A dh'aindeoin na buannachdan uile a tha aig ballachan teine Palo Alto Networks, chan eil mòran stuth air an RuNet mu bhith a 'stèidheachadh nan innealan sin, a bharrachd air teacsaichean a' toirt cunntas air an eòlas air an cur an gnìomh. Cho-dhùin sinn geàrr-chunntas a dhèanamh air na stuthan a tha sinn air cruinneachadh rè ar n-obair le uidheamachd an neach-reic seo agus bruidhinn mu na feartan a choinnich sinn ri linn cur an gnìomh diofar phròiseactan.
Gus do thoirt a-steach do Palo Alto Networks, seallaidh an artaigil seo ris an rèiteachadh a dh ’fheumar gus fuasgladh fhaighinn air aon de na duilgheadasan balla-teine as cumanta - SSL VPN airson ruigsinneachd iomallach. Bruidhnidh sinn cuideachd mu ghnìomhan goireis airson rèiteachadh balla-teine coitcheann, comharrachadh luchd-cleachdaidh, tagraidhean, agus poileasaidhean tèarainteachd. Ma tha an cuspair inntinneach do luchd-leughaidh, san àm ri teachd leigidh sinn a-mach stuthan a bhios a’ dèanamh anailis air làrach-gu-làrach VPN, slighe fiùghantach agus riaghladh meadhanaichte a’ cleachdadh Panorama.
Bidh ballachan teine Palo Alto Networks a’ cleachdadh grunn theicneòlasan ùr-ghnàthach, a’ gabhail a-steach App-ID, ID Cleachdaiche, ID Susbaint. Leigidh cleachdadh na h-obrach seo dhut dèanamh cinnteach à ìre àrd de thèarainteachd. Mar eisimpleir, le App-ID tha e comasach trafaic tagraidh a chomharrachadh stèidhichte air ainmean-sgrìobhte, dì-chòdachadh agus heuristics, ge bith dè am port agus am protocol a thathas a’ cleachdadh, a ’toirt a-steach taobh a-staigh tunail SSL. Leigidh ID cleachdaiche leat luchd-cleachdaidh lìonra aithneachadh tro aonachadh LDAP. Tha ID Susbaint ga dhèanamh comasach trafaic a sganadh agus faidhlichean tar-chuir agus an susbaint a chomharrachadh. Tha gnìomhan balla-teine eile a’ toirt a-steach dìon sàrachadh, dìon an aghaidh so-leòntachd agus ionnsaighean DoS, an-aghaidh spyware togte, sìoladh URL, cruinneachadh, agus riaghladh meadhanaichte.
Airson an taisbeanaidh, cleachdaidh sinn ionad iomallach, le rèiteachadh co-ionann ris an fhear fhìor, ach a-mhàin ainmean innealan, ainm àrainn AD agus seòlaidhean IP. Ann an da-rìribh, tha a h-uile dad nas iom-fhillte - faodaidh mòran mheuran a bhith ann. Anns a ’chùis seo, an àite aon bhalla-teine, thèid cruinneachadh a chuir a-steach aig crìochan prìomh làraich, agus dh’ fhaodadh gum bi feum air slighe fiùghantach.
Air a chleachdadh air an stand PAN-OS 7.1.9. Mar rèiteachadh àbhaisteach, smaoinich air lìonra le balla-teine Palo Alto Networks aig an oir. Tha am balla-teine a 'toirt cothrom SSL VPN iomallach don phrìomh oifis. Thèid an àrainn Active Directory a chleachdadh mar stòr-dàta luchd-cleachdaidh (Figear 1).
Figear 1 - Diagram bloc lìonra
Ceumannan rèiteachaidh:
- Ro-rèiteachadh an inneal. A’ suidheachadh an ainm, seòladh IP riaghlaidh, slighean statach, cunntasan rianadair, pròifilean riaghlaidh
- A 'stàladh ceadan, a' rèiteachadh agus a 'stàladh ùrachaidhean
- A’ rèiteachadh sònaichean tèarainteachd, eadar-aghaidh lìonra, poileasaidhean trafaic, eadar-theangachadh seòlaidhean
- A’ rèiteachadh Pròifil Dearbhaidh LDAP agus Feart Aithneachaidh Cleachdaiche
- A’ stèidheachadh SSL VPN
1. Ro-shuidhichte
Is e am prìomh inneal airson balla-teine Palo Alto Networks a rèiteachadh an eadar-aghaidh lìn; tha riaghladh tron CLI comasach cuideachd. Gu gnàthach, tha an eadar-aghaidh riaghlaidh air a shuidheachadh gu seòladh IP 192.168.1.1 / 24, log a-steach: admin, facal-faire: admin.
Faodaidh tu an seòladh atharrachadh an dàrna cuid le bhith a’ ceangal ris an eadar-aghaidh lìn bhon aon lìonra, no a’ cleachdadh an àithne suidhich deviceconfig siostam ip-seòladh <> netmask <>. Tha e air a dhèanamh ann am modh rèiteachaidh. Gus atharrachadh gu modh rèiteachaidh, cleachd an àithne configures. Bidh a h-uile atharrachadh air a’ bhalla-teine a ’tachairt dìreach às deidh na roghainnean a dhearbhadh leis an àithne dèanamh, an dà chuid ann am modh loidhne-àithne agus san eadar-aghaidh lìn.
Gus roghainnean san eadar-aghaidh lìn atharrachadh, cleachd an roinn Inneal -> Roghainnean coitcheann agus inneal -> roghainnean eadar-aghaidh riaghlaidh. Faodar an t-ainm, brataichean, sòn ùine agus suidheachaidhean eile a shuidheachadh anns an roinn Roghainnean Coitcheann (Fig. 2).
Figear 2 - Paramadairean eadar-aghaidh riaghlaidh
Ma chleachdas tu balla-teine brìgheil ann an àrainneachd ESXi, anns an roinn Roghainnean Coitcheann feumaidh tu an seòladh MAC a chaidh a shònrachadh leis an hypervisor a chleachdadh, no na seòlaidhean MAC a tha air an sònrachadh air na h-eadar-aghaidh balla-teine air an hypervisor atharrachadh, no atharraich na roghainnean aig na suidsichean mas-fhìor gus seòlaidhean atharrachadh MAC a cheadachadh. Rud eile, cha tèid trafaic troimhe.
Tha an eadar-aghaidh riaghlaidh air a rèiteachadh air leth agus chan eil e air a thaisbeanadh anns an liosta de eadar-aghaidh lìonra. Ann an caibideil Roghainnean eadar-aghaidh riaghlaidh a’ sònrachadh a’ gheata bunaiteach airson an eadar-aghaidh riaghlaidh. Tha slighean statach eile air an rèiteachadh anns an roinn routers brìgheil; thèid seo a dheasbad nas fhaide air adhart.
Gus cothrom fhaighinn air an inneal tro eadar-aghaidh eile, feumaidh tu pròifil riaghlaidh a chruthachadh Pròifil Stiùiridh earrann Lìonra -> Pròifilean Lìonra -> Eadar-aghaidh Mgmt agus sònraich e don eadar-aghaidh iomchaidh.
An ath rud, feumaidh tu DNS agus NTP a rèiteachadh san roinn Inneal -> Seirbheisean gus ùrachaidhean fhaighinn agus an ùine a thaisbeanadh gu ceart (Fig. 3). Gu gnàthach, bidh a h-uile trafaic a thig bhon bhalla-teine a ’cleachdadh seòladh IP an eadar-aghaidh riaghlaidh mar an seòladh IP tùsail aige. Faodaidh tu eadar-aghaidh eadar-dhealaichte a shònrachadh airson gach seirbheis sònraichte san roinn Rèiteachadh slighe seirbheis.
Figear 3 - DNS, NTP agus crìochan seirbheis slighean siostam
2. A 'stàladh ceadan, a' stèidheachadh agus a 'stàladh ùrachaidhean
Airson làn obrachadh a h-uile gnìomh balla-teine, feumaidh tu cead a stàladh. Faodaidh tu cead deuchainn a chleachdadh le bhith ga iarraidh bho chom-pàirtichean Palo Alto Networks. Is e an ùine dligheachd aige 30 latha. Tha an cead air a chuir an gnìomh an dàrna cuid tro fhaidhle no a’ cleachdadh Auth-Code. Tha ceadan air an rèiteachadh san roinn Inneal -> Ceadan (fig. 4).
An dèidh a 'cheadachais a stàladh, feumaidh tu a rèiteachadh stàladh ùrachaidhean anns an earrann Inneal -> Ùrachaidhean fiùghantach.
earrann Inneal -> Bathar-bog faodaidh tu dreachan ùra de PAN-OS a luchdachadh sìos agus a stàladh.
Figear 4 - Pannal smachd ceadachais
3. A 'rèiteachadh sònaichean tèarainteachd, eadar-aghaidh lìonra, poileasaidhean trafaig, eadar-theangachadh seòladh
Bidh ballachan teine Palo Alto Networks a’ cleachdadh loidsig sòn nuair a bhios iad a’ rèiteachadh riaghailtean lìonra. Tha eadar-aghaidh lìonra air a shònrachadh gu sòn sònraichte, agus tha an sòn seo air a chleachdadh ann an riaghailtean trafaic. Tha an dòigh-obrach seo a’ ceadachadh san àm ri teachd, nuair a dh’ atharraicheas tu roghainnean eadar-aghaidh, gun a bhith ag atharrachadh riaghailtean trafaic, ach an àite sin na h-eadar-aghaidhean riatanach ath-shònrachadh gu na sònaichean iomchaidh. Gu gnàthach, tha trafaic taobh a-staigh sòn ceadaichte, thathas a’ toirmeasg trafaic eadar sònaichean, tha uallach air riaghailtean ro-mhìnichte airson seo intrazone-àbhaisteach и eadar-roinneil.
Figear 5 - Sònaichean sàbhailteachd
San eisimpleir seo, tha eadar-aghaidh air an lìonra a-staigh air a shònrachadh don raon a-staigh, agus tha an eadar-aghaidh mu choinneamh an eadar-lìn air a shònrachadh don sòn taobh a-muigh. Airson SSL VPN, chaidh eadar-aghaidh tunail a chruthachadh agus a shònrachadh don raon VPN (fig. 5).
Faodaidh eadar-aghaidh lìonra balla-teine Palo Alto Networks obrachadh ann an còig modhan eadar-dhealaichte:
- Tap - air a chleachdadh gus trafaic a chruinneachadh airson adhbharan sgrùdaidh agus sgrùdaidh
- HA - air a chleachdadh airson gnìomhachd braisle
- Uèir mas-fhìor - anns a ’mhodh seo, bidh Palo Alto Networks a’ cothlamadh dà eadar-aghaidh agus gu soilleir a ’dol seachad air trafaic eatorra gun a bhith ag atharrachadh seòlaidhean MAC agus IP
- Sreath2 - modh suidse
- Sreath3 - modh router
Figear 6 - A 'suidheachadh modh obrachaidh an eadar-aghaidh
Anns an eisimpleir seo, thèid modh Layer3 a chleachdadh (Fig. 6). Tha paramadairean eadar-aghaidh an lìonraidh a’ nochdadh an seòladh IP, am modh obrachaidh agus an raon tèarainteachd co-fhreagarrach. A bharrachd air modh obrachaidh an eadar-aghaidh, feumaidh tu a shònrachadh don router brìgheil Virtual Router, is e seo analogue de eisimpleir VRF ann am Palo Alto Networks. Tha routers mas-fhìor air an sgaradh bho chèile agus tha na clàran slighe aca fhèin agus na roghainnean protocol lìonra aca.
Bidh na roghainnean router brìgheil a’ sònrachadh slighean statach agus roghainnean protocol slighe. San eisimpleir seo, cha deach ach slighe àbhaisteach a chruthachadh airson faighinn gu lìonraidhean taobh a-muigh (Fig. 7).
Figear 7 - A’ stèidheachadh router brìgheil
Is e an ath ìre rèiteachaidh poileasaidhean trafaic, earrann Poileasaidhean -> Tèarainteachd. Tha eisimpleir de rèiteachadh air a shealltainn ann am Figear 8. Tha loidsig nan riaghailtean an aon rud ri gach balla-teine. Tha na riaghailtean air an sgrùdadh bho mhullach gu bonn, sìos chun chiad gheama. Tuairisgeul goirid air na riaghailtean:
1. SSL VPN Cothrom air Web Portal. A’ ceadachadh faighinn chun portal lìn gus ceanglaichean iomallach a dhearbhadh
2. Trafaig VPN – a’ ceadachadh trafaic eadar ceanglaichean iomallach agus a’ phrìomh oifis
3. Eadar-lìon bunaiteach – a' ceadachadh dns, ping, traceroute, ntp. Tha am balla-teine a’ ceadachadh tagraidhean stèidhichte air ainmean-sgrìobhte, dì-chòdachadh, agus heuristics seach àireamhan puirt agus protocolaidhean, agus is e sin as coireach gu bheil an roinn Seirbheis ag ràdh iarrtas-bunaiteach. Port/protocol bunaiteach airson an aplacaid seo
4. Ruigsinneachd lìn – a’ ceadachadh ruigsinneachd eadar-lìn tro phròtacalan HTTP agus HTTPS gun smachd air an aplacaid
5,6. Riaghailtean bunaiteach airson trafaic eile.
Figear 8 - Eisimpleir de stèidheachadh riaghailtean lìonra
Gus NAT a rèiteachadh, cleachd an roinn Poileasaidhean -> NAT. Tha eisimpleir de rèiteachadh NAT ri fhaicinn ann am Figear 9.
Figear 9 - Eisimpleir de rèiteachadh NAT
Airson trafaic sam bith bhon taobh a-staigh chun an taobh a-muigh, faodaidh tu an seòladh stòr atharrachadh gu seòladh IP taobh a-muigh a ’bhalla-teine agus seòladh port fiùghantach (PAT) a chleachdadh.
4. A' rèiteachadh Pròifil Dearbhaidh LDAP agus Gnìomh Aithneachaidh Cleachdaiche
Mus ceangail thu luchd-cleachdaidh tro SSL-VPN, feumaidh tu inneal dearbhaidh a rèiteachadh. San eisimpleir seo, thèid dearbhadh a dhèanamh air rianadair àrainn Active Directory tro eadar-aghaidh lìn Palo Alto Networks.
Figear 10 - Pròifil LDAP
Airson dearbhadh a bhith ag obair, feumaidh tu a rèiteachadh Pròifil LDAP и Pròifil dearbhaidh. Anns an earrainn Inneal -> Pròifil an Fhrithealaiche -> LDAP (Fig. 10) feumaidh tu an seòladh IP agus port rianadair na h-àrainn, an seòrsa LDAP agus an cunntas cleachdaiche a tha anns na buidhnean a shònrachadh Luchd-obrachaidh frithealaiche, Luchd-leughaidh Log Tachartas, Luchd-cleachdaidh COM air a chuairteachadh. An uairsin anns an roinn Inneal -> Pròifil Dearbhaidh cruthaich pròifil dearbhaidh (Fig. 11), comharraich am fear a chaidh a chruthachadh roimhe Pròifil LDAP agus anns an taba Adhartach tha sinn a 'comharrachadh a' bhuidheann de luchd-cleachdaidh (Fig. 12) aig a bheil cead ruigsinneachd iomallach. Tha e cudromach toirt fa-near am paramadair sa phròifil agad Domain Cleachdaiche, air neo cha obraich cead stèidhichte air buidheann. Feumaidh an raon ainm àrainn NetBIOS a chomharrachadh.
Figear 11 - Pròifil dearbhaidh
Figear 12 – Taghadh buidheann AD
Is e an ath ìre rèiteachadh Inneal -> Aithneachadh Cleachdaiche. An seo feumaidh tu seòladh IP rianadair an àrainn a shònrachadh, teisteanasan ceangail, agus cuideachd roghainnean a rèiteachadh Dèan comas air Log tèarainteachd, Dèan comas air seisean, Dèan comas air Probing (Fig. 13). Ann an caibideil Mapadh buidhne (Fig. 14) feumaidh tu a bhith mothachail air na crìochan airson nithean a chomharrachadh ann an LDAP agus an liosta de bhuidhnean a thèid a chleachdadh airson ùghdarrachadh. Dìreach mar anns a’ Phròifil Dearbhaidh, an seo feumaidh tu am paramadair Fearann Cleachdaiche a shuidheachadh.
Figear 13 - Paramadairean Mapaidh Luchd-cleachdaidh
Figear 14 - Paramadairean Mapaidh Buidhne
Is e an ceum mu dheireadh den ìre seo sòn VPN agus eadar-aghaidh a chruthachadh airson na sòn sin. Feumaidh tu an roghainn a chomasachadh air an eadar-aghaidh Dèan comas air Aithneachadh Cleachdaiche (fig. 15).
Figear 15 - A’ stèidheachadh sòn VPN
5. A 'stèidheachadh SSL VPN
Mus ceangail e ri SSL VPN, feumaidh an neach-cleachdaidh iomallach a dhol chun portal lìn, dearbhadh agus luchdachadh sìos an neach-dèiligidh Global Protect. An uairsin, iarraidh an neach-dèiligidh seo teisteanasan agus ceangail ris an lìonra corporra. Bidh am portal lìn ag obair ann am modh https agus, a rèir sin, feumaidh tu teisteanas a chuir a-steach air a shon. Cleachd teisteanas poblach ma ghabhas e dèanamh. An uairsin chan fhaigh an neach-cleachdaidh rabhadh mu neo-dhligheachd an teisteanais air an làrach. Mura h-eil e comasach teisteanas poblach a chleachdadh, feumaidh tu do chuid fhèin a chuir a-mach, a thèid a chleachdadh air an duilleag-lìn airson https. Faodaidh e fèin-shoidhnigeadh no a thoirt seachad tro ùghdarras teisteanais ionadail. Feumaidh teisteanas freumh no fèin-soidhnichte a bhith aig a’ choimpiutair iomallach anns an liosta de dh’ ùghdarrasan freumha earbsach gus nach faigh an neach-cleachdaidh mearachd nuair a tha e a’ ceangal ris a’ phort-lìn. Cleachdaidh an eisimpleir seo teisteanas a chaidh a thoirt seachad tro Seirbheisean Teisteanas Active Directory.
Gus teisteanas a thoirt seachad, feumaidh tu iarrtas teisteanais a chruthachadh san roinn Inneal -> Riaghladh Teisteanas -> Teisteanasan -> Cruthaich. Anns an iarrtas tha sinn a 'comharrachadh ainm an teisteanais agus an seòladh IP no FQDN den portal lìn (Fig. 16). Às deidh dhut an t-iarrtas a ghineadh, luchdaich sìos .csr faidhle agus dèan lethbhreac dheth a-steach don raon iarrtas teisteanais ann am foirm lìn Clàradh Lìn AD CS. A rèir mar a tha an t-ùghdarras teisteanais air a rèiteachadh, feumar gabhail ris an iarrtas teisteanais agus feumar an teisteanas a chaidh a thoirt a-nuas a luchdachadh sìos sa chruth Teisteanas còdaichte Base64. A bharrachd air an sin, feumaidh tu freumh teisteanas an ùghdarrais teisteanais a luchdachadh sìos. An uairsin feumaidh tu an dà theisteanas a thoirt a-steach don bhalla-teine. Nuair a bheir thu a-steach teisteanas airson portal lìn, feumaidh tu an t-iarrtas a thaghadh san inbhe ri thighinn agus cliog air Import. Feumaidh ainm an teisteanais a bhith co-ionnan ris an ainm a chaidh a shònrachadh na bu tràithe san iarrtas. Faodar ainm an teisteanais freumha a shònrachadh gu neo-riaghailteach. Às deidh dhut an teisteanas a thoirt a-steach, feumaidh tu a chruthachadh Pròifil Seirbheis SSL / TLS earrann Inneal -> Riaghladh Teisteanas. Anns a 'phròifil tha sinn a' comharrachadh an teisteanas a chaidh a thoirt a-steach roimhe.
Figear 16 - Iarrtas teisteanais
Is e an ath cheum a bhith a’ stèidheachadh nithean Geata dìon cruinne и Portal dìon cruinne earrann Lìonra -> Dìon Cruinneil. Anns na roghainnean Geata dìon cruinne comharraich seòladh IP taobh a-muigh a’ bhalla-teine, a bharrachd air a chaidh a chruthachadh roimhe seo Pròifil SSL, Pròifil dearbhaidh, eadar-aghaidh tunail agus roghainnean IP teachdaiche. Feumaidh tu cruinneachadh de sheòlaidhean IP a shònrachadh às an tèid an seòladh a shònrachadh don neach-dèiligidh, agus Slighe Ruigsinneachd - is iad sin na subnets air am bi slighe aig an neach-dèiligidh. Mas e an obair a bhith a’ cuairteachadh trafaic luchd-cleachdaidh gu lèir tro bhalla-teine, feumaidh tu an subnet 0.0.0.0/0 (Fig. 17) a shònrachadh.
Figear 17 - A’ rèiteachadh cruinneachadh de sheòlaidhean IP agus slighean
An uairsin feumaidh tu a rèiteachadh Portal dìon cruinne. Sònraich seòladh IP a’ bhalla-teine, Pròifil SSL и Pròifil dearbhaidh agus liosta de sheòlaidhean IP taobh a-muigh nam ballachan teine ris an dèan an neach-dèiligidh ceangal. Ma tha grunn bhallachan-teine ann, faodaidh tu prìomhachas a shuidheachadh airson gach fear, a rèir dè an luchd-cleachdaidh a thaghas balla-teine airson ceangal ris.
earrann Inneal -> GlobalProtect Client feumaidh tu an sgaoileadh cleachdaiche VPN a luchdachadh sìos bho na frithealaichean Palo Alto Networks agus a chuir an gnìomh. Gus ceangal a dhèanamh, feumaidh an neach-cleachdaidh a dhol gu duilleag-lìn portal, far an tèid iarraidh air luchdachadh sìos Neach-dèiligidh GlobalProtect. Aon uair ‘s gu bheil thu air a luchdachadh sìos agus air a chuir a-steach, faodaidh tu na teisteanasan agad a chuir a-steach agus ceangal ris an lìonra corporra agad tro SSL VPN.
co-dhùnadh
Bidh seo a’ crìochnachadh pàirt Palo Alto Networks den stèidheachadh. Tha sinn an dòchas gun robh am fiosrachadh feumail agus gun d’ fhuair an leughadair tuigse air na teicneòlasan a thathar a’ cleachdadh aig Palo Alto Networks. Ma tha ceistean agad mu shuidheachadh agus molaidhean air cuspairean airson artaigilean san àm ri teachd, sgrìobh iad anns na beachdan, bidh sinn toilichte am freagairt.
Source: www.habr.com