûker identifikaasje ynskeakelje (pic 15).
Ofbylding 15 - In VPN-sône ynstelle
5. It ynstellen fan SSL VPN
Foardat jo ferbine mei in SSL VPN, moat de brûker op ôfstân nei it webportaal gean, de Global Protect-kliïnt ferifiearje en downloade. Dêrnei sil dizze kliïnt bewiisbrieven oanfreegje en ferbine mei it bedriuwsnetwurk. It webportaal wurket yn https-modus en dêrom moatte jo in sertifikaat foar ynstallearje. Brûk in iepenbier sertifikaat as mooglik. Dan sil de brûker gjin warskôging krije oer de ûnjildichheid fan it sertifikaat op 'e side. As it net mooglik is om in iepenbier sertifikaat te brûken, dan moatte jo jo eigen útjaan, dat sil wurde brûkt op 'e webside foar https. It kin sels ûndertekene wurde of útjûn wurde fia in pleatslike sertifikaatautoriteit. De kompjûter op ôfstân moat in root- of sels-ûndertekene sertifikaat hawwe yn 'e list mei fertroude root-autoriteiten, sadat de brûker gjin flater krijt by it ferbinen mei it webportaal. Dit foarbyld sil in sertifikaat brûke útjûn fia Active Directory Certificate Services.
Om in sertifikaat út te jaan, moatte jo in sertifikaatfersyk oanmeitsje yn 'e seksje Apparaat -> Sertifikaatbehear -> Sertifikaten -> Generearje. Yn it fersyk jouwe wy de namme fan it sertifikaat en it IP-adres of FQDN fan it webportaal oan (Fig. 16). Nei it generearjen fan it fersyk, download .csr bestân en kopiearje de ynhâld yn it sertifikaatfersykfjild yn it webformulier AD CS Web Enrollment. Ofhinklik fan hoe't de sertifikaatautoriteit is konfigureare, moat it sertifikaatfersyk goedkard wurde en moat it útjûne sertifikaat yn it formaat downloade wurde Base64 kodearre sertifikaat. Derneist moatte jo it root-sertifikaat fan 'e sertifisearingsautoriteit downloade. Dan moatte jo beide sertifikaten ymportearje yn 'e firewall. By it ymportearjen fan in sertifikaat foar in webportaal moatte jo it fersyk selektearje yn 'e wachtsjende status en klikje op ymportearje. De sertifikaatnamme moat oerienkomme mei de namme dy't earder yn it fersyk oanjûn is. De namme fan it root-sertifikaat kin willekeurich opjûn wurde. Nei it ymportearjen fan it sertifikaat moatte jo oanmeitsje SSL / TLS Service Profile section Apparaat -> Sertifikaatbehear. Yn it profyl jouwe wy it earder ymporteare sertifikaat oan.
figuer 16 - Sertifikaat fersyk
De folgjende stap is it ynstellen fan objekten Global Protect Gateway и Global Protect Portal section Netwurk -> Global Protect... Yn ynstellings Global Protect Gateway jouwe it eksterne IP-adres fan 'e firewall oan, lykas earder makke SSL profyl, Autentikaasjeprofyl, tunnel ynterface en client IP ynstellings. Jo moatte in pool fan IP-adressen opjaan wêrfan it adres oan 'e kliïnt sil wurde tawiisd, en Access Route - dit binne de subnetten wêr't de kliïnt in rûte sil hawwe. As de taak is om alle brûkersferkear troch in firewall te wrapjen, dan moatte jo it subnet 0.0.0.0/0 opjaan (figuer 17).
Figuer 17 - Konfigurearje in pool fan IP-adressen en rûtes
Dan moatte jo konfigurearje Global Protect Portal. Spesifisearje it IP-adres fan 'e firewall, SSL profyl и Autentikaasjeprofyl en in list mei eksterne IP-adressen fan firewalls dêr't de kliïnt sil ferbine. As d'r ferskate firewalls binne, kinne jo foar elk in prioriteit ynstelle, neffens hokker brûkers in firewall kieze om mei te ferbinen.
section Apparaat -> GlobalProtect Client jo moatte de VPN-kliïntdistribúsje downloade fan 'e Palo Alto Networks-tsjinners en it aktivearje. Om te ferbinen, moat de brûker nei de portalwebside gean, wêr't hy wurdt frege om te downloaden GlobalProtect Client. Ienris ynladen en ynstalleare, kinne jo jo referinsjes ynfiere en ferbine mei jo bedriuwsnetwurk fia SSL VPN.
konklúzje
Dit foltôget it diel fan Palo Alto Networks fan 'e opset. Wy hoopje dat de ynformaasje nuttich wie en dat de lêzer in begryp krige fan 'e technologyen brûkt by Palo Alto Networks. As jo fragen hawwe oer opset en suggestjes oer ûnderwerpen foar takomstige artikels, skriuw se dan yn 'e kommentaren, wy sille graach antwurdzje.
Boarne: www.habr.com