Senadyan kabeh kaluwihan saka firewalls Palo Alto Networks, ora akeh materi ing RuNet kanggo nyetel piranti kasebut, uga teks sing njlèntrèhaké pengalaman implementasine. Kita mutusake kanggo ngringkes bahan sing wis diklumpukake sajrone karya karo peralatan vendor iki lan ngomong babagan fitur sing ditemoni sajrone implementasine macem-macem proyek.
Kanggo ngenalake sampeyan menyang Palo Alto Networks, artikel iki bakal ndeleng konfigurasi sing dibutuhake kanggo ngatasi salah sawijining masalah firewall sing paling umum - SSL VPN kanggo akses remot. Kita uga bakal ngomong babagan fungsi sarana kanggo konfigurasi firewall umum, identifikasi pangguna, aplikasi, lan kabijakan keamanan. Yen topik kasebut narik kawigaten para pamaca, ing mangsa ngarep kita bakal ngeculake materi sing nganalisa Site-to-Site VPN, rute dinamis lan manajemen terpusat nggunakake Panorama.
Firewall Palo Alto Networks nggunakake sawetara teknologi inovatif, kalebu App-ID, User-ID, Content-ID. Panggunaan fungsi iki ngidini sampeyan njamin tingkat keamanan sing dhuwur. Contone, karo App-ID bisa kanggo ngenali lalu lintas aplikasi adhedhasar teken, dekoding lan heuristik, preduli saka port lan protokol sing digunakake, kalebu ing jero trowongan SSL. User-ID ngidini sampeyan ngenali pangguna jaringan liwat integrasi LDAP. Content-ID ndadekake iku bisa kanggo mindhai lalu lintas lan ngenali file ditularaké lan isine. Fungsi firewall liyane kalebu proteksi intrusi, proteksi marang kerentanan lan serangan DoS, anti-spyware sing dibangun, nyaring URL, clustering, lan manajemen terpusat.
Kanggo demonstrasi, kita bakal nggunakake stand terpencil, kanthi konfigurasi sing padha karo asline, kajaba jeneng piranti, jeneng domain AD lan alamat IP. Ing kasunyatan, kabeh luwih rumit - bisa uga ana akeh cabang. Ing kasus iki, tinimbang firewall siji, kluster bakal dipasang ing wates situs tengah, lan rute dinamis uga dibutuhake.
Digunakake ing ngadeg PAN-OS 7.1.9. Minangka konfigurasi khas, nimbang jaringan karo firewall Palo Alto Networks ing pinggiran. Firewall nyedhiyakake akses SSL VPN remot menyang kantor pusat. Domain Active Directory bakal digunakake minangka basis data pangguna (Gambar 1).
Gambar 1 – Diagram blok jaringan
Langkah-langkah persiyapan:
- Pra-konfigurasi piranti. Nyetel jeneng, alamat IP manajemen, rute statis, akun administrator, profil manajemen
- Nginstal lisensi, ngatur lan nginstal nganyari
- Konfigurasi zona keamanan, antarmuka jaringan, kabijakan lalu lintas, terjemahan alamat
- Konfigurasi Profil Otentikasi LDAP lan Fitur Identifikasi Panganggo
- Nggawe SSL VPN
1. Prasetel
Alat utama kanggo ngatur firewall Palo Alto Networks yaiku antarmuka web; manajemen liwat CLI uga bisa. Kanthi gawan, antarmuka manajemen disetel menyang alamat IP 192.168.1.1/24, login: admin, sandi: admin.
Sampeyan bisa ngganti alamat kanthi nyambungake menyang antarmuka web saka jaringan sing padha, utawa nggunakake printah nyetel deviceconfig system ip-address <> netmask <>. Iki ditindakake ing mode konfigurasi. Kanggo ngalih menyang mode konfigurasi, gunakake printah ngatur. Kabeh owah-owahan ing firewall kedadeyan mung sawise setelan dikonfirmasi dening printah tumindak, ing mode baris printah lan ing antarmuka web.
Kanggo ngganti setelan ing antarmuka web, gunakake bagean kasebut Piranti -> Setelan Umum lan Piranti -> Setelan Antarmuka Manajemen. Jeneng, spanduk, zona wektu lan setelan liyane bisa disetel ing bagean Setelan Umum (Gbr. 2).
Gambar 2 - Parameter antarmuka manajemen
Yen sampeyan nggunakake firewall virtual ing lingkungan ESXi, ing bagean Setelan Umum sampeyan kudu ngaktifake panggunaan alamat MAC sing diwenehake dening hypervisor, utawa ngatur alamat MAC sing ditemtokake ing antarmuka firewall ing hypervisor, utawa ngganti setelan saka ngalih virtual kanggo ngidini MAC ngganti alamat. Yen ora, lalu lintas ora bakal liwat.
Antarmuka manajemen dikonfigurasi kanthi kapisah lan ora ditampilake ing dhaptar antarmuka jaringan. Ing bab Setelan Antarmuka Manajemen nemtokake gateway standar kanggo antarmuka manajemen. Rute statis liyane dikonfigurasi ing bagean router virtual; iki bakal dibahas mengko.
Kanggo ngidini akses menyang piranti liwat antarmuka liyane, sampeyan kudu nggawe profil manajemen Profil Manajemen bagean Jaringan -> Profil Jaringan -> Antarmuka Mgmt lan nemtokake menyang antarmuka sing cocog.
Sabanjure, sampeyan kudu ngatur DNS lan NTP ing bagean kasebut Piranti -> Layanan kanggo nampa nganyari lan nampilake wektu kanthi bener (Fig. 3). Kanthi gawan, kabeh lalu lintas sing digawe dening firewall nggunakake alamat IP antarmuka manajemen minangka alamat IP sumber. Sampeyan bisa nemtokake antarmuka sing beda kanggo saben layanan tartamtu ing bagean kasebut Konfigurasi Rute Layanan.
Gambar 3 – DNS, NTP lan paramèter layanan rute sistem
2. Nginstal lisensi, nyetel lan nginstal nganyari
Kanggo operasi lengkap kabeh fungsi firewall, sampeyan kudu nginstal lisensi. Sampeyan bisa nggunakake lisensi uji coba kanthi njaluk saka mitra Palo Alto Networks. Periode validitase yaiku 30 dina. Lisensi diaktifake liwat file utawa nggunakake Auth-Code. Lisensi diatur ing bagean Piranti -> Lisensi (gambar 4).
Sawise nginstal lisensi, sampeyan kudu ngatur instalasi nganyari ing bagean kasebut Piranti -> Nganyari Dinamis.
bagean Piranti -> Piranti Lunak sampeyan bisa ngundhuh lan nginstal versi anyar PAN-OS.
Gambar 4 – Panel kontrol lisensi
3. Konfigurasi zona keamanan, antarmuka jaringan, kabijakan lalu lintas, terjemahan alamat
Firewalls Palo Alto Networks nggunakake logika zona nalika ngatur aturan jaringan. Antarmuka jaringan diutus menyang zona tartamtu, lan zona iki digunakake ing aturan lalu lintas. Pendekatan iki ngidini ing mangsa ngarep, nalika ngganti setelan antarmuka, ora ngganti aturan lalu lintas, nanging kanggo ngganti antarmuka sing perlu kanggo zona cocok. Kanthi gawan, lalu lintas ing zona diidini, lalu lintas antarane zona dilarang, aturan sing wis ditemtokake tanggung jawab kanggo iki intrazone-default и interzone-default.
Gambar 5 - Zona aman
Ing conto iki, antarmuka ing jaringan internal diutus kanggo zona internal, lan antarmuka madhep Internet diutus kanggo zona external. Kanggo SSL VPN, antarmuka trowongan wis digawe lan ditugasake menyang zona kasebut Vpn (gambar 5).
Antarmuka jaringan firewall Palo Alto Networks bisa digunakake ing limang mode beda:
- tutul – digunakake kanggo ngumpulake lalu lintas kanggo tujuan ngawasi lan analisis
- HA - digunakake kanggo operasi cluster
- Kawat Virtual - ing mode iki, Palo Alto Networks nggabungake rong antarmuka lan kanthi transparan ngliwati lalu lintas ing antarane tanpa ngganti alamat MAC lan IP.
- Lapisan2 - ngalih mode
- Lapisan3 - mode router
Gambar 6 - Nyetel mode operasi antarmuka
Ing conto iki, mode Layer3 bakal digunakake (Fig. 6). Parameter antarmuka jaringan nuduhake alamat IP, mode operasi lan zona keamanan sing cocog. Saliyane mode operasi antarmuka, sampeyan kudu nemtokake menyang router virtual Router Virtual, iki minangka analog saka conto VRF ing Palo Alto Networks. Router virtual diisolasi saka saben liyane lan duwe tabel rute lan setelan protokol jaringan dhewe.
Setelan router virtual nemtokake rute statis lan setelan protokol routing. Ing conto iki, mung rute standar wis digawe kanggo ngakses jaringan njaba (Fig. 7).
Gambar 7 - Nggawe router virtual
Tahap konfigurasi sabanjure yaiku kabijakan lalu lintas, bagean Kawicaksanan -> Keamanan. Conto konfigurasi ditampilake ing Figure 8. Logika aturan padha kanggo kabeh firewalls. Aturan kasebut dicenthang saka ndhuwur nganti ngisor, mudhun menyang pertandhingan pisanan. Katrangan ringkes babagan aturan:
1. SSL VPN Akses menyang Portal Web. Ngidini akses menyang portal web kanggo otentikasi sambungan remot
2. Lalu lintas VPN - ngidini lalu lintas antarane sambungan remot lan kantor pusat
3. Internet dhasar - ngidini aplikasi dns, ping, traceroute, ntp. Firewall ngidini aplikasi adhedhasar teken, dekoding, lan heuristik tinimbang nomer port lan protokol, mulane bagean Layanan nyatakake aplikasi-default. Port/protokol standar kanggo aplikasi iki
4. Akses Web - ngidini akses Internet liwat protokol HTTP lan HTTPS tanpa kontrol aplikasi
5,6. Aturan standar kanggo lalu lintas liyane.
Gambar 8 - Conto nyetel aturan jaringan
Kanggo ngatur NAT, gunakake bagean kasebut Kawicaksanan -> NAT. Conto konfigurasi NAT ditampilake ing Gambar 9.
Gambar 9 - Conto konfigurasi NAT
Kanggo lalu lintas saka internal menyang eksternal, sampeyan bisa ngganti alamat sumber menyang alamat IP eksternal saka firewall lan nggunakake alamat port dinamis (PAT).
4. Konfigurasi Profil Authentication LDAP lan Fungsi Identifikasi Panganggo
Sadurunge nyambungake pangguna liwat SSL-VPN, sampeyan kudu ngatur mekanisme otentikasi. Ing conto iki, otentikasi bakal kelakon ing Active Directory domain controller liwat antarmuka web Palo Alto Networks.
Gambar 10 – Profil LDAP
Kanggo otentikasi bisa digunakake, sampeyan kudu ngatur Profil LDAP и Profil Otentikasi... Ing bagean Piranti -> Profil Server -> LDAP (Fig. 10) sampeyan kudu nemtokake alamat IP lan port kontroler domain, jinis LDAP lan akun pangguna sing kalebu ing grup Operator Server, Pembaca Log Acara, Pangguna COM sing disebarake. Banjur ing bagean Piranti -> Profil Authentication nggawe profil otentikasi (Fig. 11), tandhani sing digawe sadurunge Profil LDAP lan ing tab Advanced kita nuduhake klompok pangguna (Fig. 12) sing diijini akses remot. Penting kanggo nyathet parameter ing profil sampeyan Domain pangguna, yen ora, wewenang adhedhasar klompok ora bakal bisa. Kolom kasebut kudu nuduhake jeneng domain NetBIOS.
Gambar 11 - Profil otentikasi
Gambar 12 - Pilihan klompok AD
Tahap sabanjure yaiku persiyapan Piranti -> Identifikasi Panganggo. Ing kene sampeyan kudu nemtokake alamat IP pengontrol domain, kredensial sambungan, lan uga ngatur setelan Aktifake Log Keamanan, Aktifake Sesi, Aktifake Probing (Gambar 13). Ing bab Group Mapping (Fig. 14) sampeyan kudu Wigati paramèter kanggo ngenali obyek ing LDAP lan dhaptar grup sing bakal digunakake kanggo wewenang. Kaya ing Profil Otentikasi, ing kene sampeyan kudu nyetel parameter Domain Panganggo.
Gambar 13 - Parameter Pemetaan Panganggo
Gambar 14 - Parameter Pemetaan Kelompok
Langkah pungkasan ing fase iki yaiku nggawe zona VPN lan antarmuka kanggo zona kasebut. Sampeyan kudu ngaktifake pilihan ing antarmuka Aktifake Identifikasi Panganggo (gambar 15).
Gambar 15 - Nyetel zona VPN
5. Nyetel SSL VPN
Sadurunge nyambung menyang SSL VPN, pangguna remot kudu pindhah menyang portal web, otentikasi lan ndownload klien Global Protect. Sabanjure, klien iki bakal njaluk kredensial lan nyambung menyang jaringan perusahaan. Warta web beroperasi ing mode https lan, kanthi mangkono, sampeyan kudu nginstal sertifikat kasebut. Gunakake sertifikat umum yen bisa. Banjur pangguna ora bakal nampa bebaya babagan invalidity sertifikat ing situs kasebut. Yen ora bisa nggunakake sertifikat umum, sampeyan kudu ngetokake dhewe, sing bakal digunakake ing kaca web kanggo https. Bisa ditandatangani dhewe utawa ditanggepi liwat panguwasa sertifikat lokal. Komputer remot kudu duwe sertifikat oyod utawa ditandatangani dhewe ing dhaptar panguwasa root sing dipercaya supaya pangguna ora entuk kesalahan nalika nyambung menyang portal web. Conto iki bakal nggunakake sertifikat sing ditanggepi liwat Layanan Sertifikat Direktori Aktif.
Kanggo ngetokake sertifikat, sampeyan kudu nggawe panjalukan sertifikat ing bagean kasebut Piranti -> Manajemen Sertifikat -> Sertifikat -> Generate. Ing panyuwunan kasebut, kita nuduhake jeneng sertifikat lan alamat IP utawa FQDN portal web (Gambar 16). Sawise nggawe panjalukan, download .csr file lan nyalin isine menyang kolom panjalukan sertifikat ing formulir web AD CS Web Enrollment. Gumantung carane panguwasa sertifikat dikonfigurasi, panjaluk sertifikat kudu disetujoni lan sertifikat sing ditanggepi kudu didownload ing format kasebut. Sertifikat Dienkode Base64. Kajaba iku, sampeyan kudu ndownload sertifikat ROOT saka panguwasa sertifikasi. Banjur sampeyan kudu ngimpor loro sertifikat menyang firewall. Nalika ngimpor sertifikat kanggo portal web, sampeyan kudu milih panjalukan ing status sing ditundha lan klik impor. Jeneng sertifikat kudu cocog karo jeneng sing kasebut sadurunge ing panyuwunan. Jeneng sertifikat ROOT bisa ditemtokake kanthi sewenang-wenang. Sawise ngimpor sertifikat, sampeyan kudu nggawe Profil Layanan SSL/TLS bagean Piranti -> Manajemen Sertifikat. Ing profil kita nuduhake sertifikat sing diimpor sadurunge.
Gambar 16 - Panjaluk sertifikat
Langkah sabanjure yaiku nyetel obyek Global Nglindhungi Gateway и Portal Jaga Global bagean Jaringan -> Global Protect. Ing setelan Global Nglindhungi Gateway nuduhake alamat IP eksternal saka firewall, uga digawe sadurunge Profil SSL, Profil Otentikasi, antarmuka trowongan lan setelan IP klien. Sampeyan kudu nemtokake blumbang alamat IP saka ngendi alamat kasebut bakal ditugasake menyang klien, lan Rute Akses - iki minangka subnet sing bakal dituju klien. Yen tugas kanggo mbungkus kabeh lalu lintas pangguna liwat firewall, sampeyan kudu nemtokake subnet 0.0.0.0/0 (Fig. 17).
Gambar 17 - Konfigurasi blumbang alamat IP lan rute
Banjur sampeyan kudu ngatur Portal Jaga Global. Nemtokake alamat IP saka firewall, Profil SSL и Profil Otentikasi lan dhaptar alamat IP eksternal saka firewall sing bakal disambungake klien. Yen ana sawetara firewall, sampeyan bisa nyetel prioritas kanggo saben, miturut pangguna bakal milih firewall kanggo nyambungake.
bagean Piranti -> Klien GlobalProtect sampeyan kudu ngundhuh distribusi klien VPN saka server Palo Alto Networks lan ngaktifake. Kanggo nyambung, pangguna kudu pindhah menyang kaca web portal, ing ngendi dheweke bakal dijaluk download Klien GlobalProtect. Sawise diundhuh lan diinstal, sampeyan bisa ngetik kredensial lan nyambung menyang jaringan perusahaan liwat SSL VPN.
kesimpulan
Iki ngrampungake bagean Palo Alto Networks saka persiyapan. Muga-muga informasi kasebut migunani lan para pamaca entuk pangerten babagan teknologi sing digunakake ing Palo Alto Networks. Yen sampeyan duwe pitakon babagan persiyapan lan saran babagan topik kanggo artikel sing bakal teka, tulisen ing komentar, kita bakal seneng njawab.
Source: www.habr.com