Palo Alto Networks брандмауэрлерінің барлық артықшылықтарына қарамастан, RuNet-те бұл құрылғыларды орнату туралы материалдар, сондай-ақ оларды енгізу тәжірибесін сипаттайтын мәтіндер көп емес. Біз осы жеткізушінің жабдығымен жұмыс істеу барысында жинақталған материалдарды қорытындылап, әртүрлі жобаларды жүзеге асыру кезінде кездесетін мүмкіндіктер туралы сөйлесуді шештік.
Сізді Palo Alto желілерімен таныстыру үшін бұл мақала ең көп таралған брандмауэр мәселелерінің бірі - қашықтан қол жеткізуге арналған SSL VPN шешу үшін қажет конфигурацияны қарастырады. Сонымен қатар брандмауэрдің жалпы конфигурациясына, пайдаланушы идентификациясына, қолданбаларға және қауіпсіздік саясаттарына арналған утилита функциялары туралы сөйлесетін боламыз. Тақырып оқырмандарды қызықтырса, болашақта біз Panorama көмегімен Сайттан Сайтқа VPN, динамикалық маршруттау және орталықтандырылған басқаруды талдайтын материалдарды шығарамыз.
Palo Alto Networks желіаралық қалқандары App-ID, User-ID, Content-ID сияқты бірқатар инновациялық технологияларды пайдаланады. Бұл функцияны пайдалану қауіпсіздіктің жоғары деңгейін қамтамасыз етуге мүмкіндік береді. Мысалы, App-ID көмегімен қолданылған порт пен протоколға қарамастан, оның ішінде SSL туннелі ішінде қолтаңбалар, декодтау және эвристика негізінде қолданба трафигін анықтауға болады. User-ID LDAP интеграциясы арқылы желі пайдаланушыларын анықтауға мүмкіндік береді. Content-ID трафикті сканерлеуге және жіберілген файлдар мен олардың мазмұнын анықтауға мүмкіндік береді. Басқа желіаралық қалқан функцияларына шабуылдан қорғау, осалдықтардан және DoS шабуылдарынан қорғау, кірістірілген шпиондық бағдарламаға қарсы, URL сүзгілеу, кластерлеу және орталықтандырылған басқару кіреді.
Көрсету үшін құрылғы атауларын, AD домен атауын және IP мекенжайларын қоспағанда, конфигурациясы нақтыға ұқсас оқшауланған стендті қолданамыз. Шындығында, бәрі күрделірек - көптеген филиалдар болуы мүмкін. Бұл жағдайда бір брандмауэрдің орнына орталық тораптардың шекараларында кластер орнатылады, сонымен қатар динамикалық маршруттау қажет болуы мүмкін.
Стендте қолданылады PAN-OS 7.1.9. Әдеттегі конфигурация ретінде шетінде Palo Alto Networks брандмауэрі бар желіні қарастырыңыз. Брандмауэр бас кеңсеге қашықтан SSL VPN қатынасын қамтамасыз етеді. Active Directory домені пайдаланушы деректер базасы ретінде пайдаланылады (1-сурет).
Сурет 1 – Желінің блок-схемасы
Орнату кезеңдері:
- Құрылғыны алдын ала конфигурациялау. Атауды, басқару IP мекенжайын, статикалық маршруттарды, әкімші тіркелгілерін, басқару профильдерін орнату
- Лицензияларды орнату, жаңартуларды конфигурациялау және орнату
- Қауіпсіздік аймақтарын конфигурациялау, желілік интерфейстер, қозғалыс саясаттары, мекенжай аудармасы
- LDAP аутентификация профилін және пайдаланушы сәйкестендіру мүмкіндігін теңшеу
- SSL VPN орнату
1. Алдын ала орнатылған
Palo Alto Networks брандмауэрін теңшеудің негізгі құралы веб-интерфейс болып табылады, сонымен қатар CLI арқылы басқаруға болады. Әдепкі бойынша, басқару интерфейсі IP мекенжайы 192.168.1.1/24, логин: admin, құпия сөз: admin.
Мекенжайды бір желіден веб-интерфейске қосылу арқылы немесе пәрменді пайдалану арқылы өзгертуге болады deviceconfig жүйесінің ip-адресін орнату <> желі маскасы <>. Ол конфигурация режимінде орындалады. Конфигурация режиміне ауысу үшін пәрменді пайдаланыңыз теңшейді. Брандмауэрдегі барлық өзгерістер параметрлер пәрмен арқылы расталғаннан кейін ғана орын алады жасау, пәрмен жолы режимінде де, веб-интерфейсте де.
Веб-интерфейстегі параметрлерді өзгерту үшін бөлімді пайдаланыңыз Құрылғы -> Жалпы параметрлер және Құрылғы -> Басқару интерфейсінің параметрлері. Атауды, баннерлерді, уақыт белдеуін және басқа параметрлерді Жалпы параметрлер бөлімінде орнатуға болады (Cурет 2).
2-сурет – Басқару интерфейсінің параметрлері
ESXi ортасында виртуалды желіаралық қалқанды пайдалансаңыз, «Жалпы параметрлер» бөлімінде гипервизор тағайындаған MAC мекенжайын пайдалануды қосу немесе гипервизордағы брандмауэр интерфейстерінде көрсетілген MAC мекенжайларын конфигурациялау немесе параметрлерді өзгерту қажет. виртуалды қосқыштар MAC мекенжайларын өзгертуге мүмкіндік береді. Әйтпесе, көлік өтпейді.
Басқару интерфейсі бөлек конфигурацияланады және желі интерфейстерінің тізімінде көрсетілмейді. тарауда Басқару интерфейсінің параметрлері басқару интерфейсі үшін әдепкі шлюзді көрсетеді. Басқа статикалық маршруттар виртуалды маршрутизаторлар бөлімінде конфигурацияланады, бұл кейінірек талқыланады.
Құрылғыға басқа интерфейстер арқылы кіруге рұқсат беру үшін басқару профилін жасау керек Басқару профилі бөлім Network -> Network Profiles -> Interface Mgmt және оны сәйкес интерфейске тағайындаңыз.
Содан кейін бөлімде DNS және NTP параметрлерін конфигурациялау керек Құрылғы -> Қызметтер жаңартуларды алу және уақытты дұрыс көрсету үшін (Cурет 3). Әдепкі бойынша, желіаралық қалқан арқылы жасалған барлық трафик бастапқы IP мекенжайы ретінде басқару интерфейсінің IP мекенжайын пайдаланады. Бөлімдегі әрбір нақты қызмет үшін басқа интерфейсті тағайындауға болады Қызмет маршрутының конфигурациясы.
3-сурет – DNS, NTP және жүйелік маршруттардың қызмет көрсету параметрлері
2. Лицензияларды орнату, жаңартуларды орнату және орнату
Барлық брандмауэр функцияларының толық жұмыс істеуі үшін лицензияны орнату қажет. Сіз Palo Alto Networks серіктестерінен сұрау арқылы сынақ лицензиясын пайдалана аласыз. Оның жарамдылық мерзімі - 30 күн. Лицензия файл арқылы немесе аутентификация коды арқылы белсендіріледі. Лицензиялар бөлімде конфигурацияланған Құрылғы -> Лицензиялар (Сурет 4).
Лицензияны орнатқаннан кейін бөлімде жаңартуларды орнатуды конфигурациялау қажет Құрылғы -> Динамикалық жаңартулар.
бөлім Құрылғы -> Бағдарламалық құрал PAN-OS жаңа нұсқаларын жүктеп алуға және орнатуға болады.
4-сурет – Лицензияны басқару тақтасы
3. Қауіпсіздік аймақтарын конфигурациялау, желілік интерфейстер, қозғалыс саясаттары, мекенжай аудармасы
Palo Alto Networks брандмауэрлері желі ережелерін конфигурациялау кезінде аймақ логикасын пайдаланады. Желілік интерфейстер белгілі бір аймаққа тағайындалады және бұл аймақ жол қозғалысы ережелерінде қолданылады. Бұл тәсіл болашақта интерфейс параметрлерін өзгерту кезінде жол қозғалысы ережелерін өзгертуге емес, оның орнына қажетті интерфейстерді сәйкес аймақтарға қайта тағайындауға мүмкіндік береді. Әдепкі бойынша, аймақ ішіндегі қозғалысқа рұқсат етіледі, аймақтар арасындағы қозғалысқа тыйым салынады, бұл үшін алдын ала анықталған ережелер жауап береді. intrazone-әдепкі и аймақаралық-әдепкі.
5-сурет – Қауіпсіздік аймақтары
Бұл мысалда ішкі желідегі интерфейс аймаққа тағайындалған ішкі, және Интернетке қараған интерфейс аймаққа тағайындалады сыртқы. SSL VPN үшін туннель интерфейсі жасалып, аймаққа тағайындалды VPN (Сурет 5).
Palo Alto Networks желіаралық қалқанының интерфейстері бес түрлі режимде жұмыс істей алады:
- кран – мониторинг және талдау мақсатында трафикті жинау үшін пайдаланылады
- HA – кластер жұмысы үшін қолданылады
- Виртуалды сым – бұл режимде Palo Alto Networks екі интерфейсті біріктіреді және MAC және IP мекенжайларын өзгертпестен олардың арасындағы трафикті мөлдір түрде өткізеді.
- Қабат2 – ауысу режимі
- Қабат3 – маршрутизатор режимі
6-сурет – Интерфейстің жұмыс режимін орнату
Бұл мысалда Layer3 режимі пайдаланылады (Cурет 6). Желі интерфейсінің параметрлері IP мекенжайын, жұмыс режимін және сәйкес қауіпсіздік аймағын көрсетеді. Интерфейстің жұмыс режимінен басқа, оны виртуалды маршрутизаторға тағайындау керек, бұл Palo Alto желілеріндегі VRF данасының аналогы. Виртуалды маршрутизаторлар бір-бірінен оқшауланған және өздерінің маршруттау кестелері мен желілік протокол параметрлері бар.
Виртуалды маршрутизатор параметрлері статикалық бағыттар мен маршруттау протоколының параметрлерін көрсетеді. Бұл мысалда сыртқы желілерге кіру үшін тек әдепкі маршрут жасалған (Cурет 7).
7-сурет – Виртуалды маршрутизаторды орнату
Келесі конфигурациялау кезеңі - қозғалыс саясаты, бөлім Саясат -> Қауіпсіздік. Конфигурацияның мысалы 8-суретте көрсетілген. Ережелердің логикасы барлық желіаралық қалқандармен бірдей. Ережелер бірінші матчқа дейін жоғарыдан төменге қарай тексеріледі. Ережелердің қысқаша сипаттамасы:
1. Веб-порталға SSL VPN қатынасы. Қашықтағы қосылымдардың аутентификациясы үшін веб-порталға кіруге мүмкіндік береді
2. VPN трафигі – қашықтағы қосылымдар мен бас кеңсе арасындағы трафикке мүмкіндік береді
3. Негізгі Интернет – dns, ping, traceroute, ntp қолданбаларына рұқсат беру. Брандмауэр порт нөмірлері мен протоколдарға емес, қолтаңбаларға, декодтау мен эвристикаға негізделген қолданбаларға мүмкіндік береді, сондықтан Қызмет бөлімінде қолданба-әдепкі деп айтылады. Бұл қолданба үшін әдепкі порт/протокол
4. Web Access – қолданбаны басқарусыз HTTP және HTTPS протоколдары арқылы Интернетке кіруге рұқсат беру
5,6. Басқа трафик үшін әдепкі ережелер.
8-сурет — Желі ережелерін орнату мысалы
NAT конфигурациялау үшін бөлімді пайдаланыңыз Саясат -> NAT. NAT конфигурациясының мысалы 9-суретте көрсетілген.
9-сурет – NAT конфигурациясының мысалы
Ішкі трафиктен сыртқыға кез келген трафик үшін бастапқы мекенжайды брандмауэрдің сыртқы IP мекенжайына өзгертуге және динамикалық порт мекенжайын (PAT) пайдалануға болады.
4. LDAP аутентификация профилін және пайдаланушы идентификациялау функциясын конфигурациялау
Пайдаланушыларды SSL-VPN арқылы қосу алдында аутентификация механизмін конфигурациялау қажет. Бұл мысалда аутентификация Active Directory домен контроллеріне Palo Alto Networks веб-интерфейсі арқылы орындалады.
10-сурет – LDAP профилі
Аутентификация жұмыс істеуі үшін конфигурациялау қажет LDAP профилі и Аутентификация профилі. Бөлімде Құрылғы -> Сервер профильдері -> LDAP (Cурет 10) топтарға енгізілген домен контроллерінің IP мекенжайы мен портын, LDAP түрін және пайдаланушы тіркелгісін көрсету керек. Сервер операторлары, Оқиғалар журналын оқу құралдары, Бөлінген COM пайдаланушылары. Содан кейін бөлімде Құрылғы -> Аутентификация профилі аутентификация профилін жасаңыз (Cурет 11), бұрын жасалғанын белгілеңіз LDAP профилі ал «Қосымша» қойындысында қашықтан қол жеткізуге рұқсат етілген пайдаланушылар тобын (12-сурет) көрсетеміз. Профильдегі параметрді ескеру маңызды Пайдаланушы домені, әйтпесе топтық рұқсат жұмыс істемейді. Өріс NetBIOS домен атауын көрсетуі керек.
11-сурет – Аутентификация профилі
12-сурет – AD тобын таңдау
Келесі кезең - орнату Құрылғы -> Пайдаланушы идентификациясы. Мұнда домен контроллерінің IP мекенжайын, қосылым тіркелгі деректерін көрсету, сондай-ақ параметрлерді конфигурациялау қажет Қауіпсіздік журналын қосыңыз, Сеансты қосу, Тексеруді қосыңыз (Cурет 13). тарауда Топтық карта жасау (Cурет 14) LDAP ішіндегі объектілерді анықтау параметрлерін және авторизациялау үшін пайдаланылатын топтардың тізімін ескеру қажет. Аутентификация профиліндегі сияқты, мұнда пайдаланушы домені параметрін орнату керек.
13-сурет – Пайдаланушыны салыстыру параметрлері
14-сурет – Топтық салыстыру параметрлері
Бұл кезеңдегі соңғы қадам VPN аймағын және сол аймақ үшін интерфейсті жасау болып табылады. Интерфейстегі опцияны қосу керек Пайдаланушы идентификациясын қосыңыз (Сурет 15).
15-сурет – VPN аймағын орнату
5. SSL VPN орнату
SSL VPN желісіне қосылу алдында қашықтағы пайдаланушы веб-порталға өтіп, аутентификациядан өтіп, Global Protect клиентін жүктеп алуы керек. Содан кейін бұл клиент тіркелгі деректерін сұрайды және корпоративтік желіге қосылады. Веб-портал https режимінде жұмыс істейді және сәйкесінше оған сертификат орнату қажет. Мүмкін болса, жалпыға ортақ сертификатты пайдаланыңыз. Содан кейін пайдаланушы сайтта сертификаттың жарамсыздығы туралы ескерту алмайды. Егер жалпыға ортақ сертификатты пайдалану мүмкін болмаса, https үшін веб-бетте қолданылатын өзіңіздің жеке сертификатыңызды беруіңіз керек. Оған өздігінен қол қоюға немесе жергілікті сертификаттау органы арқылы беруге болады. Қашықтағы компьютерде пайдаланушы веб-порталға қосылу кезінде қатені қабылдамауы үшін сенімді түбірлік органдар тізімінде түбірлік немесе өздігінен қол қойылған сертификат болуы керек. Бұл мысал Active Directory сертификат қызметтері арқылы берілген сертификатты пайдаланады.
Сертификат беру үшін бөлімде сертификат сұрауын жасау керек Құрылғы -> Сертификаттарды басқару -> Сертификаттар -> Жасау. Сұрауда сертификаттың атауын және веб-порталдың IP мекенжайын немесе FQDN-ін көрсетеміз (16-сурет). Сұрауды жасағаннан кейін жүктеп алыңыз .csr файлын жасаңыз және оның мазмұнын AD CS Web Enrollment веб-пішініндегі сертификат сұрау өрісіне көшіріңіз. Сертификаттау органының конфигурациялануына байланысты сертификат сұрауы мақұлдануы және берілген сертификатты пішімде жүктеп алу керек. Base64 кодталған сертификат. Сонымен қатар, сертификаттау орталығының түбірлік сертификатын жүктеп алу қажет. Содан кейін екі сертификатты брандмауэрге импорттау керек. Веб-портал үшін сертификатты импорттау кезінде күтудегі күйдегі сұрауды таңдап, импорттау түймесін басу керек. Сертификат атауы сұрауда бұрын көрсетілген атқа сәйкес келуі керек. Түбірлік куәліктің атауы ерікті түрде көрсетілуі мүмкін. Куәлікті импорттағаннан кейін жасау керек SSL/TLS қызмет профилі бөлім Құрылғы -> Сертификатты басқару. Профильде біз бұрын импортталған сертификатты көрсетеміз.
16-сурет – Сертификат сұрауы
Келесі қадам - нысандарды орнату Global Protect Gateway и Ғаламдық қорғау порталы бөлім Желі -> Жаһандық қорғау. Параметрлерде Global Protect Gateway брандмауэрдің сыртқы IP мекенжайын, сондай-ақ бұрын жасалғанын көрсетіңіз SSL профилі, Аутентификация профилі, туннель интерфейсі және клиенттің IP параметрлері. Клиентке мекенжай тағайындалатын IP мекенжайларының пулын көрсету керек және Access Route – бұл клиент маршруты болатын ішкі желілер. Егер тапсырма брандмауэр арқылы барлық пайдаланушы трафигін орау болса, онда 0.0.0.0/0 ішкі желіні көрсету керек (Cурет 17).
17-сурет – IP мекенжайлары мен маршруттар пулын конфигурациялау
Содан кейін конфигурациялау керек Ғаламдық қорғау порталы. Брандмауэрдің IP мекенжайын көрсетіңіз, SSL профилі и Аутентификация профилі және клиент қосылатын желіаралық қалқандардың сыртқы IP мекенжайларының тізімі. Бірнеше брандмауэр болса, әрқайсысына басымдықты орнатуға болады, соған сәйкес пайдаланушылар қосылу үшін желіаралық қалқанды таңдайды.
бөлім Құрылғы -> GlobalProtect клиенті Palo Alto Networks серверлерінен VPN клиенттік таратуын жүктеп алып, оны белсендіру қажет. Қосылу үшін пайдаланушы жүктеп алуды сұрайтын порталдың веб-бетіне өтуі керек GlobalProtect клиенті. Жүктеп алынған және орнатылғаннан кейін тіркелгі деректерін енгізіп, SSL VPN арқылы корпоративтік желіге қосылуға болады.
қорытынды
Бұл орнатудың Palo Alto Networks бөлігін аяқтайды. Ақпарат пайдалы болды және оқырман Palo Alto Networks-те қолданылатын технологиялар туралы түсінік алды деп үміттенеміз. Егер сізде орнату туралы сұрақтарыңыз болса және болашақ мақалаларға арналған тақырыптар бойынша ұсыныстарыңыз болса, оларды түсініктемелерде жазыңыз, біз жауап беруге қуаныштымыз.
Ақпарат көзі: www.habr.com