Ahakoa nga painga katoa o Palo Alto Networks firewalls, kaore he nui o nga korero i runga i te RuNet mo te whakatuu i enei taputapu, me nga tuhinga e whakaatu ana i te wheako o to raatau whakatinanatanga. I whakatau matou ki te whakarāpopoto i nga rauemi kua kohia e matou i te wa e mahi ana matou me nga taputapu a tenei kaihoko me te korero mo nga ahuatanga i tutakihia e matou i te wa e whakatinanahia ana nga momo kaupapa.
Hei whakamohio ki a koe ki Palo Alto Networks, ka titiro tenei tuhinga ki te whirihoranga e hiahiatia ana hei whakaoti i tetahi o nga raru o te papangaahi - SSL VPN mo te uru mamao. Ka korero ano matou mo nga mahi whaipainga mo te whirihoranga papangaahi whanui, te tautuhi kaiwhakamahi, nga tono, me nga kaupapa here haumaru. Mena he pai te kaupapa ki te hunga panui, a muri ake nei ka tukuna e matou nga rauemi tātari i te Pae-ki-Pae VPN, te ararere hihiri me te whakahaeretanga ma te whakamahi Panorama.
He maha nga hangarau hou a Palo Alto Networks e whakamahi ana, tae atu ki te App-ID, Kaiwhakamahi-ID, Content-ID. Ma te whakamahi i tenei mahi ka taea e koe te whakarite i te taumata teitei o te haumarutanga. Hei tauira, me te App-ID ka taea te tautuhi i nga waka tono i runga i nga waitohu, te wetewete me te heuristics, ahakoa te tauranga me te kawa e whakamahia ana, tae atu ki roto i te kauhanga SSL. Ka taea e koe te tautuhi i nga kaiwhakamahi whatunga ma te whakauru LDAP. Ihirangi-ID ka taea ki te matawai waka me te tautuhi i nga konae tuku me o raatau ihirangi. Ko etahi atu mahi paahi ahi ko te whakamarumaru urutomo, te whakamarumaru ki nga whakaraeraetanga me nga whakaeke a DoS, te anti-tutei i roto, te tātari URL, te kohinga, me te whakahaeretanga matua.
Mo te whakaaturanga, ka whakamahia e matou he turanga motuhake, me te whirihoranga he rite ki te mea tuturu, haunga nga ingoa taputapu, ingoa rohe AD me nga wahitau IP. Ko te mea pono, he uaua ake nga mea katoa - he maha nga manga. I tenei keehi, hei utu mo te papangaahi kotahi, ka whakauruhia he kahui ki nga taitapa o nga waahi pokapū, ka hiahiatia ano he ararere hihiri.
Ka whakamahia i runga i te turanga PAN-OS 7.1.9. Hei whirihoranga angamaheni, whakaarohia he whatunga me te papangaahi Palo Alto Networks kei te taha. Ko te papangaahi e whakarato ana i te urunga SSL VPN mamao ki te tari matua. Ka whakamahia te rohe Active Directory hei pātengi raraunga kaiwhakamahi (Whakaahua 1).
Whakaatu 1 – Hoahoa poraka Whatunga
Nga mahi tatūnga:
- Te whirihora i mua i te taputapu. Te tautuhi i te ingoa, te wahitau IP whakahaere, nga huarahi pateko, nga kaute kaiwhakahaere, nga korero whakahaere
- Te whakauru raihana, te whirihora me te whakauru i nga whakahou
- Te whirihora i nga rohe haumaru, atanga whatunga, kaupapa here waka, whakamaori wahitau
- Te whirihora i te LDAP Authentication Profile me te Ahuatanga Tautuhi Kaiwhakamahi
- Te whakatu SSL VPN
1. Tatūkē
Ko te taputapu matua mo te whirihora i te papangaahi Palo Alto Networks ko te atanga tukutuku; ka taea hoki te whakahaere ma te CLI. Ma te taunoa, ka tautuhia te atanga whakahaere ki te IP IP 192.168.1.1/24, takiuru: admin, kupuhipa: admin.
Ka taea e koe te huri i te wahitau ma te hono atu ki te atanga tukutuku mai i te whatunga kotahi, ma te whakamahi ranei i te whakahau tautuhia te systemconfig system ip-address <> netmask <>. Ka mahia i roto i te aratau whirihoranga. Hei huri ki te aratau whirihoranga, whakamahia te whakahau whirihora. Ko nga huringa katoa i runga i te papangaahi ka puta i muri i te whakapumautanga o nga tautuhinga e te whakahau te mahi, i roto i te aratau raina whakahau me te atanga tukutuku.
Hei huri i nga tautuhinga i te atanga tukutuku, whakamahia te waahanga Pūrere -> Tautuhinga Whānui me te Pūrere -> Tautuhinga Atanga Whakahaere. Ko te ingoa, nga kara, te waahi wa me etahi atu tautuhinga ka taea te whakanoho ki te waahanga Tautuhinga Ahunui (Fig. 2).
Whakaatu 2 - Tawhā atanga whakahaere
Mena kei te whakamahi koe i te papangaahi mariko i roto i te taiao ESXi, i te waahanga Tautuhinga Whanui ka hiahia koe ki te whakahohe i te whakamahi i te wahitau MAC kua tohua e te hypervisor, te whirihora ranei i nga wahitau MAC kua tohua i runga i nga hononga papaahi i runga i te hypervisor, ka huri ranei i nga tautuhinga o nga huringa mariko ki te tuku MAC huri wāhitau. Ki te kore, karekau e haere nga waka.
Kua whirihora motuhake te atanga whakahaere, kaore i te whakaatuhia ki te rarangi o nga hononga whatunga. I te pene Tautuhinga Atanga Whakahaere ka tohu i te kuaha taunoa mo te atanga whakahaere. Ko etahi atu ara pateko kua whirihorahia ki te waahanga pouara mariko; ka korerohia tenei i muri mai.
Kia taea ai te uru atu ki te taputapu ma etahi atu atanga, me hanga e koe he tohu whakahaere Kōtaha Whakahaere wāhanga Whatunga -> Kōtaha Whatunga -> Atanga Mgmt ka tautapa ki te atanga e tika ana.
I muri mai, me whirihora e koe te DNS me te NTP i te waahanga Pūrere -> Ratonga ki te whiwhi whakahōu me te whakaatu tika i te wa (Fig. 3). Ma te taunoa, ko nga waka katoa i hangaia e te papangaahi ka whakamahi i te atanga whakahaere IP IP hei wahitau IP puna. Ka taea e koe te tautapa i tetahi atanga rereke mo ia ratonga motuhake i roto i te waahanga Whirihoranga Ara Ratonga.
Whakaahua 3 – DNS, NTP me nga tawhā ratonga ara pūnaha
2. Te whakauru raihana, te whakarite me te whakauru i nga whakahou
Mo te mahi katoa o nga mahi paahi ahi, me whakauru e koe he raihana. Ka taea e koe te whakamahi raihana whakamatautau ma te tono mai i nga hoa o Palo Alto Networks. Ko tona wa mana he 30 ra. Ka whakahohehia te raihana ma te konae, ma te whakamahi ranei i te Waehere-Tuhinga. Kua whirihorahia nga raihana ki te waahanga Pūrere -> Raihana (piki 4).
I muri i te whakauru i te raihana, me whirihora e koe te whakaurunga o nga whakahou i te waahanga Pūrere -> Whakahōu Hihiko.
wāhanga Pūrere -> Pūmanawa ka taea e koe te tango me te whakauru i nga putanga hou o te PAN-OS.
Whakaatu 4 – Paewhiri mana raihana
3. Te whirihora i nga rohe haumaru, nga hononga whatunga, nga kaupapa here waka, te whakamaori wahitau
Ka whakamahia e te Palo Alto Networks te arorau rohe ina whirihora i nga ture whatunga. Ko nga atanga whatunga kua tautapa ki tetahi rohe motuhake, ka whakamahia tenei rohe ki nga ture waka. Ka taea e tenei huarahi a muri ake nei, ina huri i nga tautuhinga atanga, kia kaua e whakarereke i nga ture waka, engari ki te whakarereke i nga atanga e tika ana ki nga rohe e tika ana. Ma te taunoa, ka whakaaetia te hokohoko i roto i tetahi rohe, ka aukatihia te hokohoko i waenga i nga rohe, ko nga ture kua tautuhia ake te kawenga mo tenei intrazone-taunoa и interzone-taunoa.
Whakaatu 5 – Nga rohe haumaru
I tenei tauira, ka tohua he atanga i runga i te whatunga o roto ki te rohe ā-, a ko te atanga e anga atu ana ki te Ipurangi ka tohua ki te rohe waho. Mo te SSL VPN, kua hangaia he atanga kauhanga me te tautapa ki te rohe VPN (piki 5).
Ka taea e Palo Alto Networks atanga whatunga papaahi te mahi i roto i nga momo momo rereke e rima:
- Tap – whakamahia ki te kohikohi waka mo te aro turuki me te tātari
- HA – whakamahia mo te mahi tautau
- Waea Mariko - i roto i tenei aratau, ka whakakotahihia e Palo Alto Networks nga hononga e rua me te whakawhiti marama i waenga i a raatau me te kore e huri i nga wahitau MAC me IP
- Pararau – aratau whakawhiti
- Pararau – aratau pouara
Whakaatu 6 - Te tautuhi i te aratau whakahaere atanga
I tenei tauira, ka whakamahia te aratau Layer3 (Fig. 6). Ko nga tawhā atanga whatunga e tohu ana i te wahitau IP, te aratau whakahaere me te rohe haumaru e rite ana. I tua atu i te aratau whakahaere o te atanga, me tautapa koe ki te Router Virtual Router mariko, he tauira tenei o te tauira VRF i Palo Alto Networks. Ko nga pouara mariko kua wehea mai i a raatau ano me o raatau ake ripanga ararere me nga tautuhinga kawa whatunga.
Ko nga tautuhinga pouara mariko e tohu ana i nga ara pateko me nga tautuhinga kawa ararere. I tenei tauira, he ara taunoa anake i hanga mo te uru atu ki nga whatunga o waho (Fig. 7).
Whakaatu 7 – Te whakatu i te pouara mariko
Ko te waahanga whirihoranga e whai ake nei ko nga kaupapa here waka, te waahanga Kaupapa here -> Haumarutanga. Ko tetahi tauira o te whirihoranga e whakaatuhia ana i te Whakaahua 8. Ko te arorau o nga ture he rite ki nga papaahi katoa. Ka tirohia nga ture mai i runga ki raro, ki raro ki te tukinga tuatahi. Whakaahuatanga poto o nga ture:
1. SSL VPN Uru ki te Paetukutuku Tukutuku. Whakaaetia te uru ki te tomokanga tukutuku ki te whakamotuhēhē hononga mamao
2. Te hokohoko VPN – te tuku waka i waenga i nga hononga mamao me te tari matua
3. Ipurangi taketake – ka taea nga tono dns, ping, traceroute, ntp. Ka whakaaetia e te paahi ahi nga tono i runga i nga hainatanga, te wetewete, me te heuristics kaua ki nga tau tauranga me nga kawa, na reira i kii ai te waahanga Ratonga he tono-taunoa. Tauranga/kawa taunoa mo tenei tono
4. Tukutuku Tukutuku – ka taea te uru ki te Ipurangi ma te HTTP me te HTTPS kawa kaore he mana tono
5,6. Nga ture taunoa mo etahi atu waka.
Whakaahua 8 — He tauira mo te whakatu ture whatunga
Hei whirihora i te NAT, whakamahia te waahanga Kaupapa here -> NAT. Ko tetahi tauira o te whirihoranga NAT e whakaatuhia ana i te Whakaahua 9.
Whakaatu 9 – Tauira o te whirihoranga NAT
Mo nga waka mai i roto ki waho, ka taea e koe te huri i te wahitau puna ki te wahitau IP o waho o te papangaahi me te whakamahi i tetahi wahitau tauranga hihiri (PAT).
4. Whirihorahia te LDAP Authentication Profile me te Taumahi Tautuhi Kaiwhakamahi
I mua i te hono atu i nga kaiwhakamahi ma te SSL-VPN, me whirihora e koe he tikanga motuhēhēnga. I tenei tauira, ka puta te motuhēhēnga ki te kaiwhakahaere rohe Active Directory mā te atanga tukutuku Palo Alto Networks.
Whakaatu 10 – kōtaha LDAP
Kia mahi te motuhēhēnga, me whirihora koe Kōtaha LDAP и Kōtaha Motuhēhēnga. I te waahanga Pūrere -> Kōtaha Tūmau -> LDAP (Fig. 10) me tohu e koe te wahitau IP me te tauranga o te kaiwhakahaere rohe, te momo LDAP me te kaute kaiwhakamahi kei roto i nga roopu Kaiwhakahaere Tūmau, Kaipānui Rangitaki Takahanga, Nga Kaiwhakamahi COM kua tohatohahia. Na i roto i te waahanga Pūrere -> Kōtaha Motuhēhēnga hanga he kōtaha motuhēhēnga (Fig. 11), tohuhia te mea i hangaia i mua Kōtaha LDAP a i roto i te ripa Arā ka tohuhia e matou te roopu o nga kaiwhakamahi (Fig. 12) e whakaaetia ana te uru mamao. He mea nui ki te tuhi i te tawhā i roto i to kōtaha Rohe Kaiwhakamahi, ki te kore ka kore te whakamanatanga a-rōpū e mahi. Me tohu te mara i te ingoa rohe NetBIOS.
Whakaahua 11 – Kotaha motuhēhēnga
Whakaahua 12 - Ko te whiriwhiringa roopu AD
Ko te waahanga e whai ake nei ko te tatūnga Pūrere -> Tautuhinga Kaiwhakamahi. I konei ka hiahia koe ki te tautuhi i te wahitau IP o te kaiwhakahaere rohe, nga tohu hononga, me te whirihora hoki i nga tautuhinga Whakahohehia te Rangitaki Haumarutanga, Whakahohe Wātū, Whakahohehia te Probing (Whakaahua 13). I te pene Mahere Rōpū (Fig. 14) me tuhi koe i nga tawhā mo te tautuhi i nga mea i roto i te LDAP me te rarangi o nga roopu ka whakamahia mo te whakamana. Pērā i te Kōtaha Motuhēhēnga, i konei me tautuhi koe i te tawhā Rohe Kaiwhakamahi.
Whakaatu 13 – Tawhā Mahere Kaiwhakamahi
Whakaatu 14 – Tawhā Mahere Rōpū
Ko te mahi whakamutunga i tenei wahanga ko te hanga rohe VPN me tetahi atanga mo tera rohe. Me taea e koe te kōwhiringa i runga i te atanga Whakahohehia te Tautuhinga Kaiwhakamahi (piki 15).
Whakaatu 15 - Te whakatu i tetahi rohe VPN
5. Te whakatu SSL VPN
I mua i te hono ki te SSL VPN, me haere te kaiwhakamahi mamao ki te tomokanga tukutuku, whakamotuhēhē me te tango i te kiritaki Tiaki Ao. I muri mai, ka tonohia e tenei kaihoko nga tohu me te hono atu ki te whatunga umanga. Kei te mahi te tomokanga tukutuku ki te aratau https, na reira, me whakauru koe i tetahi tiwhikete mo taua mea. Whakamahia he tiwhikete a te iwi mena ka taea. Na ka kore te kaiwhakamahi e whiwhi whakatupato mo te kore o te tiwhikete i runga i te waahi. Mena kaore e taea te whakamahi i tetahi tiwhikete a te iwi, me tuku e koe taau ake, ka whakamahia ki te whaarangi paetukutuku mo https. Ka taea te haina-whaiaro, ka tukuna ma te mana tiwhikete rohe. Me whai pakiaka te rorohiko mamao, he tiwhikete haina-whaiaro ranei i roto i te rarangi o nga mana pakiaka whakawhirinaki kia kore ai te kaiwhakamahi e hapa i te wa e hono ana ki te tomokanga tukutuku. Ka whakamahia e tenei tauira tetahi tiwhikete i tukuna mai i nga Ratonga Tiwhikete Active Directory.
Hei whakaputa i tetahi tiwhikete, me hanga e koe he tono tiwhikete ki te waahanga Pūrere -> Whakahaere Tiwhikete -> Tiwhikete -> Hanga. I roto i te tono ka tohuhia te ingoa o te tiwhikete me te wahitau IP, te FQDN ranei o te tomokanga tukutuku (Fig. 16). I muri i te whakaputa i te tono, tango .csr konae me te kape i ona ihirangi ki roto i te mara tono tiwhikete i roto i te puka tukutuku Whakauru Tukutuku AD CS. I runga i te ahua o te whirihora o te mana tiwhikete, me whakaae te tono tiwhikete, me tango te tiwhikete i tukuna ki te whakatakotoranga. Tiwhikete Whakawaehere Base64. I tua atu, me tango e koe te tiwhikete pakiaka o te mana tohu. Na me kawemai e koe nga tiwhikete e rua ki te papaahi. I te wa e kawemai ana i tetahi tiwhikete mo te tomokanga tukutuku, me tohu koe i te tono i roto i te mana e tatari ana ka paato i te kawemai. Me ōrite te ingoa tiwhikete ki te ingoa i tohua i mua i te tono. Ko te ingoa o te tiwhikete pakiaka ka taea te tohu noa. I muri i te kawemai i te tiwhikete, me hanga e koe Profile Ratonga SSL/TLS wāhanga Pūrere -> Whakahaere Tiwhikete. I roto i te kōtaha tohu tatou i te tiwhikete kawemai i mua.
Whakaahua 16 – Tono Tiwhikete
Ko te mahi e whai ake nei ko te whakarite taonga Waahi Tiaki i te Ao и Paerewa Tiaki o te Ao wāhanga Whatunga -> Tiaki Ao... I roto i nga tautuhinga Waahi Tiaki i te Ao tohu te wāhitau IP waho o te pātūahi, me te hanga i mua Kōtaha SSL, Kōtaha Motuhēhēnga, atanga kauhanga me nga tautuhinga IP kiritaki. Me tohu e koe he puna o nga wahitau IP ka tohua te wahitau ki te kiritaki, me te Ara Uru - koinei nga kupenga-roto e whai huarahi ai te kiritaki. Mena ko te mahi ko te takai i nga waka kaiwhakamahi katoa i roto i te papangaahi, katahi koe me tohu te kupengaroto 0.0.0.0/0 (Fig. 17).
Whakaahua 17 – Te whirihora i te puna o nga wahitau IP me nga huarahi
Na ka hiahia koe ki te whirihora Paerewa Tiaki o te Ao. Tauwhāitihia te wāhitau IP o te pātūahi, Kōtaha SSL и Kōtaha Motuhēhēnga me te rarangi o nga wahitau IP o waho o nga papangaahi ka hono atu te kiritaki. Mena he maha nga papangaahi, ka taea e koe te whakarite kaupapa matua mo ia tangata, e ai ki nga kaiwhakamahi ka kowhiria he papangaahi hei hono atu.
wāhanga Pūrere -> GlobalProtect Kiritaki me tango e koe te tohatoha kiritaki VPN mai i nga kaiwhakarato Palo Alto Networks ka whakahohe. Hei hono atu, me haere te kaiwhakamahi ki te wharangi paetukutuku tomokanga, ka tonohia ia ki te tango GlobalProtect Kiritaki. Ina oti te tango me te whakauru, ka taea e koe te whakauru i o tohu tohu me te hono atu ki to whatunga umanga ma te SSL VPN.
mutunga
Ma tenei ka oti te waahanga o Palo Alto Networks o te tatūnga. Ko te tumanako i whai hua nga korero, ka mohio te kaipanui ki nga hangarau i whakamahia i Palo Alto Networks. Mena kei a koe nga patai mo te tatūnga me nga whakaaro mo nga kaupapa mo nga tuhinga a muri ake nei, tuhia ki roto i nga korero, ka koa matou ki te whakautu.
Source: will.com