Þrátt fyrir alla kosti Palo Alto Networks eldvegganna er ekki mikið efni á RuNetinu um uppsetningu þessara tækja, sem og textar sem lýsa upplifuninni af innleiðingu þeirra. Við ákváðum að draga saman efnin sem við höfum safnað í vinnu okkar með búnað þessa söluaðila og tala um eiginleikana sem við höfum kynnst við framkvæmd ýmissa verkefna.
Til að kynna þér Palo Alto Networks mun þessi grein skoða þær stillingar sem þarf til að leysa eitt af algengustu eldvegg vandamálunum - SSL VPN fyrir fjaraðgang. Við munum einnig tala um gagnsemisaðgerðir fyrir almenna eldveggsstillingu, notendaauðkenningu, forrit og öryggisstefnur. Ef efnið er áhugavert fyrir lesendur munum við í framtíðinni gefa út efni sem greina frá vefsvæði til staðar VPN, kraftmikla leið og miðlæga stjórnun með Panorama.
Palo Alto Networks eldveggir nota fjölda nýstárlegra tækni, þar á meðal App-ID, User-ID, Content-ID. Notkun þessarar virkni gerir þér kleift að tryggja mikið öryggisstig. Til dæmis, með App-ID er hægt að bera kennsl á umsóknarumferð byggt á undirskriftum, afkóðun og heuristics, óháð höfn og samskiptareglum sem notuð eru, þar á meðal inni í SSL göngum. User-ID gerir þér kleift að bera kennsl á netnotendur með LDAP samþættingu. Content-ID gerir það mögulegt að skanna umferð og bera kennsl á sendar skrár og innihald þeirra. Aðrar eldveggsaðgerðir eru meðal annars innbrotsvörn, vörn gegn veikleikum og DoS árásum, innbyggður njósnaforrit, vefslóðasía, þyrping og miðstýrð stjórnun.
Fyrir sýnikennsluna munum við nota einangraðan stand, með sams konar uppsetningu og raunverulegan, að undanskildum tækjanöfnum, AD lén og IP tölum. Í raun og veru er allt flóknara - það geta verið margar greinar. Í þessu tilviki, í stað eins eldveggs, verður þyrping sett upp á mörkum miðlægra staða og einnig gæti verið þörf á kraftmikilli leið.
Notað á standinum PAN-OS 7.1.9. Sem dæmigerða uppsetningu skaltu íhuga net með Palo Alto Networks eldvegg í jaðrinum. Eldveggurinn veitir ytri SSL VPN aðgang að aðalskrifstofunni. Active Directory lénið verður notað sem notendagagnagrunnur (mynd 1).
Mynd 1 – Kubbamynd netkerfis
Uppsetningarskref:
- Forstilling tækis. Stilling á nafni, IP-tölu stjórnenda, kyrrstæðum leiðum, stjórnandareikningum, stjórnunarsniðum
- Að setja upp leyfi, stilla og setja upp uppfærslur
- Stilla öryggissvæði, netviðmót, umferðarstefnur, þýðing á heimilisfangi
- Stilling á LDAP auðkenningarsniði og notendaauðkenningareiginleika
- Að setja upp SSL VPN
1. Forstillt
Helsta tólið til að stilla Palo Alto Networks eldvegginn er vefviðmótið; stjórnun í gegnum CLI er einnig möguleg. Sjálfgefið er að stjórnunarviðmótið er stillt á IP tölu 192.168.1.1/24, innskráning: admin, lykilorð: admin.
Þú getur breytt heimilisfanginu annað hvort með því að tengjast vefviðmótinu frá sama neti eða nota skipunina stilltu deviceconfig kerfis ip-tölu <> netmaska <>. Það er framkvæmt í stillingarham. Til að skipta yfir í stillingarham skaltu nota skipunina stilla. Allar breytingar á eldveggnum eiga sér stað aðeins eftir að stillingarnar eru staðfestar með skipuninni skuldbinda sig, bæði í skipanalínuham og í vefviðmótinu.
Til að breyta stillingum í vefviðmótinu skaltu nota hlutann Tæki -> Almennar stillingar og Tæki -> Stjórnunarviðmótsstillingar. Nafn, borðar, tímabelti og aðrar stillingar er hægt að stilla í hlutanum Almennar stillingar (mynd 2).
Mynd 2 – Stjórnunarviðmótsfæribreytur
Ef þú notar sýndareldvegg í ESXi umhverfi, í hlutanum Almennar stillingar þarftu að virkja notkun MAC vistfangsins sem úthlutað er af yfirsýnaranum, eða stilla MAC vistföngin sem tilgreind eru á eldveggviðmótinu á yfirsýnaranum, eða breyta stillingum á sýndarrofana til að leyfa MAC að breyta vistföngum. Annars fer umferð ekki í gegn.
Stjórnunarviðmótið er stillt sérstaklega og er ekki sýnt á listanum yfir netviðmót. Í kafla Stjórnunarviðmótsstillingar tilgreinir sjálfgefna gátt fyrir stjórnunarviðmótið. Aðrar truflanir leiðir eru stilltar í sýndarbeinahlutanum; þetta verður rætt síðar.
Til að leyfa aðgang að tækinu í gegnum önnur viðmót verður þú að búa til stjórnunarsnið Stjórnunarsnið kafla Net -> Netsnið -> Viðmótsstjórnun og tengja það við viðeigandi viðmót.
Næst þarftu að stilla DNS og NTP í hlutanum Tæki -> Þjónusta til að fá uppfærslur og sýna tímann rétt (mynd 3). Sjálfgefið er að öll umferð sem eldveggurinn myndar notar IP tölu stjórnunarviðmótsins sem uppruna IP tölu þess. Þú getur úthlutað öðru viðmóti fyrir hverja sérstaka þjónustu í hlutanum Stilling þjónustuleiðar.
Mynd 3 – Þjónustubreytur DNS, NTP og kerfisleiða
2. Að setja upp leyfi, setja upp og setja upp uppfærslur
Fyrir fullan rekstur allra eldveggsaðgerða verður þú að setja upp leyfi. Þú getur notað prufuleyfi með því að biðja um það frá samstarfsaðilum Palo Alto Networks. Gildistími hennar er 30 dagar. Leyfið er virkjað annað hvort í gegnum skrá eða með Auth-Code. Leyfi eru stillt í hlutanum Tæki -> Leyfi (Mynd 4).
Eftir að leyfið hefur verið sett upp þarftu að stilla uppsetningu uppfærslunnar í hlutanum Tæki -> Dynamic Updates.
Í kafla Tæki -> Hugbúnaður þú getur halað niður og sett upp nýjar útgáfur af PAN-OS.
Mynd 4 – Leyfisstjórnborð
3. Stilla öryggissvæði, netviðmót, umferðarstefnur, þýðing á heimilisfangi
Palo Alto Networks eldveggir nota svæðisrökfræði þegar netreglur eru stilltar. Netviðmót er úthlutað tilteknu svæði og þetta svæði er notað í umferðarreglum. Þessi nálgun gerir í framtíðinni kleift, þegar viðmótsstillingum er breytt, að breyta ekki umferðarreglunum, heldur að endurúthluta nauðsynlegum viðmótum á viðeigandi svæði. Sjálfgefið er að umferð innan svæðis er leyfð, umferð á milli svæða er bönnuð, fyrirfram skilgreindar reglur bera ábyrgð á þessu innansvæðis sjálfgefið и interzone-default.
Mynd 5 – Öryggissvæði
Í þessu dæmi er tengi á innra neti úthlutað til svæðisins innri, og viðmótinu sem snýr að internetinu er úthlutað svæðinu ytri. Fyrir SSL VPN hefur göngviðmót verið búið til og úthlutað svæðinu VPN (Mynd 5).
Palo Alto Networks netviðmót eldveggs geta starfað í fimm mismunandi stillingum:
- Pikkaðu á – notað til að safna umferð í eftirlits- og greiningarskyni
- HA – notað fyrir klasarekstur
- Sýndarvír - í þessum ham sameinar Palo Alto Networks tvö viðmót og sendir umferð á milli þeirra á gagnsæjan hátt án þess að breyta MAC og IP vistföngum
- Lag2 - skipta um ham
- Lag3 - leiðarstilling
Mynd 6 – Stilling viðmótsstillingar
Í þessu dæmi verður Layer3 háttur notaður (mynd 6). Netviðmótsfæribreytur gefa til kynna IP tölu, rekstrarham og samsvarandi öryggissvæði. Til viðbótar við rekstrarham viðmótsins verður þú að tengja það við Virtual Router sýndarbeini, þetta er hliðstæða VRF dæmi í Palo Alto Networks. Sýndarbeinar eru einangraðir hver frá öðrum og hafa sínar eigin leiðartöflur og netsamskiptastillingar.
Stillingar sýndarbeins tilgreina kyrrstæðar leiðir og stillingar fyrir leiðarsamskiptareglur. Í þessu dæmi hefur aðeins sjálfgefin leið verið búin til fyrir aðgang að ytri netum (mynd 7).
Mynd 7 – Uppsetning sýndarbeins
Næsta stillingarstig er umferðarstefnur, kafli Stefna -> Öryggi. Dæmi um uppsetningu er sýnt á mynd 8. Rökfræði reglnanna er sú sama og fyrir alla eldveggi. Reglurnar eru athugaðar frá toppi til botns, niður í fyrsta leik. Stutt lýsing á reglum:
1. SSL VPN aðgangur að vefgáttinni. Leyfir aðgang að vefgáttinni til að sannvotta fjartengingar
2. VPN umferð – leyfa umferð á milli fjartenginga og aðalskrifstofunnar
3. Basic Internet - leyfa dns, ping, traceroute, ntp forrit. Eldveggurinn leyfir forritum sem byggjast á undirskriftum, afkóðun og heuristics frekar en gáttanúmerum og samskiptareglum, þess vegna segir þjónustuhlutinn sjálfgefið forrit. Sjálfgefin tengi/samskiptareglur fyrir þetta forrit
4. Vefaðgangur – leyfa internetaðgang í gegnum HTTP og HTTPS samskiptareglur án stjórnunar á forritum
5,6. Sjálfgefnar reglur fyrir aðra umferð.
Mynd 8 — Dæmi um uppsetningu netreglna
Til að stilla NAT skaltu nota hlutann Stefna -> NAT. Dæmi um NAT uppsetningu er sýnt á mynd 9.
Mynd 9 – Dæmi um NAT uppsetningu
Fyrir alla umferð frá innri til ytri, getur þú breytt upprunavistfangi í ytri IP tölu eldveggsins og notað kraftmikið tengifang (PAT).
4. Stilla LDAP auðkenningarsnið og notendaauðkenningaraðgerð
Áður en þú tengir notendur í gegnum SSL-VPN þarftu að stilla auðkenningarkerfi. Í þessu dæmi mun auðkenning eiga sér stað fyrir Active Directory lénsstýringuna í gegnum Palo Alto Networks vefviðmótið.
Mynd 10 – LDAP snið
Til að auðkenning virki þarftu að stilla LDAP prófíl и Auðkenningarsnið. Í kafla Tæki -> Miðlarasnið -> LDAP (Mynd. 10) þú þarft að tilgreina IP tölu og tengi lénsstýringar, LDAP gerð og notandareikning sem er innifalinn í hópunum Server rekstraraðilar, Lesendur viðburðaskráa, Dreifðir COM notendur. Síðan í kaflanum Tæki -> Authentication Profile búa til auðkenningarsnið (mynd 11), merktu við það sem áður var búið til LDAP prófíl og í Advanced flipanum tilgreinum við hóp notenda (Mynd 12) sem hefur fjaraðgang. Það er mikilvægt að taka eftir færibreytunni í prófílnum þínum Notandalén, annars virkar hópbundin heimild ekki. Reiturinn verður að tilgreina NetBIOS lénið.
Mynd 11 – Auðkenningarsnið
Mynd 12 – AD hópaval
Næsta stig er uppsetning Tæki -> Notandaauðkenni. Hér þarftu að tilgreina IP-tölu lénsstýringarinnar, tengiskilríki og einnig stilla stillingar Virkja öryggisskrá, Virkja lotu, Virkja leit (Mynd. 13). Í kafla Hópkortlagning (Mynd. 14) þú þarft að athuga færibreytur til að auðkenna hluti í LDAP og lista yfir hópa sem verða notaðir fyrir heimild. Rétt eins og í Authentication Profile, hér þarftu að stilla User Domain færibreytuna.
Mynd 13 – Færibreytur notandakortlagningar
Mynd 14 – Færibreytur hópkortlagningar
Síðasta skrefið í þessum áfanga er að búa til VPN svæði og viðmót fyrir það svæði. Þú þarft að virkja valkostinn á viðmótinu Virkja notandaauðkenningu (Mynd 15).
Mynd 15 – Uppsetning VPN svæðis
5. Uppsetning SSL VPN
Áður en hann tengist SSL VPN verður ytri notandinn að fara á vefgáttina, sannvotta og hlaða niður Global Protect biðlaranum. Næst mun þessi viðskiptavinur biðja um skilríki og tengjast fyrirtækjanetinu. Vefgáttin starfar í https-ham og því þarf að setja upp vottorð fyrir hana. Notaðu opinbert skírteini ef mögulegt er. Þá fær notandinn ekki viðvörun um ógildingu vottorðsins á síðunni. Ef ekki er hægt að nota opinbert skírteini, þá þarftu að gefa út þitt eigið, sem verður notað á vefsíðunni fyrir https. Það getur verið sjálfundirritað eða gefið út í gegnum staðbundið vottorðsyfirvald. Fjartölvan verður að vera með rót eða sjálfundirritað vottorð á lista yfir traust rótaryfirvöld svo að notandi fái ekki villu þegar hann tengist vefgáttinni. Þetta dæmi mun nota vottorð sem gefið er út í gegnum Active Directory Certificate Services.
Til að gefa út vottorð þarftu að búa til vottorðsbeiðni í hlutanum Tæki -> Vottorðsstjórnun -> Vottorð -> Búa til. Í beiðninni tilgreinum við nafn vottorðsins og IP-tölu eða FQDN vefgáttarinnar (mynd 16). Eftir að þú hefur búið til beiðnina skaltu hlaða niður .csr skrá og afritaðu innihald þess inn í reitinn fyrir vottorðsbeiðni í AD CS Web Enrollment vefeyðublaðinu. Það fer eftir því hvernig vottorðsyfirvaldið er stillt, þarf að samþykkja vottorðsbeiðnina og hlaða niður útgefnu skírteini á sniði Base64 kóðuð vottorð. Að auki þarftu að hlaða niður rótarvottorði vottunaryfirvaldsins. Þá þarftu að flytja bæði vottorðin inn í eldvegginn. Þegar þú flytur inn vottorð fyrir vefgátt verður þú að velja beiðnina í biðstöðu og smella á flytja inn. Heiti vottorðsins verður að passa við nafnið sem tilgreint var fyrr í beiðninni. Nafn rótarvottorðsins er hægt að tilgreina eftir geðþótta. Eftir að hafa flutt inn vottorðið þarftu að búa til SSL/TLS þjónustusnið kafla Tæki -> Vottorðsstjórnun. Í prófílnum tilgreinum við áður innflutt vottorð.
Mynd 16 – Beiðni um vottorð
Næsta skref er að setja upp hluti Global Protect Gateway и Global Protect Portal kafla Net -> Global Protect... Í stillingum Global Protect Gateway gefa til kynna ytri IP tölu eldveggsins, sem og áður búið til SSL prófíl, Auðkenningarsnið, göngviðmót og IP stillingar viðskiptavinar. Þú þarft að tilgreina hóp af IP-tölum sem vistfangið verður úthlutað til viðskiptavinarins og Access Route - þetta eru undirnetin sem viðskiptavinurinn mun hafa leið til. Ef verkefnið er að vefja alla notendaumferð í gegnum eldvegg, þá þarftu að tilgreina undirnetið 0.0.0.0/0 (mynd 17).
Mynd 17 – Stilling á safn af IP tölum og leiðum
Þá þarftu að stilla Global Protect Portal. Tilgreindu IP tölu eldveggsins, SSL prófíl и Auðkenningarsnið og listi yfir ytri IP vistföng eldvegga sem viðskiptavinurinn mun tengjast. Ef það eru nokkrir eldveggir er hægt að stilla forgang fyrir hvern, í samræmi við það sem notendur velja sér eldvegg til að tengjast.
Í kafla Tæki -> GlobalProtect viðskiptavinur þú þarft að hlaða niður VPN biðlara dreifingu frá Palo Alto Networks netþjónum og virkja hana. Til að tengjast verður notandinn að fara á vefsíðugáttina þar sem hann verður beðinn um að hlaða niður GlobalProtect viðskiptavinur. Þegar þú hefur hlaðið niður og sett upp geturðu slegið inn skilríkin þín og tengst fyrirtækjanetinu þínu í gegnum SSL VPN.
Ályktun
Þetta lýkur Palo Alto Networks hluta uppsetningarinnar. Við vonum að upplýsingarnar hafi verið gagnlegar og að lesandinn hafi öðlast skilning á tækninni sem notuð er hjá Palo Alto Networks. Ef þú hefur spurningar um uppsetningu og tillögur um efni fyrir greinar í framtíðinni, skrifaðu þær í athugasemdirnar, við munum vera fús til að svara.
Heimild: www.habr.com