In ainneoin na buntáistí go léir a bhaineann le ballaí dóiteáin Palo Alto Networks, níl mórán ábhar ar an RuNet maidir leis na gléasanna seo a bhunú, chomh maith le téacsanna a chuireann síos ar an taithí a bhaineann lena gcur i bhfeidhm. Shocraigh muid achoimre a dhéanamh ar na hábhair atá carntha againn le linn ár gcuid oibre le trealamh an díoltóra seo agus labhairt faoi na gnéithe a d'aimsigh muid le linn tionscadail éagsúla a chur i bhfeidhm.
Chun tú a chur in aithne do Palo Alto Networks, féachfaidh an t-alt seo ar an gcumraíocht atá ag teastáil chun ceann de na fadhbanna balla dóiteáin is coitianta a réiteach - SSL VPN le haghaidh cianrochtain. Labhróimid freisin faoi fheidhmeanna fóntais maidir le cumraíocht ghinearálta balla dóiteáin, aithint úsáideoirí, feidhmchláir agus beartais slándála. Más spéis le léitheoirí an t-ábhar seo, sa todhchaí scaoilfimid ábhair a dhéanfaidh anailís ar VPN ó Shuíomh go Suíomh, ródú dinimiciúil agus bainistíocht láraithe ag baint úsáide as Lánléargas.
Úsáideann ballaí dóiteáin Palo Alto Networks roinnt teicneolaíochtaí nuálacha, lena n-áirítear App-ID, User-ID, Content-ID. Ligeann úsáid na feidhme seo duit ardleibhéal slándála a chinntiú. Mar shampla, le App-ID is féidir trácht feidhmchláir a aithint bunaithe ar shínithe, ar dhíchódú agus ar heuristics, beag beann ar an gcalafort agus ar an bprótacal a úsáidtear, lena n-áirítear taobh istigh de thollán SSL. Ligeann Aitheantas Úsáideora duit úsáideoirí líonra a shainaithint trí chomhtháthú LDAP. Is féidir trácht a scanadh agus comhaid tarchurtha agus a bhfuil iontu a aithint. I measc na bhfeidhmeanna balla dóiteáin eile tá cosaint ionsáite, cosaint i gcoinne leochaileachtaí agus ionsaithe DoS, frith-spyware ionsuite, scagadh URL, braisliú, agus bainistíocht láraithe.
Don léiriú, úsáidfimid seastán iargúlta, le cumraíocht comhionann leis an gceann fíor, cé is moite d’ainmneacha gléasanna, ainm fearainn AD agus seoltaí IP. I ndáiríre, tá gach rud níos casta - is féidir go leor brainsí a bheith ann. Sa chás seo, in ionad balla dóiteáin amháin, déanfar braisle a shuiteáil ag teorainneacha na suíomhanna lárnacha, agus d'fhéadfadh go mbeadh gá le ródú dinimiciúil freisin.
Úsáidte ar an seastán PAN-OS 7.1.9. Mar chumraíocht tipiciúil, smaoinigh ar líonra le balla dóiteáin Palo Alto Networks ar an imeall. Soláthraíonn an balla dóiteáin rochtain iargúlta SSL VPN ar an bpríomhoifig. Úsáidfear fearann an Eolaire Gníomhach mar bhunachar sonraí úsáideoirí (Fíor 1).
Fíor 1 – Léaráid bloc líonra
Céimeanna socraithe:
- Réamhchumrú an ghléis. Socrú an t-ainm, seoladh IP bainistíochta, bealaí statach, cuntais riarthóra, próifílí bainistíochta
- Ceadúnais a shuiteáil, nuashonruithe a chumrú agus a shuiteáil
- Criosanna slándála a chumrú, comhéadain líonra, beartais tráchta, aistriú seoltaí
- Próifíl Fíordheimhnithe LDAP agus Gné Aitheantais Úsáideora a chumrú
- Socrú SSL VPN
1. Réamhshocraithe
Is é an comhéadan gréasáin an phríomhuirlis chun balla dóiteáin Palo Alto Networks a chumrú; is féidir bainistíocht a dhéanamh tríd an CLI freisin. De réir réamhshocraithe, socraítear an comhéadan bainistíochta chuig seoladh IP 192.168.1.1/24, logáil isteach: admin, pasfhocal: admin.
Is féidir leat an seoladh a athrú trí nascadh leis an gcomhéadan gréasáin ón líonra céanna, nó an t-ordú a úsáid socraigh deviceconfig córas seoladh ip <> netmask <>. Déantar é i mód cumraíochta. Chun athrú go mód cumraíochta, úsáid an t-ordú chumrú. Ní tharlaíonn gach athrú ar an mballa dóiteáin ach amháin tar éis na socruithe a dhearbhú leis an ordú tiomantas, i mód na n-orduithe agus sa chomhéadan gréasáin araon.
Chun socruithe sa chomhéadan gréasáin a athrú, bain úsáid as an rannán Gléas -> Socruithe Ginearálta agus Gléas -> Socruithe Comhéadain Bainistíochta. Is féidir an t-ainm, na meirgí, an crios ama agus socruithe eile a shocrú sa chuid Socruithe Ginearálta (Fíor 2).
Fíor 2 – Paraiméadair an chomhéadain bhainistíochta
Má úsáideann tú balla dóiteáin fíorúil i dtimpeallacht ESXi, sa chuid Socruithe Ginearálta ní mór duit úsáid an seoladh MAC arna sannadh ag an hypervisor a chumasú, nó na seoltaí MAC a shonraítear ar na comhéadain balla dóiteáin ar an hypervisor a chumrú, nó na socruithe a athrú de na lasca fíorúla chun seoltaí athruithe MAC a cheadú. Seachas sin, ní bheidh an trácht ag dul tríd.
Tá an comhéadan bainistíochta cumraithe ar leithligh agus ní thaispeántar é i liosta na gcomhéadan líonra. I gcaibidil Socruithe Comhéadain Bainistíochta sonraítear an geata réamhshocraithe don chomhéadan bainistíochta. Tá bealaí statacha eile cumraithe i rannán na ródairí fíorúla; pléifear é seo níos déanaí.
Chun rochtain ar an bhfeiste a cheadú trí chomhéadain eile, ní mór duit próifíl bhainistíochta a chruthú Próifíl Bainistíochta alt Líonra -> Próifílí Líonra -> Comhéadan Mgmt agus é a shannadh don chomhéadan cuí.
Ansin, ní mór duit DNS agus NTP a chumrú sa rannóg Gléas -> Seirbhísí nuashonruithe a fháil agus an t-am a thaispeáint i gceart (Fíor 3). De réir réamhshocraithe, úsáideann an trácht go léir a ghineann an balla dóiteáin an seoladh IP comhéadan bainistíochta mar a seoladh IP foinse. Is féidir leat comhéadan difriúil a shannadh do gach seirbhís ar leith sa rannóg Cumraíocht Bealaí Seirbhíse.
Fíor 3 – DNS, NTP agus paraiméadair seirbhíse bealaí córais
2. Ceadúnais a shuiteáil, nuashonruithe a shocrú agus a shuiteáil
Chun gach feidhm balla dóiteáin a oibriú go hiomlán, ní mór duit ceadúnas a shuiteáil. Is féidir leat ceadúnas trialach a úsáid ach é a iarraidh ó chomhpháirtithe Palo Alto Networks. Is é a thréimhse bailíochta 30 lá. Cuirtear an ceadúnas i ngníomh trí chomhad nó trí Auth-Cod a úsáid. Tá ceadúnais cumraithe sa rannán Gléas -> Ceadúnais (Fig. 4).
Tar éis duit an ceadúnas a shuiteáil, ní mór duit suiteáil nuashonruithe a chumrú sa rannóg Gléas -> Nuashonruithe Dinimiciúla.
In alt Gléas -> Bogearraí is féidir leat leaganacha nua de PAN-OS a íoslódáil agus a shuiteáil.
Fíor 4 – Painéal rialaithe ceadúnais
3. Criosanna slándála, comhéadain líonra, beartais tráchta, aistriú seoltaí a chumrú
Úsáideann ballaí dóiteáin Palo Alto Networks loighic crios agus rialacha líonra á chumrú. Sanntar comhéadain líonra do chrios ar leith, agus úsáidtear an crios seo i rialacha tráchta. Ligeann an cur chuige seo sa todhchaí, agus socruithe comhéadain á n-athrú, gan na rialacha tráchta a athrú, ach ina ionad sin na comhéadain riachtanacha a athshannadh chuig na criosanna cuí. De réir réamhshocraithe, ceadaítear trácht laistigh de chrios, toirmisctear trácht idir criosanna, tá rialacha réamhshainithe freagrach as seo intrazone-réamhshocraithe и idirchrios-réamhshocraithe.
Fíor 5 – Criosanna sábhála
Sa sampla seo, sanntar comhéadan ar an líonra inmheánach don chrios inmheánach, agus sanntar an comhéadan atá os comhair an Idirlín don chrios seachtrach. Maidir le SSL VPN, cruthaíodh comhéadan tolláin agus sannadh é don chrios vpn (Fig. 5).
Is féidir le comhéadain líonra balla dóiteáin Palo Alto Networks oibriú i gcúig mhodh éagsúla:
- Beartaíonn – a úsáidtear chun trácht a bhailiú chun críocha faireacháin agus anailíse
- HA – a úsáidtear le haghaidh oibriú braisle
- Sreang Fíorúil – sa mhodh seo, comhcheanglaíonn Palo Alto Networks dhá chomhéadan agus cuireann sé trácht eatarthu go trédhearcach gan seoltaí MAC agus IP a athrú
- Layer2 – mód lasc
- Layer3 - mód ródaire
Fíor 6 – Modh oibriúcháin an chomhéadain a shocrú
Sa sampla seo, úsáidfear modh Layer3 (Fíor 6). Léiríonn paraiméadair an chomhéadain líonra an seoladh IP, an modh oibriúcháin agus an crios slándála comhfhreagrach. Chomh maith le modh oibriúcháin an chomhéadain, ní mór duit é a shannadh do ródaire fíorúil an Ródaire Fíorúil, is analóg é seo de chás VRF i Palo Alto Networks. Tá ródairí fíorúla scoite óna chéile agus tá a gcuid táblaí ródaithe agus socruithe prótacail líonra féin acu.
Sonraíonn socruithe an ródaire fíorúil bealaí statacha agus socruithe prótacail ródaithe. Sa sampla seo, níor cruthaíodh ach bealach réamhshocraithe chun rochtain a fháil ar líonraí seachtracha (Fíor 7).
Fíor 7 – ródaire fíorúil a shocrú
Is é an chéad chéim cumraíochta eile ná polasaithe tráchta, alt Polasaithe -> Slándáil. Taispeántar sampla de chumraíocht i bhFíor 8. Tá loighic na rialacha mar an gcéanna le gach balla dóiteáin. Déantar na rialacha a sheiceáil ó bhun go barr, síos go dtí an chéad chluiche. Cur síos gairid ar na rialacha:
1. SSL VPN Rochtain ar an Tairseach Gréasáin. Ligeann sé seo rochtain ar an tairseach gréasáin chun ciancheangail a fhíordheimhniú
2. Trácht VPN – a cheadaíonn trácht idir ciancheangail agus an phríomhoifig
3. Idirlíon Bunúsach – feidhmchláir dns, ping, traceroute, ntp a cheadú. Ceadaíonn an balla dóiteáin iarratais atá bunaithe ar shínithe, díchódaithe, agus heuristics seachas uimhreacha calafoirt agus prótacail, agus is é sin an fáth a deir an rannóg Seirbhíse mar réamhshocrú iarratais. Port/prótacal réamhshocraithe don fheidhmchlár seo
4. Rochtain Ghréasáin – rochtain ar an Idirlíon a cheadú trí phrótacail HTTP agus HTTPS gan rialú feidhmchláir
5,6. Rialacha réamhshocraithe do thrácht eile.
Fíor 8 — Sampla de rialacha líonra a bhunú
Chun NAT a chumrú, bain úsáid as an rannán Polasaithe -> TAN. Taispeántar sampla de chumraíocht NAT i bhFíor 9.
Fíor 9 – Sampla de chumraíocht TAN
I gcás aon tráchta ó inmheánach go seachtrach, is féidir leat an seoladh foinse a athrú go dtí an seoladh IP seachtrach an balla dóiteáin agus úsáid a bhaint as seoladh calafoirt dinimiciúil (PAT).
4. Próifíl Fíordheimhnithe LDAP agus Feidhm Aitheantais Úsáideora a chumrú
Sula nascann tú úsáideoirí trí SSL-VPN, ní mór duit meicníocht fíordheimhnithe a chumrú. Sa sampla seo, tarlóidh fíordheimhniú ar rialtóir fearainn an Eolaire Gníomhach trí chomhéadan gréasáin Palo Alto Networks.
Fíor 10 – Próifíl LDAP
Chun go n-oibreoidh fíordheimhniú, ní mór duit a chumrú Próifíl LDAP и Próifíl Fíordheimhnithe. Sa roinn Gléas -> Próifílí Freastalaí -> LDAP (Fíor 10) ní mór duit seoladh IP agus port an rialaitheora fearainn, cineál LDAP agus cuntas úsáideora atá sna grúpaí a shonrú Oibreoirí Freastalaí, Léitheoirí Logála Imeachtaí, Úsáideoirí COM Dáilte. Ansin sa rannóg Gléas -> Próifíl Fíordheimhnithe cruthaigh próifíl fíordheimhnithe (Fíor 11), marcáil an ceann a cruthaíodh roimhe seo Próifíl LDAP agus sa chluaisín Advanced cuirimid in iúl an grúpa úsáideoirí (Fíor 12) a bhfuil cead acu cianrochtain a dhéanamh. Tá sé tábhachtach an paraiméadar i do phróifíl a thabhairt faoi deara Fearann Úsáideora, nó ní oibreoidh údarú grúpabhunaithe. Ní mór an t-ainm fearainn NetBIOS a léiriú sa réimse.
Fíor 11 – Próifíl fhíordheimhnithe
Fíor 12 – Roghnú grúpa AD
Is é an chéad chéim eile a shocrú Gléas -> Aitheantas Úsáideora. Anseo ní mór duit seoladh IP an rialaitheora fearainn a shonrú, dintiúir nasc, agus socruithe a chumrú freisin Cumasaigh Loga Slándála, Cumasaigh Seisiún, Cumasaigh Scrúdú (Fíor 13). I gcaibidil Mapáil Grúpa (Fíor 14) ní mór duit na paraiméadair chun rudaí a shainaithint i LDAP a thabhairt faoi deara agus liosta na ngrúpaí a úsáidfear le haghaidh údarú. Díreach mar atá sa Phróifíl Fíordheimhnithe, anseo ní mór duit an paraiméadar Fearainn Úsáideora a shocrú.
Fíor 13 – Paraiméadair Mapála Úsáideoirí
Fíor 14 – Paraiméadair Ghrúpmhapála
Is é an chéim dheireanach sa chéim seo ná crios VPN agus comhéadan a chruthú don chrios sin. Ní mór duit an rogha a chumasú ar an gcomhéadan Cumasaigh Aitheantas Úsáideora (Fig. 15).
Fíor 15 – Crios VPN a bhunú
5. Socrú SSL VPN
Sula nascann sé le SSL VPN, ní mór don úsáideoir cianda dul chuig an tairseach gréasáin, an cliant Global Protect a fhíordheimhniú agus a íoslódáil. Ansin, iarrfaidh an cliant seo dintiúir agus nascfaidh sé leis an líonra corparáideach. Feidhmíonn an tairseach gréasáin i mód https agus, dá réir sin, ní mór duit deimhniú a shuiteáil dó. Bain úsáid as deimhniú poiblí más féidir. Ansin ní bhfaighidh an t-úsáideoir rabhadh faoi easláine an deimhnithe ar an suíomh. Mura féidir deimhniú poiblí a úsáid, ansin caithfidh tú do chuid féin a eisiúint, a úsáidfear ar an leathanach gréasáin le haghaidh https. Is féidir é a fhéinshíniú nó a eisiúint trí údarás áitiúil deimhnithe. Ní mór go mbeadh teastas fréimhe nó féin-shínithe ag an gcianríomhaire i liosta na n-údarás fréimhe iontaofa ionas nach bhfaighidh an t-úsáideoir earráid agus é ag nascadh leis an tairseach gréasáin. Úsáidfidh an sampla seo teastas arna eisiúint trí Sheirbhísí Teastas an Eolaire Gníomhach.
Chun teastas a eisiúint, ní mór duit iarratas ar dheimhniú a chruthú sa rannán Gléas -> Bainistiú Teastas -> Deimhnithe -> Gin. San iarratas léirímid ainm an deimhnithe agus seoladh IP nó FQDN na tairsí gréasáin (Fíor 16). Tar éis an t-iarratas a ghiniúint, íoslódáil .csr comhad agus cóipeáil a bhfuil ann isteach sa réimse iarratais ar dheimhniú san fhoirm Gréasáin AD CS um Chlárú Gréasáin. Ag brath ar an gcaoi a bhfuil an t-údarás deimhnithe cumraithe, ní mór an t-iarratas ar dheimhniú a cheadú agus an deimhniú eisithe a íoslódáil san fhormáid Teastas Ionchódaithe Base64. Ina theannta sin, ní mór duit teastas fréimhe an údaráis deimhniúcháin a íoslódáil. Ansin ní mór duit an dá dheimhniú a allmhairiú isteach sa bhalla dóiteáin. Agus deimhniú á iompórtáil le haghaidh tairseach gréasáin, ní mór duit an t-iarratas a roghnú sa stádas atá ar feitheamh agus cliceáil ar allmhairiú. Caithfidh ainm an teastais teacht leis an ainm a sonraíodh níos luaithe san iarratas. Is féidir ainm an teastais fhréamh a shonrú go treallach. Tar éis duit an deimhniú a allmhairiú, ní mór duit a chruthú Próifíl Seirbhíse SSL/TLS alt Gléas -> Bainistíocht Teastas. Sa phróifíl cuirimid in iúl an deimhniú a allmhairíodh roimhe seo.
Fíor 16 – Iarratas ar dheimhniú
Is é an chéad chéim eile rudaí a shocrú Geata Cosain Domhanda и Tairseach Cosain Domhanda alt Líonra -> Cosain Domhanda... I socruithe Geata Cosain Domhanda cuir in iúl seoladh IP seachtrach an bhalla dóiteáin, chomh maith le a cruthaíodh roimhe seo Próifíl SSL, Próifíl Fíordheimhnithe, comhéadan tolláin agus socruithe IP an chliaint. Ní mór duit a shonrú ar chomhthiomsú seoltaí IP as a mbeidh an seoladh a shannadh don chliant, agus Bealach Rochtana - is iad seo na subnets a mbeidh an cliant a bhfuil bealach. Más é an tasc ná an trácht úsáideora go léir a chuimilt trí bhalla dóiteáin, ní mór duit an subnet 0.0.0.0/0 (Fíor 17) a shonrú.
Fíor 17 – Comhthiomsú seoltaí IP agus bealaí a chumrú
Ansin ní mór duit a chumrú Tairseach Cosain Domhanda. Sonraigh seoladh IP an bhalla dóiteáin, Próifíl SSL и Próifíl Fíordheimhnithe agus liosta de sheoltaí IP seachtracha na mballaí dóiteáin a nascfaidh an cliant leo. Má tá roinnt ballaí dóiteáin ann, is féidir leat tosaíocht a shocrú do gach ceann acu, dá réir a roghnóidh úsáideoirí balla dóiteáin chun nascadh leis.
In alt Gléas -> GlobalProtect Cliant ní mór duit an dáileadh cliant VPN a íoslódáil ó fhreastalaithe Palo Alto Networks agus é a ghníomhachtú. Chun nascadh, ní mór don úsáideoir dul go dtí an leathanach gréasáin tairseach, áit a n-iarrfar air é a íoslódáil GlobalProtect Cliant. Nuair a bheidh tú íoslódáilte agus suiteáilte, is féidir leat do dhintiúir a chur isteach agus ceangal le do líonra corparáideach trí SSL VPN.
Conclúid
Críochnaíonn sé seo an chuid Palo Alto Networks den socrú. Tá súil againn go raibh an fhaisnéis úsáideach agus go bhfuair an léitheoir tuiscint ar na teicneolaíochtaí a úsáidtear ag Palo Alto Networks. Má tá ceisteanna agat maidir le socrú agus moltaí ar ábhair le haghaidh ailt sa todhchaí, scríobh iad sna tuairimí, beidh áthas orainn a fhreagairt.
Foinse: will.com