លក្ខណៈពិសេសនៃការដំឡើង Palo Alto Networks៖ SSL VPN

ទោះបីជាមានគុណសម្បត្តិទាំងអស់នៃជញ្ជាំងភ្លើង Palo Alto Networks ក៏ដោយ ក៏មិនមានសម្ភារៈច្រើននៅលើ RuNet លើការដំឡើងឧបករណ៍ទាំងនេះ ក៏ដូចជាអត្ថបទដែលពិពណ៌នាអំពីបទពិសោធន៍នៃការអនុវត្តរបស់ពួកគេ។ យើងបានសម្រេចចិត្តសង្ខេបសម្ភារៈដែលយើងប្រមូលបានក្នុងអំឡុងពេលការងាររបស់យើងជាមួយឧបករណ៍របស់អ្នកលក់នេះហើយនិយាយអំពីលក្ខណៈពិសេសដែលយើងជួបប្រទះក្នុងអំឡុងពេលអនុវត្តគម្រោងផ្សេងៗ។

ដើម្បីណែនាំអ្នកទៅកាន់ Palo Alto Networks អត្ថបទនេះនឹងពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធដែលត្រូវការដើម្បីដោះស្រាយបញ្ហាជញ្ជាំងភ្លើងទូទៅបំផុតមួយ - SSL VPN សម្រាប់ការចូលប្រើពីចម្ងាយ។ យើងក៏នឹងនិយាយអំពីមុខងារឧបករណ៍ប្រើប្រាស់សម្រាប់ការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងទូទៅ ការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ កម្មវិធី និងគោលការណ៍សុវត្ថិភាព។ ប្រសិនបើប្រធានបទមានការចាប់អារម្មណ៍ចំពោះអ្នកអាន នៅពេលអនាគត យើងនឹងចេញផ្សាយសម្ភារៈវិភាគ VPN ពីគេហទំព័រទៅគេហទំព័រ ការកំណត់ផ្លូវថាមវន្ត និងការគ្រប់គ្រងកណ្តាលដោយប្រើ Panorama ។

ជញ្ជាំងភ្លើង Palo Alto Networks ប្រើប្រាស់បច្ចេកវិទ្យាច្នៃប្រឌិតមួយចំនួន រួមទាំង App-ID, User-ID, Content-ID ។ ការប្រើប្រាស់មុខងារនេះអនុញ្ញាតឱ្យអ្នកធានាបាននូវកម្រិតខ្ពស់នៃសុវត្ថិភាព។ ជាឧទាហរណ៍ ជាមួយនឹង App-ID វាអាចកំណត់អត្តសញ្ញាណចរាចរណ៍កម្មវិធីដោយផ្អែកលើហត្ថលេខា ការឌិកូដ និងសរីរវិទ្យា ដោយមិនគិតពីច្រក និងពិធីការដែលបានប្រើ រួមទាំងនៅខាងក្នុងផ្លូវរូងក្រោមដី SSL ផងដែរ។ User-ID អនុញ្ញាតឱ្យអ្នកកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់បណ្តាញតាមរយៈការរួមបញ្ចូល LDAP ។ Content-ID ធ្វើឱ្យវាអាចស្កេនចរាចរណ៍ និងកំណត់អត្តសញ្ញាណឯកសារដែលបានបញ្ជូន និងមាតិការបស់វា។ មុខងារជញ្ជាំងភ្លើងផ្សេងទៀតរួមមានការការពារការឈ្លានពាន ការការពារប្រឆាំងនឹងភាពងាយរងគ្រោះ និងការវាយប្រហារ DoS ការប្រឆាំង spyware ដែលមានស្រាប់ តម្រង URL ការដាក់ចង្កោម និងការគ្រប់គ្រងកណ្តាល។

សម្រាប់ការបង្ហាញ យើងនឹងប្រើទីតាំងដាច់ស្រយាល ដោយមានការកំណត់រចនាសម្ព័ន្ធដូចគ្នាបេះបិទទៅនឹងឧបករណ៍ពិត លើកលែងតែឈ្មោះឧបករណ៍ ឈ្មោះដែន AD និងអាសយដ្ឋាន IP។ តាមការពិតអ្វីគ្រប់យ៉ាងកាន់តែស្មុគស្មាញ - អាចមានសាខាជាច្រើន។ ក្នុងករណីនេះ ជំនួសឱ្យជញ្ជាំងភ្លើងតែមួយ ចង្កោមនឹងត្រូវបានដំឡើងនៅព្រំដែននៃគេហទំព័រកណ្តាល ហើយការកំណត់ផ្លូវថាមវន្តក៏អាចត្រូវបានទាមទារផងដែរ។

ប្រើនៅលើឈរ PAN-OS 7.1.9. ជាការកំណត់រចនាសម្ព័ន្ធធម្មតា សូមពិចារណាបណ្តាញដែលមានជញ្ជាំងភ្លើង Palo Alto Networks នៅគែម។ ជញ្ជាំងភ្លើងផ្តល់នូវការចូលប្រើ SSL VPN ពីចម្ងាយទៅកាន់ការិយាល័យកណ្តាល។ ដែនថតសកម្មនឹងត្រូវបានប្រើជាមូលដ្ឋានទិន្នន័យអ្នកប្រើប្រាស់ (រូបភាពទី 1) ។

រូបភាពទី 1 - ដ្យាក្រាមប្លុកបណ្តាញ

ជំហានដំឡើង៖

1. ការកំណត់ឧបករណ៍ជាមុន។ ការកំណត់ឈ្មោះ អាសយដ្ឋាន IP គ្រប់គ្រង ផ្លូវឋិតិវន្ត គណនីអ្នកគ្រប់គ្រង ទម្រង់គ្រប់គ្រង
2. ការដំឡើងអាជ្ញាប័ណ្ណ កំណត់រចនាសម្ព័ន្ធ និងដំឡើងបច្ចុប្បន្នភាព
3. ការកំណត់រចនាសម្ព័ន្ធតំបន់សុវត្ថិភាព ចំណុចប្រទាក់បណ្តាញ គោលនយោបាយចរាចរណ៍ ការបកប្រែអាសយដ្ឋាន
4. កំណត់រចនាសម្ព័ន្ធទម្រង់ការផ្ទៀងផ្ទាត់ LDAP និងមុខងារកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់
5. ការដំឡើង SSL VPN

1. កំណត់ជាមុន

ឧបករណ៍សំខាន់សម្រាប់កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង Palo Alto Networks គឺជាចំណុចប្រទាក់បណ្ដាញ ការគ្រប់គ្រងតាមរយៈ CLI ក៏អាចធ្វើទៅបានផងដែរ។ តាមលំនាំដើម ចំណុចប្រទាក់គ្រប់គ្រងត្រូវបានកំណត់ទៅអាសយដ្ឋាន IP 192.168.1.1/24 ចូល៖ គ្រប់គ្រង ពាក្យសម្ងាត់៖ អ្នកគ្រប់គ្រង។

អ្នកអាចផ្លាស់ប្តូរអាសយដ្ឋានដោយភ្ជាប់ទៅចំណុចប្រទាក់បណ្ដាញពីបណ្តាញដូចគ្នា ឬប្រើពាក្យបញ្ជា កំណត់ឧបករណ៍កំណត់រចនាសម្ព័ន្ធ ip-address <> netmask <>. វាត្រូវបានអនុវត្តនៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធ។ ដើម្បីប្តូរទៅរបៀបកំណត់រចនាសម្ព័ន្ធ សូមប្រើពាក្យបញ្ជា កំណត់រចនាសម្ព័ន្ធ. ការផ្លាស់ប្តូរទាំងអស់នៅលើជញ្ជាំងភ្លើងកើតឡើងតែបន្ទាប់ពីការកំណត់ត្រូវបានបញ្ជាក់ដោយពាក្យបញ្ជា ប្តេជ្ញាទាំងនៅក្នុងរបៀបបន្ទាត់ពាក្យបញ្ជា និងនៅក្នុងចំណុចប្រទាក់បណ្ដាញ។

ដើម្បីផ្លាស់ប្តូរការកំណត់នៅក្នុងចំណុចប្រទាក់បណ្ដាញ សូមប្រើផ្នែក ឧបករណ៍ -> ការកំណត់ទូទៅ និងឧបករណ៍ -> ការកំណត់ចំណុចប្រទាក់គ្រប់គ្រង។ ឈ្មោះ បដា តំបន់ពេលវេលា និងការកំណត់ផ្សេងទៀតអាចត្រូវបានកំណត់នៅក្នុងផ្នែកការកំណត់ទូទៅ (រូបភាពទី 2) ។

រូបភាពទី 2 - ប៉ារ៉ាម៉ែត្រចំណុចប្រទាក់គ្រប់គ្រង

ប្រសិនបើអ្នកប្រើជញ្ជាំងភ្លើងនិម្មិតនៅក្នុងបរិស្ថាន ESXi នៅក្នុងផ្នែកការកំណត់ទូទៅ អ្នកត្រូវបើកការប្រើប្រាស់អាសយដ្ឋាន MAC ដែលផ្តល់ដោយអ្នកត្រួតពិនិត្យខ្ពស់ ឬកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន MAC ដែលបានបញ្ជាក់នៅលើចំណុចប្រទាក់ជញ្ជាំងភ្លើងនៅលើឧបករណ៍ត្រួតពិនិត្យខ្ពស់ ឬផ្លាស់ប្តូរការកំណត់នៃ កុងតាក់និម្មិតដើម្បីអនុញ្ញាតឱ្យ MAC ផ្លាស់ប្តូរអាសយដ្ឋាន។ បើមិនដូច្នោះទេ ចរាចរណ៍នឹងមិនឆ្លងកាត់ទេ។

ចំណុចប្រទាក់គ្រប់គ្រងត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយឡែកពីគ្នា ហើយមិនត្រូវបានបង្ហាញនៅក្នុងបញ្ជីនៃចំណុចប្រទាក់បណ្តាញទេ។ នៅក្នុងជំពូក ការកំណត់ចំណុចប្រទាក់គ្រប់គ្រង បញ្ជាក់ច្រកផ្លូវលំនាំដើមសម្រាប់ចំណុចប្រទាក់គ្រប់គ្រង។ ផ្លូវឋិតិវន្តផ្សេងទៀតត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងផ្នែក រ៉ោតទ័រនិម្មិត វានឹងត្រូវបានពិភាក្សានៅពេលក្រោយ។

ដើម្បីអនុញ្ញាតឱ្យចូលប្រើឧបករណ៍តាមរយៈចំណុចប្រទាក់ផ្សេងទៀត អ្នកត្រូវតែបង្កើតទម្រង់គ្រប់គ្រង ប្រវត្តិរូបគ្រប់គ្រង ផ្នែក បណ្តាញ -> ទម្រង់បណ្តាញ -> ចំណុចប្រទាក់ Mgmt ហើយកំណត់វាទៅចំណុចប្រទាក់សមរម្យ។

បន្ទាប់អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធ DNS និង NTP នៅក្នុងផ្នែក ឧបករណ៍ -> សេវាកម្ម ដើម្បីទទួលបានបច្ចុប្បន្នភាព និងបង្ហាញពេលវេលាឱ្យបានត្រឹមត្រូវ (រូបភាពទី 3) ។ តាមលំនាំដើម ចរាចរណ៍ទាំងអស់ដែលបង្កើតដោយជញ្ជាំងភ្លើងប្រើអាសយដ្ឋាន IP ចំណុចប្រទាក់គ្រប់គ្រងជាអាសយដ្ឋាន IP ប្រភពរបស់វា។ អ្នកអាចកំណត់ចំណុចប្រទាក់ផ្សេងគ្នាសម្រាប់សេវាកម្មជាក់លាក់នីមួយៗនៅក្នុងផ្នែក ការកំណត់រចនាសម្ព័ន្ធផ្លូវសេវាកម្ម.

រូបភាពទី 3 – DNS, NTP និងប៉ារ៉ាម៉ែត្រសេវាកម្មផ្លូវប្រព័ន្ធ

2. ការដំឡើងអាជ្ញាប័ណ្ណ ការដំឡើង និងដំឡើងបច្ចុប្បន្នភាព

សម្រាប់ប្រតិបត្តិការពេញលេញនៃមុខងារជញ្ជាំងភ្លើងទាំងអស់ អ្នកត្រូវតែដំឡើងអាជ្ញាប័ណ្ណ។ អ្នកអាចប្រើអាជ្ញាប័ណ្ណសាកល្បងដោយស្នើសុំវាពីដៃគូ Palo Alto Networks ។ រយៈពេលសុពលភាពរបស់វាគឺ 30 ថ្ងៃ។ អាជ្ញាប័ណ្ណ​ត្រូវ​បាន​ធ្វើ​ឱ្យ​សកម្ម​ទាំង​តាម​រយៈ​ឯកសារ​មួយ​ឬ​ដោយ​ប្រើ Auth-Code ។ អាជ្ញាប័ណ្ណត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងផ្នែក ឧបករណ៍ -> អាជ្ញាប័ណ្ណ (រូបភាព 4) ។
បន្ទាប់ពីដំឡើងអាជ្ញាប័ណ្ណអ្នកត្រូវកំណត់រចនាសម្ព័ន្ធការដំឡើងបច្ចុប្បន្នភាពនៅក្នុងផ្នែក ឧបករណ៍ -> ការធ្វើបច្ចុប្បន្នភាពថាមវន្ត.
ផ្នែក ឧបករណ៍ -> កម្មវិធី អ្នកអាចទាញយក និងដំឡើងកំណែថ្មីនៃ PAN-OS ។

រូបភាពទី 4 - ផ្ទាំងបញ្ជាអាជ្ញាប័ណ្ណ

3. ការកំណត់រចនាសម្ព័ន្ធតំបន់សុវត្ថិភាព ចំណុចប្រទាក់បណ្តាញ គោលនយោបាយចរាចរណ៍ ការបកប្រែអាសយដ្ឋាន

ជញ្ជាំងភ្លើង Palo Alto Networks ប្រើតក្កវិជ្ជាតំបន់ នៅពេលកំណត់រចនាសម្ព័ន្ធច្បាប់បណ្តាញ។ ចំណុចប្រទាក់បណ្តាញត្រូវបានកំណត់ទៅតំបន់ជាក់លាក់មួយ ហើយតំបន់នេះត្រូវបានប្រើក្នុងច្បាប់ចរាចរណ៍។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យនៅពេលអនាគត នៅពេលផ្លាស់ប្តូរការកំណត់ចំណុចប្រទាក់ មិនមែនដើម្បីផ្លាស់ប្តូរច្បាប់ចរាចរណ៍ទេ ប៉ុន្តែជំនួសមកវិញដើម្បីចាត់តាំងចំណុចប្រទាក់ចាំបាច់ឡើងវិញទៅតំបន់សមស្រប។ តាមលំនាំដើម ចរាចរណ៍នៅក្នុងតំបន់មួយត្រូវបានអនុញ្ញាត ចរាចរណ៍រវាងតំបន់ត្រូវបានហាមឃាត់ ច្បាប់ដែលបានកំណត់ជាមុនគឺទទួលខុសត្រូវចំពោះបញ្ហានេះ intrazone-លំនាំដើម и អន្តរតំបន់-លំនាំដើម.

រូបភាពទី 5 - តំបន់សុវត្ថិភាព

ក្នុងឧទាហរណ៍នេះ ចំណុចប្រទាក់មួយនៅលើបណ្តាញខាងក្នុងត្រូវបានកំណត់ទៅតំបន់ ផ្ទៃក្នុងហើយចំណុចប្រទាក់ដែលប្រឈមមុខនឹងអ៊ិនធឺណិតត្រូវបានកំណត់ទៅតំបន់ ខាងក្រៅ. សម្រាប់ SSL VPN ចំណុចប្រទាក់ផ្លូវរូងក្រោមដីត្រូវបានបង្កើត និងកំណត់ទៅតំបន់ VPN (រូបភាព 5) ។

ចំណុចប្រទាក់បណ្តាញជញ្ជាំងភ្លើង Palo Alto Networks អាចដំណើរការក្នុងរបៀបប្រាំផ្សេងគ្នា៖

• ប៉ះ - ប្រើដើម្បីប្រមូលចរាចរណ៍សម្រាប់គោលបំណងត្រួតពិនិត្យ និងវិភាគ
• HA - ប្រើសម្រាប់ប្រតិបត្តិការចង្កោម
• ខ្សែនិម្មិត - នៅក្នុងរបៀបនេះ Palo Alto Networks រួមបញ្ចូលគ្នានូវចំណុចប្រទាក់ពីរ ហើយឆ្លងកាត់ចរាចរណ៍រវាងពួកវាដោយតម្លាភាពដោយមិនផ្លាស់ប្តូរអាសយដ្ឋាន MAC និង IP
• ស្រទាប់ទី ២ - របៀបប្តូរ
• ស្រទាប់ទី ២ - របៀបរ៉ោតទ័រ

រូបភាពទី 6 - ការកំណត់របៀបប្រតិបត្តិការចំណុចប្រទាក់

ក្នុងឧទាហរណ៍នេះ របៀប Layer3 នឹងត្រូវបានប្រើ (រូបភាពទី 6)។ ប៉ារ៉ាម៉ែត្រចំណុចប្រទាក់បណ្តាញបង្ហាញអាសយដ្ឋាន IP របៀបប្រតិបត្តិការ និងតំបន់សុវត្ថិភាពដែលត្រូវគ្នា។ បន្ថែមពីលើរបៀបប្រតិបត្តិការនៃចំណុចប្រទាក់ អ្នកត្រូវតែកំណត់វាទៅ រ៉ោតទ័រនិម្មិត Virtual Router នេះគឺជា analogue នៃ VRF instance នៅក្នុង Palo Alto Networks ។ រ៉ោតទ័រនិម្មិតគឺដាច់ឆ្ងាយពីគ្នាទៅវិញទៅមក និងមានតារាងកំណត់ផ្លូវផ្ទាល់ខ្លួន និងការកំណត់ពិធីការបណ្តាញ។

ការកំណត់រ៉ោតទ័រនិម្មិតបញ្ជាក់ផ្លូវឋិតិវន្ត និងការកំណត់ពិធីការផ្លូវ។ ក្នុងឧទាហរណ៍នេះ មានតែផ្លូវលំនាំដើមប៉ុណ្ណោះដែលត្រូវបានបង្កើតឡើងសម្រាប់ការចូលប្រើបណ្តាញខាងក្រៅ (រូបភាពទី 7)។

រូបភាពទី 7 - ការដំឡើងរ៉ោតទ័រនិម្មិត

ដំណាក់កាលកំណត់រចនាសម្ព័ន្ធបន្ទាប់គឺ គោលនយោបាយចរាចរណ៍ ផ្នែក គោលនយោបាយ -> សុវត្ថិភាព. ឧទាហរណ៍នៃការកំណត់រចនាសម្ព័ន្ធត្រូវបានបង្ហាញក្នុងរូបភាពទី 8. តក្កវិជ្ជានៃច្បាប់គឺដូចគ្នាទៅនឹងជញ្ជាំងភ្លើងទាំងអស់។ ច្បាប់​ត្រូវ​ត្រួត​ពិនិត្យ​ពី​លើ​ទៅ​ក្រោម រហូត​ដល់​ការ​ប្រកួត​ដំបូង។ ការពិពណ៌នាសង្ខេបនៃច្បាប់៖

1. SSL VPN ចូលប្រើវិបផតថល។ អនុញ្ញាតឱ្យចូលប្រើវិបផតថលដើម្បីផ្ទៀងផ្ទាត់ការភ្ជាប់ពីចម្ងាយ
2. ចរាចរណ៍ VPN – អនុញ្ញាតឱ្យចរាចររវាងការតភ្ជាប់ពីចម្ងាយ និងការិយាល័យកណ្តាល
3. អ៊ីនធឺណេតមូលដ្ឋាន – អនុញ្ញាតឱ្យកម្មវិធី dns, ping, traceroute, ntp ។ ជញ្ជាំងភ្លើងអនុញ្ញាតឱ្យកម្មវិធីផ្អែកលើហត្ថលេខា ការឌិកូដ និងសរីរវិទ្យា ជាជាងលេខច្រក និងពិធីការ ដែលនេះជាមូលហេតុដែលផ្នែកសេវាកម្មនិយាយថាកម្មវិធី-លំនាំដើម។ ច្រក/ពិធីការលំនាំដើមសម្រាប់កម្មវិធីនេះ
4. ការចូលប្រើបណ្តាញ – អនុញ្ញាតឱ្យចូលប្រើអ៊ីនធឺណិតតាមរយៈពិធីការ HTTP និង HTTPS ដោយគ្មានការគ្រប់គ្រងកម្មវិធី
៥.៦. ច្បាប់លំនាំដើមសម្រាប់ចរាចរណ៍ផ្សេងទៀត។

រូបភាពទី 8 — ឧទាហរណ៍នៃការបង្កើតច្បាប់បណ្តាញ

ដើម្បីកំណត់រចនាសម្ព័ន្ធ NAT សូមប្រើផ្នែក គោលការណ៍ -> NAT. ឧទាហរណ៍នៃការកំណត់រចនាសម្ព័ន្ធ NAT ត្រូវបានបង្ហាញក្នុងរូបភាពទី 9 ។

រូបភាពទី 9 - ឧទាហរណ៍នៃការកំណត់រចនាសម្ព័ន្ធ NAT

សម្រាប់ចរាចរណាមួយពីខាងក្នុងទៅខាងក្រៅ អ្នកអាចផ្លាស់ប្តូរអាសយដ្ឋានប្រភពទៅអាសយដ្ឋាន IP ខាងក្រៅនៃជញ្ជាំងភ្លើង ហើយប្រើអាសយដ្ឋានច្រកថាមវន្ត (PAT) ។

4. ការកំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ LDAP និងមុខងារកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់
មុនពេលភ្ជាប់អ្នកប្រើប្រាស់តាមរយៈ SSL-VPN អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធយន្តការផ្ទៀងផ្ទាត់។ ក្នុងឧទាហរណ៍នេះ ការផ្ទៀងផ្ទាត់នឹងកើតឡើងចំពោះឧបករណ៍បញ្ជាដែន Active Directory តាមរយៈចំណុចប្រទាក់បណ្ដាញ Palo Alto Networks ។

រូបភាពទី 10 - ទម្រង់ LDAP

ដើម្បីឱ្យការផ្ទៀងផ្ទាត់ដំណើរការ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធ កម្រងព័ត៌មាន LDAP и កម្រងព័ត៌មានផ្ទៀងផ្ទាត់។ នៅក្នុងផ្នែកនេះ ឧបករណ៍ -> ទម្រង់ម៉ាស៊ីនមេ -> LDAP (រូបភព 10) អ្នកត្រូវបញ្ជាក់អាសយដ្ឋាន IP និងច្រកនៃឧបករណ៍បញ្ជាដែន ប្រភេទ LDAP និងគណនីអ្នកប្រើប្រាស់ដែលរួមបញ្ចូលក្នុងក្រុម។ ប្រតិបត្តិករម៉ាស៊ីនមេ, អ្នកអានកំណត់ហេតុព្រឹត្តិការណ៍, អ្នកប្រើប្រាស់ COM ដែលបានចែកចាយ. បន្ទាប់មកនៅក្នុងផ្នែក ឧបករណ៍ -> ប្រវត្តិរូបការផ្ទៀងផ្ទាត់ បង្កើតទម្រង់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (រូបភាពទី 11) សម្គាល់ទម្រង់ដែលបានបង្កើតពីមុន កម្រងព័ត៌មាន LDAP ហើយនៅក្នុងផ្ទាំងកម្រិតខ្ពស់ យើងបង្ហាញក្រុមអ្នកប្រើប្រាស់ (រូបភាពទី 12) ដែលត្រូវបានអនុញ្ញាតឱ្យចូលប្រើពីចម្ងាយ។ វាជាការសំខាន់ក្នុងការកត់សម្គាល់ប៉ារ៉ាម៉ែត្រនៅក្នុងប្រវត្តិរូបរបស់អ្នក។ ដែនអ្នកប្រើប្រាស់បើមិនដូច្នេះទេ ការអនុញ្ញាតជាក្រុមនឹងមិនដំណើរការទេ។ វាលត្រូវតែចង្អុលបង្ហាញឈ្មោះដែន NetBIOS ។

រូបភាពទី 11 - ទម្រង់ការផ្ទៀងផ្ទាត់

រូបភាពទី 12 - ការជ្រើសរើសក្រុម AD

ដំណាក់កាលបន្ទាប់គឺការរៀបចំ ឧបករណ៍ -> ការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់. នៅទីនេះអ្នកត្រូវបញ្ជាក់អាសយដ្ឋាន IP របស់ឧបករណ៍បញ្ជាដែន អត្តសញ្ញាណសម្គាល់ការតភ្ជាប់ និងកំណត់រចនាសម្ព័ន្ធផងដែរ បើកដំណើរការកំណត់ហេតុសុវត្ថិភាព, បើកវគ្គ, បើកការស៊ើបអង្កេត (រូបទី 13) ។ នៅក្នុងជំពូក ការធ្វើផែនទីក្រុម (រូបភាពទី 14) អ្នកត្រូវកត់សម្គាល់ប៉ារ៉ាម៉ែត្រសម្រាប់កំណត់អត្តសញ្ញាណវត្ថុនៅក្នុង LDAP និងបញ្ជីក្រុមដែលនឹងត្រូវបានប្រើសម្រាប់ការអនុញ្ញាត។ ដូចនៅក្នុងទម្រង់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ នៅទីនេះអ្នកត្រូវកំណត់ប៉ារ៉ាម៉ែត្រដែនអ្នកប្រើប្រាស់។

រូបភាពទី 13 - ប៉ារ៉ាម៉ែត្រផែនទីអ្នកប្រើប្រាស់

រូបភាពទី 14 - ប៉ារ៉ាម៉ែត្រផែនទីក្រុម

ជំហានចុងក្រោយក្នុងដំណាក់កាលនេះគឺដើម្បីបង្កើតតំបន់ VPN និងចំណុចប្រទាក់សម្រាប់តំបន់នោះ។ អ្នកត្រូវបើកជម្រើសនៅលើចំណុចប្រទាក់ បើកការកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ (រូបភាព 15) ។

រូបភាពទី 15 - ការដំឡើងតំបន់ VPN

5. ការដំឡើង SSL VPN

មុនពេលភ្ជាប់ទៅ SSL VPN អ្នកប្រើប្រាស់ពីចម្ងាយត្រូវតែចូលទៅកាន់វិបផតថល ផ្ទៀងផ្ទាត់ និងទាញយកកម្មវិធី Global Protect client។ បន្ទាប់មក អតិថិជននេះនឹងស្នើសុំការបញ្ជាក់អត្តសញ្ញាណ និងភ្ជាប់ទៅបណ្តាញសាជីវកម្ម។ វិបផតថលដំណើរការក្នុងរបៀប https ហើយតាមនោះ អ្នកត្រូវដំឡើងវិញ្ញាបនបត្រសម្រាប់វា។ ប្រើវិញ្ញាបនបត្រសាធារណៈប្រសិនបើអាចធ្វើទៅបាន។ បន្ទាប់មកអ្នកប្រើប្រាស់នឹងមិនទទួលបានការព្រមានអំពីអសុពលភាពនៃវិញ្ញាបនបត្រនៅលើគេហទំព័រនោះទេ។ ប្រសិនបើមិនអាចប្រើវិញ្ញាបនបត្រសាធារណៈបានទេ អ្នកត្រូវចេញវិញ្ញាបនបត្រផ្ទាល់ខ្លួនរបស់អ្នក ដែលនឹងត្រូវបានប្រើនៅលើទំព័របណ្តាញសម្រាប់ https ។ វាអាចត្រូវបានចុះហត្ថលេខាដោយខ្លួនឯង ឬចេញតាមរយៈអាជ្ញាធរវិញ្ញាបនបត្រក្នុងស្រុក។ កុំព្យូទ័រពីចម្ងាយត្រូវតែមាន root ឬវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងនៅក្នុងបញ្ជីនៃអាជ្ញាធរ root ដែលអាចទុកចិត្តបាន ដូច្នេះអ្នកប្រើប្រាស់មិនទទួលបានកំហុសនៅពេលភ្ជាប់ទៅវិបផតថលនោះទេ។ ឧទាហរណ៍នេះនឹងប្រើវិញ្ញាបនបត្រដែលចេញតាមរយៈសេវាវិញ្ញាបនបត្រថតសកម្ម។

ដើម្បីចេញវិញ្ញាបនបត្រ អ្នកត្រូវបង្កើតការស្នើសុំវិញ្ញាបនបត្រនៅក្នុងផ្នែក ឧបករណ៍ -> ការគ្រប់គ្រងវិញ្ញាបនបត្រ -> វិញ្ញាបនបត្រ -> បង្កើត. នៅក្នុងសំណើ យើងបង្ហាញឈ្មោះវិញ្ញាបនបត្រ និងអាសយដ្ឋាន IP ឬ FQDN នៃវិបផតថល (រូបភាព 16)។ បន្ទាប់ពីបង្កើតសំណើសូមទាញយក .csr ឯកសារ និងចម្លងមាតិការបស់វាទៅក្នុងវាលសំណើវិញ្ញាបនបត្រក្នុងទម្រង់គេហទំព័រចុះឈ្មោះ AD CS Web ។ អាស្រ័យលើរបៀបដែលអាជ្ញាធរវិញ្ញាបនបត្រត្រូវបានកំណត់ សំណើវិញ្ញាបនបត្រត្រូវតែយល់ព្រម ហើយវិញ្ញាបនបត្រដែលបានចេញត្រូវតែទាញយកជាទម្រង់ វិញ្ញាបនប័ត្រដែលបានអ៊ិនកូដ Base64. លើសពីនេះទៀតអ្នកត្រូវទាញយកវិញ្ញាបនបត្រឫសគល់នៃអាជ្ញាធរបញ្ជាក់។ បន្ទាប់មកអ្នកត្រូវនាំចូលវិញ្ញាបនបត្រទាំងពីរចូលទៅក្នុងជញ្ជាំងភ្លើង។ នៅពេលនាំចូលវិញ្ញាបនបត្រសម្រាប់វិបផតថល អ្នកត្រូវតែជ្រើសរើសសំណើក្នុងស្ថានភាពមិនទាន់សម្រេច ហើយចុចនាំចូល។ ឈ្មោះវិញ្ញាបនបត្រត្រូវតែផ្គូផ្គងនឹងឈ្មោះដែលបានបញ្ជាក់ពីមុននៅក្នុងសំណើ។ ឈ្មោះរបស់វិញ្ញាបនបត្រឫសគល់អាចត្រូវបានបញ្ជាក់តាមអំពើចិត្ត។ បន្ទាប់ពីនាំចូលវិញ្ញាបនបត្រអ្នកត្រូវបង្កើត កម្រងព័ត៌មានសេវាកម្ម SSL/TLS ផ្នែក ឧបករណ៍ -> ការគ្រប់គ្រងវិញ្ញាបនប័ត្រ. នៅក្នុងប្រវត្តិរូប យើងបង្ហាញពីវិញ្ញាបនបត្រដែលបាននាំចូលពីមុន។

រូបភាពទី 16 - ការស្នើសុំវិញ្ញាបនបត្រ

ជំហានបន្ទាប់គឺការរៀបចំវត្ថុ ច្រកទ្វារការពារសកល и វិបផតថលការពារសកល ផ្នែក បណ្តាញ -> ការពារសកល. នៅក្នុងការកំណត់ ច្រកទ្វារការពារសកល ចង្អុលបង្ហាញអាសយដ្ឋាន IP ខាងក្រៅនៃជញ្ជាំងភ្លើង ក៏ដូចជាដែលបានបង្កើតពីមុន ប្រវត្តិរូប SSL, កម្រងព័ត៌មានផ្ទៀងផ្ទាត់ចំណុចប្រទាក់ផ្លូវរូងក្រោមដី និងការកំណត់ IP របស់អតិថិជន។ អ្នកត្រូវបញ្ជាក់បណ្តុំនៃអាសយដ្ឋាន IP ដែលអាសយដ្ឋាននឹងត្រូវបានផ្តល់ទៅឱ្យអតិថិជន និងផ្លូវចូលដំណើរការ - ទាំងនេះគឺជាបណ្តាញរងដែលម៉ាស៊ីនភ្ញៀវនឹងមានផ្លូវ។ ប្រសិនបើភារកិច្ចគឺដើម្បីរុំចរាចរអ្នកប្រើប្រាស់ទាំងអស់តាមរយៈជញ្ជាំងភ្លើង នោះអ្នកត្រូវបញ្ជាក់បណ្តាញរង 0.0.0.0/0 (រូបភាព 17)។

រូបភាពទី 17 - កំណត់រចនាសម្ព័ន្ធបណ្តុំនៃអាសយដ្ឋាន IP និងផ្លូវ

បន្ទាប់មកអ្នកត្រូវកំណត់រចនាសម្ព័ន្ធ វិបផតថលការពារសកល. បញ្ជាក់អាសយដ្ឋាន IP នៃជញ្ជាំងភ្លើង, ប្រវត្តិរូប SSL и កម្រងព័ត៌មានផ្ទៀងផ្ទាត់ និងបញ្ជីអាសយដ្ឋាន IP ខាងក្រៅនៃជញ្ជាំងភ្លើងដែលម៉ាស៊ីនភ្ញៀវនឹងភ្ជាប់។ ប្រសិនបើមានជញ្ជាំងភ្លើងជាច្រើន អ្នកអាចកំណត់អាទិភាពសម្រាប់នីមួយៗ យោងទៅតាមអ្នកប្រើប្រាស់នឹងជ្រើសរើសជញ្ជាំងភ្លើងដើម្បីភ្ជាប់។

ផ្នែក ឧបករណ៍ -> អតិថិជន GlobalProtect អ្នកត្រូវទាញយកការចែកចាយម៉ាស៊ីនភ្ញៀវ VPN ពីម៉ាស៊ីនមេ Palo Alto Networks ហើយដំណើរការវា។ ដើម្បីភ្ជាប់ អ្នកប្រើប្រាស់ត្រូវចូលទៅកាន់ទំព័រវិបផតថល ដែលគាត់នឹងត្រូវបានស្នើសុំឱ្យទាញយក អតិថិជន GlobalProtect. នៅពេលទាញយក និងដំឡើងរួច អ្នកអាចបញ្ចូលព័ត៌មានសម្ងាត់របស់អ្នក ហើយភ្ជាប់ទៅបណ្តាញសាជីវកម្មរបស់អ្នកតាមរយៈ SSL VPN។

សេចក្តីសន្និដ្ឋាន

វាបញ្ចប់ផ្នែក Palo Alto Networks នៃការដំឡើង។ យើងសង្ឃឹមថាព័ត៌មានមានប្រយោជន៍ ហើយអ្នកអានទទួលបានការយល់ដឹងអំពីបច្ចេកវិទ្យាដែលប្រើនៅ Palo Alto Networks ។ ប្រសិនបើអ្នកមានសំណួរអំពីការរៀបចំ និងការផ្ដល់យោបល់លើប្រធានបទសម្រាប់អត្ថបទនាពេលអនាគត សូមសរសេរវានៅក្នុងមតិយោបល់ យើងនឹងរីករាយក្នុងការឆ្លើយ។

ប្រភព: www.habr.com