Quamvis omnia commoda Palo Alto Networks firewalls, non multam materiam in RuNet in his machinis instituendis, ac textus experientiae suae exsecutionis describentes, non est. Materias, quas in opere nostro cum huius venditoris instrumento et sermone de notis quae in variis inceptis exsequendis invenimus, decrevimus perscribere.
Ut te ad Palo Alto Networks introducas, hic articulus inspiciet configurationem ad solvendum unum e communissimis firewallis quaestionibus - SSL VPN ad accessum remotum. Etiam de functionibus utilitate communibus figurae firewall, identitatis usoris, applicationes et rationes securitatis loquemur. Si locus legentibus interest, in posterum materias Situm-ad-Site VPN examinare solvemus, dynamica fusa ac centralizata Panorama utendi administratione.
Palo Alto Networks firewalls pluribus technologiarum amet, inclusis App-ID, User-ID, Content-ID. Usus huius functionis permittit ut altam securitatem in tuto ponatur. Exempli gratia, cum App-ID potest cognoscere applicationem negotiationis subsignatis, decoctionibus et heuristicis, cuiuscumque portus et protocollo adhibito, incluso intra cuniculum SSL. User-ID sino vos ut cognoscas retis utentes per LDAP integrationem. Content-ID sinit ut mercaturas lustrare et tabellas transmissas cognoscere et earum contenta cognoscere. Aliae functiones firewall includunt intrusionem tutelam, tutelam contra vulnerabilitates et impetus DoS, constructum-in anti-spyware, URL eliquatione, glomeratio, et administratione centralised.
Pro demonstratione solitario utemur, cum configuratione eadem cum reali, exceptis nominum fabrica, AD nomen domain et IP inscriptiones. Reapse omnia sunt magis complicata - multi rami esse possunt. In hoc casu, pro uno firewall, botrus in finibus situum centralium instituetur et etiam dynamica fugatio requiri potest.
Usus est in sto PAN-OS 7.1.9. Ut figura typica, considera retis cum Palo Alto Networks firewall ad ripam. Murus murus remotis SSL VPN aditum ad caput officii praebet. Directorium activum dominium adhibebitur ut database user (Figura 1).
Figura I - Network obstructionum tabula
Vestigia setup:
- Fabrica prae-figuratio. Ponens nomen, procuratio IP oratio, itinera static, rationes administrator, procuratio profiles
- Licentias inaugurari, configurans et inauguratus updates
- Configurans zonae securitatis, interfaces retis, rationes negotiationis, electronica translatione
- Vestibulum in LDAP authenticitate Profile User Lepidium sativum Feature
- Profecta est SSL VPN
1. consectetur
Praecipuum instrumentum ad machinam Palo Alto Networks firewall configurandi est interfaces, administratio per CLI etiam possibilis est. Defalta, procuratio instrumenti ad IP oratio 192.168.1.1/24 ponitur, login: admin, tessera: admin.
Inscriptionem mutare potes vel cum interfaciei retis eiusdem retis coniungendo vel mandato utens set deviceconfig system ip-electronica <> netmask <>. Configuratione conficitur modus. Ad configurationem modum vertas, utere imperio configurare. Omnes mutationes in firewall tantum fiunt post occasus per mandatum confirmatum sibitam in imperio quam in linea interface.
Mutare occasus in interfaciei interreti, sectione utere Device -> Occasus Generalis et Fabrica -> Procuratio interface Occasus. Nomen, vexilla, zona temporis et aliae occasus in sectione Occasus Generalis constitui possunt (Fig. 2).
Figura II - Management interface parametri
Si in ambitu ESXi virtuali fire pariete uteris, in sectione Occasus Generalis opus est ut usus inscriptionis MAC ab hypervisore assignatae, aut inscriptiones MAC de interfaces hypervisoris in foco specificatas configurent, vel occasus mutent. virgas virtuales ut MAC mutationes inscriptiones sineret. Alioquin negotiationis non transibit.
Procuratio instrumenti separatim configuratur neque in indice interfaces retis exponitur. In capitulo Management interface Occasus significat defaltam portae pro administratione interface. Alia itinera static in sectione virtuali configurantur, de hoc postea dicetur.
Ut accessum ad machinam per alias interfaces sineret, procuratio profile creare debes Procuratio Profile sectioni Network -> Network Profile -> Interface Mgmt et congruo instrumenti assignamus.
Deinde, DNS et NTP configurare debes in sectione Device -> Services ut updates et tempus recte recipiat (fig. 3). Defalta, omnia negotiatio ab firewall generata administratione interface IP oratio utitur ut fonte IP suo. Potes alium interface ad singula specifica opera in sectione assignare Service Route configurationis.
Figura 3 - DNS, NTP et ratio viae ministerium parametri
2. licentias inaugurare, erigere ac installare updates
Ad plenam operationem functionum omnium firewall, licentiam instituere debes. Licentia iudicii uti potes ab Palo Alto Networks sociis petendo. Validitas eius tempus XXX dierum est. Licentia vel per limam vel per Auth-code excitatur. Licentias configurantur in sectione Device -> Licentiae (Fig. 4).
Post licentiam inauguratis, institutionem updates in sectione configurare debes Device -> Dynamic Updates.
sectioni Device -> Software extrahere et novas versiones PAN-OS instituere potes.
Figure 4 - License imperium panel
3. Zonae securitatis configurantes, retis interfaces, negotiationes rationes, electronica translatione
Palo Alto Networks firewalls zona logicae utuntur cum regulas retiaculas conformantes. Interfaces retis zonae specificae assignantur, et haec regio in regulas negotiationis adhibetur. Hic aditus in futuro permittit, cum occasus interfacies mutat, regulas mercaturae non mutandas, sed potius necessarias machinas aptas zonas reponendas. Defalta, negotiatio intra zonam permittitur, commercium inter zonas prohibetur, regulae praedefinitae huius rei responsabiles sunt intrazone-default ΠΈ interzone-default.
Figure V - Safety zonis
Hoc exemplo, instrumenti retis internae zonae deputatur internum,ac medius interreti versus Penitus tribuitur zonae external. Pro SSL VPN, cuniculum interfacies creatum et zonae assignatum est vpn (Fig. 5).
Palo Alto Networks firewall network interfaces quinque modis diversis operari possunt:
- ICTUS - usus est ad orationem negotiationis magna ac analysis proposita
- HA - propter botrum portassent operandi
- Wire lorem ipsum - hoc modo, Palo Alto Networks duas interfaces coniungit ac perlucidum commercium intercedit inter eos sine mutatione MAC et IP oratio.
- Layer2 - switch modus
- Layer3 - iter itineris
Figure VI - constituendi modus interface operating
In hoc exemplo, Layer3 modus adhibebitur (Fig. 6). Parametri retis interfaciei indicant IP oratio, modum operandi et zonam securitatis respondentem. Praeter modum operantis interfaciendi, illud tribuere debes itineris Virtualis itineris virtualis, hoc est analogum exempli VRF exempli in Palo Alto Networks. Iter virtualis inter se separatim sunt, et suas habent tabulas excitandas et uncinis retis protocollum.
Rectum itineris occasus stabilis denotant vias et protocollum fundis excitavit. In hoc exemplo, solum defalta via ad retiacula externa accessundas creata est (Fig. 7).
Figura VII - constituendum virtualis iter
Proximus scaena configurationis est negotiatio agendi, sectionem Politiae -> Securitatis. Exemplum de configuratione ostenditur in Figura 8. Logica regularum eadem est ac omnibus ignium parietibus. Praecepta sunt a summo ad imum, usque ad primam par. Brevis descriptio regularum;
1. SSL VPN Access to Web Portal. Aditus ad textus portae permittit coniunctiones remotas signo authenticitatis incisionem
2. VPN traffic - permittens traffic inter remotas hospites et caput officium
3. Interreti fundamentales - permittens dns, ping, traceroute, applicationes ntp. Firewall permittit applicationes in subscriptionibus, decoctionibus, et heuristicis potius quam numerorum portuum et protocolla, quae causa servitii sectionem applicationem-defaltam dicit. Default portum / protocol hoc application
4. Web Access - permittens Internet accessum per HTTP et HTTPS protocolla sine applicatione imperium
5,6. Default regit ad alia negotiatio.
Figure 8 - Exemplum constituendi network praecepta
NAT configurare, sectione uti Politiae -> NAT. Exemplum figurationis NAT in Figura IX ostenditur.
Figure 9 - Exemplum de NAT configuratione
Pro quolibet commercio ab interno ad externum, fontem inscriptionis ad IP inscriptionem firewall externam mutare potes et dynamicam portum inscriptionem utere (PAT).
4. Configurans LDAP authenticitate Profile User Lepidium sativum Function
Ante usores coniungendi per SSL-VPN, mechanismum authenticas configurare debes. In hoc exemplo authenticas occurret dominico Directorio Active per interfacies Palo Alto Networks interfacies.
Figure 10 - LDAP profile
Ad authenticas opus configurare debes LDAP Profile ΠΈ Authenticas Profile. sectioni Device -> Servo Profile -> LDAP (Fig. 10) debes denotare IP inscriptionem et portum moderatoris domain, LDAP genus et ratio usoris in circulis inclusa. Servo Operators, Event Log Lectores, Distributa COM Users. Tum in sectione Device -> authenticitate Profile authenticas profile creare (Fig. XI), ante creata est nota LDAP Profile et in tab Provectus indicamus coetum utentium (Fig. 12) qui remoti accessu permissi sunt. Aliquam sit amet notare modulo tuo profile User Domainaliter coetus subnixa auctoritate non fungitur. Ager indicare debet nomen domain NetBIOS.
Figura XI - profile authenticitate
Figura XII - AD coetus lectio
Postero gradu est setup Device -> User Lepidium sativum. Hic debes designare locum IP inscriptionis fundi moderatoris, connexionis documentorum, et etiam occasus configurare Admitte Securitatis Log, Admitte Sessio, Admitte perscrutandis (Fig. 13). In capitulo Societas Mapping (Fig. 14) parametris notare debes ad cognoscendas res in LDAP et indicem circulorum qui pro licentia adhibebuntur. Sicut in authenticitate Profile, hic debes ponere modulum User Domain.
Figure XIII - User Mapping parametri
Figure XIV - Group Mapping parametri
Ultimus gradus in hac periodo est zonam VPN et interfaciem illius zonae creare. Vos postulo ut optionem in interface Admitte User Lepidium sativum (Fig. 15).
Figure XV - constituentes VPN zona
5. Profecti sunt SSL VPN
Priusquam coniungas cum SSL VPN, usor remotus debet ire ad portam interretialem, authenticam reddere et clientem globalem protege. Deinde, hic client rogabit documentorum et ad network corporatum coniunge. Tela portae in https modo operatur et proinde libellum pro eo instituere debes. Publico libello utere, si fieri potest. Tunc usor monitum non recipiet de invaliditate certificamenti in situ. Si libello publico uti non potest, tunc debes proprium edendi, quod in pagina interretiali pro https adhibebitur. Potest auto-signari vel per libellum locali auctoritatis. Computatorium remotum debet habere libellum radix vel auto-signatum in indice auctorum radix creditarum ita ut error usor non recipiat cum connexione cum portae interreti. Hoc exemplum libellum per Active Directory Services certificatione editum adhibebit.
Ut testimonium ferat, libellum petitionem in sectione creare debes Device -> Certificate Management -> Testimonia -> Generate. In rogatione nomen testimonium ac nomen IP inscriptionem seu FQDN interretialem portae indicamus (Fig. 16). Post petitionem generatis, download .csr lima et effingo contenta in campo rogatu certificamenti in AD CS inscriptionem interretialem formam interretialem. Prout auctoritate certificatorium configuratur, rogatio certificatoria approbanda est et libellum emissum in forma recepta est. Base64 Encoded Quisque. Accedit, necesse est ut radicem certificationis certificationis auctoritate comprehendas. Tunc opus est utrumque testimonium in firewallo importare. Cum libellum in porta interretialem importans, petitionem debes eligere in statu pendente et import strepita. Nomen certificatorium debet inserere nomen antea in petitione determinatum. Nomen radicis certificatorium ex arbitrio definiri potest. Inlatis testimonium, vos postulo creare SSL/TLS Service Profile sectioni Device -> certificatorium Management. In profano indicamus testimonium antea importatum.
Figure XVI - Quisque petitionem
Proximum est ad constitutionem obiecti Global Protect Porta ΠΈ Global Protect Portal sectioni Network -> Global Protect. In occasus Global Protect Porta indicant IP oratio externa firewall ac antea creata est SSL Profile, Authenticas Profile, cuniculum interface and client IP occasus. Denotare debes piscinam inscriptionum IP ex quibus oratio clienti assignabitur, et Route Obvius - haec sunt vasa ad quae cliens iter habebit. Si negotium est omnia negotiatio usoris per firewall involvere, tum subnet 0.0.0.0/0 denotare debes (Fig. 17).
Figure 17 - Configurans stagnum IP oratio et itinera
Tunc debes configurare Global Protect Portal. Denota IP oratio firewall, SSL Profile ΠΈ Authenticas Profile et indice externarum IP inscriptionum firewallarum ad quas client applicabit. Si plures firewalls sunt, singulis prioritatem ponere potes, secundum quos utentes firewall ad coniungere volent.
sectioni Device -> GlobalProtect Client debes clientem VPN demittere distributionem Palo Alto Networks servientibus ac eam movere. Ad coniungere, utentis paginae portae adire debet, ubi rogabitur ut prehendat GlobalProtect Client. Semel receptae et inauguratae, documentorum tuorum intrare potes et per SSL VPN cum retiacula coniungi.
conclusio,
Haec Palo Alto Networks partem setup perficit. Speramus notitias utiles fuisse et lectorem technologiarum usum in Palo Alto Networks consecutum esse. Si quaestiones de setup et suggestiones de argumentis futurorum articulorum habes, eas in commentaria scribe, beati erimus respondere.
Source: www.habr.com