Tevî hemî avantajên dîwarên agir ên Palo Alto Networks, li ser RuNet li ser sazkirina van cîhazan, û her weha nivîsarên ku ezmûna pêkanîna wan vedibêjin, pir materyal tune. Me biryar da ku em malzemeyên ku me di dema xebata xwe de berhev kirine bi alavên vê firoşkarê re kurt bikin û li ser taybetmendiyên ku em di dema pêkanîna projeyên cihêreng de pê re rû bi rû mane biaxivin.
Ji bo ku hûn bi Palo Alto Networks re bidin nasîn, ev gotar dê li veavakirina ku ji bo çareserkirina yek ji pirsgirêkên herî gelemperî yên dîwarê agir - SSL VPN ji bo gihîştina ji dûr ve hewce dike binêre. Em ê di heman demê de li ser fonksiyonên karûbar ji bo veavakirina firewall-a gelemperî, nasnameya bikarhêner, serîlêdan û polîtîkayên ewlehiyê jî biaxivin. Ger mijar ji xwendevanan re eleqedar be, di pêşerojê de em ê materyalên analîzkirina Malper-to-Malper VPN, rêvekirina dînamîkî û rêveberiya navendî bi karanîna Panorama-yê berdin.
Firewallên Palo Alto Networks gelek teknolojiyên nûjen bikar tînin, di nav de App-ID, User-ID, Content-ID. Bikaranîna vê fonksiyonê dihêle hûn astek bilind a ewlehiyê peyda bikin. Mînakî, bi App-ID-ê re gengaz e ku meriv seyrûsefera serîlêdanê li ser bingeha îmze, dekodkirin û heuristics nas bike, bêyî ku port û protokola hatî bikar anîn, di hundurê tunelek SSL de jî hebe. Bikarhêner-ID dihêle hûn bikarhênerên torê bi yekbûna LDAP-ê nas bikin. Content-ID gengaz dike ku trafîkê bişopîne û pelên hatine veguheztin û naveroka wan nas bike. Fonksiyonên din ên firewall parastina destavêtinê, parastina li hember qelsî û êrişên DoS, antî-spyware-ya çêkirî, Parzûnkirina URL, komkirin, û rêveberiya navendîparêz in.
Ji bo xwenîşandanê, em ê stendek veqetandî bikar bînin, bi veavakirinek ku bi ya rastîn re wekhev e, ji bilî navên cîhazê, navê domaina AD û navnîşanên IP-yê. Di rastiyê de, her tişt tevlihevtir e - dikare gelek şax hebin. Di vê rewşê de, li şûna yek dîwarê agir, dê komek li ser sînorên malperên navendî were saz kirin, û dibe ku rêvekirina dînamîkî jî hewce bike.
Li ser standê tê bikaranîn PAN-OS 7.1.9. Wekî veavakirinek tîpîk, torgilokek bi dîwarê dîwarê Palo Alto Networks li kêlekê bihesibînin. Firewall ji dûr ve gihîştina SSL VPN-ê ji nivîsgeha sereke re peyda dike. Domana Active Directory dê wekî databasek bikarhêner were bikar anîn (Wêne 1).
Wêne 1 - Diyagrama bloka torê
Gavên sazkirinê:
- Device pre-veavakirina. Sazkirina nav, navnîşana IP-ya rêveberiyê, rêyên statîk, hesabên rêveber, profîlên rêveberiyê
- Sazkirina lîsansan, veavakirin û sazkirina nûvekirinan
- Veavakirina qadên ewlehiyê, navgînên torê, polîtîkayên trafîkê, wergera navnîşan
- Veavakirina Profîlek Nasnameya LDAP û Taybetmendiya Nasnameya Bikarhêner
- Sazkirina SSL VPN
1. Preset
Amûra sereke ji bo mîhengkirina dîwarê dîwarê Palo Alto Networks navgîniya webê ye; birêvebirina bi CLI jî gengaz e. Ji hêla xwerû ve, navbeynkariya rêveberiyê li navnîşana IP-ya 192.168.1.1/24, têketinê: admin, şîfre: admin tête danîn.
Hûn dikarin navnîşan biguherînin an bi girêdana bi navgîniya webê ya ji heman torê ve, an jî bi karanîna fermanê navnîşana ip-ê ya pergalê konfigurasyona amûrê saz bike <> netmask <>. Ew di moda veavakirinê de pêk tê. Ji bo veguhertina moda veavakirinê, fermanê bikar bînin configures. Hemî guhertinên li ser dîwarê agir tenê piştî ku mîhengan ji hêla fermanê ve têne pejirandin pêk tê bikaranîn, hem di moda rêzika fermanê de hem jî di navgîniya webê de.
Ji bo guheztina mîhengan di navgîniya malperê de, beşê bikar bînin Amûr -> Mîhengên Giştî û Amûr -> Mîhengên Navbera Rêvebiriyê. Nav, pankart, qada demjimêr û mîhengên din dikarin di beşa Mîhengên Giştî de bêne danîn (Hêjîrê 2).
Wêne 2 - Parametreyên navbeynkariya rêveberiyê
Ger hûn di hawîrdorek ESXi de dîwarek virtual bikar bînin, di beşa Mîhengên Giştî de hûn hewce ne ku hûn karanîna navnîşana MAC-a ku ji hêla hîpervisor ve hatî destnîşan kirin çalak bikin, an navnîşanên MAC-ên ku li ser navgînên dîwarê dîwarê li ser hîpervisor hatine destnîşan kirin mîheng bikin, an mîhengên biguhezînin. guheztinên virtual ku destûrê didin MAC navnîşanan diguhezîne. Wekî din, trafîk dê derbas nebe.
Navbera rêveberiyê ji hev veqetandî ye û di navnîşa navgînên torê de nayê xuyang kirin. Di serî de Mîhengên Interface Management ji bo navrûya rêveberiyê deriyê xwerû diyar dike. Rêwiyên din ên statîk di beşa routerên virtual de têne mîheng kirin; ev ê paşê were nîqaş kirin.
Ji bo ku hûn bi navgînên din ve bigihîjin cîhazê, divê hûn profîlek rêveberiyê biafirînin Profîla Rêveberiyê beşa Tor -> Profîlên Torê -> Navbera Mgmt û wê bi navgîniya guncaw veqetînin.
Piştre, hûn hewce ne ku di beşê de DNS û NTP-ê mîheng bikin Amûr -> Karûbar ji bo wergirtina nûvekirinê û rast nîşandana demê (Hêjî. 3). Bi xwerû, hemî seyrûsefera ku ji hêla firewall ve hatî çêkirin navnîşana IP-ya navbeynkariya rêveberiyê wekî navnîşana IP-ya çavkaniya xwe bikar tîne. Hûn dikarin di beşê de ji bo her karûbarek taybetî navbeynek cûda destnîşan bikin Veavakirina Route Service.
Wêne 3 - Parametreyên karûbarê rêyên DNS, NTP û pergalê
2. Sazkirina lîsansan, sazkirin û sazkirina nûvekirinan
Ji bo xebata tevahî ya hemî fonksiyonên dîwarê agir, divê hûn destûrnameyek saz bikin. Hûn dikarin lîsansek ceribandinê bi daxwazkirina wê ji hevkarên Palo Alto Networks bikar bînin. Dema derbasbûna wê 30 roj e. Lîsans bi pelek an jî bi karanîna Auth-Code ve tê çalak kirin. Lîsans di beşê de têne mîheng kirin Amûr -> Lîsans (Fig. 4).
Piştî sazkirina lîsansê, hûn hewce ne ku sazkirina nûvekirinan di beşê de mîheng bikin Amûr -> Nûvekirinên Dînamîk.
beşa Amûr -> Nermalava hûn dikarin guhertoyên nû yên PAN-OS dakêşin û saz bikin.
jimar 4 - panela kontrola License de
3. Veavakirina herêmên ewlehiyê, navbeynkariya torê, polîtîkayên trafîkê, wergera navnîşan
Firewallên Palo Alto Networks dema ku qaîdeyên torê mîheng dikin mantiqa herêmê bikar tînin. Têkiliyên torê li herêmek taybetî têne destnîşan kirin, û ev herêm di qaîdeyên trafîkê de tê bikar anîn. Ev nêzîkatî dihêle ku di pêşerojê de, dema ku mîhengên navberê diguhezînin, ne ku qaîdeyên trafîkê biguhezînin, lê di şûna wê de navbeynkariyên pêwîst li deverên guncan ji nû ve veqetînin. Bi xwerû, seyrûsefera di nav herêmekê de destûr e, seyrûsefera di navbera deveran de qedexe ye, rêgezên pêşwext ji bo vê berpirsiyar in. intrazone-default и interzone-default.
Figure 5 - Herêmên Ewlekariyê
Di vê nimûneyê de, navgînek li ser tora navxweyî ji herêmê re tê veqetandin navxweyî, û pêwendiya ku bi Înternetê re rû bi rû ye ji herêmê re tê veqetandin xûkirînî. Ji bo SSL VPN, navgînek tunelê hatî çêkirin û li herêmê hatî veqetandin Vpn (Fig. 5).
Têkiliyên torê yên firewall Palo Alto Networks dikarin di pênc awayên cûda de bixebitin:
- Dîk - ji bo berhevkirina trafîkê ji bo mebestên şopandin û analîzê tê bikar anîn
- HA - ji bo xebata komê tê bikar anîn
- Wire Virtual - Di vê modê de, Tora Palo Alto du navbeynkaran berhev dike û bêyî ku navnîşanên MAC û IP-ê biguhezîne seyrûsefera di navbera wan de bi zelalî derbas dike.
- layer2 - moda veguherînê
- layer3 - moda router
Wêne 6 - Sazkirina moda xebitandina navbeynê
Di vê nimûneyê de dê moda Layer3 were bikar anîn (Hêjîrê 6). Parametreyên pêwendiya torê navnîşana IP-ê, moda xebitandinê û qada ewlehiyê ya têkildar destnîşan dikin. Digel moda xebitandinê ya navbeynkariyê, divê hûn wê ji routerê virtual Router-a Virtual re veqetînin, ev analogek mînakek VRF-ê di Tora Palo Alto de ye. Roterên virtual ji hev veqetandî ne û tabloyên xwe yên rêvekirinê û mîhengên protokola torê hene.
Mîhengên routerê virtual rêyên statîk û mîhengên protokola rêvekirinê diyar dikin. Di vê nimûneyê de, ji bo gihandina torên derve tenê rêyek xwerû hatiye afirandin (Hêjîrê. 7).
Figure 7 - Sazkirina routerek virtual
Qonaxa veavakirinê ya din polîtîkayên trafîkê, beş e Polîtîka -> Ewlekarî. Mînaka veavakirinê di jimar 8 de hatiye nîşandan. Mantiqa qaîdeyan wekî hemî dîwarên agir e. Rêgez ji serî heta binî, heya maça yekem têne kontrol kirin. Danasîna kurt a qaîdeyan:
1. SSL VPN Gihîştina Web Portal. Destûrê dide gihîştina portala malperê da ku pevgirêdanên dûr rast bike
2. Trafîka VPN - rê dide seyrûsefera di navbera girêdanên dûr û nivîsgeha sereke de
3. Înterneta bingehîn - destûr dide serîlêdanên dns, ping, traceroute, ntp. Firewall destûrê dide serîlêdanên li ser bingeha îmze, dekodkirin, û heuristics ne ji hejmarên port û protokolan, ji ber vê yekê beşa Karûbar dibêje serîlêdan-default. Ji bo vê serîlêdanê port / protokola xwerû
4. Gihîştina Webê - bêyî kontrolkirina serîlêdanê destûr dide gihîştina Înternetê bi protokolên HTTP û HTTPS
5,6. qaîdeyên xwerû ji bo seyrûseferên din.
Wêne 8 - Mînaka sazkirina qaîdeyên torê
Ji bo mîhengkirina NAT, beşê bikar bînin Polîtîka -> NAT. Mînakek veavakirina NAT di jimar 9 de tê xuyang kirin.
Wêne 9 - Mînak veavakirina NAT
Ji bo her seyrûseferek ji hundur berbi derve, hûn dikarin navnîşana çavkaniyê bi navnîşana IP-ya derveyî ya dîwarê agir biguhezînin û navnîşek portek dînamîkî (PAT) bikar bînin.
4. Veavakirina Profîla Nasnameya LDAP û Fonksiyona Nasnameya Bikarhêner
Berî ku bikarhêneran bi SSL-VPN ve girêdin, hûn hewce ne ku mekanîzmayek pejirandinê mîheng bikin. Di vê nimûneyê de, erêkirin dê bi navbeynkariya tevna Palo Alto Networks re ji kontrolkerê domaina Active Directory re çêbibe.
jimar 10 - profîla LDAP
Ji bo ku verastkirin bixebite, divê hûn mîheng bikin Profîla LDAP и Profîla Authentication. Di beşê de Amûr -> Profîlên Pêşkêşkar -> LDAP (Hêjîr. 10) divê hûn navnîşana IP-yê û porta kontrolkerê domainê, celebê LDAP-ê û hesabê bikarhênerê ku di koman de cih digirin diyar bikin. Operatorên Server, Xwendevanên Têketina Bûyerê, Bikarhênerên COM-ê belav kirin. Piştre di beşê de Amûr -> Profîla Nasnameyê profîlek erêkirinê biafirîne (Hêjîrê 11), ya ku berê hatî afirandin nîşan bide Profîla LDAP û di tabloya Pêşketî de em koma bikarhêneran nîşan didin (Hêjîrê 12) ku destûr ji dûr ve heye. Girîng e ku hûn pîvana di profîla xwe de binihêrin Domaina Bikarhêner, wekî din destûrnameya-bingeha komê dê nexebite. Qad divê navê domainê NetBIOS nîşan bide.
Figure 11 - Profîla erêkirinê
Wêne 12 - Hilbijartina koma AD
Qonaxa din sazkirin e Amûr -> Nasnameya Bikarhêner. Li vir hûn hewce ne ku navnîşana IP-ya kontrolkerê domainê, pêbaweriyên pêwendiyê, û her weha mîhengan saz bikin. Têketina Ewlekariyê çalak bike, Rûniştinê çalak bike, Probing çalak bike (Hêjî 13). Di serî de Nexşeya komê (Hêjî. 14) hûn hewce ne ku pîvanên ji bo destnîşankirina tiştên di LDAP-ê de û navnîşa komên ku dê ji bo destûrnameyê werin bikar anîn destnîşan bikin. Mîna di Profîla Nasnameyê de, li vir hûn hewce ne ku pîvana Domaina Bikarhêner saz bikin.
Figure 13 - Parametreyên Nexşeya Bikarhêner
jimar 14 - Parametreyên Nexşeya Komê
Di vê qonaxê de gava paşîn ev e ku meriv herêmek VPN û navgînek ji bo wê deverê biafirîne. Pêdivî ye ku hûn vebijarka li ser navrûyê çalak bikin Nasnameya Bikarhêner çalak bike (Fig. 15).
Figure 15 - Sazkirina herêmek VPN
5. Sazkirina SSL VPN
Berî ku hûn bi SSL VPN-ê ve girêbidin, bikarhênerê dûr divê biçe ser portalê malperê, piştrast bike û muwekîlê Global Protect dakêşîne. Dûv re, ev xerîdar dê pêbaweriyan bixwaze û bi tora pargîdaniyê ve girêdayî be. Portala malperê di moda https de dixebite û, li gorî vê yekê, hûn hewce ne ku ji bo wê sertîfîkayekê saz bikin. Ger gengaz be sertîfîkaya giştî bikar bînin. Wê hingê bikarhêner dê hişyariyek li ser nederbasbûna sertîfîkayê li ser malperê wernegire. Heke ne gengaz e ku hûn sertîfîkayek gelemperî bikar bînin, wê hingê hûn hewce ne ku ya xwe bidin, ku dê li ser rûpelê malperê ji bo https were bikar anîn. Ew dikare bi xwe-îmzakirin an bi navgîniya rayedarek sertîfîkaya herêmî ve were derxistin. Pêdivî ye ku komputera dûr di navnîşa rayedarên root pêbawer de xwediyê sertîfîkayek root an bixwe-îmzakirî be da ku bikarhêner gava ku bi portalê ve girêdayî ye xeletiyek wernegire. Ev mînak dê sertîfîkayek ku bi navgîniya Karûbarên Sertîfîkayê Derhênerê Active hatî derxistin bikar bîne.
Ji bo derxistina sertîfîkayekê, hûn hewce ne ku di beşê de daxwaznameyek sertîfîkayê biafirînin Amûr -> Rêvebiriya Sertîfîkayê -> Sertîfîka -> Çêkirin. Di daxwaznameyê de em navê sertîfîkayê û navnîşana IP an FQDN ya portalê nîşan didin (Hêjîrê 16). Piştî afirandina daxwazê, dakêşin .csr pelê bikin û naveroka wê li qada daxwaznameya sertîfîkayê ya di forma tevnerê ya AD CS Web Enrollment de kopî bikin. Li gorî ka desthilatdariya sertîfîkayê çawa tê mîheng kirin, divê daxwaznameya sertîfîkayê were pejirandin û sertîfîkaya hatî derxistin divê di formê de were dakêşandin. Sertîfîkaya Base64 Encoded. Wekî din, hûn hewce ne ku sertîfîkaya root ya desthilatdariya pejirandinê dakêşin. Dûv re hûn hewce ne ku her du sertîfîkayan bixin nav dîwarê agir. Dema ku sertîfîkayek ji bo portalek malperê îtxal dikin, divê hûn daxwazê di rewşa li bendê de hilbijêrin û import bikirtînin. Navê sertîfîkayê divê bi navê ku berê di daxwaznameyê de hatî diyar kirin li hev bike. Navê sertîfîkaya root dikare bi kêfî were diyar kirin. Piştî anîna sertîfîkayê, hûn hewce ne ku biafirînin Profîla Karûbarê SSL / TLS beşa Amûr -> Rêvebiriya Sertîfîkayê. Di profîlê de em sertîfîkaya ku berê hatî import kirin destnîşan dikin.
Wêne 16 - Daxwaza sertîfîkayê
Pêngava din sazkirina tiştan e Global Protect Gateway и Global Protect Portal beşa Tora -> Parastina Global. Di mîhengan de Global Protect Gateway navnîşana IP-ya derveyî ya firewallê, û hem jî berê hatî afirandin destnîşan bikin Profîla SSL, Profîla Authentication, pêwendiya tunelê û mîhengên IP-ya xerîdar. Pêdivî ye ku hûn komek navnîşanên IP-ê yên ku navnîş ji xerîdar re tê veqetandin diyar bikin, û Rêya Têketinê - ev jêrtorok in ku xerîdar dê rêyek jê re hebe. Ger peywir ew e ku hemî seyrûsefera bikarhêner bi dîwarek agir ve girêbide, wê hingê pêdivî ye ku hûn subnet 0.0.0.0/0 diyar bikin (Hêjîrê 17).
Figure 17 - Veavakirina hewzek navnîşan û rêgezên IP-yê
Hingê hûn hewce ne ku mîheng bikin Global Protect Portal. Navnîşana IP ya firewall diyar bike, Profîla SSL и Profîla Authentication û navnîşek navnîşanên IP-ya derveyî yên dîwarên agir ên ku xerîdar dê pê ve girêbide. Ger çend dîwarên agir hene, hûn dikarin ji bo her yekê pêşînek destnîşan bikin, ku li gorî wê bikarhêner dê dîwarek agir hilbijêrin ku pê ve girêbidin.
beşa Amûr -> Client GlobalProtect hûn hewce ne ku belavkirina xerîdar VPN ji serverên Palo Alto Networks dakêşin û wê çalak bikin. Ji bo girêdanê, pêdivî ye ku bikarhêner biçe ser malpera portalê, ku ji wî tê xwestin ku dakêşîne GlobalProtect Client. Piştî ku dakêşin û saz kirin, hûn dikarin pêbaweriyên xwe têkevin û bi SSL VPN ve bi tora pargîdaniya xwe ve girêdin.
encamê
Ev beşa sazkirinê ya Tora Palo Alto temam dike. Em hêvî dikin ku agahdarî kêrhatî bû û xwendevan têgihîştinek ji teknolojiyên ku li Palo Alto Networks têne bikar anîn bi dest xist. Ger pirsên we li ser sazkirin û pêşniyarên li ser mijarên gotarên pêşerojê hebin, wan di şîroveyan de binivîsin, em ê kêfxweş bibin ku bersiv bidin.
Source: www.habr.com