🥇પાલો અલ્ટો નેટવર્ક સેટઅપ સુવિધાઓ: SSL VPN

પાલો અલ્ટો નેટવર્ક્સ ફાયરવોલના તમામ ફાયદાઓ હોવા છતાં, આ ઉપકરણોને સેટ કરવા માટે રુનેટ પર વધુ સામગ્રી નથી, તેમજ તેમના અમલીકરણના અનુભવનું વર્ણન કરતા ગ્રંથો. અમે આ વિક્રેતાના સાધનસામગ્રી સાથે અમારા કાર્ય દરમિયાન અમે જે સામગ્રી એકઠી કરી છે તેનો સારાંશ આપવાનું નક્કી કર્યું છે અને વિવિધ પ્રોજેક્ટ્સના અમલીકરણ દરમિયાન અમને જે સુવિધાઓનો સામનો કરવો પડ્યો હતો તેના વિશે વાત કરવાનું નક્કી કર્યું છે.

તમને પાલો અલ્ટો નેટવર્ક્સ સાથે પરિચય કરાવવા માટે, આ લેખ સૌથી સામાન્ય ફાયરવોલ સમસ્યાઓમાંથી એકને ઉકેલવા માટે જરૂરી રૂપરેખાંકનને જોશે - રીમોટ એક્સેસ માટે SSL VPN. અમે સામાન્ય ફાયરવોલ રૂપરેખાંકન, વપરાશકર્તા ઓળખ, એપ્લિકેશન્સ અને સુરક્ષા નીતિઓ માટે ઉપયોગિતા કાર્યો વિશે પણ વાત કરીશું. જો વિષય વાચકો માટે રસ ધરાવતો હોય, તો ભવિષ્યમાં અમે પેનોરમાનો ઉપયોગ કરીને સાઇટ-ટુ-સાઇટ VPN, ડાયનેમિક રૂટીંગ અને સેન્ટ્રલાઇઝ્ડ મેનેજમેન્ટનું વિશ્લેષણ કરતી સામગ્રી પ્રકાશિત કરીશું.

પાલો અલ્ટો નેટવર્ક્સ ફાયરવોલ્સ એપ-આઈડી, યુઝર-આઈડી, સામગ્રી-આઈડી સહિત અનેક નવીન તકનીકોનો ઉપયોગ કરે છે. આ કાર્યક્ષમતાનો ઉપયોગ તમને ઉચ્ચ સ્તરની સુરક્ષાની ખાતરી કરવા દે છે. ઉદાહરણ તરીકે, એપ-આઈડી વડે SSL ટનલ સહિત ઉપયોગમાં લેવાતા પોર્ટ અને પ્રોટોકોલને ધ્યાનમાં લીધા વગર સહીઓ, ડીકોડિંગ અને હ્યુરિસ્ટિક્સના આધારે એપ્લિકેશન ટ્રાફિકને ઓળખવું શક્ય છે. યુઝર-આઈડી તમને LDAP એકીકરણ દ્વારા નેટવર્ક વપરાશકર્તાઓને ઓળખવા માટે પરવાનગી આપે છે. Content-ID ટ્રાફિકને સ્કેન કરવાનું અને ટ્રાન્સમિટેડ ફાઇલો અને તેમની સામગ્રીને ઓળખવાનું શક્ય બનાવે છે. અન્ય ફાયરવોલ કાર્યોમાં ઘૂસણખોરી સુરક્ષા, નબળાઈઓ અને DoS હુમલાઓ સામે રક્ષણ, બિલ્ટ-ઇન એન્ટિ-સ્પાયવેર, URL ફિલ્ટરિંગ, ક્લસ્ટરિંગ અને કેન્દ્રિય સંચાલનનો સમાવેશ થાય છે.

નિદર્શન માટે, અમે ઉપકરણના નામો, AD ડોમેન નામ અને IP સરનામાઓને બાદ કરતાં, એક અલગ સ્ટેન્ડનો ઉપયોગ કરીશું, જેમાં વાસ્તવિક સમાન રૂપરેખાંકન હશે. વાસ્તવમાં, બધું વધુ જટિલ છે - ત્યાં ઘણી શાખાઓ હોઈ શકે છે. આ કિસ્સામાં, એક ફાયરવોલને બદલે, કેન્દ્રીય સાઇટ્સની સરહદો પર ક્લસ્ટર ઇન્સ્ટોલ કરવામાં આવશે, અને ગતિશીલ રૂટીંગની પણ જરૂર પડી શકે છે.

સ્ટેન્ડ પર વપરાય છે PAN-OS 7.1.9. લાક્ષણિક રૂપરેખાંકન તરીકે, ધાર પર પાલો અલ્ટો નેટવર્ક્સ ફાયરવોલ સાથેના નેટવર્કને ધ્યાનમાં લો. ફાયરવોલ હેડ ઓફિસમાં રિમોટ SSL VPN એક્સેસ પ્રદાન કરે છે. સક્રિય ડિરેક્ટરી ડોમેનનો ઉપયોગ વપરાશકર્તા ડેટાબેઝ તરીકે કરવામાં આવશે (આકૃતિ 1).

આકૃતિ 1 - નેટવર્ક બ્લોક ડાયાગ્રામ

સેટઅપ પગલાં:

ઉપકરણ પૂર્વ-રૂપરેખાંકન. નામ, મેનેજમેન્ટ IP સરનામું, સ્ટેટિક રૂટ્સ, એડમિનિસ્ટ્રેટર એકાઉન્ટ્સ, મેનેજમેન્ટ પ્રોફાઇલ્સ સેટ કરવું
લાઇસન્સ ઇન્સ્ટોલ કરવું, અપડેટ્સ ગોઠવવું અને ઇન્સ્ટોલ કરવું
સુરક્ષા ઝોન, નેટવર્ક ઇન્ટરફેસ, ટ્રાફિક નીતિઓ, સરનામાં અનુવાદને ગોઠવી રહ્યાં છે
LDAP પ્રમાણીકરણ પ્રોફાઇલ અને વપરાશકર્તા ઓળખ લક્ષણ રૂપરેખાંકિત કરી રહ્યા છીએ
SSL VPN સેટ કરી રહ્યું છે

1. પ્રીસેટ

પાલો અલ્ટો નેટવર્ક્સ ફાયરવોલને રૂપરેખાંકિત કરવા માટેનું મુખ્ય સાધન વેબ ઈન્ટરફેસ છે; CLI દ્વારા સંચાલન પણ શક્ય છે. ડિફૉલ્ટ રૂપે, મેનેજમેન્ટ ઇન્ટરફેસ IP એડ્રેસ 192.168.1.1/24, લોગિન: એડમિન, પાસવર્ડ: એડમિન પર સેટ છે.

તમે સમાન નેટવર્કમાંથી વેબ ઈન્ટરફેસ સાથે કનેક્ટ કરીને અથવા આદેશનો ઉપયોગ કરીને સરનામું બદલી શકો છો deviceconfig સિસ્ટમ ip-address <> netmask <> સેટ કરો. તે રૂપરેખાંકન મોડમાં કરવામાં આવે છે. રૂપરેખાંકન મોડ પર સ્વિચ કરવા માટે, આદેશનો ઉપયોગ કરો રૂપરેખાંકિત કરો. ફાયરવોલ પરના તમામ ફેરફારો આદેશ દ્વારા સેટિંગ્સની પુષ્ટિ થયા પછી જ થાય છે મોકલવું, કમાન્ડ લાઇન મોડ અને વેબ ઇન્ટરફેસ બંનેમાં.

વેબ ઈન્ટરફેસમાં સેટિંગ્સ બદલવા માટે, વિભાગનો ઉપયોગ કરો ઉપકરણ -> સામાન્ય સેટિંગ્સ અને ઉપકરણ -> મેનેજમેન્ટ ઇન્ટરફેસ સેટિંગ્સ. નામ, બેનરો, સમય ઝોન અને અન્ય સેટિંગ્સ સામાન્ય સેટિંગ્સ વિભાગમાં સેટ કરી શકાય છે (ફિગ. 2).

આકૃતિ 2 - મેનેજમેન્ટ ઇન્ટરફેસ પરિમાણો

જો તમે ESXi પર્યાવરણમાં વર્ચ્યુઅલ ફાયરવોલનો ઉપયોગ કરો છો, તો સામાન્ય સેટિંગ્સ વિભાગમાં તમારે હાઇપરવાઇઝર દ્વારા સોંપેલ MAC સરનામાંનો ઉપયોગ સક્ષમ કરવાની જરૂર છે, અથવા હાઇપરવાઇઝર પર ફાયરવોલ ઇન્ટરફેસ પર ઉલ્લેખિત MAC સરનામાંઓને ગોઠવવાની જરૂર છે, અથવા સેટિંગ્સ બદલવાની જરૂર છે. MAC એડ્રેસને બદલવાની મંજૂરી આપવા માટે વર્ચ્યુઅલ સ્વિચ કરે છે. નહિંતર, ટ્રાફિક પસાર થશે નહીં.

મેનેજમેન્ટ ઈન્ટરફેસ અલગથી ગોઠવેલ છે અને નેટવર્ક ઈન્ટરફેસની યાદીમાં પ્રદર્શિત થતું નથી. પ્રકરણમાં મેનેજમેન્ટ ઈન્ટરફેસ સેટિંગ્સ મેનેજમેન્ટ ઈન્ટરફેસ માટે મૂળભૂત ગેટવે સ્પષ્ટ કરે છે. અન્ય સ્ટેટિક રૂટ્સ વર્ચ્યુઅલ રાઉટર્સ વિભાગમાં ગોઠવેલા છે; આની પછીથી ચર્ચા કરવામાં આવશે.

અન્ય ઇન્ટરફેસ દ્વારા ઉપકરણને ઍક્સેસ કરવાની મંજૂરી આપવા માટે, તમારે મેનેજમેન્ટ પ્રોફાઇલ બનાવવી આવશ્યક છે મેનેજમેન્ટ પ્રોફાઇલ કલમ નેટવર્ક -> નેટવર્ક પ્રોફાઇલ્સ -> ઇન્ટરફેસ Mgmt અને તેને યોગ્ય ઈન્ટરફેસને સોંપો.

આગળ, તમારે વિભાગમાં DNS અને NTP ગોઠવવાની જરૂર છે ઉપકરણ -> સેવાઓ અપડેટ્સ પ્રાપ્ત કરવા અને સમયને યોગ્ય રીતે દર્શાવવા માટે (ફિગ. 3). મૂળભૂત રીતે, ફાયરવોલ દ્વારા જનરેટ થયેલો તમામ ટ્રાફિક મેનેજમેન્ટ ઈન્ટરફેસ આઈપી એડ્રેસને તેના સ્ત્રોત આઈપી એડ્રેસ તરીકે વાપરે છે. તમે વિભાગમાં દરેક ચોક્કસ સેવા માટે અલગ ઇન્ટરફેસ અસાઇન કરી શકો છો સેવા રૂટ રૂપરેખાંકન.

આકૃતિ 3 – DNS, NTP અને સિસ્ટમ રૂટ સેવા પરિમાણો

2. લાઇસન્સ ઇન્સ્ટોલ કરવું, અપડેટ્સ સેટ કરવું અને ઇન્સ્ટોલ કરવું

તમામ ફાયરવોલ કાર્યોના સંપૂર્ણ સંચાલન માટે, તમારે લાઇસન્સ ઇન્સ્ટોલ કરવું આવશ્યક છે. તમે પાલો અલ્ટો નેટવર્કના ભાગીદારો પાસેથી વિનંતી કરીને ટ્રાયલ લાયસન્સનો ઉપયોગ કરી શકો છો. તેની માન્યતા અવધિ 30 દિવસ છે. લાઇસન્સ ફાઇલ દ્વારા અથવા ઓથ-કોડનો ઉપયોગ કરીને સક્રિય થાય છે. લાયસન્સ વિભાગમાં ગોઠવેલ છે ઉપકરણ -> લાઇસન્સ (ફિગ. 4).
લાઇસન્સ ઇન્સ્ટોલ કર્યા પછી, તમારે વિભાગમાં અપડેટ્સના ઇન્સ્ટોલેશનને ગોઠવવાની જરૂર છે ઉપકરણ -> ડાયનેમિક અપડેટ્સ.
કલમ ઉપકરણ -> સૉફ્ટવેર તમે PAN-OS ના નવા સંસ્કરણો ડાઉનલોડ અને ઇન્સ્ટોલ કરી શકો છો.

આકૃતિ 4 - લાઇસન્સ કંટ્રોલ પેનલ

3. સુરક્ષા ઝોન, નેટવર્ક ઇન્ટરફેસ, ટ્રાફિક નીતિઓ, સરનામાં અનુવાદને ગોઠવવું

પાલો અલ્ટો નેટવર્ક્સ ફાયરવોલ નેટવર્ક નિયમોને ગોઠવતી વખતે ઝોન લોજિકનો ઉપયોગ કરે છે. નેટવર્ક ઇન્ટરફેસ ચોક્કસ ઝોનને સોંપવામાં આવે છે, અને આ ઝોનનો ઉપયોગ ટ્રાફિક નિયમોમાં થાય છે. આ અભિગમ ભવિષ્યમાં, ઇન્ટરફેસ સેટિંગ્સ બદલતી વખતે, ટ્રાફિક નિયમોને બદલવાની નહીં, પરંતુ તેના બદલે યોગ્ય ઝોનમાં જરૂરી ઇન્ટરફેસને ફરીથી સોંપવાની મંજૂરી આપે છે. મૂળભૂત રીતે, ઝોનની અંદર ટ્રાફિકને મંજૂરી છે, ઝોન વચ્ચે ટ્રાફિક પ્રતિબંધિત છે, પૂર્વવ્યાખ્યાયિત નિયમો આ માટે જવાબદાર છે ઇન્ટ્રાઝોન-ડિફોલ્ટ и ઇન્ટરઝોન-ડિફોલ્ટ.

આકૃતિ 5 – સુરક્ષા ઝોન

આ ઉદાહરણમાં, આંતરિક નેટવર્ક પર એક ઇન્ટરફેસ ઝોનને સોંપેલ છે આંતરિક, અને ઈન્ટરનેટનો સામનો કરતો ઈન્ટરફેસ ઝોનને સોંપેલ છે બાહ્ય. SSL VPN માટે, એક ટનલ ઇન્ટરફેસ બનાવવામાં આવ્યું છે અને ઝોનને સોંપવામાં આવ્યું છે વી.પી.એન. (ફિગ. 5).

પાલો અલ્ટો નેટવર્ક્સ ફાયરવોલ નેટવર્ક ઇન્ટરફેસ પાંચ અલગ-અલગ મોડ્સમાં કામ કરી શકે છે:

ટેપ કરો - મોનિટરિંગ અને વિશ્લેષણ હેતુઓ માટે ટ્રાફિક એકત્રિત કરવા માટે વપરાય છે
HA - ક્લસ્ટર કામગીરી માટે વપરાય છે
વર્ચ્યુઅલ વાયર - આ મોડમાં, પાલો અલ્ટો નેટવર્ક્સ બે ઇન્ટરફેસને જોડે છે અને MAC અને IP સરનામાં બદલ્યા વિના પારદર્શક રીતે તેમની વચ્ચે ટ્રાફિક પસાર કરે છે.
લેયર 2 - સ્વિચ મોડ
લેયર 3 - રાઉટર મોડ

આકૃતિ 6 – ઈન્ટરફેસ ઓપરેટિંગ મોડ સેટ કરી રહ્યું છે

આ ઉદાહરણમાં, લેયર3 મોડનો ઉપયોગ કરવામાં આવશે (ફિગ. 6). નેટવર્ક ઇન્ટરફેસ પરિમાણો IP સરનામું, ઓપરેટિંગ મોડ અને અનુરૂપ સુરક્ષા ઝોન સૂચવે છે. ઇન્ટરફેસના ઑપરેટિંગ મોડ ઉપરાંત, તમારે તેને વર્ચ્યુઅલ રાઉટર વર્ચ્યુઅલ રાઉટરને સોંપવું આવશ્યક છે, આ પાલો અલ્ટો નેટવર્ક્સમાં VRF ઉદાહરણનું એનાલોગ છે. વર્ચ્યુઅલ રાઉટર્સ એકબીજાથી અલગ છે અને તેમના પોતાના રૂટીંગ કોષ્ટકો અને નેટવર્ક પ્રોટોકોલ સેટિંગ્સ છે.

વર્ચ્યુઅલ રાઉટર સેટિંગ્સ સ્ટેટિક રૂટ્સ અને રૂટીંગ પ્રોટોકોલ સેટિંગ્સનો ઉલ્લેખ કરે છે. આ ઉદાહરણમાં, બાહ્ય નેટવર્ક્સ એક્સેસ કરવા માટે માત્ર ડિફોલ્ટ રૂટ બનાવવામાં આવ્યો છે (ફિગ. 7).

આકૃતિ 7 – વર્ચ્યુઅલ રાઉટર સેટઅપ કરી રહ્યું છે

આગામી રૂપરેખાંકન સ્ટેજ ટ્રાફિક નીતિઓ, વિભાગ છે નીતિઓ -> સુરક્ષા. રૂપરેખાંકનનું ઉદાહરણ આકૃતિ 8 માં દર્શાવવામાં આવ્યું છે. નિયમોનો તર્ક બધા ફાયરવોલ માટે સમાન છે. નિયમો ઉપરથી નીચે સુધી, પ્રથમ મેચ સુધી ચકાસવામાં આવે છે. નિયમોનું સંક્ષિપ્ત વર્ણન:

1. SSL VPN વેબ પોર્ટલની ઍક્સેસ. રિમોટ કનેક્શનને પ્રમાણિત કરવા માટે વેબ પોર્ટલને ઍક્સેસ કરવાની મંજૂરી આપે છે
2. VPN ટ્રાફિક – રિમોટ કનેક્શન અને હેડ ઓફિસ વચ્ચે ટ્રાફિકને મંજૂરી આપે છે
3. મૂળભૂત ઈન્ટરનેટ – dns, ping, traceroute, ntp એપ્લીકેશનને મંજૂરી આપે છે. ફાયરવોલ પોર્ટ નંબર્સ અને પ્રોટોકોલ્સને બદલે હસ્તાક્ષર, ડીકોડિંગ અને હ્યુરિસ્ટિક્સ પર આધારિત એપ્લિકેશનને મંજૂરી આપે છે, તેથી જ સેવા વિભાગ એપ્લિકેશન-ડિફોલ્ટ કહે છે. આ એપ્લિકેશન માટે ડિફોલ્ટ પોર્ટ/પ્રોટોકોલ
4. વેબ એક્સેસ – એપ્લીકેશન કંટ્રોલ વિના HTTP અને HTTPS પ્રોટોકોલ દ્વારા ઈન્ટરનેટ એક્સેસની મંજૂરી આપે છે
5,6. અન્ય ટ્રાફિક માટે મૂળભૂત નિયમો.

આકૃતિ 8 — નેટવર્ક નિયમો સેટ કરવાનું ઉદાહરણ

NAT રૂપરેખાંકિત કરવા માટે, વિભાગનો ઉપયોગ કરો નીતિઓ -> NAT. NAT રૂપરેખાંકનનું ઉદાહરણ આકૃતિ 9 માં બતાવવામાં આવ્યું છે.

આકૃતિ 9 – NAT રૂપરેખાંકનનું ઉદાહરણ

આંતરિકથી બાહ્ય કોઈપણ ટ્રાફિક માટે, તમે ફાયરવોલના બાહ્ય IP સરનામામાં સ્ત્રોત સરનામું બદલી શકો છો અને ડાયનેમિક પોર્ટ એડ્રેસ (PAT) નો ઉપયોગ કરી શકો છો.

4. LDAP પ્રમાણીકરણ પ્રોફાઇલ અને વપરાશકર્તા ઓળખ કાર્યને રૂપરેખાંકિત કરી રહ્યું છે
વપરાશકર્તાઓને SSL-VPN દ્વારા કનેક્ટ કરતા પહેલા, તમારે પ્રમાણીકરણ પદ્ધતિને ગોઠવવાની જરૂર છે. આ ઉદાહરણમાં, પાલો અલ્ટો નેટવર્ક્સ વેબ ઈન્ટરફેસ દ્વારા સક્રિય ડિરેક્ટરી ડોમેન નિયંત્રકને પ્રમાણીકરણ થશે.

આકૃતિ 10 – LDAP પ્રોફાઇલ

પ્રમાણીકરણ કાર્ય કરવા માટે, તમારે રૂપરેખાંકિત કરવાની જરૂર છે LDAP પ્રોફાઇલ и પ્રમાણીકરણ પ્રોફાઇલ. વિભાગમાં ઉપકરણ -> સર્વર પ્રોફાઇલ્સ -> LDAP (ફિગ. 10) તમારે જૂથોમાં સમાવિષ્ટ ડોમેન નિયંત્રકનું IP સરનામું અને પોર્ટ, LDAP પ્રકાર અને વપરાશકર્તા ખાતું સ્પષ્ટ કરવાની જરૂર છે. સર્વર ઓપરેટર્સ, ઇવેન્ટ લોગ વાચકો, વિતરિત COM વપરાશકર્તાઓ. પછી વિભાગમાં ઉપકરણ -> પ્રમાણીકરણ પ્રોફાઇલ એક પ્રમાણીકરણ પ્રોફાઇલ બનાવો (ફિગ. 11), અગાઉ બનાવેલ એકને ચિહ્નિત કરો LDAP પ્રોફાઇલ અને અદ્યતન ટેબમાં અમે વપરાશકર્તાઓના જૂથને સૂચવીએ છીએ (ફિગ. 12) જેમને રિમોટ એક્સેસની મંજૂરી છે. તમારી પ્રોફાઇલમાં પેરામીટરની નોંધ લેવી મહત્વપૂર્ણ છે વપરાશકર્તા ડોમેન, અન્યથા જૂથ-આધારિત અધિકૃતતા કામ કરશે નહીં. ફીલ્ડમાં NetBIOS ડોમેન નામ સૂચવવું આવશ્યક છે.

આકૃતિ 11 – પ્રમાણીકરણ પ્રોફાઇલ

આકૃતિ 12 – AD જૂથ પસંદગી

આગળનો તબક્કો સેટઅપ છે ઉપકરણ -> વપરાશકર્તા ઓળખ. અહીં તમારે ડોમેન નિયંત્રકનું IP સરનામું, કનેક્શન ઓળખપત્રો અને સેટિંગ્સને ગોઠવવાની પણ જરૂર છે. સુરક્ષા લૉગ સક્ષમ કરો, સત્ર સક્ષમ કરો, ચકાસણી સક્ષમ કરો (ફિગ. 13). પ્રકરણમાં જૂથ મેપિંગ (ફિગ. 14) તમારે એલડીએપીમાં ઑબ્જેક્ટ ઓળખવા માટેના પરિમાણો અને અધિકૃતતા માટે ઉપયોગમાં લેવાતા જૂથોની સૂચિની નોંધ લેવાની જરૂર છે. પ્રમાણીકરણ પ્રોફાઇલની જેમ, અહીં તમારે વપરાશકર્તા ડોમેન પરિમાણ સેટ કરવાની જરૂર છે.

આકૃતિ 13 - વપરાશકર્તા મેપિંગ પરિમાણો

આકૃતિ 14 - જૂથ મેપિંગ પરિમાણો

આ તબક્કામાં છેલ્લું પગલું એ VPN ઝોન અને તે ઝોન માટે ઇન્ટરફેસ બનાવવાનું છે. તમારે ઇન્ટરફેસ પર વિકલ્પને સક્ષમ કરવાની જરૂર છે વપરાશકર્તા ઓળખ સક્ષમ કરો (ફિગ. 15).

આકૃતિ 15 – VPN ઝોન સેટ કરી રહ્યું છે

5. SSL VPN સેટ કરી રહ્યું છે

SSL VPN સાથે કનેક્ટ કરતા પહેલા, રિમોટ યુઝરે વેબ પોર્ટલ પર જવું, ગ્લોબલ પ્રોટેક્ટ ક્લાયંટને પ્રમાણિત કરવું અને ડાઉનલોડ કરવું આવશ્યક છે. આગળ, આ ક્લાયંટ ઓળખપત્રોની વિનંતી કરશે અને કોર્પોરેટ નેટવર્ક સાથે જોડાશે. વેબ પોર્ટલ https મોડમાં કાર્ય કરે છે અને તે મુજબ, તમારે તેના માટે પ્રમાણપત્ર ઇન્સ્ટોલ કરવાની જરૂર છે. જો શક્ય હોય તો જાહેર પ્રમાણપત્રનો ઉપયોગ કરો. પછી વપરાશકર્તાને સાઇટ પર પ્રમાણપત્રની અમાન્યતા વિશે ચેતવણી પ્રાપ્ત થશે નહીં. જો સાર્વજનિક પ્રમાણપત્રનો ઉપયોગ કરવો શક્ય ન હોય, તો તમારે તમારું પોતાનું જારી કરવાની જરૂર છે, જેનો ઉપયોગ https માટે વેબ પૃષ્ઠ પર કરવામાં આવશે. તે સ્થાનિક પ્રમાણપત્ર સત્તાધિકારી દ્વારા સ્વ-હસ્તાક્ષરિત અથવા જારી કરી શકાય છે. રિમોટ કોમ્પ્યુટર પાસે વિશ્વસનીય રૂટ સત્તાવાળાઓની યાદીમાં રૂટ અથવા સ્વ-હસ્તાક્ષરિત પ્રમાણપત્ર હોવું આવશ્યક છે જેથી કરીને વેબ પોર્ટલ સાથે કનેક્ટ કરતી વખતે વપરાશકર્તાને ભૂલ ન આવે. આ ઉદાહરણ સક્રિય નિર્દેશિકા પ્રમાણપત્ર સેવાઓ દ્વારા જારી કરાયેલ પ્રમાણપત્રનો ઉપયોગ કરશે.

પ્રમાણપત્ર આપવા માટે, તમારે વિભાગમાં પ્રમાણપત્ર વિનંતી બનાવવાની જરૂર છે ઉપકરણ -> પ્રમાણપત્ર સંચાલન -> પ્રમાણપત્રો -> જનરેટ કરો. વિનંતીમાં અમે પ્રમાણપત્રનું નામ અને વેબ પોર્ટલનું IP સરનામું અથવા FQDN સૂચવીએ છીએ (ફિગ. 16). વિનંતી જનરેટ કર્યા પછી, ડાઉનલોડ કરો .csr ફાઇલ કરો અને AD CS વેબ એનરોલમેન્ટ વેબ ફોર્મમાં પ્રમાણપત્ર વિનંતી ફીલ્ડમાં તેની સામગ્રીની નકલ કરો. પ્રમાણપત્ર સત્તાધિકારી કેવી રીતે ગોઠવેલ છે તેના આધારે, પ્રમાણપત્ર વિનંતી મંજૂર હોવી જોઈએ અને જારી કરાયેલ પ્રમાણપત્ર ફોર્મેટમાં ડાઉનલોડ કરવું આવશ્યક છે. Base64 એન્કોડેડ પ્રમાણપત્ર. વધુમાં, તમારે પ્રમાણપત્ર અધિકારીનું રૂટ પ્રમાણપત્ર ડાઉનલોડ કરવાની જરૂર છે. પછી તમારે બંને પ્રમાણપત્રોને ફાયરવોલમાં આયાત કરવાની જરૂર છે. વેબ પોર્ટલ માટે પ્રમાણપત્ર આયાત કરતી વખતે, તમારે બાકી સ્થિતિમાં વિનંતી પસંદ કરવી જોઈએ અને આયાત પર ક્લિક કરવું જોઈએ. પ્રમાણપત્રનું નામ વિનંતીમાં અગાઉ ઉલ્લેખિત નામ સાથે મેળ ખાતું હોવું જોઈએ. રૂટ પ્રમાણપત્રનું નામ મનસ્વી રીતે સ્પષ્ટ કરી શકાય છે. પ્રમાણપત્ર આયાત કર્યા પછી, તમારે બનાવવાની જરૂર છે SSL/TLS સેવા પ્રોફાઇલ કલમ ઉપકરણ -> પ્રમાણપત્ર સંચાલન. પ્રોફાઇલમાં અમે અગાઉ આયાત કરેલ પ્રમાણપત્ર સૂચવીએ છીએ.

આકૃતિ 16 – પ્રમાણપત્ર વિનંતી

આગળનું પગલું ઑબ્જેક્ટ્સ સેટ કરવાનું છે ગ્લોબલ પ્રોટેક્ટ ગેટવે и ગ્લોબલ પ્રોટેક્ટ પોર્ટલ કલમ નેટવર્ક -> વૈશ્વિક રક્ષણ. સેટિંગ્સમાં ગ્લોબલ પ્રોટેક્ટ ગેટવે ફાયરવોલનું બાહ્ય IP સરનામું સૂચવો, તેમજ અગાઉ બનાવેલ SSL પ્રોફાઇલ, પ્રમાણીકરણ પ્રોફાઇલ, ટનલ ઇન્ટરફેસ અને ક્લાયંટ IP સેટિંગ્સ. તમારે IP એડ્રેસના પૂલનો ઉલ્લેખ કરવાની જરૂર છે જેમાંથી સરનામું ક્લાયંટને અસાઇન કરવામાં આવશે, અને એક્સેસ રૂટ - આ તે સબનેટ્સ છે જેના પર ક્લાયંટનો રૂટ હશે. જો કાર્ય ફાયરવોલ દ્વારા તમામ વપરાશકર્તા ટ્રાફિકને લપેટવાનું છે, તો તમારે સબનેટ 0.0.0.0/0 (ફિગ. 17) નો ઉલ્લેખ કરવાની જરૂર છે.

આકૃતિ 17 – IP સરનામાંઓ અને રૂટ્સના પૂલને ગોઠવી રહ્યાં છે

પછી તમારે રૂપરેખાંકિત કરવાની જરૂર છે ગ્લોબલ પ્રોટેક્ટ પોર્ટલ. ફાયરવોલનું IP સરનામું સ્પષ્ટ કરો, SSL પ્રોફાઇલ и પ્રમાણીકરણ પ્રોફાઇલ અને ફાયરવોલના બાહ્ય IP સરનામાઓની સૂચિ કે જેનાથી ક્લાયંટ કનેક્ટ થશે. જો ત્યાં ઘણી ફાયરવોલ છે, તો તમે દરેક માટે પ્રાથમિકતા સેટ કરી શકો છો, જે મુજબ વપરાશકર્તાઓ કનેક્ટ કરવા માટે ફાયરવોલ પસંદ કરશે.

કલમ ઉપકરણ -> ગ્લોબલપ્રોટેક્ટ ક્લાયંટ તમારે Palo Alto Networks સર્વર્સમાંથી VPN ક્લાયંટ વિતરણ ડાઉનલોડ કરવાની અને તેને સક્રિય કરવાની જરૂર છે. કનેક્ટ કરવા માટે, વપરાશકર્તાએ પોર્ટલ વેબ પૃષ્ઠ પર જવું આવશ્યક છે, જ્યાં તેને ડાઉનલોડ કરવા માટે કહેવામાં આવશે ગ્લોબલપ્રોટેક્ટ ક્લાયન્ટ. એકવાર ડાઉનલોડ અને ઇન્સ્ટોલ થઈ ગયા પછી, તમે તમારા ઓળખપત્ર દાખલ કરી શકો છો અને SSL VPN દ્વારા તમારા કોર્પોરેટ નેટવર્ક સાથે કનેક્ટ થઈ શકો છો.

નિષ્કર્ષ

આ સેટઅપના પાલો અલ્ટો નેટવર્ક્સ ભાગને પૂર્ણ કરે છે. અમે આશા રાખીએ છીએ કે માહિતી ઉપયોગી હતી અને વાચકને Palo Alto Networks પર વપરાતી ટેક્નોલોજીની સમજણ મળી. જો તમને ભાવિ લેખો માટેના વિષયો પર સેટઅપ અને સૂચનો વિશે પ્રશ્નો હોય, તો તેમને ટિપ્પણીઓમાં લખો, અમને જવાબ આપવામાં આનંદ થશે.

સોર્સ: www.habr.com

પાલો અલ્ટો નેટવર્ક સેટઅપ સુવિધાઓ: SSL VPN

1. પ્રીસેટ

2. લાઇસન્સ ઇન્સ્ટોલ કરવું, અપડેટ્સ સેટ કરવું અને ઇન્સ્ટોલ કરવું

3. સુરક્ષા ઝોન, નેટવર્ક ઇન્ટરફેસ, ટ્રાફિક નીતિઓ, સરનામાં અનુવાદને ગોઠવવું

5. SSL VPN સેટ કરી રહ્યું છે

નિષ્કર્ષ

એક ટિપ્પણી ઉમેરો જવાબ રદ