Չնայած Palo Alto Networks firewalls-ի բոլոր առավելություններին, RuNet-ում այս սարքերի տեղադրման վերաբերյալ շատ նյութեր չկան, ինչպես նաև դրանց իրականացման փորձը նկարագրող տեքստեր: Մենք որոշեցինք ամփոփել այս վաճառողի սարքավորումների հետ մեր աշխատանքի ընթացքում կուտակած նյութերը և խոսել այն առանձնահատկությունների մասին, որոնց հանդիպել ենք տարբեր նախագծերի իրականացման ընթացքում:
Ձեզ Palo Alto Networks-ին ծանոթացնելու համար այս հոդվածը կանդրադառնա այն կոնֆիգուրացիան, որն անհրաժեշտ է լուծելու firewall-ի ամենատարածված խնդիրներից մեկը՝ SSL VPN հեռավոր մուտքի համար: Մենք նաև կխոսենք ընդհանուր firewall-ի կազմաձևման, օգտատերերի նույնականացման, հավելվածների և անվտանգության քաղաքականության օգտակար գործառույթների մասին: Եթե թեման հետաքրքրում է ընթերցողներին, ապագայում մենք կթողարկենք նյութեր, որոնք վերլուծում են Site-to-Site VPN-ը, դինամիկ երթուղին և կենտրոնացված կառավարումը Panorama-ի միջոցով:
Palo Alto Networks firewalls-ը օգտագործում է մի շարք նորարարական տեխնոլոգիաներ, այդ թվում՝ App-ID, User-ID, Content-ID: Այս ֆունկցիոնալության օգտագործումը թույլ է տալիս ապահովել անվտանգության բարձր մակարդակ: Օրինակ, App-ID-ով հնարավոր է նույնականացնել հավելվածի տրաֆիկը ստորագրությունների, վերծանման և էվրիստիկայի հիման վրա՝ անկախ օգտագործվող պորտից և արձանագրությունից, ներառյալ SSL թունելի ներսում: User-ID-ը թույլ է տալիս նույնականացնել ցանցի օգտվողներին LDAP ինտեգրման միջոցով: Content-ID-ը հնարավորություն է տալիս սկանավորել տրաֆիկը և նույնականացնել փոխանցված ֆայլերը և դրանց բովանդակությունը: Firewall-ի այլ գործառույթները ներառում են ներխուժումից պաշտպանություն, պաշտպանություն խոցելիությունից և DoS հարձակումներից, ներկառուցված հակալրտեսող ծրագրերից, URL-ի զտիչ, կլաստերավորում և կենտրոնացված կառավարում:
Ցուցադրման համար մենք կօգտագործենք մեկուսացված ստենդ՝ իրականին նույնական կոնֆիգուրացիայով, բացառությամբ սարքերի անունների, AD տիրույթի անվանման և IP հասցեների: Իրականում ամեն ինչ ավելի բարդ է՝ կարող են լինել բազմաթիվ ճյուղեր։ Այս դեպքում մեկ firewall-ի փոխարեն կենտրոնական կայքերի սահմաններում կտեղադրվի կլաստեր, և կարող է պահանջվել նաև դինամիկ երթուղի:
Օգտագործված տակդիրի վրա PAN-OS 7.1.9. Որպես սովորական կոնֆիգուրացիա, դիտարկեք ցանցը, որի եզրին գտնվում է Palo Alto Networks firewall-ը: Firewall-ը ապահովում է հեռակա SSL VPN մուտք դեպի գլխավոր գրասենյակ: Active Directory տիրույթը կօգտագործվի որպես օգտվողների տվյալների բազա (Նկար 1):
Նկար 1 – Ցանցի բլոկային դիագրամ
Կարգավորման քայլեր.
- Սարքի նախնական կազմաձևում: Անվան, կառավարման IP հասցեի, ստատիկ երթուղիների, ադմինիստրատորի հաշիվների, կառավարման պրոֆիլների կարգավորում
- Լիցենզիաների տեղադրում, թարմացումների կազմաձևում և տեղադրում
- Անվտանգության գոտիների, ցանցային միջերեսների, երթևեկության քաղաքականության, հասցեների թարգմանության կարգավորում
- LDAP վավերացման պրոֆիլի և օգտատիրոջ նույնականացման գործառույթի կարգավորում
- SSL VPN-ի կարգավորում
1. Նախադրված
Palo Alto Networks firewall-ի կազմաձևման հիմնական գործիքը վեբ ինտերֆեյսն է, հնարավոր է նաև կառավարում CLI-ի միջոցով: Լռելյայնորեն կառավարման միջերեսը դրված է IP հասցե 192.168.1.1/24, մուտք՝ admin, գաղտնաբառը՝ admin:
Դուք կարող եք փոխել հասցեն կամ միանալով վեբ ինտերֆեյսին նույն ցանցից, կամ օգտագործելով հրամանը set deviceconfig համակարգի ip-հասցե <> netmask <>. Այն իրականացվում է կոնֆիգուրացիայի ռեժիմում: Կազմաձևման ռեժիմին անցնելու համար օգտագործեք հրամանը կազմաձեւել. Firewall-ի բոլոր փոփոխությունները տեղի են ունենում միայն այն բանից հետո, երբ կարգավորումները հաստատվում են հրամանով պարտավորություն, ինչպես հրամանի տողի ռեժիմում, այնպես էլ վեբ ինտերֆեյսում։
Վեբ ինտերֆեյսի կարգավորումները փոխելու համար օգտագործեք բաժինը Սարք -> Ընդհանուր կարգավորումներ և Սարք -> Կառավարման միջերեսի կարգավորումներ: Անունը, ցուցապաստառները, ժամային գոտին և այլ կարգավորումներ կարելի է տեղադրել «Ընդհանուր կարգավորումներ» բաժնում (նկ. 2):
Նկար 2 – Կառավարման ինտերֆեյսի պարամետրեր
Եթե դուք օգտագործում եք վիրտուալ firewall ESXi միջավայրում, ապա «Ընդհանուր կարգավորումներ» բաժնում դուք պետք է ակտիվացնեք հիպերվիզորի կողմից նշանակված MAC հասցեի օգտագործումը, կամ կարգավորեք հիպերվիզորի firewall ինտերֆեյսներում նշված MAC հասցեները կամ փոխեք դրա կարգավորումները: վիրտուալ անջատիչներ՝ MAC-ի հասցեները փոխելու համար: Հակառակ դեպքում երթեւեկությունը չի անցնի:
Կառավարման միջերեսը կազմաձևված է առանձին և չի ցուցադրվում ցանցային միջերեսների ցանկում: Գլխում Կառավարման ինտերֆեյսի կարգավորումներ նշում է կառավարման միջերեսի լռելյայն դարպասը: Այլ ստատիկ երթուղիները կազմաձևված են վիրտուալ երթուղիչների բաժնում, սա կքննարկվի ավելի ուշ:
Այլ ինտերֆեյսների միջոցով սարք մուտք գործելու համար դուք պետք է ստեղծեք կառավարման պրոֆիլ Կառավարման պրոֆիլ բաժին Ցանց -> Ցանցային պրոֆիլներ -> Ինտերֆեյս Mgmt և նշանակեք այն համապատասխան ինտերֆեյսին:
Հաջորդը, դուք պետք է կարգավորեք DNS և NTP բաժնում Սարք -> Ծառայություններ թարմացումներ ստանալու և ժամը ճիշտ ցուցադրելու համար (նկ. 3): Լռելյայնորեն, firewall-ի կողմից ստեղծված ամբողջ տրաֆիկը օգտագործում է կառավարման միջերեսի IP հասցեն որպես աղբյուրի IP հասցե: Բաժնի յուրաքանչյուր հատուկ ծառայության համար կարող եք տարբեր ինտերֆեյս նշանակել Ծառայության երթուղու կազմաձևում.
Նկար 3 – DNS, NTP և համակարգի երթուղիների սպասարկման պարամետրեր
2. Լիցենզիաների տեղադրում, թարմացումների տեղադրում և տեղադրում
Firewall-ի բոլոր գործառույթների լիարժեք շահագործման համար դուք պետք է լիցենզիա տեղադրեք: Դուք կարող եք օգտագործել փորձնական լիցենզիա՝ խնդրելով այն Palo Alto Networks-ի գործընկերներից: Դրա վավերականության ժամկետը 30 օր է։ Լիցենզիան ակտիվանում է կա՛մ ֆայլի միջոցով, կա՛մ Auth-Code-ի միջոցով: Լիցենզիաները կազմաձևված են բաժնում Սարք -> Լիցենզիաներ (նկար 4):
Լիցենզիան տեղադրելուց հետո դուք պետք է կարգավորեք թարմացումների տեղադրումը բաժնում Սարք -> Դինամիկ թարմացումներ.
Բաժին Սարք -> Ծրագրային ապահովում կարող եք ներբեռնել և տեղադրել PAN-OS-ի նոր տարբերակները:
Նկար 4 – Լիցենզիայի կառավարման վահանակ
3. Անվտանգության գոտիների, ցանցային միջերեսների, երթևեկության քաղաքականության, հասցեների թարգմանության կարգավորում
Palo Alto Networks firewalls-ը օգտագործում է գոտու տրամաբանությունը ցանցի կանոնները կարգավորելիս: Ցանցային ինտերֆեյսները նշանակված են որոշակի գոտու, և այս գոտին օգտագործվում է երթևեկության կանոններում: Այս մոտեցումը թույլ է տալիս ապագայում ինտերֆեյսի կարգավորումները փոխելիս չփոխել երթևեկության կանոնները, փոխարենը վերաբաշխել անհրաժեշտ միջերեսները համապատասխան գոտիներին։ Լռելյայնորեն, երթևեկությունը գոտու ներսում թույլատրված է, գոտիների միջև երթևեկությունն արգելված է, դրա համար պատասխանատու են նախապես սահմանված կանոնները: intrazone-default и interzone-default.
Նկար 5 – Անվտանգության գոտիներ
Այս օրինակում ներքին ցանցի ինտերֆեյսը նշանակված է գոտուն ներքին, և ինտերֆեյսը, որը ուղղված է ինտերնետին, նշանակված է գոտուն արտաքին. SSL VPN-ի համար ստեղծվել է թունելի միջերես և հատկացվել է գոտուն VPN (նկար 5):
Palo Alto Networks firewall ցանցային միջերեսները կարող են գործել հինգ տարբեր ռեժիմներով.
- Խցան – օգտագործվում է երթևեկությունը հավաքելու համար մոնիտորինգի և վերլուծության նպատակներով
- HA - օգտագործվում է կլաստերի շահագործման համար
- Վիրտուալ մետաղալար – այս ռեժիմում Palo Alto Networks-ը միավորում է երկու ինտերֆեյս և թափանցիկ կերպով փոխանցում է երթևեկությունը նրանց միջև՝ առանց MAC և IP հասցեները փոխելու
- Layer2 - անջատիչ ռեժիմ
- Layer3 - երթուղիչի ռեժիմ
Նկար 6 – Ինտերֆեյսի աշխատանքային ռեժիմի կարգավորում
Այս օրինակում կօգտագործվի Layer3 ռեժիմը (նկ. 6): Ցանցի ինտերֆեյսի պարամետրերը ցույց են տալիս IP հասցեն, աշխատանքային ռեժիմը և համապատասխան անվտանգության գոտին: Բացի ինտերֆեյսի գործառնական ռեժիմից, դուք պետք է այն նշանակեք Վիրտուալ երթուղիչի վիրտուալ երթուղիչին, սա Palo Alto Networks-ում VRF օրինակի անալոգն է: Վիրտուալ երթուղիչները մեկուսացված են միմյանցից և ունեն իրենց երթուղային աղյուսակները և ցանցային արձանագրության կարգավորումները:
Վիրտուալ երթուղիչի կարգավորումները նշում են ստատիկ երթուղիները և երթուղային արձանագրության կարգավորումները: Այս օրինակում արտաքին ցանցեր մուտք գործելու համար ստեղծվել է միայն լռելյայն երթուղի (նկ. 7):
Նկար 7 – Վիրտուալ երթուղիչի կարգավորում
Կազմաձևման հաջորդ փուլը երթևեկության քաղաքականությունն է, բաժինը Քաղաքականություն -> Անվտանգություն. Կազմաձևման օրինակը ներկայացված է Նկար 8-ում: Կանոնների տրամաբանությունը նույնն է, ինչ բոլոր firewall-ների համար: Կանոնները ստուգվում են վերևից ներքև, մինչև առաջին հանդիպումը: Կանոնների համառոտ նկարագրությունը.
1. SSL VPN մուտք դեպի վեբ պորտալ: Թույլ է տալիս մուտք գործել վեբ պորտալ՝ հեռակա կապերը նույնականացնելու համար
2. VPN տրաֆիկ – թույլ է տալիս երթևեկություն հեռավոր կապերի և գլխավոր գրասենյակի միջև
3. Հիմնական ինտերնետ – թույլ է տալիս dns, ping, traceroute, ntp հավելվածներ: Firewall-ը թույլ է տալիս հավելվածներ, որոնք հիմնված են ստորագրությունների, վերծանման և էվրիստիկայի վրա, այլ ոչ թե նավահանգիստների համարների և արձանագրությունների վրա, ինչի պատճառով էլ Ծառայության բաժնում ասվում է դիմում-կանխադրված: Այս հավելվածի համար կանխադրված միացք/արձանագրություն
4. Վեբ հասանելիություն – թույլ է տալիս ինտերնետ մուտք գործել HTTP և HTTPS արձանագրությունների միջոցով՝ առանց հավելվածի կառավարման
5,6. Կանխադրված կանոններ այլ երթևեկության համար:
Նկար 8 — Ցանցի կանոնների ստեղծման օրինակ
NAT-ը կարգավորելու համար օգտագործեք բաժինը Քաղաքականություն -> NAT. NAT կոնֆիգուրացիայի օրինակը ներկայացված է Նկար 9-ում:
Նկար 9 – NAT կոնֆիգուրացիայի օրինակ
Ներքինից արտաքին ցանկացած տրաֆիկի համար կարող եք փոխել աղբյուրի հասցեն firewall-ի արտաքին IP հասցեով և օգտագործել դինամիկ պորտի հասցեն (PAT):
4. LDAP վավերացման պրոֆիլի և օգտագործողի նույնականացման գործառույթի կարգավորում
Նախքան SSL-VPN-ի միջոցով օգտվողներին միացնելը, դուք պետք է կարգավորեք նույնականացման մեխանիզմը: Այս օրինակում նույնականացումը տեղի կունենա Active Directory տիրույթի վերահսկիչի համար Palo Alto Networks վեբ ինտերֆեյսի միջոցով:
Նկար 10 – LDAP պրոֆիլ
Որպեսզի նույնականացումը աշխատի, դուք պետք է կազմաձևեք LDAP պրոֆիլ и Նույնականացման պրոֆիլ. Բաժնում Սարք -> Սերվերի պրոֆիլներ -> LDAP (նկ. 10) դուք պետք է նշեք տիրույթի վերահսկիչի IP հասցեն և պորտը, LDAP տեսակը և խմբերում ներառված օգտվողի հաշիվը Սերվերի օպերատորներ, Իրադարձությունների մատյան ընթերցողներ, Բաշխված COM օգտվողներ. Այնուհետեւ բաժնում Սարք -> Նույնականացման պրոֆիլ ստեղծել նույնականացման պրոֆիլ (նկ. 11), նշել նախկինում ստեղծվածը LDAP պրոֆիլ իսկ Ընդլայնված ներդիրում նշում ենք օգտատերերի խումբը (նկ. 12), որոնց թույլատրվում է հեռահար մուտք: Կարևոր է նշել պարամետրը ձեր պրոֆիլում Օգտագործողի տիրույթ, հակառակ դեպքում խմբի վրա հիմնված թույլտվությունը չի աշխատի: Դաշտում պետք է նշվի NetBIOS տիրույթի անունը:
Նկար 11 – Նույնականացման պրոֆիլ
Նկար 12 – AD խմբի ընտրություն
Հաջորդ փուլը տեղադրումն է Սարք -> Օգտագործողի նույնականացում. Այստեղ դուք պետք է նշեք տիրույթի վերահսկիչի IP հասցեն, կապի հավատարմագրերը, ինչպես նաև կարգավորեք կարգավորումները Միացնել անվտանգության գրանցամատյանը, Միացնել նստաշրջանը, Միացնել զոնդավորումը (նկ. 13): Գլխում Խմբային քարտեզագրում (Նկար 14) դուք պետք է նշեք LDAP-ում օբյեկտների նույնականացման պարամետրերը և խմբերի ցանկը, որոնք կօգտագործվեն թույլտվության համար: Ինչպես նույնականացման պրոֆիլում, այստեղ դուք պետք է սահմանեք Օգտվողի տիրույթի պարամետրը:
Նկար 13 – Օգտագործողի քարտեզագրման պարամետրեր
Նկար 14 – Խմբի քարտեզագրման պարամետրեր
Այս փուլի վերջին քայլը VPN գոտի և այդ գոտու համար ինտերֆեյսի ստեղծումն է: Դուք պետք է միացնեք ինտերֆեյսի տարբերակը Միացնել օգտվողի նույնականացումը (նկար 15):
Նկար 15 – VPN գոտի ստեղծելը
5. SSL VPN-ի կարգավորում
Նախքան SSL VPN-ին միանալը, հեռավոր օգտատերը պետք է գնա վեբ պորտալ, վավերացնի և ներբեռնի Global Protect հաճախորդը: Հաջորդը, այս հաճախորդը կպահանջի հավատարմագրերը և կմիանա կորպորատիվ ցանցին: Վեբ պորտալը գործում է https ռեժիմով և, համապատասխանաբար, դրա համար անհրաժեշտ է սերտիֆիկատ տեղադրել։ Հնարավորության դեպքում օգտագործեք հանրային վկայական: Այնուհետև օգտատերը նախազգուշացում չի ստանա կայքում առկա վկայագրի անվավերության մասին: Եթե հնարավոր չէ օգտագործել հանրային վկայական, ապա դուք պետք է թողարկեք ձեր սեփականը, որը կօգտագործվի https-ի վեբ էջում: Այն կարող է ինքնուրույն ստորագրվել կամ տրվել տեղական հավաստագրման մարմնի միջոցով: Հեռավոր համակարգիչը պետք է ունենա արմատային կամ ինքնստորագրված վկայագիր վստահելի արմատական հեղինակությունների ցանկում, որպեսզի օգտագործողը սխալ չստանա վեբ պորտալին միանալիս: Այս օրինակը կօգտագործի վկայագիր, որը տրվել է Active Directory Certificate Services-ի միջոցով:
Վկայական տալու համար պետք է բաժնում ստեղծեք վկայականի հարցում Սարք -> Վկայագրի կառավարում -> Վկայագրեր -> Ստեղծել. Հարցման մեջ մենք նշում ենք վկայագրի անվանումը և վեբ պորտալի IP հասցեն կամ FQDN (նկ. 16): Հարցումը ստեղծելուց հետո ներբեռնեք .csr ֆայլ և պատճենեք դրա բովանդակությունը վկայականի հարցման դաշտում՝ AD CS Web Enrollment վեբ ձևաթղթում: Կախված նրանից, թե ինչպես է կազմաձևված սերտիֆիկատի մարմինը, սերտիֆիկատի հարցումը պետք է հաստատվի, և տրված վկայագիրը պետք է ներբեռնվի ձևաչափով Base64 կոդավորված վկայական. Բացի այդ, դուք պետք է ներբեռնեք սերտիֆիկացման մարմնի արմատային վկայագիրը: Այնուհետև դուք պետք է երկու վկայականները ներմուծեք firewall: Վեբ պորտալի համար վկայագիր ներմուծելիս դուք պետք է ընտրեք հարցումը առկախ կարգավիճակում և սեղմեք ներմուծում: Վկայագրի անվանումը պետք է համապատասխանի հարցման մեջ ավելի վաղ նշված անվանմանը: Արմատային վկայագրի անունը կարող է կամայականորեն նշվել: Վկայագիրը ներմուծելուց հետո անհրաժեշտ է ստեղծել SSL/TLS ծառայության պրոֆիլ բաժին Սարք -> Վկայագրի կառավարում. Պրոֆիլում մենք նշում ենք նախկինում ներմուծված վկայականը:
Նկար 16 – Վկայագրի հարցում
Հաջորդ քայլը օբյեկտների կարգավորումն է Global Protect Gateway и Global Protect պորտալ բաժին Ցանց -> Գլոբալ պաշտպանություն. Պարամետրերում Global Protect Gateway նշեք firewall-ի արտաքին IP հասցեն, ինչպես նաև նախկինում ստեղծված SSL պրոֆիլ, Նույնականացման պրոֆիլ, թունելի միջերես և հաճախորդի IP կարգավորումներ: Դուք պետք է նշեք IP հասցեների լողավազան, որտեղից հասցեն կհատկացվի հաճախորդին, և Access Route - սրանք ենթացանցերն են, որոնց հաճախորդը կունենա երթուղի: Եթե խնդիրն է ամբողջ օգտատերերի տրաֆիկը փաթաթել firewall-ի միջոցով, ապա դուք պետք է նշեք ենթացանցը 0.0.0.0/0 (նկ. 17):
Նկար 17 – IP հասցեների և երթուղիների լողավազանի կազմաձևում
Ապա դուք պետք է կարգավորեք Global Protect պորտալ. Նշեք firewall-ի IP հասցեն, SSL պրոֆիլ и Նույնականացման պրոֆիլ և firewalls-ի արտաքին IP հասցեների ցանկ, որոնց միանալու է հաճախորդը: Եթե կան մի քանի firewall, կարող եք յուրաքանչյուրի համար սահմանել առաջնահերթություն, ըստ որի օգտատերերը կընտրեն firewall-ը միանալու համար:
Բաժին Սարք -> GlobalProtect հաճախորդ դուք պետք է ներբեռնեք VPN հաճախորդի բաշխումը Palo Alto Networks սերվերներից և ակտիվացնեք այն: Միանալու համար օգտատերը պետք է գնա պորտալի վեբ էջ, որտեղից նրան կխնդրեն ներբեռնել GlobalProtect հաճախորդ. Ներբեռնվելուց և տեղադրվելուց հետո կարող եք մուտքագրել ձեր հավատարմագրերը և միանալ ձեր կորպորատիվ ցանցին SSL VPN-ի միջոցով:
Ամփոփում
Սա ավարտում է Palo Alto Networks-ի կարգավորումների մասը: Հուսով ենք, որ տեղեկատվությունը օգտակար էր, և ընթերցողը հասկացավ Palo Alto Networks-ում օգտագործվող տեխնոլոգիաները: Եթե ունեք հարցեր տեղադրման և ապագա հոդվածների թեմաների վերաբերյալ առաջարկների վերաբերյալ, գրեք դրանք մեկնաբանություններում, մենք սիրով կպատասխանենք:
Source: www.habr.com