N'agbanyeghị uru niile nke Palo Alto Networks firewalls, ọ dịghị ihe dị ukwuu na RuNet na-edozi ngwaọrụ ndị a, yana ederede na-akọwa ahụmahụ nke mmejuputa ha. Anyị kpebiri ichikota ihe ndị anyị chịkọbara n'oge anyị na-arụ ọrụ na ngwá ọrụ ndị na-ere ahịa a ma kwuo banyere atụmatụ ndị anyị zutere n'oge mmejuputa ọrụ dị iche iche.
Iji webata gị na Palo Alto Networks, isiokwu a ga-eleba anya na nhazi a chọrọ iji dozie otu n'ime nsogbu ọkụ ọkụ na-emekarị - SSL VPN maka ịnweta ohere. Anyị ga-ekwukwa maka ọrụ ịba uru maka nhazi firewall izugbe, njirimara onye ọrụ, ngwa na amụma nchekwa. Ọ bụrụ na isiokwu a masịrị ndị na-agụ akwụkwọ, n'ọdịnihu anyị ga-ahapụ ihe na-enyocha saịtị-to-saịtị VPN, njikwa ike siri ike na njikwa etiti site na iji Panorama.
Palo Alto Networks firewalls na-eji ọtụtụ teknụzụ ọhụrụ, gụnyere App-ID, njirimara-ID, Content-ID. Ojiji nke ọrụ a na-enye gị ohere iji hụ na nchekwa dị elu. Ọmụmaatụ, na App-ID ọ ga-ekwe omume ịchọpụta okporo ụzọ ngwa dabere na mbinye aka, ngbanwe na heuristics, n'agbanyeghị ọdụ ụgbọ mmiri na protocol eji, gụnyere n'ime ọwara SSL. Onye ọrụ-ID na-enye gị ohere ịchọpụta ndị ọrụ netwọk site na ntinye LDAP. Ọdịnaya-ID na-eme ka o kwe omume inyocha okporo ụzọ wee chọpụta faịlụ ebutere na ọdịnaya ha. Ọrụ firewall ndị ọzọ gụnyere nchebe intrusion, nchebe megide adịghị ike na ọgụ DoS, mgbochi spyware arụnyere, nzacha URL, nchịkọta, na njikwa etiti.
Maka ngosipụta ahụ, anyị ga-eji nkwụ dịpụrụ adịpụ, yana nhazi ya na nke bụ ezie, ewezuga aha ngwaọrụ, aha ngalaba AD na adreesị IP. N'ezie, ihe niile dị mgbagwoju anya - enwere ike inwe ọtụtụ alaka. N'okwu a, kama ịbụ otu firewall, a ga-etinye ụyọkọ n'ókè nke saịtị etiti, yana enwere ike ịchọgharị ụzọ dị ike.
Ejiri ya na nkwụnye PAN-OS 7.1.9. Dị ka nhazi a na-ahụkarị, tụlee netwọk nwere firewall Palo Alto Networks na nsọtụ. Firewall na-enye ohere SSL VPN dịpụrụ adịpụ na isi ụlọ ọrụ. A ga-eji ngalaba ndekọ aha Active dị ka nchekwa data onye ọrụ (Nyocha 1).
Onyonyo 1 - eserese netwọkụ ngọngọ
Nhazi usoro:
- Nhazi ngwa ngwa. Ịtọ ntọala aha, adreesị IP njikwa, ụzọ kwụ ọtọ, akaụntụ nchịkwa, profaịlụ njikwa
- Ịwụnye ikikere, ịhazi na ịwụnye mmelite
- Na-ahazi mpaghara nchekwa, oghere netwọkụ, amụma okporo ụzọ, ntụgharị asụsụ adreesị
- Na-ahazi profaịlụ njirimara LDAP yana njirimara njirimara onye ọrụ
- Ịtọlite SSL VPN
1. Ntọala
Ngwá ọrụ bụ isi maka ịhazi firewall Palo Alto Networks bụ interface weebụ; njikwa site na CLI nwekwara ike. Na ndabara, atọrọ njikwa njikwa na adreesị IP 192.168.1.1/24, nbanye: admin, paswọọdụ: admin.
Ị nwere ike ịgbanwe adreesị site na ijikọ na interface weebụ site na otu netwọk ahụ, ma ọ bụ iji iwu ahụ ịtọ deviceconfig usoro ip-address <> netmask. A na-eme ya na ọnọdụ nhazi. Ka ịgbanwee gaa na ọnọdụ nhazi, jiri iwu ahụ hazie. Mgbanwe niile na firewall na-eme naanị mgbe akwadochara ntọala site na iwu ahụ eme, ma n'ọnọdụ ahịrị iwu ma na ntanetị weebụ.
Ka ịgbanwee ntọala na interface weebụ, jiri ngalaba Ngwaọrụ -> Ntọala izugbe na ngwaọrụ -> Ntọala interface njikwa. Enwere ike ịtọ aha, ọkọlọtọ, mpaghara oge na ntọala ndị ọzọ na ngalaba Ntọala General (Fig 2).
Onyonyo 2 - paramita interface njikwa
Ọ bụrụ na ị na-eji a mebere firewall na mpaghara ESXi, na General Settings ngalaba, ị ga-eme ka ojiji nke adreesị MAC kenyere hypervisor, ma ọ bụ hazie adreesị MAC kpọmkwem na firewall interfaces na hypervisor, ma ọ bụ gbanwee ntọala nke. na mebere switches ikwe Mac mgbanwe adreesị. Ma ọ bụghị ya, okporo ụzọ agaghị agafe.
A na-ahazi interface njikwa ahụ iche iche ma egosighi ya na ndepụta nke netwọk netwọk. N'isiakwụkwọ Ntọala interface njikwa na-akọwapụta ụzọ ndabara maka interface njikwa. A na-ahazi ụzọ ndị ọzọ kwụ ọtọ na ngalaba rawụta mebere; a ga-atụle nke a ma emechaa.
Iji kwe ka ịnweta ngwaọrụ site na oghere ndị ọzọ, ị ga-emepụta profaịlụ njikwa Profaịlụ njikwa ngalaba Netwọk -> Profaịlụ netwọkụ -> Interface Mgmt ma kenye ya na interface kwesịrị ekwesị.
Ọzọ, ịkwesịrị ịhazi DNS na NTP na ngalaba Ngwaọrụ -> Ọrụ ịnata mmelite ma gosipụta oge nke ọma (Fig 3). Na ndabara, okporo ụzọ niile sitere na firewall na-eji adreesị IP njikwa njikwa dị ka adreesị IP isi mmalite ya. Ị nwere ike kenye interface dị iche iche maka ọrụ ọ bụla akọwapụtara na ngalaba Nhazi okporo ụzọ ọrụ.
Ọgụgụ 3 - DNS, NTP na paramita ọrụ ụzọ usoro
2. Ịwụnye ikikere, ịtọlite na ịwụnye mmelite
Maka ịrụ ọrụ zuru oke nke ọrụ firewall niile, ị ga-etinyerịrị ikikere. Ị nwere ike iji ikikere ikpe site na ịrịọ ya n'aka ndị mmekọ Palo Alto Networks. Oge nkwado ya bụ ụbọchị iri atọ. A na-eme ka ikike ahụ rụọ ọrụ site na faịlụ ma ọ bụ jiri koodu Auth. A na-ahazi ikikere na ngalaba Ngwaọrụ -> Ikikere (fig. 4).
Mgbe ị wụnyechara akwụkwọ ikike, ịkwesịrị ịhazi ntinye nke mmelite na ngalaba Ngwaọrụ -> Mmelite dị ike.
ngalaba Ngwaọrụ -> Ngwanrọ ị nwere ike ibudata ma wụnye ụdị ọhụrụ nke PAN-OS.
Ọgụgụ 4 - Ogwe njikwa ikike
3. Ịhazi mpaghara nchekwa, oghere netwọkụ, amụma okporo ụzọ, ntụgharị okwu
Palo Alto Networks firewalls na-eji mgbagha mpaghara mgbe ị na-ahazi iwu netwọkụ. A na-ekenye netwọk netwọk na mpaghara a kapịrị ọnụ, a na-ejikwa mpaghara a na iwu okporo ụzọ. Usoro a na-enye ohere n'ọdịnihu, mgbe ị na-agbanwe ntọala interface, ọ bụghị ịgbanwe iwu okporo ụzọ, kama ka ọ na-ekenye ndị dị mkpa interfaces na mpaghara kwesịrị ekwesị. Site na ndabara, a na-ahapụ okporo ụzọ n'ime mpaghara, amachibidoro okporo ụzọ n'etiti mpaghara, iwu ndị eburu ụzọ kọwaa bụ maka nke a. intrazone-ndabere и interzone-ndabere.
Ọgụgụ 5 - Mpaghara nchekwa
N'ihe atụ a, a na-ekenye interface na netwọk dị n'ime na mpaghara ahụ n'ime, na interface chere ihu na Ịntanetị ka ekenye mpaghara ahụ mpụga. Maka SSL VPN, emepụtara oghere ọwara ma kenye ya na mpaghara ahụ Okwey (fig. 5).
Palo Alto Networks interface netwọk firewall nwere ike ịrụ ọrụ n'ụdị ise dị iche iche:
- Kpatụ - ejiri na-anakọta okporo ụzọ maka nyocha na nyocha
- HA - eji arụ ọrụ ụyọkọ
- Waya mebere - na ọnọdụ a, Palo Alto Networks na-ejikọta ọnụ ụzọ abụọ ma na-agafe okporo ụzọ n'etiti ha na-agbanweghị adreesị MAC na IP.
- Ome2 – mgbanwe mode
- Ome3 – rawụta mode
Ọgụgụ 6 - Ịtọ ntọala interface arụ ọrụ mode
N'ihe atụ a, a ga-eji ọnọdụ Layer3 mee ihe (Fig 6). Paragraf interface netwọkụ na-egosi adreesị IP, ọnọdụ ọrụ yana mpaghara nchekwa kwekọrọ. Na mgbakwunye na ụdị ọrụ nke interface, ị ga-ekenye ya na Virtual Router mebere rawụta, nke a bụ ihe analog nke ihe atụ VRF na Palo Alto Networks. Ndị na-anya ụgbọ ala dịpụrụ adịpụ n'ebe ibe ha nọ ma nwee tebụl ntụgharị nke ha na ntọala usoro netwọkụ.
Ntọala rawụta mebere ezipụta ụzọ kwụ ọtọ na ntọala protocol. N'ihe atụ a, ọ bụ naanị ụzọ ndabara ka emepụtara maka ịnweta netwọkụ mpụga (Fig 7).
Onyonyo 7 - Ịtọlite reater router
Usoro nhazi ọzọ bụ atumatu okporo ụzọ, ngalaba Amụma -> Nchekwa. E gosipụtara ihe atụ nke nhazi na Figure 8. Echiche nke iwu bụ otu ihe maka firewalls niile. A na-enyocha iwu site n'elu ruo na ala, ruo na egwuregwu mbụ. Nkọwa nkenke nke iwu:
1. SSL VPN Ịnweta na Portal Webụ. Na-enye ohere ịnweta portal webụ iji chọpụta njikọ dịpụrụ adịpụ
2. VPN okporo ụzọ - ikwe ka okporo ụzọ dị n'etiti njikọ dịpụrụ adịpụ na isi ụlọ ọrụ
3. Ịntanetị bụ isi - ikwe ka dns, ping, traceroute, ngwa ntp. Firewall na-enye ohere ngwa dabere na mbinye aka, decoding, na heuristics karịa nọmba ọdụ ụgbọ mmiri na protocol, nke mere na ngalaba ọrụ na-ekwu ngwa-ndabara. Ọdụ ụgbọ mmiri/protocol nke ngwa maka ngwa a
4. Nweta Weebụ - na-enye ohere ịnweta ịntanetị site na HTTP na HTTPS protocol na-enweghị njikwa ngwa
5,6. Iwu ndabara maka okporo ụzọ ndị ọzọ.
Ọgụgụ 8 - Ọmụmaatụ nke ịtọlite iwu netwọkụ
Iji hazie NAT, jiri ngalaba Amụma -> NAT. E gosipụtara ọmụmaatụ nhazi NAT na eserese 9.
Ọgụgụ 9 - Ihe atụ nke nhazi NAT
Maka okporo ụzọ ọ bụla sitere na ime gaa na mpụga, ịnwere ike ịgbanwe adreesị isi iyi gaa na adreesị IP mpụga nke firewall wee jiri adreesị ọdụ ụgbọ mmiri dị ike (PAT).
4. Ịhazi profaịlụ njirimara LDAP yana ọrụ njirimara onye ọrụ
Tupu ijikọ ndị ọrụ site na SSL-VPN, ịkwesịrị ịhazi usoro nyocha. N'ihe atụ a, nyocha ga-abịara onye njikwa ngalaba Active Directory site na interface weebụ Palo Alto Networks.
Ọgụgụ 10 - profaịlụ LDAP
Ka nkwenye na-arụ ọrụ, ịkwesịrị ịhazi Profaịlụ LDAP и Profaịlụ nyocha... Na ngalaba Ngwaọrụ -> Profaịlụ nkesa -> LDAP (Fig 10) ịkwesịrị ịkọwa adreesị IP na ọdụ ụgbọ mmiri nke ngalaba nchịkwa, ụdị LDAP na akaụntụ njirimara gụnyere n'ime otu. Ndị na-arụ ọrụ nkesa, Ndị na-agụ ndekọ ihe omume, Ndị ọrụ COM ekesara. Mgbe ahụ na ngalaba Ngwaọrụ -> Profaịlụ nyocha mepụta profaịlụ njirimara (Fig 11), kaa akara nke emebere na mbụ Profaịlụ LDAP na na Advanced taabụ anyị na-egosi otu ndị ọrụ (Fig. 12) ndị na-ekwe ka ohere ime. Ọ dị mkpa iburu n'uche parameter na profaịlụ gị Ngalaba onye ọrụ, ma ọ bụghị ya, ikike dabere na otu agaghị arụ ọrụ. Ogige ahụ ga-egosirịrị aha ngalaba NetBIOS.
Ọgụgụ 11 - profaịlụ njirimara
Ọgụgụ 12 - AD otu nhọrọ
Usoro na-esote bụ nhazi Ngwaọrụ -> njirimara onye ọrụ. N'ebe a, ịkwesịrị ịkọwa adreesị IP nke onye na-ahụ maka ngalaba, nzere njikọ, ma hazie ntọala. Kwado ndekọ nchekwa, Kwado Oge, Kwado nyocha (Fig 13). N'isiakwụkwọ Nkewa otu (Fig 14) ịkwesịrị ịdeba ama n'usoro maka ịchọpụta ihe dị na LDAP na ndepụta nke otu a ga-eji maka ikike. Dịka na Profaịlụ nyocha, ebe a ịkwesịrị ịtọ oke ngalaba onye ọrụ.
Ọgụgụ 13 - paramita nkewa nke onye ọrụ
Ọgụgụ 14 - Parampat Mapping Group
Nzọụkwụ ikpeazụ n'ime usoro a bụ ịmepụta mpaghara VPN na interface maka mpaghara ahụ. Ịkwesịrị ịme nhọrọ na interface ahụ Kwado njirimara onye ọrụ (fig. 15).
Ọgụgụ 15 – Ịtọlite mpaghara VPN
5. Ịtọlite SSL VPN
Tupu ijikọ na SSL VPN, onye ọrụ dịpụrụ adịpụ ga-agarịrị na portal webụ, chọpụta ma budata onye ahịa Global Protect. Na-esote, onye ahịa a ga-arịọ nzere ma jikọọ na netwọk ụlọ ọrụ. Portal webụ na-arụ ọrụ na ọnọdụ https na, yabụ, ịkwesịrị ịwụnye asambodo maka ya. Jiri asambodo ọha ma ọ ga-ekwe mee. Mgbe ahụ onye ọrụ agaghị enweta ịdọ aka ná ntị banyere ezighi ezi nke akwụkwọ ahụ na saịtị ahụ. Ọ bụrụ na ọ gaghị ekwe omume iji asambodo ọha, mgbe ahụ ịkwesịrị ịnye nke gị, nke a ga-eji na ibe weebụ maka https. Enwere ike ibinye aka na ya ma ọ bụ nye ya site na ikike asambodo mpaghara. Kọmputa dịpụrụ adịpụ ga-enwerịrị mgbọrọgwụ ma ọ bụ asambodo ejiri aka ya bịa na listi ndị ọchịchị ntụkwasị obi ka onye ọrụ ghara ịnata njehie mgbe ị na-ejikọ na portal webụ. Ọmụmaatụ a ga-eji asambodo enyere site na Ọrụ Asambodo Directory Active.
Iji nye akwụkwọ ikike, ịkwesịrị ịmepụta arịrịọ akwụkwọ na ngalaba Ngwaọrụ -> Njikwa Asambodo -> Asambodo -> Mepụta. Na arịrịọ anyị na-egosi aha nke akwụkwọ na adreesị IP ma ọ bụ FQDN nke web portal (Fig. 16). Mgbe ịmepụtara arịrịọ, budata .csr faịlụ na idetuo ọdịnaya ya n'ime akwụkwọ arịrịọ ubi na AD CS Web Ndebanye aha web ụdị. Dabere na otu esi ahazi ikike asambodo, a ga-akwadorịrị arịrịọ asambodo yana a ga-ebudatarịrị asambodo enyere n'ụdị. Asambodo etinyere Base64. Na mgbakwunye, ịkwesịrị ibudata akwụkwọ ikike asambodo mgbọrọgwụ. Mgbe ahụ ịkwesịrị ibubata asambodo abụọ n'ime firewall. Mgbe ị na-ebubata asambodo maka portal webụ, ị ga-ahọrọrịrị arịrịọ ahụ na ọnọdụ echere wee pịa mbubata. Aha akwụkwọ ahụ ga-adakọrịrị aha akọwapụtara na mbụ na arịrịọ ahụ. Aha nke mgbọrọgwụ akwụkwọ ike kpọmkwem aka ike. Mgbe ibubata akwụkwọ ahụ, ịkwesịrị ịmepụta Profaịlụ ọrụ SSL/TLS ngalaba Ngwaọrụ -> Njikwa Asambodo. Na profaịlụ anyị na-egosi asambodo ebubatara na mbụ.
Ọgụgụ 16 - Arịrịọ asambodo
Nzọụkwụ ọzọ bụ ịtọ ihe Ụzọ nchebe zuru ụwa ọnụ и Ebe nchekwa zuru ụwa ọnụ ngalaba Netwọk -> Nchedo zuru ụwa ọnụ. Na ntọala Ụzọ nchebe zuru ụwa ọnụ gosi adreesị IP mpụga nke firewall, yana nke emebere na mbụ Profaịlụ SSL, Profaịlụ nyocha, ọwara interface na ahịa IP ntọala. Ịkwesịrị ịkọwapụta ọdọ mmiri nke adreesị IP nke a ga-ekenye adreesị na onye ahịa, yana Access Route - ndị a bụ subnets nke onye ahịa ga-enwe ụzọ. Ọ bụrụ na ọrụ ahụ bụ iji kechie okporo ụzọ ndị ọrụ niile site na firewall, mgbe ahụ ịkwesịrị ịkọwapụta subnet 0.0.0.0/0 (Fig 17).
Ọgụgụ 17 - Ịhazi ọdọ mmiri nke adreesị IP na ụzọ
Mgbe ahụ ịkwesịrị ịhazi Ebe nchekwa zuru ụwa ọnụ. Ezipụta adreesị IP nke firewall, Profaịlụ SSL и Profaịlụ nyocha yana ndepụta adreesị IP mpụga nke firewalls nke onye ahịa ga-ejikọta ya. Ọ bụrụ na enwere ọtụtụ firewalls, ị nwere ike ịtọ ụzọ maka onye ọ bụla, dịka ndị ọrụ ga-ahọrọ firewall iji jikọọ.
ngalaba Ngwaọrụ -> Onye ahịa GlobalProtect ịkwesịrị ibudata nkesa ndị ahịa VPN site na sava Palo Alto Networks wee rụọ ọrụ ya. Iji jikọọ, onye ọrụ ga-agarịrị na ibe weebụ Portal, ebe a ga-agwa ya ka ọ budata Onye ahịa GlobalProtect. Ozugbo ebudatara ma tinye ya, ị nwere ike tinye nzere gị wee jikọọ na netwọk ụlọ ọrụ gị site na SSL VPN.
nkwubi
Nke a mezuru akụkụ netwọkụ Palo Alto nke nhazi. Anyị na-atụ anya na ozi ahụ bara uru na onye na-agụ ya nwetara nghọta nke teknụzụ ejiri na Palo Alto Networks. Ọ bụrụ na ị nwere ajụjụ gbasara nhazi na aro maka isiokwu maka isiokwu n'ọdịnihu, dee ha na nkwupụta, anyị ga-enwe obi ụtọ ịza.
isi: www.habr.com