Na dia eo aza ny tombony rehetra azo avy amin'ny tambohon'ny Palo Alto Networks, tsy dia misy fitaovana firy ao amin'ny RuNet amin'ny fametrahana ireo fitaovana ireo, ary koa ny lahatsoratra milaza ny traikefan'ny fampiharana azy ireo. Nanapa-kevitra ny hamintina ireo fitaovana nangoninay nandritra ny asa nataonay tamin'ny fitaovan'ity mpivarotra ity izahay ary niresaka momba ireo endri-javatra sendra anay nandritra ny fanatanterahana ireo tetikasa samihafa.
Mba hampahafantarana anao amin'ny Palo Alto Networks, ity lahatsoratra ity dia hijery ny fanitsiana ilaina amin'ny famahana ny iray amin'ireo olan'ny firewall mahazatra indrindra - SSL VPN ho an'ny fidirana lavitra. Hiresaka momba ny fiasan'ny fampiasa amin'ny fandrindrana firewall ankapobeny, ny famantarana ny mpampiasa, ny fampiharana ary ny politika fiarovana. Raha mahaliana ny mpamaky ny lohahevitra, dia hamoaka fitaovana mamakafaka Site-to-Site VPN izahay amin'ny ho avy, zotra mavitrika ary fitantanana foibe mampiasa Panorama.
Ny firewalls Palo Alto Networks dia mampiasa teknolojia vaovao maromaro, anisan'izany ny App-ID, User-ID, Content-ID. Ny fampiasana an'io fiasa io dia ahafahanao miantoka ny fiarovana avo lenta. Ohatra, miaraka amin'ny App-ID dia azo atao ny mamantatra ny fifamoivoizana amin'ny fampiharana mifototra amin'ny sonia, decoding ary heuristics, na inona na inona seranan-tsambo sy protocole ampiasaina, anisan'izany ny ao anaty tonelina SSL. User-ID dia ahafahanao mamantatra ireo mpampiasa tambajotra amin'ny alàlan'ny fampidirana LDAP. Ny Content-ID dia ahafahana mijery ny fifamoivoizana sy mamantatra ireo rakitra alefa sy ny ao anatiny. Ny fiasan'ny firewall hafa dia misy ny fiarovana amin'ny fidirana, ny fiarovana amin'ny vulnerabilities sy ny fanafihana DoS, ny anti-spyware naorina, ny sivana URL, ny clustering ary ny fitantanana foibe.
Ho an'ny fihetsiketsehana dia hampiasa fijoroana mitoka-monina isika, miaraka amin'ny fanamafisam-peo mitovy amin'ny tena izy, afa-tsy ny anaran'ny fitaovana, ny anaran'ny sehatra AD ary ny adiresy IP. Raha ny marina, sarotra kokoa ny zava-drehetra - mety misy sampana maro. Amin'ity tranga ity, ho solon'ny firewall tokana, dia hisy cluster hapetraka eo amin'ny sisin-tanin'ny toerana afovoany, ary mety ilaina ihany koa ny zotra mavitrika.
Ampiasaina amin'ny fijoroana PAN-OS 7.1.9. Amin'ny maha-fanofanana mahazatra azy, diniho ny tambajotra iray misy rindrina afon'ny Palo Alto Networks eo amin'ny sisiny. Ny firewall dia manome fidirana SSL VPN lavitra amin'ny birao foibe. Ny sehatra Active Directory dia ampiasaina ho angon-drakitra mpampiasa (sary 1).
Sary 1 – Diagrama sakana amin'ny tambajotra
Dingana fanamboarana:
- Fanamboarana mialoha ny fitaovana. Fametrahana anarana, adiresy IP fitantanana, lalana static, kaonty mpitantana, mombamomba ny fitantanana
- Fametrahana fahazoan-dàlana, fanamboarana ary fametrahana fanavaozana
- Fametrahana faritra fiarovana, fifandraisana amin'ny tambajotra, politikan'ny fifamoivoizana, fandikana adiresy
- Fametrahana LDAP Authentication Profile sy User Identification Profile
- Mametraka SSL VPN
1. Preset
Ny fitaovana lehibe amin'ny fanamboarana ny firewall Palo Alto Networks dia ny interface interface; azo atao ihany koa ny fitantanana amin'ny alàlan'ny CLI. Amin'ny alàlan'ny default, ny interface fitantanana dia napetraka amin'ny adiresy IP 192.168.1.1/24, fidirana: admin, tenimiafina: admin.
Azonao atao ny manova ny adiresy na amin'ny alàlan'ny fampifandraisana amin'ny seha-pifandraisana amin'ny tambajotra iray ihany, na amin'ny fampiasana ny baiko mametraka deviceconfig system ip-address <> netmask <>. Izany dia atao amin'ny fomba fanamafisana. Raha hifindra amin'ny fomba fanefena, ampiasao ny baiko configures. Ny fiovana rehetra eo amin'ny firewall dia mitranga raha tsy aorian'ny fanamafisana ny baiko manao, na amin'ny fomba andalana baiko na ao amin'ny interface interface.
Raha hanova ny toe-javatra ao amin'ny interface tsara web dia ampiasao ny fizarana Fitaovana -> Fikirana ankapobeny sy fitaovana -> Fikirana Interface fitantanana. Ny anarana, ny sora-baventy, ny faritry ny ora ary ny toe-javatra hafa dia azo apetraka ao amin'ny fizarana General Settings (sary 2).
Sary 2 - Masontsivana interface tsara fitantanana
Raha mampiasa firewall virtoaly ao amin'ny tontolo ESXi ianao, ao amin'ny fizarana General Settings dia mila mamela ny fampiasana ny adiresy MAC omen'ny hypervisor ianao, na manitsy ny adiresy MAC voatondro ao amin'ny fifandraisana amin'ny firewall amin'ny hypervisor, na manova ny toe-javatra. ny switch virtoaly hamela MAC hanova adiresy. Raha tsy izany dia tsy handalo ny fifamoivoizana.
Ny interface fitantanana dia amboarina misaraka ary tsy aseho amin'ny lisitry ny fifandraisana amin'ny tambajotra. Ao amin'ny toko Fitantanana Interface Settings mamaritra ny vavahady default ho an'ny interface fitantanana. Ny lalana static hafa dia amboarina ao amin'ny fizarana router virtoaly; horesahina any aoriana izany.
Mba hamelana ny fidirana amin'ny fitaovana amin'ny alàlan'ny interface hafa dia tsy maintsy mamorona mombamomba ny fitantanana ianao Profile fitantanana fizarana Network -> Network Profiles -> Interface Mgmt ary manendry azy amin'ny interface tsara.
Manaraka, mila manamboatra DNS sy NTP ianao ao amin'ny fizarana Fitaovana -> Serivisy handraisana fanavaozana sy hanehoana ny fotoana araka ny tokony ho izy (sary 3). Amin'ny alàlan'ny default, ny fifamoivoizana rehetra ateraky ny firewall dia mampiasa ny adiresy IP interface tsara ho toy ny adiresy IP loharano. Azonao atao ny manendry interface hafa ho an'ny serivisy manokana ao amin'ny fizarana Serivisy Route Configuration.
Figure 3 - DNS, NTP ary rafitra serivisy serivisy
2. Fametrahana fahazoan-dàlana, fametrahana ary fametrahana fanavaozana
Mba hampandehanana feno ny fiasan'ny firewall rehetra dia tsy maintsy mametraka lisansa ianao. Azonao atao ny mampiasa lisansa fitsapana amin'ny fangatahana izany amin'ny mpiara-miasa amin'ny Palo Alto Networks. 30 andro ny fe-potoana manankery. Ny fahazoan-dàlana dia alefa amin'ny alàlan'ny rakitra na mampiasa Auth-Code. Ny fahazoan-dàlana dia amboarina ao amin'ny fizarana Fitaovana -> License (sary 4).
Aorian'ny fametrahana ny fahazoan-dàlana dia mila manamboatra ny fametrahana fanavaozana ao amin'ny fizarana ianao Fitaovana -> Fanavaozana mavitrika.
fizarana Fitaovana -> Software afaka misintona sy mametraka dikan-teny vaovao an'ny PAN-OS ianao.
Sary 4 - Panel fanaraha-maso fahazoan-dàlana
3. Fametrahana faritra fiarovana, fifandraisana amin'ny tambajotra, politikan'ny fifamoivoizana, fandikana adiresy
Ny firewalls Palo Alto Networks dia mampiasa lojika faritra rehefa manamboatra ny fitsipiky ny tambajotra. Ny fifandraisana amin'ny tambajotra dia omena amin'ny faritra iray manokana, ary io faritra io dia ampiasaina amin'ny fitsipiky ny fifamoivoizana. Ity fomba fiasa ity dia mamela amin'ny ho avy, rehefa manova ny fikandrana interface tsara, tsy hanova ny lalànan'ny fifamoivoizana, fa hanova ny interface ilaina amin'ny faritra mety. Amin'ny alàlan'ny default, azo atao ny fifamoivoizana ao anatin'ny faritra iray, voarara ny fifamoivoizana eo anelanelan'ny faritra, ny fitsipika efa voafaritra mialoha no tompon'andraikitra amin'izany. intrazone-default и interzone-default.
Sary 5 - Faritra azo antoka
Amin'ity ohatra ity, misy interface tsara ao amin'ny tambajotra anatiny dia omena amin'ny faritra anatiny, ary ny interface mifanandrify amin'ny Internet dia omena amin'ny faritra ivelany. Ho an'ny SSL VPN, misy interface tsara tonelina iray noforonina ary nomena ny faritra VPN (sary 5).
Afaka miasa amin'ny fomba dimy samihafa ny fifandraisan'ny tamba-jotra firewall Palo Alto Networks:
- paompy - ampiasaina hanangonana fifamoivoizana ho an'ny tanjona fanaraha-maso sy famakafakana
- HA - ampiasaina amin'ny asa cluster
- Wire virtoaly - amin'ity fomba ity, ny Palo Alto Networks dia manambatra fifandraisana roa ary mandalo mangarahara ny fifamoivoizana eo anelanelan'izy ireo nefa tsy manova ny adiresy MAC sy IP
- Layer2 - mode switch
- Layer3 - ny router mode
Figure 6 - Fametrahana ny fomba fiasan'ny interface
Amin'ity ohatra ity, ny fomba Layer3 dia hampiasaina (sary 6). Ny mari-pamantarana interface tsara dia manondro ny adiresy IP, ny fomba fiasa ary ny faritra fiarovana mifanaraka amin'izany. Ho fanampin'ny fomba fiasa amin'ny interface, dia tsy maintsy manendry azy amin'ny router virtoaly virtoaly ianao, izany dia analogue amin'ny ohatra VRF ao amin'ny Palo Alto Networks. Ny router virtoaly dia mitoka-monina ary manana ny latabatra fitetezana azy manokana sy ny firafitry ny protocole tambajotra.
Ny firafitry ny router virtoaly dia mamaritra ny lalana static sy ny firafitry ny protocol routing. Amin'ity ohatra ity, lalana iray ihany no noforonina hidirana amin'ny tambajotra ivelany (sary 7).
Figure 7 - Fametrahana router virtoaly
Ny dingana fanamafisana manaraka dia ny politikan'ny fifamoivoizana, fizarana Politika -> Fiarovana. Ohatra iray amin'ny fanamafisana dia aseho amin'ny sary 8. Ny lojikan'ny fitsipika dia mitovy amin'ny firewall rehetra. Ny fitsipika dia voamarina hatrany ambony ka hatrany ambany, midina amin'ny lalao voalohany. Famaritana fohy momba ny fitsipika:
1. SSL VPN Fidirana amin'ny vavahadin-tranonkala. Mamela ny fidirana amin'ny vavahadin-tranonkala hanamarina ny fifandraisana lavitra
2. Fifamoivoizan'ny VPN - mamela ny fifamoivoizana eo amin'ny fifandraisana lavitra sy ny birao foibe
3. Aterineto fototra - mamela ny fampiharana dns, ping, traceroute, ntp. Ny firewall dia mamela fampiharana mifototra amin'ny sonia, decoding ary heuristics fa tsy laharan'ny seranan-tsambo sy protocols, ka izany no mahatonga ny fizarana Service milaza ny application-default. Seranana/protocole ho an'ity fampiharana ity
4. Fidirana amin'ny Internet - mamela ny fidirana amin'ny Internet amin'ny alàlan'ny protocols HTTP sy HTTPS tsy misy fanaraha-maso ny fampiharana
5,6. Fitsipika mahazatra ho an'ny fifamoivoizana hafa.
Sary 8 - Ohatra amin'ny fametrahana fitsipika momba ny tambajotra
Raha hampiasa ny NAT dia ampiasao ny fizarana Politika -> NAT. Ohatra iray amin'ny fanamafisana NAT dia aseho amin'ny sary 9.
Sary 9 - Ohatra amin'ny fanamafisana NAT
Ho an'ny fifamoivoizana rehetra avy amin'ny anatiny mankany ivelany, azonao atao ny manova ny adiresy loharano amin'ny adiresy IP ivelany amin'ny firewall ary mampiasa adiresy seranan-tsambo mavitrika (PAT).
4. Fametrahana ny mombamomba ny Authentication LDAP sy ny asa famantarana ny mpampiasa
Alohan'ny hampifandraisana ireo mpampiasa amin'ny alàlan'ny SSL-VPN dia mila manamboatra mekanika fanamarinana ianao. Amin'ity ohatra ity, ny fanamarinana dia hitranga amin'ny mpitantana ny sehatra Active Directory amin'ny alàlan'ny fifandraisana amin'ny tranokala Palo Alto Networks.
Sary 10 – mombamomba ny LDAP
Mba hiasa ny fanamarinana dia mila manamboatra ianao LDAP Profile и Profile Authentication. Ao amin'ny fizarana Fitaovana -> Server Profiles -> LDAP (sary 10) mila mamaritra ny adiresy IP sy ny seranan-tsambon'ny mpandrindra sehatra, karazana LDAP ary kaonty mpampiasa tafiditra ao amin'ny vondrona ianao Mpampiasa mpizara, Event Log Readers, Mpampiasa COM mizara. Avy eo ao amin'ny fizarana Fitaovana -> Authentication Profile mamorona mombamomba ny fanamarinana (sary 11), mariho ilay efa noforonina teo aloha LDAP Profile ary ao amin'ny tabilao Advanced dia manondro ny vondron'ny mpampiasa (sary 12) izay mahazo fidirana lavitra. Zava-dehibe ny manamarika ny mari-pamantarana ao amin'ny mombamomba anao Domain mpampiasa, raha tsy izany dia tsy mandeha ny fanomezan-dàlana mifototra amin'ny vondrona. Ny saha dia tsy maintsy manondro ny anaran-tsehatra NetBIOS.
Sary 11 - mombamomba ny fanamarinana
Sary 12 – Fifidianana vondrona AD
Ny dingana manaraka dia ny fametrahana Fitaovana -> Famantarana mpampiasa. Eto ianao dia mila mamaritra ny adiresy IP an'ny mpandrindra ny sehatra, ny fahazoan-dàlana amin'ny fifandraisana, ary koa ny fampifanarahana Alefaso ny Security Log, Alefaso ny Session, Alefaso ny Probing (sary 13). Ao amin'ny toko Sarintany vondrona (sary 14) mila manamarika ny mari-pamantarana hamantarana zavatra ao amin'ny LDAP sy ny lisitry ny vondrona izay hampiasaina amin'ny fanomezan-dàlana ianao. Tahaka ny ao amin'ny Profile Authentication, eto dia mila mametraka ny parameter User Domain ianao.
Figure 13 – Paramètre Mapping User
Figure 14 – Paramètre Mapping Group
Ny dingana farany amin'ity dingana ity dia ny famoronana faritra VPN sy interface tsara ho an'io faritra io. Mila mamela ny safidy eo amin'ny interface tsara ianao Alefaso ny famantarana ny mpampiasa (sary 15).
Sary 15 - Fametrahana faritra VPN
5. Fametrahana SSL VPN
Alohan'ny hifandraisana amin'ny SSL VPN, ny mpampiasa lavitra dia tsy maintsy mandeha any amin'ny vavahadin-tranonkala, manamarina ary misintona ny mpanjifa Global Protect. Avy eo, hangataka fahazoan-dàlana ity mpanjifa ity ary hifandray amin'ny tambajotran'ny orinasa. Ny vavahadin-tserasera dia miasa amin'ny fomba https ary, araka izany, dia mila mametraka taratasy fanamarinana ho azy ianao. Mampiasà taratasy fanamarinana ampahibemaso raha azo atao. Avy eo ny mpampiasa dia tsy hahazo fampitandremana momba ny tsy fahatanterahan'ny taratasy fanamarinana ao amin'ny tranokala. Raha tsy azo atao ny mampiasa taratasy fanamarinana ho an'ny daholobe, dia mila mamoaka ny anao manokana ianao, izay hampiasaina amin'ny pejy web ho an'ny https. Azo atao sonia manokana na avoaka amin'ny alalan'ny fahefana fanamarinana eo an-toerana. Ny solosaina lavitra dia tsy maintsy manana faka na mari-pankasitrahana nosoniavin'ny tena ao amin'ny lisitry ny manampahefana faka azo itokisana mba tsy hahazoan'ny mpampiasa fahadisoana rehefa mifandray amin'ny vavahadin-tranonkala. Ity ohatra ity dia hampiasa taratasy fanamarinana navoaka tamin'ny Active Directory Certificate Services.
Mba hamoahana taratasy fanamarinana dia mila mamorona fangatahana fanamarinana ao amin'ny fizarana Fitaovana -> Fitantanana mari-pankasitrahana -> Certificat -> Mamorona. Ao amin'ny fangatahana dia manondro ny anaran'ny taratasy fanamarinana sy ny adiresy IP na FQDN an'ny vavahadin-tranonkala (sary 16). Rehefa avy namorona ny fangatahana, download .csr Adikao ao amin'ny saha fangatahana taratasy fanamarinana ao amin'ny AD CS Web Enrollment form. Miankina amin'ny fomba nanamboarana ny fahefana fanamarinana, tsy maintsy ankatoavina ny fangatahana fanamarinana ary tsy maintsy alaina amin'ny endrika ilay taratasy fanamarinana navoaka. Base64 Encoded Certificate. Fanampin'izany, mila misintona ny taratasy fanamarinana fototra an'ny fahefana fanamarinana ianao. Avy eo dia mila manafatra ireo mari-pankasitrahana roa ireo ao amin'ny firewall ianao. Rehefa manafatra mari-pankasitrahana ho an'ny vavahadin-tranonkala dia tsy maintsy misafidy ny fangatahana amin'ny sata miandry ianao ary tsindrio ny fanafarana. Ny anaran'ny taratasy fanamarinana dia tsy maintsy mifanandrify amin'ny anarana voalaza teo aloha ao amin'ny fangatahana. Ny anaran'ny certificat root dia azo faritana tsy misy dikany. Aorian'ny fanafarana ny taratasy fanamarinana dia mila mamorona ianao SSL/TLS Service Profile fizarana Fitaovana -> Fitantanana fanamarinana. Ao amin'ny mombamomba dia manondro ny taratasy fanamarinana nafarana teo aloha.
Sary 16 – Fangatahana fanamarinana
Ny dingana manaraka dia ny fametrahana zavatra Global Protect Gateway и Global Protect Portal fizarana Network -> Global Protect. Amin'ny toe-javatra Global Protect Gateway manondro ny adiresy IP ivelany ny firewall, ary koa ny efa noforonina teo aloha SSL Profile, Profile Authentication, interface tsara tonelina sy firafitry ny IP mpanjifa. Mila mamaritra ny dobo adiresy IP izay hanendrena ny adiresy ho an'ny mpanjifa, ary ny Access Route - ireo no subnets izay hananan'ny mpanjifa lalana. Raha ny asa dia ny famonosana ny fifamoivoizana mpampiasa rehetra amin'ny alalan'ny firewall, dia mila mamaritra ny subnet 0.0.0.0/0 (sary 17).
Sary 17 – Fanamboarana dobo misy adiresy IP sy lalana
Avy eo dia mila manamboatra ianao Global Protect Portal. Ampidiro ny adiresy IP an'ny firewall, SSL Profile и Profile Authentication ary lisitry ny adiresy IP ivelany an'ny firewall izay hifandraisan'ny mpanjifa. Raha misy firewall maromaro dia azonao atao ny mametraka laharam-pahamehana ho an'ny tsirairay, araka izay hisafidianan'ny mpampiasa ny firewall hifandraisana.
fizarana Fitaovana -> GlobalProtect Client mila misintona ny fizarana mpanjifa VPN avy amin'ny mpizara Palo Alto Networks ianao ary ampiharo izany. Mba hifandraisana dia tsy maintsy mandeha any amin'ny pejin-tranonkala misy vavahadin-tserasera ny mpampiasa, izay hangatahana azy hisintona GlobalProtect mpanjifa. Rehefa alaina sy apetraka dia azonao atao ny mampiditra ny mombamomba anao ary mifandray amin'ny tambajotran'ny orinasanao amin'ny alàlan'ny SSL VPN.
famaranana
Izany dia mamita ny Palo Alto Networks ampahany amin'ny fananganana. Manantena izahay fa nahasoa ny vaovao ary nahazo fahatakarana ny teknolojia ampiasaina ao amin'ny Palo Alto Networks ny mpamaky. Raha manana fanontaniana momba ny fametrahana sy soso-kevitra momba ny lohahevitra ho an'ny lahatsoratra ho avy ianao dia soraty ao amin'ny fanehoan-kevitra, faly izahay hamaly.
Source: www.habr.com