Malgre tout avantaj ki genyen nan firewall Palo Alto Networks, pa gen anpil materyèl sou RuNet sou konfigirasyon aparèy sa yo, osi byen ke tèks ki dekri eksperyans nan aplikasyon yo. Nou deside rezime materyèl nou te akimile pandan travay nou ak ekipman vandè sa a epi pale sou karakteristik nou te rankontre pandan aplikasyon plizyè pwojè.
Pou prezante w Palo Alto Networks, atik sa a pral gade nan konfigirasyon ki nesesè pou rezoud youn nan pwoblèm firewall ki pi komen yo - SSL VPN pou aksè aleka. Nou pral pale tou sou fonksyon sèvis piblik pou konfigirasyon firewall jeneral, idantifikasyon itilizatè, aplikasyon, ak règleman sekirite. Si sijè a enterese lektè yo, alavni nou pral lage materyèl analize VPN Site-to-Site, routage dinamik ak jesyon santralize lè l sèvi avèk Panorama.
Pare-feu Palo Alto Networks yo sèvi ak yon kantite teknoloji inovatè, tankou App-ID, User-ID, Content-ID. Itilizasyon fonksyonalite sa a pèmèt ou asire yon wo nivo sekirite. Pou egzanp, ak App-ID li posib pou idantifye trafik aplikasyon an ki baze sou siyati, dekodaj ak eristik, kèlkeswa pò a ak pwotokòl yo itilize, ki gen ladan andedan yon tinèl SSL. User-ID pèmèt ou idantifye itilizatè rezo yo atravè entegrasyon LDAP. Content-ID fè li posib pou eskane trafik ak idantifye fichye transmèt ak sa yo. Lòt fonksyon firewall gen ladan pwoteksyon kont entrizyon, pwoteksyon kont frajilite ak atak DoS, entegre anti-espyon, filtraj URL, clustering, ak jesyon santralize.
Pou demonstrasyon an, nou pral sèvi ak yon kanpe izole, ak yon konfigirasyon ki idantik ak yon sèl reyèl la, ak eksepsyon de non aparèy, non domèn AD ak adrès IP. An reyalite, tout bagay se pi konplike - ka gen anpil branch. Nan ka sa a, olye pou yo yon sèl firewall, yo pral enstale yon gwoup nan fwontyè sit santral yo, epi yo ka mande routage dinamik tou.
Itilize sou kanpe la PAN-OS 7.1.9. Kòm yon konfigirasyon tipik, konsidere yon rezo ak yon pare-feu Palo Alto Networks nan kwen an. Firewall la bay aksè SSL VPN aleka nan biwo prensipal la. Domèn Active Directory a pral itilize kòm yon baz done itilizatè (Figi 1).
Figi 1 - Dyagram blòk rezo
Etap konfigirasyon:
- Aparèy pre-konfigirasyon. Mete non an, adrès IP jesyon, wout estatik, kont administratè, pwofil jesyon
- Enstale lisans, konfigirasyon ak enstale mizajou
- Konfigirasyon zòn sekirite, koòdone rezo, politik trafik, tradiksyon adrès
- Konfigirasyon yon pwofil otantifikasyon LDAP ak yon karakteristik idantifikasyon itilizatè
- Mete kanpe yon VPN SSL
1. Prereglaj
Zouti prensipal la pou konfigirasyon pare-feu Palo Alto Networks se koòdone entènèt la; jesyon atravè CLI a posib tou. Pa default, koòdone jesyon an mete nan adrès IP 192.168.1.1/24, login: admin, modpas: admin.
Ou ka chanje adrès la swa lè w konekte ak koòdone entènèt la nan menm rezo a, oswa lè w itilize kòmandman an mete adrès IP sistèm deviceconfig <> netmask <>. Li fèt nan mòd konfigirasyon. Pou chanje nan mòd konfigirasyon, sèvi ak lòd la konfigirasyon. Tout chanjman sou firewall la fèt sèlman apre yo fin konfime anviwònman yo pa lòd la komèt, tou de nan mòd liy lòd ak nan koòdone entènèt la.
Pou chanje paramèt nan koòdone entènèt la, sèvi ak seksyon an Aparèy -> Anviwònman Jeneral ak Aparèy -> Anviwònman Entèfas Jesyon. Non, banyèr, zòn tan ak lòt paramèt yo ka mete nan seksyon Anviwònman Jeneral yo (Fig. 2).
Figi 2 - Paramèt koòdone Jesyon
Si w itilize yon pare-feu vityèl nan yon anviwònman ESXi, nan seksyon Anviwònman Jeneral la, ou bezwen pèmèt itilizasyon adrès MAC ki bay hypervisor la, oswa konfigirasyon adrès MAC ki espesifye sou koòdone pare-feu sou ipèvizè a, oswa chanje paramèt yo. switch yo vityèl pou pèmèt MAC chanje adrès yo. Sinon, trafik pa pral pase.
Se koòdone nan jesyon configuré separeman epi li pa parèt nan lis la nan koòdone rezo. Nan chapit Anviwònman Entèfas Jesyon espesifye pòtay default la pou koòdone jesyon an. Lòt wout estatik yo configuré nan seksyon routeurs vityèl yo; sa a pral diskite pita.
Pou pèmèt aksè nan aparèy la atravè lòt interfaces, ou dwe kreye yon pwofil jesyon Jesyon Profile seksyon Rezo -> Rezo Des -> Interface Mgmt epi bay li nan koòdone ki apwopriye a.
Apre sa, ou bezwen configured DNS ak NTP nan seksyon an Aparèy -> Sèvis pou resevwa mizajou epi montre tan an kòrèkteman (figi 3). Pa default, tout trafik ki te pwodwi pa firewall la itilize adrès IP koòdone jesyon an kòm adrès IP sous li yo. Ou ka bay yon koòdone diferan pou chak sèvis espesifik nan seksyon an Konfigirasyon wout sèvis.
Figi 3 - DNS, NTP ak sistèm wout paramèt sèvis yo
2. Enstale lisans, mete ak enstale mizajou
Pou fonksyone konplè tout fonksyon firewall, ou dwe enstale yon lisans. Ou ka itilize yon lisans esè lè w mande l nan men patnè Palo Alto Networks. Peryòd validite li se 30 jou. Lisans lan aktive swa atravè yon dosye oswa lè l sèvi avèk Auth-Code. Lisans yo configuré nan seksyon an Aparèy -> Lisans (fig frans. 4).
Apre enstale lisans lan, ou bezwen konfigirasyon enstalasyon mizajou nan seksyon an Aparèy -> Mizajou dinamik.
Nan seksyon Aparèy -> Lojisyèl ou ka telechaje ak enstale nouvo vèsyon PAN-OS.
Figi 4 - Panèl kontwòl lisans
3. Konfigirasyon zòn sekirite yo, rezo interfaces, politik trafik, tradiksyon adrès
Pare-feu Palo Alto Networks itilize lojik zòn lè y ap konfigirasyon règ rezo yo. Entèfas rezo yo asiyen nan yon zòn espesifik, epi yo itilize zòn sa a nan règ trafik yo. Apwòch sa a pèmèt nan lavni an, lè w ap chanje paramèt koòdone yo, pa chanje règ trafik yo, men olye pou reassigne interfaces ki nesesè yo nan zòn ki apwopriye yo. Pa default, trafik nan yon zòn yo pèmèt, trafik ant zòn yo entèdi, règ predefini yo responsab pou sa intrazone-default и interzone-default.
Figi 5 - Zòn sekirite yo
Nan egzanp sa a, yon koòdone sou rezo entèn yo asiyen nan zòn nan entèn, ak koòdone ki fè fas a entènèt la asiyen nan zòn nan ekstèn. Pou SSL VPN, yo te kreye yon koòdone tinèl epi yo asiyen nan zòn nan vpn (fig frans. 5).
Entèfas rezo pare-feu Palo Alto Networks ka opere nan senk mòd diferan:
- Tiyo – itilize pou kolekte trafik pou siveyans ak analiz
- HA - itilize pou operasyon gwoup
- Fil vityèl - nan mòd sa a, Palo Alto Networks konbine de entèfas ak transparan pase trafik ant yo san yo pa chanje MAC ak adrès IP.
- Layer2 - chanje mòd
- Layer3 - mòd routeur
Figi 6 - Mete mòd opere koòdone
Nan egzanp sa a, yo pral itilize mòd Layer3 (Fig. 6). Paramèt koòdone rezo yo endike adrès IP, mòd opere ak zòn sekirite ki koresponn lan. Anplis de mòd opere nan koòdone a, ou dwe bay li nan routeur vityèl Virtual Router la, sa a se yon analogue nan yon egzanp VRF nan Palo Alto Networks. Routeur Virtuel yo izole youn ak lòt epi yo gen pwòp tab routage yo ak anviwònman pwotokòl rezo yo.
Anviwònman routeur vityèl yo presize wout estatik ak anviwònman pwotokòl routage. Nan egzanp sa a, se sèlman yon wout default ki te kreye pou jwenn aksè nan rezo ekstèn (Fig. 7).
Figi 7 - Mete kanpe yon routeur vityèl
Pwochen etap konfigirasyon an se politik trafik, seksyon Règleman -> Sekirite. Yon egzanp konfigirasyon yo montre nan Figi 8. Lojik règ yo se menm jan ak pou tout firewall. Règ yo tcheke depi anwo jouk anba, desann nan premye match la. Brèf deskripsyon règ yo:
1. SSL VPN Aksè nan Portal Web. Pèmèt aksè nan pòtal entènèt la otantifye koneksyon aleka
2. Trafik VPN - pèmèt trafik ant koneksyon aleka ak biwo prensipal la
3. Entènèt debaz - ki pèmèt aplikasyon dns, ping, traceroute, ntp. Firewall la pèmèt aplikasyon ki baze sou siyati, dekodaj, ak euristik olye ke nimewo pò ak pwotokòl, se poutèt sa seksyon Sèvis la di aplikasyon-default. Default pò/pwotokòl pou aplikasyon sa a
4. Aksè Entènèt – pèmèt aksè Entènèt atravè HTTP ak HTTPS pwotokòl san kontwòl aplikasyon an
5,6. Règ defo pou lòt trafik.
Figi 8 — Egzanp pou mete règ rezo a
Pou konfigirasyon NAT, sèvi ak seksyon an Politik -> NAT. Yon egzanp konfigirasyon NAT yo montre nan Figi 9.
Figi 9 - Egzanp konfigirasyon NAT
Pou nenpòt trafik soti nan entèn nan ekstèn, ou ka chanje adrès sous la nan adrès la ekstèn IP nan firewall la epi sèvi ak yon adrès pò dinamik (PAT).
4. Konfigirasyon Pwofil Otantifikasyon LDAP ak Fonksyon Idantifikasyon Itilizatè
Anvan konekte itilizatè yo atravè SSL-VPN, ou bezwen konfigirasyon yon mekanis otantifikasyon. Nan egzanp sa a, otantifikasyon ap fèt nan kontwolè domèn Active Directory atravè koòdone wèb Palo Alto Networks.
Figi 10 - pwofil LDAP
Pou otantifikasyon travay, ou bezwen konfigirasyon Pwofil LDAP и Pwofil Otantifikasyon... Nan chapit la Aparèy -> Pwofil sèvè -> LDAP (Fig. 10) ou bezwen presize adrès IP ak pò kontwolè domèn, kalite LDAP ak kont itilizatè ki enkli nan gwoup yo. Operatè sèvè, Lektè jounal evènman yo, Itilizatè COM distribye. Lè sa a, nan seksyon an Aparèy -> Pwofil Otantifikasyon kreye yon pwofil otantifikasyon (figi 11), make youn ki te kreye anvan an Pwofil LDAP ak nan tab la Avanse nou endike gwoup itilizatè yo (Fig. 12) ki gen dwa aksè a distans. Li enpòtan sonje paramèt la nan pwofil ou a Domèn itilizatè, otreman otorizasyon ki baze sou gwoup pa pral travay. Jaden an dwe endike non domèn NetBIOS.
Figi 11 - Pwofil Otantifikasyon
Figi 12 - Seleksyon gwoup AD
Pwochen etap la se konfigirasyon Aparèy -> Idantifikasyon itilizatè. Isit la ou bezwen presize adrès IP kontwolè domèn, kalifikasyon koneksyon, epi tou konfigirasyon anviwònman yo Pèmèt Journal Sekirite, Pèmèt Sesyon, Pèmèt Sondaj (figi 13). Nan chapit Kat gwoup (Fig. 14) ou bezwen sonje paramèt yo pou idantifye objè nan LDAP ak lis gwoup yo pral itilize pou otorizasyon. Jis tankou nan pwofil la Otantifikasyon, isit la ou bezwen mete paramèt Domèn itilizatè a.
Figi 13 - Paramèt kat itilizatè yo
Figi 14 - Paramèt kat gwoup
Dènye etap nan faz sa a se kreye yon zòn VPN ak yon koòdone pou zòn sa a. Ou bezwen pèmèt opsyon an sou koòdone la Pèmèt Idantifikasyon itilizatè (fig frans. 15).
Figi 15 - Mete kanpe yon zòn VPN
5. Mete kanpe SSL VPN
Anvan konekte ak yon VPN SSL, itilizatè a aleka dwe ale nan pòtal entènèt la, otantifye ak telechaje kliyan Global Protect la. Apre sa, kliyan sa a pral mande kalifikasyon epi konekte nan rezo antrepriz la. Pòtal entènèt la opere nan mòd https epi, kòmsadwa, ou bezwen enstale yon sètifika pou li. Sèvi ak yon sètifika piblik si sa posib. Lè sa a, itilizatè a pa pral resevwa yon avètisman sou envalidite sètifika a sou sit la. Si li pa posib pou itilize yon sètifika piblik, Lè sa a, ou bezwen bay pwòp ou a, ki pral itilize sou paj wèb la pou https. Li ka siyen pwòp tèt ou oswa bay atravè yon otorite sètifika lokal. Òdinatè aleka a dwe gen yon sètifika rasin oswa siyen pwòp tèt ou nan lis otorite rasin ou fè konfyans pou itilizatè a pa resevwa yon erè lè w konekte ak pòtal entènèt la. Egzanp sa a pral sèvi ak yon sètifika ki soti nan Sèvis Sètifika Active Directory.
Pou bay yon sètifika, ou bezwen kreye yon demann sètifika nan seksyon an Aparèy -> Jesyon Sètifika -> Sètifika -> Jenere. Nan demann lan nou endike non sètifika a ak adrès IP oswa FQDN nan pòtal entènèt la (figi 16). Apre jenere demann lan, telechaje .csr ranpli epi kopye sa ki ladan l nan jaden demann sètifika a nan fòm Enskripsyon Web AD CS la. Tou depan de ki jan otorite sètifika a konfigirasyon, demann sètifika a dwe apwouve epi yo dwe telechaje sètifika ki bay la nan fòma a. Sètifika kode Base64. Anplis de sa, ou bezwen telechaje sètifika rasin otorite sètifikasyon an. Lè sa a, ou bezwen enpòte tou de sètifika nan firewall la. Lè w ap enpòte yon sètifika pou yon pòtal entènèt, ou dwe chwazi demann lan nan estati annatant epi klike sou enpòte. Non sètifika a dwe matche ak non ki espesifye pi bonè nan demann lan. Non sètifika rasin lan ka espesifye abitrèman. Apre enpòte sètifika a, ou bezwen kreye Pwofil sèvis SSL/TLS seksyon Aparèy -> Jesyon Sètifika. Nan pwofil la nou endike sètifika a deja enpòte.
Figi 16 – demann sètifika
Pwochen etap la se mete objè yo Global Protect Gateway и Global Protect Portal seksyon Rezo -> Pwoteje Global... Nan paramèt Global Protect Gateway endike adrès IP ekstèn nan firewall la, osi byen ke deja kreye SSL pwofil, Pwofil Otantifikasyon, koòdone tinèl ak anviwònman IP kliyan. Ou bezwen presize yon pisin nan adrès IP ki soti nan ki adrès la pral asiyen nan kliyan an, ak Route Aksè - sa yo se subnet yo nan ki kliyan an pral gen yon wout. Si travay la se vlope tout trafik itilizatè atravè yon firewall, Lè sa a, ou bezwen presize subnet la 0.0.0.0/0 (Fig. 17).
Figi 17 - Konfigirasyon yon pisin nan adrès IP ak wout
Lè sa a, ou bezwen konfigirasyon Global Protect Portal. Espesifye adrès IP firewall la, SSL pwofil и Pwofil Otantifikasyon ak yon lis adrès IP ekstèn nan firewall kote kliyan an pral konekte. Si gen plizyè firewall, ou ka mete yon priyorite pou chak, dapre sa itilizatè yo pral chwazi yon firewall pou konekte avèk yo.
Nan seksyon Aparèy -> GlobalProtect Kliyan ou bezwen telechaje distribisyon kliyan VPN nan Palo Alto Networks serveurs epi aktive li. Pou konekte, itilizatè a dwe ale nan paj wèb Portal, kote yo pral mande l pou telechaje Kliyan GlobalProtect. Yon fwa telechaje ak enstale, ou ka antre kalifikasyon ou epi konekte nan rezo antrepriz ou atravè SSL VPN.
Konklizyon
Sa a konplete pati Palo Alto Networks nan konfigirasyon an. Nou espere enfòmasyon an te itil epi lektè a te vin konprann teknoloji yo itilize nan Palo Alto Networks. Si ou gen kesyon sou konfigirasyon ak sijesyon sou sijè pou atik nan lavni, ekri yo nan kòmantè yo, nou pral kontan reponn.
Sous: www.habr.com