Walaupun semua kelebihan tembok api Rangkaian Palo Alto, tidak banyak bahan pada RuNet untuk menyediakan peranti ini, serta teks yang menerangkan pengalaman pelaksanaannya. Kami memutuskan untuk meringkaskan bahan yang telah kami kumpulkan semasa kami bekerja dengan peralatan vendor ini dan bercakap tentang ciri yang kami temui semasa pelaksanaan pelbagai projek.
Untuk memperkenalkan anda kepada Rangkaian Palo Alto, artikel ini akan melihat konfigurasi yang diperlukan untuk menyelesaikan salah satu masalah tembok api yang paling biasa - VPN SSL untuk akses jauh. Kami juga akan membincangkan tentang fungsi utiliti untuk konfigurasi tembok api umum, pengenalan pengguna, aplikasi dan dasar keselamatan. Jika topik itu menarik minat pembaca, pada masa hadapan kami akan mengeluarkan bahan menganalisis VPN Tapak ke Tapak, penghalaan dinamik dan pengurusan berpusat menggunakan Panorama.
Dinding api Rangkaian Palo Alto menggunakan beberapa teknologi inovatif, termasuk App-ID, User-ID, Content-ID. Penggunaan fungsi ini membolehkan anda memastikan tahap keselamatan yang tinggi. Contohnya, dengan App-ID adalah mungkin untuk mengenal pasti trafik aplikasi berdasarkan tandatangan, penyahkodan dan heuristik, tanpa mengira port dan protokol yang digunakan, termasuk di dalam terowong SSL. User-ID membolehkan anda mengenal pasti pengguna rangkaian melalui penyepaduan LDAP. Content-ID membolehkan anda mengimbas trafik dan mengenal pasti fail yang dihantar serta kandungannya. Fungsi tembok api lain termasuk perlindungan pencerobohan, perlindungan terhadap kelemahan dan serangan DoS, anti-perisian pengintip terbina dalam, penapisan URL, pengelompokan dan pengurusan berpusat.
Untuk demonstrasi, kami akan menggunakan pendirian terpencil, dengan konfigurasi yang sama dengan yang sebenar, dengan pengecualian nama peranti, nama domain AD dan alamat IP. Pada hakikatnya, segala-galanya lebih rumit - terdapat banyak cabang. Dalam kes ini, bukannya satu tembok api tunggal, gugusan akan dipasang di sempadan tapak pusat dan penghalaan dinamik juga mungkin diperlukan.
Digunakan pada pendirian PAN-OS 7.1.9. Sebagai konfigurasi biasa, pertimbangkan rangkaian dengan tembok api Rangkaian Palo Alto di tepi. Firewall menyediakan akses VPN SSL jauh ke ibu pejabat. Domain Active Directory akan digunakan sebagai pangkalan data pengguna (Rajah 1).
Rajah 1 β Gambarajah blok rangkaian
Langkah persediaan:
- Pra-konfigurasi peranti. Menetapkan nama, alamat IP pengurusan, laluan statik, akaun pentadbir, profil pengurusan
- Memasang lesen, mengkonfigurasi dan memasang kemas kini
- Mengkonfigurasi zon keselamatan, antara muka rangkaian, dasar trafik, terjemahan alamat
- Mengkonfigurasi Profil Pengesahan LDAP dan Ciri Pengenalan Pengguna
- Menyediakan VPN SSL
1. Pratetap
Alat utama untuk mengkonfigurasi tembok api Rangkaian Palo Alto ialah antara muka web; pengurusan melalui CLI juga boleh dilakukan. Secara lalai, antara muka pengurusan ditetapkan kepada alamat IP 192.168.1.1/24, log masuk: admin, kata laluan: admin.
Anda boleh menukar alamat sama ada dengan menyambung ke antara muka web dari rangkaian yang sama, atau menggunakan arahan tetapkan alamat ip sistem deviceconfig <> netmask <>. Ia dilakukan dalam mod konfigurasi. Untuk bertukar kepada mod konfigurasi, gunakan arahan mengkonfigurasi. Semua perubahan pada firewall berlaku hanya selepas tetapan disahkan oleh arahan melakukan, kedua-duanya dalam mod baris arahan dan dalam antara muka web.
Untuk menukar tetapan dalam antara muka web, gunakan bahagian tersebut Peranti -> Tetapan Umum dan Peranti -> Tetapan Antara Muka Pengurusan. Nama, sepanduk, zon waktu dan tetapan lain boleh ditetapkan dalam bahagian Tetapan Umum (Gamb. 2).
Rajah 2 β Parameter antara muka pengurusan
Jika anda menggunakan tembok api maya dalam persekitaran ESXi, dalam bahagian Tetapan Umum anda perlu mendayakan penggunaan alamat MAC yang diberikan oleh hipervisor, atau konfigurasikan alamat MAC yang dinyatakan pada antara muka tembok api pada hipervisor, atau tukar tetapan suis maya untuk membenarkan MAC menukar alamat. Jika tidak, lalu lintas tidak akan melalui.
Antara muka pengurusan dikonfigurasikan secara berasingan dan tidak dipaparkan dalam senarai antara muka rangkaian. Dalam bab Tetapan Antara Muka Pengurusan menentukan gerbang lalai untuk antara muka pengurusan. Laluan statik lain dikonfigurasikan dalam bahagian penghala maya; ini akan dibincangkan kemudian.
Untuk membenarkan akses kepada peranti melalui antara muka lain, anda mesti membuat profil pengurusan Profil Pengurusan seksyen Rangkaian -> Profil Rangkaian -> Antara Muka Mgmt dan berikannya kepada antara muka yang sesuai.
Seterusnya, anda perlu mengkonfigurasi DNS dan NTP dalam bahagian tersebut Peranti -> Perkhidmatan untuk menerima kemas kini dan memaparkan masa dengan betul (Gamb. 3). Secara lalai, semua trafik yang dijana oleh tembok api menggunakan alamat IP antara muka pengurusan sebagai alamat IP sumbernya. Anda boleh menetapkan antara muka yang berbeza untuk setiap perkhidmatan tertentu dalam bahagian tersebut Konfigurasi Laluan Perkhidmatan.
Rajah 3 β Parameter perkhidmatan DNS, NTP dan laluan sistem
2. Memasang lesen, menyediakan dan memasang kemas kini
Untuk operasi penuh semua fungsi tembok api, anda mesti memasang lesen. Anda boleh menggunakan lesen percubaan dengan memintanya daripada rakan kongsi Palo Alto Networks. Tempoh sahnya ialah 30 hari. Lesen diaktifkan sama ada melalui fail atau menggunakan Auth-Code. Lesen dikonfigurasikan dalam bahagian Peranti -> Lesen (Gamb. 4).
Selepas memasang lesen, anda perlu mengkonfigurasi pemasangan kemas kini dalam bahagian tersebut Peranti -> Kemas Kini Dinamik.
Dalam seksyen Peranti -> Perisian anda boleh memuat turun dan memasang versi baharu PAN-OS.
Rajah 4 β Panel kawalan lesen
3. Mengkonfigurasi zon keselamatan, antara muka rangkaian, dasar trafik, terjemahan alamat
Dinding api Rangkaian Palo Alto menggunakan logik zon semasa mengkonfigurasi peraturan rangkaian. Antara muka rangkaian diperuntukkan kepada zon tertentu, dan zon ini digunakan dalam peraturan lalu lintas. Pendekatan ini membolehkan pada masa hadapan, apabila menukar tetapan antara muka, tidak mengubah peraturan lalu lintas, tetapi sebaliknya untuk menetapkan semula antara muka yang diperlukan ke zon yang sesuai. Secara lalai, lalu lintas dalam zon dibenarkan, lalu lintas antara zon adalah dilarang, peraturan pratakrif bertanggungjawab untuk ini lalai intrazon ΠΈ lalai antara zon.
Rajah 5 β Zon keselamatan
Dalam contoh ini, antara muka pada rangkaian dalaman diberikan kepada zon dalaman, dan antara muka yang menghadap ke Internet diperuntukkan kepada zon luar. Untuk SSL VPN, antara muka terowong telah dibuat dan diperuntukkan kepada zon VPN (Gamb. 5).
Antara muka rangkaian tembok api Rangkaian Palo Alto boleh beroperasi dalam lima mod berbeza:
- Ketuk β digunakan untuk mengumpul trafik untuk tujuan pemantauan dan analisis
- HA β digunakan untuk operasi kelompok
- Kawat Maya β dalam mod ini, Rangkaian Palo Alto menggabungkan dua antara muka dan secara telus menghantar trafik antara mereka tanpa menukar alamat MAC dan IP
- Layer2 β suis mod
- Layer3 β mod penghala
Rajah 6 β Menetapkan mod pengendalian antara muka
Dalam contoh ini, mod Layer3 akan digunakan (Gamb. 6). Parameter antara muka rangkaian menunjukkan alamat IP, mod pengendalian dan zon keselamatan yang sepadan. Sebagai tambahan kepada mod pengendalian antara muka, anda mesti menetapkannya kepada penghala maya Penghala Maya, ini adalah analog bagi contoh VRF dalam Rangkaian Palo Alto. Penghala maya diasingkan antara satu sama lain dan mempunyai jadual penghalaan sendiri dan tetapan protokol rangkaian.
Tetapan penghala maya menentukan laluan statik dan tetapan protokol penghalaan. Dalam contoh ini, hanya laluan lalai telah dibuat untuk mengakses rangkaian luaran (Gamb. 7).
Rajah 7 β Menyediakan penghala maya
Peringkat konfigurasi seterusnya ialah dasar trafik, bahagian Dasar -> Keselamatan. Contoh konfigurasi ditunjukkan dalam Rajah 8. Logik peraturan adalah sama seperti untuk semua tembok api. Peraturan disemak dari atas ke bawah, turun ke perlawanan pertama. Penerangan ringkas tentang peraturan:
1. Akses VPN SSL ke Portal Web. Membenarkan akses kepada portal web untuk mengesahkan sambungan jauh
2. Trafik VPN β membenarkan trafik antara sambungan jauh dan ibu pejabat
3. Internet asas β membenarkan aplikasi dns, ping, traceroute, ntp. Firewall membenarkan aplikasi berdasarkan tandatangan, penyahkodan dan heuristik dan bukannya nombor port dan protokol, itulah sebabnya bahagian Perkhidmatan menyatakan lalai aplikasi. Port/protokol lalai untuk aplikasi ini
4. Akses Web β membenarkan capaian Internet melalui protokol HTTP dan HTTPS tanpa kawalan aplikasi
5,6. Peraturan lalai untuk trafik lain.
Rajah 8 β Contoh penyediaan peraturan rangkaian
Untuk mengkonfigurasi NAT, gunakan bahagian Dasar -> NAT. Contoh konfigurasi NAT ditunjukkan dalam Rajah 9.
Rajah 9 β Contoh konfigurasi NAT
Untuk sebarang trafik dari dalaman ke luaran, anda boleh menukar alamat sumber kepada alamat IP luaran tembok api dan menggunakan alamat port dinamik (PAT).
4. Mengkonfigurasi Profil Pengesahan LDAP dan Fungsi Pengenalan Pengguna
Sebelum menyambungkan pengguna melalui SSL-VPN, anda perlu mengkonfigurasi mekanisme pengesahan. Dalam contoh ini, pengesahan akan berlaku kepada pengawal domain Active Directory melalui antara muka web Palo Alto Networks.
Rajah 10 β Profil LDAP
Untuk pengesahan berfungsi, anda perlu mengkonfigurasi Profil LDAP ΠΈ Profil Pengesahan. Dalam bahagian ini Peranti -> Profil Pelayan -> LDAP (Gamb. 10) anda perlu menentukan alamat IP dan port pengawal domain, jenis LDAP dan akaun pengguna yang disertakan dalam kumpulan Operator Pelayan, Pembaca Log Peristiwa, Pengguna COM yang diedarkan. Kemudian di bahagian Peranti -> Profil Pengesahan buat profil pengesahan (Gamb. 11), tandakan profil yang dibuat sebelum ini Profil LDAP dan dalam tab Lanjutan kami menunjukkan kumpulan pengguna (Rajah 12) yang dibenarkan akses jauh. Adalah penting untuk mengambil perhatian parameter dalam profil anda Domain Pengguna, jika tidak, kebenaran berasaskan kumpulan tidak akan berfungsi. Medan mesti menunjukkan nama domain NetBIOS.
Rajah 11 β Profil pengesahan
Rajah 12 β Pemilihan kumpulan AD
Peringkat seterusnya ialah persediaan Peranti -> Pengenalan Pengguna. Di sini anda perlu menentukan alamat IP pengawal domain, bukti kelayakan sambungan, dan juga mengkonfigurasi tetapan Dayakan Log Keselamatan, Dayakan Sesi, Dayakan Probing (Gamb. 13). Dalam bab Pemetaan Kumpulan (Gamb. 14) anda perlu perhatikan parameter untuk mengenal pasti objek dalam LDAP dan senarai kumpulan yang akan digunakan untuk kebenaran. Sama seperti dalam Profil Pengesahan, di sini anda perlu menetapkan parameter Domain Pengguna.
Rajah 13 β Parameter Pemetaan Pengguna
Rajah 14 β Parameter Pemetaan Kumpulan
Langkah terakhir dalam fasa ini ialah mencipta zon VPN dan antara muka untuk zon tersebut. Anda perlu mendayakan pilihan pada antara muka Dayakan Pengenalan Pengguna (Gamb. 15).
Rajah 15 β Menyediakan zon VPN
5. Menyediakan SSL VPN
Sebelum menyambung ke VPN SSL, pengguna jauh mesti pergi ke portal web, mengesahkan dan memuat turun klien Global Protect. Seterusnya, pelanggan ini akan meminta bukti kelayakan dan menyambung ke rangkaian korporat. Portal web beroperasi dalam mod https dan, oleh itu, anda perlu memasang sijil untuknya. Gunakan sijil awam jika boleh. Kemudian pengguna tidak akan menerima amaran tentang ketidaksahihan sijil di tapak. Jika tidak boleh menggunakan sijil awam, maka anda perlu mengeluarkan sijil anda sendiri, yang akan digunakan pada halaman web untuk https. Ia boleh ditandatangani sendiri atau dikeluarkan melalui pihak berkuasa sijil tempatan. Komputer jauh mesti mempunyai akar atau sijil yang ditandatangani sendiri dalam senarai pihak berkuasa akar yang dipercayai supaya pengguna tidak menerima ralat semasa menyambung ke portal web. Contoh ini akan menggunakan sijil yang dikeluarkan melalui Perkhidmatan Sijil Direktori Aktif.
Untuk mengeluarkan sijil, anda perlu membuat permintaan sijil dalam bahagian tersebut Peranti -> Pengurusan Sijil -> Sijil -> Jana. Dalam permintaan, kami menunjukkan nama sijil dan alamat IP atau FQDN portal web (Gamb. 16). Selepas menjana permintaan, muat turun .csr fail dan salin kandungannya ke dalam medan permintaan sijil dalam borang web Pendaftaran Web CS AD. Bergantung pada cara pihak berkuasa sijil dikonfigurasikan, permintaan sijil mesti diluluskan dan sijil yang dikeluarkan mesti dimuat turun dalam format Sijil Berkod Base64. Selain itu, anda perlu memuat turun sijil akar pihak berkuasa pensijilan. Kemudian anda perlu mengimport kedua-dua sijil ke dalam tembok api. Apabila mengimport sijil untuk portal web, anda mesti memilih permintaan dalam status belum selesai dan klik import. Nama sijil mesti sepadan dengan nama yang dinyatakan sebelum ini dalam permintaan. Nama sijil akar boleh ditentukan sewenang-wenangnya. Selepas mengimport sijil, anda perlu membuat Profil Perkhidmatan SSL/TLS seksyen Peranti -> Pengurusan Sijil. Dalam profil kami menunjukkan sijil yang diimport sebelum ini.
Rajah 16 β Permintaan sijil
Langkah seterusnya ialah menyediakan objek Gerbang Perlindungan Global ΠΈ Portal Perlindungan Global seksyen Rangkaian -> Lindungi Global. Dalam tetapan Gerbang Perlindungan Global nyatakan alamat IP luaran tembok api, serta yang dibuat sebelum ini Profil SSL, Profil Pengesahan, antara muka terowong dan tetapan IP klien. Anda perlu menentukan kumpulan alamat IP yang alamatnya akan diberikan kepada klien, dan Laluan Akses - ini adalah subnet yang pelanggan akan mempunyai laluan. Jika tugasnya adalah untuk membungkus semua trafik pengguna melalui tembok api, maka anda perlu menentukan subnet 0.0.0.0/0 (Gamb. 17).
Rajah 17 β Mengkonfigurasi kumpulan alamat IP dan laluan
Kemudian anda perlu mengkonfigurasi Portal Perlindungan Global. Tentukan alamat IP tembok api, Profil SSL ΠΈ Profil Pengesahan dan senarai alamat IP luaran firewall yang akan disambungkan oleh pelanggan. Jika terdapat beberapa tembok api, anda boleh menetapkan keutamaan untuk setiap satu, mengikut mana pengguna akan memilih tembok api untuk disambungkan.
Dalam seksyen Peranti -> Pelanggan GlobalProtect anda perlu memuat turun pengedaran klien VPN daripada pelayan Rangkaian Palo Alto dan mengaktifkannya. Untuk menyambung, pengguna mesti pergi ke halaman web portal, di mana dia akan diminta untuk memuat turun Pelanggan GlobalProtect. Setelah dimuat turun dan dipasang, anda boleh memasukkan kelayakan anda dan menyambung ke rangkaian korporat anda melalui SSL VPN.
Kesimpulan
Ini melengkapkan bahagian Rangkaian Palo Alto dalam persediaan. Kami berharap maklumat itu berguna dan pembaca mendapat pemahaman tentang teknologi yang digunakan di Palo Alto Networks. Jika anda mempunyai soalan tentang persediaan dan cadangan mengenai topik untuk artikel akan datang, tuliskannya dalam ulasan, kami akan dengan senang hati menjawabnya.
Sumber: www.habr.com