Trotz all de Virdeeler vun de Palo Alto Networks Firewalls gëtt et net vill Material am RuNet fir dës Geräter opzestellen, wéi och Texter déi d'Erfahrung vun hirer Ëmsetzung beschreiwen. Mir hu beschloss d'Materialien ze resuméieren, déi mir während eiser Aarbecht mat der Ausrüstung vun dësem Verkeefer gesammelt hunn an iwwer d'Features ze schwätzen, déi mir während der Ëmsetzung vu verschiddene Projete begéint hunn.
Fir Iech op Palo Alto Networks virzestellen, wäert dësen Artikel d'Konfiguratioun kucken, déi erfuerderlech ass fir ee vun den heefegsten Firewall Probleemer ze léisen - SSL VPN fir Fernzougang. Mir schwätzen och iwwer Utilityfunktiounen fir allgemeng Firewall Konfiguratioun, Benotzer Identifikatioun, Uwendungen a Sécherheetspolitik. Wann d'Thema fir d'Lieser interesséiert ass, wäerte mir an Zukunft Materialien erausginn, déi Site-to-Site VPN analyséieren, dynamesch Routing an zentraliséiert Gestioun mat Panorama.
Palo Alto Networks Firewalls benotzen eng Rei innovativ Technologien, dorënner App-ID, User-ID, Content-ID. D'Benotzung vun dëser Funktionalitéit erlaabt Iech en héije Sécherheetsniveau ze garantéieren. Zum Beispill, mat App-ID ass et méiglech Applikatiounsverkéier ze identifizéieren baséiert op Ënnerschrëften, Dekodéierung an Heuristik, onofhängeg vum Hafen a Protokoll benotzt, och an engem SSL Tunnel. User-ID erlaabt Iech Netzwierk Benotzer duerch LDAP Integratioun z'identifizéieren. Content-ID mécht et méiglech Traffic ze scannen an iwwerdroe Fichieren an hiren Inhalt z'identifizéieren. Aner Firewall Funktiounen enthalen Intrusiounsschutz, Schutz géint Schwachstelle an DoS Attacken, agebaute Anti-Spyware, URL Filteren, Clustering, an zentraliséiert Gestioun.
Fir d'Demonstratioun wäerte mir en isoléierte Stand benotzen, mat enger Konfiguratioun identesch mat der realer, mat Ausnam vun Apparatnamen, AD Domain Numm an IP Adressen. A Wierklechkeet ass alles méi komplizéiert - et kënne vill Filialen sinn. An dësem Fall, amplaz vun enger eenzeger Firewall, gëtt e Cluster op de Grenze vun den zentrale Siten installéiert, an dynamesch Routing kann och erfuerderlech sinn.
Benotzt op de Stand PAN-OS 7.1.9. Als typesch Konfiguratioun, betruecht e Netzwierk mat enger Palo Alto Networks Firewall um Rand. D'Firewall bitt Remote SSL VPN Zougang zum Sëtz. Den Active Directory Domain gëtt als Benotzerdatenbank benotzt (Figur 1).
Figur 1 - Network Block Diagramm
Setup Schrëtt:
- Apparat Pre-Configuratioun. Astellung vum Numm, Gestioun IP Adress, statesch routes, Administrateur Konten, Gestioun Profiler
- Installatioun vun Lizenzen, Konfiguratioun an Installatioun vun Updates
- Sécherheetszonen konfiguréieren, Netzwierkschnëttplazen, Verkéierspolitik, Adressiwwersetzung
- Konfiguratioun vun engem LDAP Authentifikatiounsprofil a Benotzer Identifikatiounsfeature
- En SSL VPN opsetzen
1. Preset
Den Haaptinstrument fir d'Palo Alto Networks Firewall ze konfiguréieren ass d'Webinterface; Gestioun iwwer de CLI ass och méiglech. Par défaut ass d'Verwaltungsinterface op d'IP Adress 192.168.1.1/24 gesat, Login: admin, Passwuert: admin.
Dir kënnt d'Adress änneren entweder andeems Dir op d'Webinterface vum selwechte Netzwierk verbënnt oder de Kommando benotzt Set deviceconfig System IP-Adress <> Netmask <>. Et gëtt am Konfiguratiounsmodus gemaach. Fir op de Konfiguratiounsmodus ze wiesselen, benotzt de Kommando konfiguréieren. All Ännerungen op der Firewall geschéien nëmmen nodeems d'Astellunge vum Kommando bestätegt ginn engagéieren, souwuel am Kommandozeilmodus an am Webinterface.
Fir Astellungen am Web Interface z'änneren, benotzt d'Sektioun Apparat -> Allgemeng Astellungen an Apparat -> Management Interface Astellunge. Den Numm, Banneren, Zäitzone an aner Astellunge kënnen an der General Settings Sektioun (Fig. 2) gesat ginn.
Figur 2 - Management Interface Parameteren
Wann Dir eng virtuell Firewall an engem ESXi Ëmfeld benotzt, am Allgemengen Astellunge Rubrik Dir musst d'Benotzung vun der MAC Adress vun der hypervisor zougewisen aktivéieren, oder Configuratioun der MAC Adressen uginn op der Firewall Schnëttplazen op der hypervisor, oder änneren d'Astellunge vun déi virtuell Schalter fir MAC Adressen z'änneren. Soss geet de Verkéier net duerch.
D'Gestioun Interface ass separat konfiguréiert an ass net an der Lëscht vun Reseau Schnëttplazen ugewisen. Am Kapitel Management Interface Astellunge spezifizéiert den Default Paart fir d'Gestioun Interface. Aner statesch routes sinn an der virtueller Router Sektioun konfiguréiert; dëst wäert méi spéit diskutéiert ginn.
Fir Zougang zum Apparat duerch aner Schnëttplazen z'erméiglechen, musst Dir e Managementprofil erstellen Management Profil Sektioun Network -> Network Profiler -> Interface Mgmt an zougewisen et op déi entspriechend Interface.
Als nächst musst Dir DNS an NTP an der Sektioun konfiguréieren Apparat -> Servicer fir Updates ze kréien an d'Zäit richteg ze weisen (Fig. 3). Par défaut benotzt all Traffic generéiert vun der Firewall der Gestioun Interface IP Adress als hir Quell IP Adress. Dir kënnt eng aner Interface fir all spezifesche Service an der Rubrik zougewisen Service Route Configuratioun.
Figur 3 - DNS, NTP a System routes Service Parameteren
2. Installatioun Lizenzen, Ariichten an installéiert Aktualiséierungen
Fir voll Operatioun vun all Firewall Funktiounen, Dir musst eng Lizenz installéieren. Dir kënnt eng Testlizenz benotzen andeems Dir se vum Palo Alto Networks Partner ufrot. Seng Validitéit Period ass 30 Deeg. D'Lizenz gëtt entweder duerch e Fichier oder mam Auth-Code aktivéiert. Lizenzen sinn an der Rubrik konfiguréiert Apparat -> Lizenzen (Figure 4).
Nodeems Dir d'Lizenz installéiert hutt, musst Dir d'Installatioun vun den Updates an der Rubrik konfiguréieren Apparat -> Dynamic Updates.
Sektioun Apparat -> Software Dir kënnt nei Versioune vu PAN-OS eroflueden an installéieren.
Figur 4 - Lizenz Kontrolléiere Panel
3. Configuring Sécherheet Zonen, Reseau Schnëttplazen, Verkéier Politiken, Adress Iwwersetzung
Palo Alto Networks Firewalls benotzen Zone Logik wann Dir Netzwierkregelen konfiguréiert. Netzschnëttplazen ginn zu enger spezifescher Zone zougewisen, an dës Zone gëtt a Verkéiersregelen benotzt. Dës Approche erlaabt an Zukunft, wann Dir Interface Astellungen änneren, net d'Verkéiersregelen z'änneren, mä amplaz déi néideg Schnëttplazen op déi entspriechend Zonen z'änneren. Par défaut ass de Verkéier bannent enger Zone erlaabt, de Verkéier tëscht Zonen ass verbueden, virdefinéiert Reegele si verantwortlech dofir intrazone-Standard и interzone-Standard.
Figur 5 - Sécherheet Zonen
An dësem Beispill gëtt eng Interface am internen Netz der Zone zougewisen intern, an d'Interface vis-à-vis vum Internet gëtt der Zone zougewisen externen. Fir SSL VPN ass en Tunnel-Interface erstallt an der Zone zougewisen Opportunitéit (Figure 5).
Palo Alto Networks Firewall Network Interfaces kënnen a fënnef verschiddene Modi funktionnéieren:
- ausgefall - benotzt fir Traffic ze sammelen fir Iwwerwaachungs- an Analysezwecker
- HA - benotzt fir Cluster Operatioun
- Virtuell Drot - an dësem Modus kombinéiert Palo Alto Networks zwee Interfaces a passt transparent Traffic tëscht hinnen ouni MAC an IP Adressen z'änneren
- Layer 2 - Modus wiesselen
- Layer 3 - Router Modus
Figur 6 - Astellung vun der Interface Betribssystemer Modus
An dësem Beispill gëtt Layer3 Modus benotzt (Fig. 6). D'Netzwierk Interface Parameteren uginn d'IP Adress, Betribssystemer Modus an déi entspriechend Sécherheet Zone. Zousätzlech zum Operatiounsmodus vun der Interface, musst Dir et dem Virtual Router virtuelle Router zouweisen, dëst ass en Analog vun enger VRF Instanz an Palo Alto Networks. Virtuell Router si vuneneen isoléiert an hunn hir eege Routingtabellen an Netzwierkprotokollastellungen.
Déi virtuell Router Astellunge spezifizéieren statesch Strecken a Routingprotokoll Astellunge. An dësem Beispill gouf nëmmen eng Standardroute erstallt fir Zougang zu externen Netzwierker (Fig. 7).
Figur 7 - Astellung vun engem virtuelle Router
Déi nächst Konfiguratiounsphase ass Verkéierspolitik, Sektioun Politiken -> Sécherheet. E Beispill vun der Konfiguratioun gëtt an der Figur 8. D'Logik vun de Regelen ass déi selwecht wéi fir all Firewalls. D'Regele gi vun uewe bis ënnen iwwerpréift, bis zum éischte Match. Kuerz Beschreiwung vun de Regelen:
1. SSL VPN Zougang zum Web Portal. Erlaabt Zougang zum Webportal fir Fernverbindungen ze authentifizéieren
2. VPN Traffic - erlaabt de Verkéier tëscht Fernverbindungen an dem Sëtz
3. Basis Internet - erlaabt dns, Ping, Traceroute, ntp Uwendungen. D'Firewall erlaabt Uwendungen baséiert op Ënnerschrëften, Decodéierung an Heuristik anstatt Portnummeren a Protokoller, dofir seet d'Service Sektioun Applikatioun-Standard. Standardport / Protokoll fir dës Applikatioun
4. Web Access - erlaabt Internetzougang iwwer HTTP an HTTPS Protokoller ouni Applikatiounskontroll
5,6. Standard Regele fir aner Verkéier.
Figur 8 - Beispill fir Reseau Regelen opzestellen
Fir NAT ze konfiguréieren, benotzt d'Sektioun Politiken -> NAT. E Beispill vun der NAT Konfiguratioun gëtt an der Figur 9 gewisen.
Figur 9 - Beispill vun NAT Configuratioun
Fir all Traffic vun intern bis extern, kënnt Dir d'Quell Adress op déi extern IP Adress vun der Firewall änneren an eng dynamesch port Adress benotzen (PAT).
4. Configuring LDAP Authentifikatioun Profil an Benotzer Identifikatioun Funktioun
Ier Dir Benotzer iwwer SSL-VPN verbënnt, musst Dir en Authentifikatiounsmechanismus konfiguréieren. An dësem Beispill wäert d'Authentifikatioun vum Active Directory Domain Controller duerch d'Palo Alto Networks Web Interface geschéien.
Figur 10 - LDAP Profil
Fir d'Authentifikatioun ze schaffen, musst Dir konfiguréieren LDAP Profil и Authentifikatioun Profil... Am Kapitel Apparat -> Server Profiler -> LDAP (Fig. 10) Dir musst d'IP Adress an den Hafen vum Domain Controller, LDAP Typ a Benotzerkont spezifizéieren an de Gruppen abegraff Server Opérateuren, Event Log Lieser, Verdeelt COM Benotzer. Dann an der Rubrik Apparat -> Authentifikatioun Profil en Authentifikatiounsprofil erstellen (Fig. 11), markéieren déi virdrun erstallt LDAP Profil an an der Advanced Tab weisen mir d'Grupp vun de Benotzer (Fig. 12) un déi Remote Zougang erlaabt sinn. Et ass wichteg de Parameter an Ärem Profil ze notéieren Benotzer Domain, soss wäert Grupp-baséiert Autorisatioun net schaffen. D'Feld muss den NetBIOS Domain Numm uginn.
Figur 11 - Authentifikatioun Profil
Figur 12 - AD Grupp Auswiel
Déi nächst Etapp ass Setup Apparat -> Benotzer Identifikatioun. Hei musst Dir d'IP Adress vum Domain Controller spezifizéieren, d'Verbindungsanmeldungen, an och d'Astellunge konfiguréieren Aktivéiert Sécherheetslog, Sessioun aktivéieren, Probéieren aktivéieren (Fig. 13). Am Kapitel Group Mapping (Fig. 14) Dir musst d'Parameteren notéieren fir Objekter an LDAP z'identifizéieren an d'Lëscht vun de Gruppen déi fir d'Autorisatioun benotzt ginn. Just wéi am Authentifikatiounsprofil, hei musst Dir de User Domain Parameter setzen.
Figur 13 - Benotzer Mapping Parameteren
Figur 14 - Group Mapping Parameteren
De leschte Schrëtt an dëser Phase ass eng VPN Zone an eng Interface fir dës Zone ze kreéieren. Dir musst d'Optioun op der Interface aktivéieren Aktivéiert Benotzer Identifikatioun (Figure 15).
Figure 15 - Astellung vun enger VPN Zone
5. Astelle SSL VPN
Ier Dir mat engem SSL VPN verbënnt, muss de Remote Benotzer op de Webportal goen, de Global Protect Client authentifizéieren an eroflueden. Als nächst wäert dëse Client Umeldungsinformatiounen ufroen a mat dem Firmennetz verbannen. De Webportal funktionnéiert am https Modus an deementspriechend musst Dir e Certificat dofir installéieren. Benotzt en ëffentlechen Zertifika wa méiglech. Da kritt de Benotzer keng Warnung iwwer d'Invaliditéit vum Zertifika um Site. Wann et net méiglech ass en ëffentleche Certificat ze benotzen, da musst Dir Ären eegenen ausginn, deen op der Websäit fir https benotzt gëtt. Et kann selwer ënnerschriwwe ginn oder duerch eng lokal Zertifizéierungsautoritéit ausgestallt ginn. De Remote Computer muss e Root oder selbst ënnerschriwwenen Zertifika an der Lëscht vun vertrauenswürdege Root Autoritéiten hunn, sou datt de Benotzer kee Feeler beim Uschloss un de Webportal kritt. Dëst Beispill wäert en Zertifika benotzen deen duerch Active Directory Certificate Services ausgestallt gëtt.
Fir e Certificat auszeginn, musst Dir eng Zertifika Ufro an der Rubrik erstellen Apparat -> Certificate Management -> Certificates -> Generéiere. An der Ufro gitt mir den Numm vum Zertifika an d'IP Adress oder FQDN vum Webportal (Fig. 16). Nodeems Dir d'Ufro generéiert hutt, download .csr Datei a kopéiert säin Inhalt an d'Zertifikatsufrofeld am AD CS Web Enrollment Webformular. Ofhängeg wéi d'Zertifizéierungsautoritéit konfiguréiert ass, muss d'Zertifika Ufro guttgeheescht ginn an de erausginn Zertifika muss am Format erofgeluede ginn Base64 Kodéiert Zertifikat. Zousätzlech musst Dir de Rootzertifika vun der Zertifizéierungsautoritéit eroflueden. Da musst Dir béid Certificaten an d'Firewall importéieren. Wann Dir e Certificat fir e Webportal importéiert, musst Dir d'Ufro am pendende Status auswielen a klickt Import. Den Zertifikatnumm muss mam Numm entspriechen, dee virdru an der Ufro uginn ass. Den Numm vum Rootzertifika kann arbiträr spezifizéiert ginn. Nodeems Dir den Zertifika importéiert, musst Dir erstellen SSL / TLS Service Profil Sektioun Apparat -> Certificate Management. Am Profil weisen mir de virdru importéierte Certificat un.
Figur 16 - Zertifikat Ufro
De nächste Schrëtt ass d'Objeten opzestellen Global Protect Gateway и Global Protect Portal Sektioun Netzwierk -> Globale Schutz. An Astellungen Global Protect Gateway uginn déi extern IP Adress vun der Firewall, wéi och virdrun erstallt SSL Profil, Authentifikatioun Profil, Tunnel Interface an Client IP Astellunge. Dir musst e Pool vun IP Adressen uginn, aus deenen d'Adress dem Client zougewisen gëtt, an Access Route - dat sinn d'Subnets, op déi de Client e Wee wäert hunn. Wann d'Aufgab ass, all Benotzerverkéier duerch eng Firewall ze wéckelen, da musst Dir de Subnet 0.0.0.0/0 spezifizéieren (Fig. 17).
Figur 17 - Konfiguratioun vun engem Pool vun IP Adressen a routes
Da musst Dir konfiguréieren Global Protect Portal. Gitt d'IP Adress vun der Firewall un, SSL Profil и Authentifikatioun Profil an eng Lëscht vun externen IP Adresse vu Firewalls, mat deenen de Client verbënnt. Wann et e puer Firewalls sinn, kënnt Dir eng Prioritéit fir all setzen, no deenen d'Benotzer eng Firewall wielen fir matzemaachen.
Sektioun Apparat -> GlobalProtect Client Dir musst d'VPN Client Verdeelung vun de Palo Alto Networks Serveren eroflueden an aktivéieren. Fir ze verbannen, muss de Benotzer op d'Portal Websäit goen, wou hie gefrot gëtt fir erofzelueden GlobalProtect Client. Eemol erofgeluede an installéiert, kënnt Dir Är Umeldungsinformatiounen aginn a mat Ärem Firmennetz iwwer SSL VPN verbannen.
Konklusioun
Dëst fäerdeg de Palo Alto Networks Deel vum Setup. Mir hoffen, datt d'Informatioun nëtzlech war an de Lieser e Verständnis vun den Technologien, déi bei Palo Alto Networks benotzt goufen. Wann Dir Froen iwwer Setup a Suggestioune iwwer Themen fir zukünfteg Artikelen hutt, schreift se an de Kommentarer, mir wäerte frou ze äntweren.
Source: will.com