Palo Alto Networks брандмауэрлеринин бардык артыкчылыктарына карабастан, RuNetте бул түзүлүштөрдү орнотуу боюнча көп материалдар, ошондой эле аларды ишке ашыруу тажрыйбасын сүрөттөгөн тексттер жок. Биз бул сатуучунун жабдуулары менен иштөө учурунда топтогон материалдарды жалпылоону жана ар кандай долбоорлорду ишке ашырууда кездешкен өзгөчөлүктөр жөнүндө сүйлөшүүнү чечтик.
Сизди Palo Alto Networks менен тааныштыруу үчүн, бул макалада эң кеңири таралган брандмауэр тапшырмаларынын бирин чечүү үчүн талап кылынган конфигурация каралат - алыстан кирүү үчүн SSL VPN. Биз ошондой эле брандмауэрдин жалпы конфигурациясы, колдонуучунун идентификациясы, тиркемелери жана коопсуздук саясаттары үчүн пайдалуу функциялар жөнүндө сүйлөшөбүз. Эгер тема окурмандарды кызыктырса, келечекте биз сайттан сайтка VPN, динамикалык маршрутташтыруу жана Panorama аркылуу борборлоштурулган башкарууну талдоочу материалдарды чыгарабыз.
Palo Alto Networks брандмауэрлери бир катар инновациялык технологияларды колдонот, анын ичинде App-ID, User-ID, Content-ID. Бул функцияны колдонуу коопсуздуктун жогорку деңгээлин камсыз кылууга мүмкүндүк берет. Мисалы, App-ID менен колдонмонун трафигин кол тамгалардын, декоддоонун жана эвристиканын негизинде, колдонулган портко жана протоколго карабастан, анын ичинде SSL туннелинин ичинде аныктоого болот. User-ID LDAP интеграциясы аркылуу тармак колдонуучуларын аныктоого мүмкүндүк берет. Content-ID трафикти сканерлөө жана өткөрүлүп берилген файлдарды жана алардын мазмунун аныктоого мүмкүндүк берет. Башка брандмауэр функцияларына интрузиядан коргоо, алсыздыктардан жана DoS чабуулдарынан коргоо, орнотулган антишпиондук программалар, URL чыпкалоо, кластерлөө жана борборлоштурулган башкаруу кирет.
Демонстрация үчүн биз обочолонгон стендди колдонобуз, конфигурациясы чыныгыга окшош, аппарат аталыштарын, AD домендик аталышын жана IP даректерин кошпогондо. Чындыгында, баары татаалыраак - көптөгөн бутактары болушу мүмкүн. Бул учурда, бирдиктүү брандмауэрдин ордуна, борбордук сайттардын чек араларында кластер орнотулат жана динамикалык маршрутташтыруу дагы талап кылынышы мүмкүн.
Стендде колдонулат PAN-OS 7.1.9. Кадимки конфигурация катары четинде Palo Alto Networks брандмауэри бар тармакты карап көрүңүз. Firewall башкы кеңсеге алыскы SSL VPN мүмкүнчүлүгүн камсыз кылат. Active Directory домени колдонуучунун маалымат базасы катары колдонулат (1-сүрөт).
1-сүрөт – Тармактын блок-схемасы
Орнотуу кадамдары:
- Түзмөктүн алдын ала конфигурациясы. Атын, башкаруунун IP дарегин, статикалык маршруттарды, администратор эсептерин, башкаруу профилдерин орнотуу
- Лицензияларды орнотуу, жаңыртууларды конфигурациялоо жана орнотуу
- Коопсуздук аймактарын конфигурациялоо, тармак интерфейстери, трафик саясатын, даректи которуу
- LDAP аныктыгын текшерүү профилин жана колдонуучунун идентификация өзгөчөлүгүн конфигурациялоо
- SSL VPN орнотуу
1. Алдын ала коюлган
Palo Alto Networks брандмауэрин конфигурациялоонун негизги куралы веб-интерфейс болуп саналат; CLI аркылуу башкаруу да мүмкүн. Демейки боюнча, башкаруу интерфейси 192.168.1.1/24 IP дарегине орнотулган, логин: админ, сырсөз: админ.
Даректи бир эле тармактан веб-интерфейске туташуу же буйрукту колдонуу менен өзгөртө аласыз deviceconfig тутумунун IP-дарегин <> тор маскасын <> коюу. Ал конфигурация режиминде аткарылат. Конфигурация режимине өтүү үчүн, буйрукту колдонуңуз күүлөй. Брандмауэрдеги бардык өзгөртүүлөр орнотуулар буйрук тарабынан ырасталгандан кийин гана болот кылуу, буйрук сабы режиминде да, веб интерфейсинде да.
Веб интерфейсиндеги орнотууларды өзгөртүү үчүн бөлүмдү колдонуңуз Аппарат -> Жалпы Орнотуулар жана Түзмөк -> Башкаруу Интерфейс Орнотуулары. Аты, баннерлер, убакыт алкагы жана башка орнотууларды Жалпы орнотуулар бөлүмүндө коюуга болот (2-сүрөт).
2-сүрөт – Башкаруу интерфейсинин параметрлери
Эгер сиз ESXi чөйрөсүндө виртуалдык брандмауэрди колдонсоңуз, анда Жалпы орнотуулар бөлүмүндө сиз гипервизор тарабынан дайындалган MAC дарегин колдонууну иштетишиңиз же гипервизордогу брандмауэр интерфейстеринде көрсөтүлгөн MAC даректерин конфигурациялооңуз же орнотууларды өзгөртүү керек. MAC даректерин өзгөртүүгө уруксат берүү үчүн виртуалдык которгучтар. Антпесе, жол кыймылы өтпөй калат.
Башкаруу интерфейси өзүнчө конфигурацияланган жана тармак интерфейстеринин тизмесинде көрсөтүлбөйт. Бөлүмүндө Башкаруу интерфейсинин жөндөөлөрү башкаруу интерфейси үчүн демейки шлюзду белгилейт. Башка статикалык маршруттар виртуалдык роутер бөлүмүндө конфигурацияланган; бул кийинчерээк талкууланат.
Башка интерфейстер аркылуу түзмөккө кирүүгө уруксат берүү үчүн сиз башкаруу профилин түзүшүңүз керек Башкаруу профили бөлүмүндө Тармак -> Тармак профилдери -> Интерфейс Mgmt жана аны тиешелүү интерфейске дайындаңыз.
Андан кийин, бөлүмдө DNS жана NTP конфигурациялоо керек Аппарат -> Кызматтар жаңыртууларды кабыл алуу жана убакытты туура көрсөтүү үчүн (3-сүрөт). Демейки боюнча, брандмауэр тарабынан түзүлгөн бардык трафик, анын IP дареги катары башкаруу интерфейсинин IP дарегин колдонот. Бөлүмдөгү ар бир конкреттүү кызмат үчүн башка интерфейсти дайындай аласыз Кызмат маршрутунун конфигурациясы.
3-сүрөт – DNS, NTP жана системанын маршруттарынын тейлөө параметрлери
2. Лицензияларды орнотуу, жаңыртууларды орнотуу жана орнотуу
Бардык брандмауэр функцияларынын толук иштеши үчүн лицензияны орнотуу керек. Сиз Palo Alto Networks өнөктөштөрүнөн сурап, сыноо лицензиясын колдоно аласыз. Анын жарактуу мөөнөтү 30 күн. Лицензия файл аркылуу же Auth-Code аркылуу иштетилет. Лицензиялар бөлүмдө конфигурацияланган Түзмөк -> Лицензиялар (Сүрөт. 4).
Лицензияны орноткондон кийин, бөлүмдө жаңыртууларды орнотууну конфигурациялашыңыз керек Түзмөк -> Динамикалык жаңыртуулар.
Бөлүмүндө Аппарат -> Программалык камсыздоо сиз PAN-OSтун жаңы версияларын жүктөп алып, орното аласыз.
4-сүрөт – Лицензияны башкаруу панели
3. Коопсуздук аймактарын конфигурациялоо, тармактык интерфейстер, трафик саясатын, даректи которуу
Palo Alto Networks брандмауэрлери тармак эрежелерин конфигурациялоодо зоналык логиканы колдонушат. Тармактык интерфейстер белгилүү бир зонага дайындалат жана бул аймак жол кыймылынын эрежелеринде колдонулат. Бул ыкма келечекте интерфейстин жөндөөлөрүн өзгөртүүдө жол кыймылынын эрежелерин өзгөртүүгө эмес, анын ордуна керектүү интерфейстерди тиешелүү зоналарга кайра дайындоого мүмкүндүк берет. Демейки боюнча, зонанын ичиндеги кыймылга уруксат берилет, зоналардын ортосундагы кыймылга тыюу салынат, бул үчүн алдын ала аныкталган эрежелер жооп берет intrazone-демейки и аймактар аралык демейки.
5-сүрөт – Коопсуздук зоналары
Бул мисалда ички тармактагы интерфейс зонага дайындалган ички, жана Интернетке караган интерфейс зонага дайындалат тышкы. SSL VPN үчүн туннель интерфейси түзүлгөн жана зонага дайындалган VPN (Сүрөт. 5).
Palo Alto Networks брандмауэр тармак интерфейстери беш түрдүү режимде иштей алат:
- жапкыч – мониторинг жана талдоо максатында трафикти чогултуу үчүн колдонулат
- HA – кластердик иш үчүн колдонулат
- Virtual Wire - бул режимде, Palo Alto Networks эки интерфейсти бириктирет жана MAC жана IP даректерин өзгөртпөстөн алардын ортосунда трафикти ачык өткөрөт.
- Layer2 – которуу режими
- Layer3 – роутер режими
Сүрөт 6 – Интерфейстин иштөө режимин орнотуу
Бул мисалда Layer3 режими колдонулат (6-сүрөт). Тармак интерфейсинин параметрлери IP дарегин, иштөө режимин жана тиешелүү коопсуздук зонасын көрсөтөт. Интерфейстин иштөө режиминен тышкары, сиз аны Virtual Router виртуалдык роутерге дайындашыңыз керек, бул Palo Alto Networks тармагындагы VRF инстанциясынын аналогу. Виртуалдык роутерлер бири-биринен обочолонгон жана өздөрүнүн маршруттук таблицаларына жана тармак протоколунун жөндөөлөрүнө ээ.
Виртуалдык роутердин орнотуулары статикалык маршруттарды жана маршрутизация протоколунун жөндөөлөрүн аныктайт. Бул мисалда тышкы тармактарга кирүү үчүн демейки маршрут гана түзүлгөн (7-сүрөт).
Сүрөт 7 – Виртуалдык роутерди орнотуу
Кийинки конфигурация этабы - трафик саясаты, бөлүм Саясат -> Коопсуздук. Конфигурациянын мисалы 8-сүрөттө көрсөтүлгөн. Эрежелердин логикасы бардык брандмауэрлердей эле. Эрежелер биринчи матчка чейин жогорудан ылдыйга чейин текшерилет. Эрежелердин кыскача баяндамасы:
1. Веб-порталга SSL VPN мүмкүндүк алуу. Алыскы туташуулардын аныктыгын текшерүү үчүн веб-порталга кирүү мүмкүнчүлүгүн берет
2. VPN трафиги – алыскы байланыштар менен башкы кеңсенин ортосундагы трафикти өткөрүү
3. Негизги Интернет – dns, ping, traceroute, ntp тиркемелерине уруксат берүү. Брандмауэр порт номерлерине жана протоколдоруна эмес, кол коюуга, декоддоого жана эвристикага негизделген тиркемелерге мүмкүндүк берет, ошондуктан Кызмат бөлүмүндө колдонмо-демейки деп айтылат. Бул колдонмо үчүн демейки порт/протокол
4. Веб мүмкүндүк алуу – HTTP жана HTTPS протоколдору аркылуу тиркеме көзөмөлү жок Интернетке кирүүгө уруксат берүү
5,6. Башка трафик үчүн демейки эрежелер.
8-сүрөт — Тармак эрежелерин орнотуунун мисалы
NAT конфигурациялоо үчүн бөлүмдү колдонуңуз Саясат -> NAT. NAT конфигурациясынын мисалы 9-сүрөттө көрсөтүлгөн.
9-сүрөт – NAT конфигурациясынын мисалы
Ички трафиктен тышкы трафик үчүн сиз булак дарегин брандмауэрдин тышкы IP дарегине өзгөртүп, динамикалык порт дарегин (PAT) колдоно аласыз.
4. LDAP аныктыгын текшерүү профилин жана колдонуучунун идентификациялоо функциясын конфигурациялоо
Колдонуучуларды SSL-VPN аркылуу туташтыруудан мурун, аутентификация механизмин конфигурациялашыңыз керек. Бул мисалда, Palo Alto Networks веб интерфейси аркылуу Active Directory домен контроллерине аутентификация болот.
10-сүрөт – LDAP профили
Аутентификация иштеши үчүн, конфигурациялашыңыз керек LDAP профили и Аутентификация профили. Бөлүмүндө Түзмөк -> Сервер профилдери -> LDAP (10-сүрөт) сиз домен контроллеринин IP дарегин жана портун, LDAP түрүн жана топторго кирген колдонуучу эсебин көрсөтүшүңүз керек. Server Operators, Окуялар журналынын окурмандары, Бөлүштүрүлгөн COM колдонуучулары. Андан кийин бөлүмдө Түзмөк -> Аутентификация профили аутентификация профилин түзүңүз (11-сүрөт), мурда түзүлгөн профилди белгилеңиз LDAP профили жана Өркүндөтүлгөн кошумча барагында биз алыстан кирүүгө уруксат берилген колдонуучулардын тобун (12-сүрөт) көрсөтөбүз. Профилиңиздеги параметрди белгилеп кетүү маанилүү Колдонуучунун домени, антпесе топко негизделген авторизация иштебейт. Талаа NetBIOS домендик аталышын көрсөтүшү керек.
11-сүрөт – Аутентификация профили
12-сүрөт – AD тобун тандоо
Кийинки этап - орнотуу Түзмөк -> Колдонуучунун идентификациясы. Бул жерде сиз домен контролерунун IP дарегин, туташуу грамоталарын, ошондой эле орнотууларды конфигурациялашыңыз керек Коопсуздук журналын иштетүү, Сеансты иштетүү, Текшерүүнү иштетүү (13-сүрөт). Бөлүмүндө Топтун картасы (14-сүрөт) LDAPдагы объекттерди идентификациялоонун параметрлерин жана авторизациялоо үчүн колдонула турган топтордун тизмесин белгилешиңиз керек. Аутентификация профилиндегидей эле, бул жерде сиз Колдонуучунун доменинин параметрин коюшуңуз керек.
13-сүрөт – Колдонуучунун картасынын параметрлери
14-сүрөт – Топтук картанын параметрлери
Бул этапта акыркы кадам VPN аймагын жана ал аймак үчүн интерфейсти түзүү болуп саналат. Интерфейстеги параметрди иштетишиңиз керек Колдонуучунун идентификациясын иштетүү (Сүрөт. 15).
Сүрөт 15 – VPN аймагын орнотуу
5. SSL VPN орнотуу
SSL VPNге туташуудан мурун, алыскы колдонуучу веб-порталга барып, Global Protect кардарын аныктыгын текшерип, жүктөп алышы керек. Андан кийин, бул кардар эсептик дайындарды сурап, корпоративдик тармакка туташат. Веб-портал https режиминде иштейт жана ошого жараша ага сертификат орнотуу керек. Мүмкүн болсо, жалпыга ачык сертификатты колдонуңуз. Анда колдонуучу сайтта сертификаттын жараксыздыгы тууралуу эскертүү албайт. Эгерде жалпыга ачык сертификатты колдонуу мүмкүн болбосо, анда сиз өзүңүздүн документиңизди беришиңиз керек, ал https үчүн веб-баракчада колдонулат. Ал өз алдынча кол коюу же жергиликтүү күбөлүк органы аркылуу берилиши мүмкүн. Колдонуучу веб-порталга туташууда катаны кабыл албашы үчүн, алыскы компьютерде ишенимдүү түпкү органдардын тизмесинде түпкү же өз алдынча кол коюлган сертификат болушу керек. Бул мисал Active Directory Сертификат Кызматтары аркылуу берилген сертификатты колдонот.
Сертификат берүү үчүн бөлүмдө сертификатка суроо-талап түзүү керек Түзмөк -> Сертификатты башкаруу -> Сертификаттар -> Түзүү. Сурамда биз сертификаттын аталышын жана веб-порталдын IP дарегин же FQDNди көрсөтөбүз (16-сүрөт). Сурам түзүлгөндөн кийин, жүктөп алыңыз .csr файлды түзүп, анын мазмунун AD CS Web Enrollment веб формасындагы тастыктама суроо талаасына көчүрүңүз. Сертификат органы кантип конфигурацияланганына жараша, сертификат сурамы жактырылып, берилген сертификат форматта жүктөлүп алынышы керек. Base64 коддолгон сертификат. Кошумча, сиз күбөлөндүрүүчү органдын түпкү сертификатын жүктөп алышыңыз керек. Андан кийин эки сертификатты брандмауэрге импорттооңуз керек. Веб-портал үчүн сертификатты импорттоодо сиз күтүү абалындагы суроо-талапты тандап, импорттоо баскычын басышыңыз керек. Сертификаттын аталышы суроо-талапта мурда көрсөтүлгөн атка дал келиши керек. Түпкү сертификаттын аталышы каалагандай көрсөтүлүшү мүмкүн. Сертификат импорттоодон кийин, сиз түзүү керек SSL/TLS Кызмат профили бөлүмүндө Түзмөк -> Сертификатты башкаруу. Профилде биз мурда импорттолгон сертификатты көрсөтөбүз.
16-сүрөт – Сертификат суроо-талабы
Кийинки кадам объекттерди орнотуу болуп саналат Global Protect Gateway и Global Protect Portal бөлүмүндө Тармак -> Глобалдык коргоо. Жөндөөлөрдөн Global Protect Gateway брандмауэрдин тышкы IP дарегин көрсөтүү, ошондой эле мурда түзүлгөн SSL профили, Аутентификация профили, туннель интерфейси жана кардар IP орнотуулары. Сиз дарек кардарга ыйгарыла турган IP даректеринин пулун көрсөтүшүңүз керек жана Кирүү маршруту - бул кардар маршрутка ээ боло турган ички тармактар. Эгерде тапшырма бардык колдонуучунун трафигин брандмауэр аркылуу ороп коюу болсо, анда сиз 0.0.0.0/0 субтармагын көрсөтүшүңүз керек (17-сүрөт).
Сүрөт 17 – IP даректеринин жана маршруттарынын пулун конфигурациялоо
Андан кийин сиз конфигурациялашыңыз керек Global Protect Portal. Firewallдын IP дарегин көрсөтүңүз, SSL профили и Аутентификация профили жана кардар туташа турган брандмауэрлердин тышкы IP даректеринин тизмеси. Эгерде бир нече брандмауэр бар болсо, анда сиз ар бири үчүн артыкчылыктарды орното аласыз, ага ылайык колдонуучулар туташуу үчүн брандмауэрди тандашат.
Бөлүмүндө Түзмөк -> GlobalProtect Client сиз Palo Alto Networks серверлеринен VPN кардар бөлүштүрүүнү жүктөп алып, аны иштетишиңиз керек. Туташуу үчүн колдонуучу порталдын веб-баракчасына өтүшү керек, ал жерден жүктөө суралат GlobalProtect кардары. Жүктөлүп жана орнотулгандан кийин, сиз эсептик дайындарыңызды киргизип, SSL VPN аркылуу корпоративдик тармагыңызга туташа аласыз.
жыйынтыктоо
Бул орнотуунун Palo Alto Networks бөлүгүн аяктайт. Биз маалымат пайдалуу болду деп үмүттөнөбүз жана окурман Palo Alto Networks тармагында колдонулган технологиялар жөнүндө түшүнүккө ээ болду. Эгерде сизде орнотуулар жана келечектеги макалалардын темалары боюнча суроолоруңуз болсо, аларды комментарийлерге жазыңыз, биз жооп берүүгө кубанычтабыз.
Source: www.habr.com