Minkejja l-vantaġġi kollha tal-firewalls ta 'Palo Alto Networks, m'hemmx ħafna materjal fuq ir-RuNet dwar it-twaqqif ta' dawn l-apparati, kif ukoll testi li jiddeskrivu l-esperjenza tal-implimentazzjoni tagħhom. Iddeċidejna li niġbru fil-qosor il-materjali li akkumulajna matul ix-xogħol tagħna mat-tagħmir ta 'dan il-bejjiegħ u nitkellmu dwar il-karatteristiċi li ltqajna magħhom matul l-implimentazzjoni ta' diversi proġetti.
Biex tintroduċik in-Netwerks Palo Alto, dan l-artikolu se jħares lejn il-konfigurazzjoni meħtieġa biex issolvi waħda mill-aktar problemi komuni tal-firewall - SSL VPN għal aċċess remot. Aħna ser nitkellmu wkoll dwar funzjonijiet ta 'utilità għall-konfigurazzjoni ġenerali tal-firewall, identifikazzjoni tal-utent, applikazzjonijiet, u politiki ta' sigurtà. Jekk is-suġġett huwa ta 'interess għall-qarrejja, fil-futur se nirrilaxxaw materjali li janalizzaw Site-to-Site VPN, routing dinamiku u ġestjoni ċentralizzata bl-użu ta' Panorama.
Il-firewalls ta' Palo Alto Networks jużaw għadd ta' teknoloġiji innovattivi, inklużi App-ID, User-ID, Content-ID. L-użu ta 'din il-funzjonalità jippermettilek li tiżgura livell għoli ta' sigurtà. Pereżempju, bl-App-ID huwa possibbli li jiġi identifikat it-traffiku tal-applikazzjoni abbażi tal-firem, id-dekodifikazzjoni u l-euristika, irrispettivament mill-port u l-protokoll użat, inkluż ġewwa mina SSL. User-ID jippermettilek tidentifika l-utenti tan-netwerk permezz tal-integrazzjoni LDAP. Content-ID jagħmilha possibbli li jiġu skennjati t-traffiku u jiġu identifikati fajls trażmessi u l-kontenut tagħhom. Funzjonijiet oħra tal-firewall jinkludu protezzjoni mill-intrużjoni, protezzjoni kontra vulnerabbiltajiet u attakki DoS, anti-spyware integrat, filtrazzjoni tal-URL, clustering, u ġestjoni ċentralizzata.
Għad-dimostrazzjoni, se nużaw stand iżolat, b'konfigurazzjoni identika għal dik reali, bl-eċċezzjoni tal-ismijiet tal-apparat, l-isem tad-dominju AD u l-indirizzi IP. Fir-realtà, kollox huwa aktar ikkumplikat - jista 'jkun hemm ħafna fergħat. F'dan il-każ, minflok firewall wieħed, cluster se jiġi installat fil-fruntieri ta 'siti ċentrali, u routing dinamiku jista' jkun meħtieġ ukoll.
Użat fuq l-istand PAN-OS 7.1.9. Bħala konfigurazzjoni tipika, ikkunsidra netwerk b'firewall Palo Alto Networks fit-tarf. Il-firewall jipprovdi aċċess remot SSL VPN għall-uffiċċju prinċipali. Id-dominju tal-Active Directory se jintuża bħala database tal-utent (Figura 1).
Figura 1 – Dijagramma blokk tan-netwerk
Passi tas-setup:
- Konfigurazzjoni minn qabel tal-apparat. L-issettjar tal-isem, l-indirizz IP tal-ġestjoni, ir-rotot statiċi, il-kontijiet tal-amministratur, il-profili tal-ġestjoni
- Installazzjoni ta' liċenzji, konfigurazzjoni u installazzjoni ta' aġġornamenti
- Konfigurazzjoni ta 'żoni ta' sigurtà, interfaces tan-netwerk, politiki tat-traffiku, traduzzjoni tal-indirizzi
- Konfigurazzjoni ta' Profil ta' Awtentikazzjoni LDAP u Karatteristika ta' Identifikazzjoni tal-Utent
- Twaqqif ta' VPN SSL
1. Issettjat minn qabel
L-għodda ewlenija għall-konfigurazzjoni tal-firewall ta 'Palo Alto Networks hija l-interface tal-web; il-ġestjoni permezz tas-CLI hija wkoll possibbli. B'mod awtomatiku, l-interface tal-ġestjoni hija ssettjata għall-indirizz IP 192.168.1.1/24, login: admin, password: admin.
Tista 'tbiddel l-indirizz jew billi tikkonnettja mal-interface tal-web mill-istess netwerk, jew billi tuża l-kmand issettja l-indirizz ip tas-sistema deviceconfig <> netmask <>. Hija mwettqa fil-mod ta 'konfigurazzjoni. Biex taqleb għall-mod ta 'konfigurazzjoni, uża l-kmand kkonfigurat. Il-bidliet kollha fuq il-firewall iseħħu biss wara li s-settings jiġu kkonfermati mill-kmand tikkommetti, kemm fil-modalità tal-linja tal-kmand kif ukoll fl-interface tal-web.
Biex tibdel is-settings fl-interface tal-web, uża t-taqsima Device -> Settings Ġenerali u Device -> Management Interface Settings. L-isem, il-banners, iż-żona tal-ħin u settings oħra jistgħu jiġu stabbiliti fit-taqsima ta 'Settings Ġenerali (Fig. 2).
Figura 2 – Parametri tal-interface tal-ġestjoni
Jekk tuża firewall virtwali f'ambjent ESXi, fis-sezzjoni ta' Settings Ġenerali trid tippermetti l-użu tal-indirizz MAC assenjat mill-hypervisor, jew tikkonfigura l-indirizzi MAC speċifikati fuq l-interfaces tal-firewall fuq l-hypervisor, jew tibdel is-settings ta' l-iswiċċijiet virtwali biex jippermettu l-MAC jibdlu l-indirizzi. Inkella, it-traffiku ma jgħaddix minnu.
L-interface tal-ġestjoni hija kkonfigurata separatament u mhix murija fil-lista ta 'interfaces tan-netwerk. Fil-kapitlu Settings tal-Interface tal-Ġestjoni jispeċifika l-portal default għall-interface tal-ġestjoni. Rotot statiċi oħra huma kkonfigurati fit-taqsima tar-routers virtwali; dan se jiġi diskuss aktar tard.
Biex tippermetti aċċess għall-apparat permezz ta 'interfaces oħra, trid toħloq profil ta' ġestjoni Profil ta' Ġestjoni fit-taqsima Netwerk -> Profili tan-Netwerk -> Interface Mgmt u tassenjaha lill-interface xierqa.
Sussegwentement, għandek bżonn tikkonfigura DNS u NTP fit-taqsima Apparat -> Servizzi biex tirċievi aġġornamenti u turi l-ħin b'mod korrett (Fig. 3). B'mod awtomatiku, it-traffiku kollu ġġenerat mill-firewall juża l-indirizz IP tal-interface tal-ġestjoni bħala l-indirizz IP tas-sors tiegħu. Tista' tassenja interface differenti għal kull servizz speċifiku fit-taqsima Konfigurazzjoni tar-Rotta tas-Servizz.
Figura 3 – DNS, NTP u parametri tas-servizz tar-rotot tas-sistema
2. Installazzjoni ta' liċenzji, twaqqif u installazzjoni ta' aġġornamenti
Għal tħaddim sħiħ tal-funzjonijiet kollha tal-firewall, trid tinstalla liċenzja. Tista' tuża liċenzja ta' prova billi titlobha mingħand l-imsieħba ta' Palo Alto Networks. Il-perjodu ta' validità tiegħu huwa ta' 30 jum. Il-liċenzja tiġi attivata jew permezz ta' fajl jew bl-użu ta' Auth-Code. Il-liċenzji huma kkonfigurati fit-taqsima Apparat -> Liċenzji (Fig. 4).
Wara l-installazzjoni tal-liċenzja, għandek bżonn tikkonfigura l-installazzjoni ta 'aġġornamenti fit-taqsima Apparat -> Aġġornamenti Dinamika.
Fit-taqsima Apparat -> Software tista' tniżżel u tinstalla verżjonijiet ġodda ta' PAN-OS.
Figura 4 – Panel tal-kontroll tal-liċenzja
3. Konfigurazzjoni ta 'żoni ta' sigurtà, interfaces tan-netwerk, politiki tat-traffiku, traduzzjoni tal-indirizz
Il-firewalls ta' Palo Alto Networks jużaw il-loġika taż-żona meta jikkonfiguraw ir-regoli tan-netwerk. L-interfaces tan-netwerk huma assenjati għal żona speċifika, u din iż-żona tintuża fir-regoli tat-traffiku. Dan l-approċċ jippermetti fil-futur, meta jinbidlu l-issettjar tal-interface, li ma jbiddlux ir-regoli tat-traffiku, iżda minflok jiġu assenjati mill-ġdid l-interfaces meħtieġa għaż-żoni xierqa. B'mod awtomatiku, it-traffiku f'żona huwa permess, it-traffiku bejn iż-żoni huwa pprojbit, regoli predefiniti huma responsabbli għal dan intrażona-default и interzone-default.
Figura 5 – Żoni ta’ sigurtà
F'dan l-eżempju, interface fuq in-netwerk intern huwa assenjat għaż-żona intern, u l-interface li tiffaċċja l-Internet hija assenjata għaż-żona esterna. Għal SSL VPN, inħoloq interface tal-mina u ġie assenjat għaż-żona VPN (Fig. 5).
L-interfaces tan-netwerk tal-firewall ta’ Palo Alto Networks jistgħu joperaw f’ħames modi differenti:
- Tektek – użat biex jiġbor it-traffiku għal skopijiet ta' monitoraġġ u analiżi
- HA – użat għall-operat tal-cluster
- Wajer Virtwali – f’dan il-mod, Palo Alto Networks jgħaqqad żewġ interfaces u jgħaddi t-traffiku bejniethom b’mod trasparenti mingħajr ma jbiddel l-indirizzi MAC u IP
- Saff2 – mod tal-iswiċċ
- Saff3 – modalità router
Figura 6 – L-issettjar tal-modalità operattiva tal-interface
F'dan l-eżempju, se tintuża l-modalità Layer3 (Fig. 6). Il-parametri tal-interface tan-netwerk jindikaw l-indirizz IP, il-mod operattiv u ż-żona tas-sigurtà korrispondenti. Minbarra l-mod operattiv tal-interface, trid tassenjaha lir-router virtwali tar-router virtwali, dan huwa analogu ta 'istanza VRF f'Netwerks ta' Palo Alto. Ir-routers virtwali huma iżolati minn xulxin u għandhom it-tabelli tar-routing u l-issettjar tal-protokoll tan-netwerk tagħhom stess.
Is-settings tar-router virtwali jispeċifikaw rotot statiċi u settings tal-protokoll tar-routing. F'dan l-eżempju, inħolqot biss rotta default għall-aċċess għal netwerks esterni (Fig. 7).
Figura 7 – Twaqqif ta’ router virtwali
L-istadju tal-konfigurazzjoni li jmiss huwa l-politiki tat-traffiku, it-taqsima Politiki -> Sigurtà. Eżempju ta' konfigurazzjoni jidher fil-Figura 8. Il-loġika tar-regoli hija l-istess bħal għall-firewalls kollha. Ir-regoli huma kkontrollati minn fuq għal isfel, sa l-ewwel partita. Deskrizzjoni qasira tar-regoli:
1. SSL VPN Aċċess għall-Web Portal. Jippermetti aċċess għall-portal tal-web biex jawtentika konnessjonijiet remoti
2. Traffiku VPN - li jippermetti t-traffiku bejn konnessjonijiet remoti u l-uffiċċju prinċipali
3. Internet bażiku - li jippermetti dns, ping, traceroute, applikazzjonijiet ntp. Il-firewall jippermetti applikazzjonijiet ibbażati fuq firem, dekodifikazzjoni, u euristiċi aktar milli numri tal-port u protokolli, u huwa għalhekk li t-taqsima tas-Servizz tgħid applikazzjoni-default. Port/protokoll default għal din l-applikazzjoni
4. Aċċess għall-Web - li jippermetti aċċess għall-Internet permezz ta 'protokolli HTTP u HTTPS mingħajr kontroll tal-applikazzjoni
5,6. Regoli default għal traffiku ieħor.
Figura 8 — Eżempju tat-twaqqif ta' regoli tan-netwerk
Biex tikkonfigura NAT, uża t-taqsima Policies -> NAT. Eżempju ta' konfigurazzjoni NAT jidher fil-Figura 9.
Figura 9 – Eżempju ta' konfigurazzjoni NAT
Għal kwalunkwe traffiku minn intern għal estern, tista 'tbiddel l-indirizz tas-sors għall-indirizz IP estern tal-firewall u tuża indirizz tal-port dinamiku (PAT).
4. Konfigurazzjoni tal-Profil ta 'Awtentikazzjoni LDAP u Funzjoni ta' Identifikazzjoni tal-Utent
Qabel ma tikkonnettja l-utenti permezz ta 'SSL-VPN, għandek bżonn tikkonfigura mekkaniżmu ta' awtentikazzjoni. F'dan l-eżempju, l-awtentikazzjoni se sseħħ lill-kontrollur tad-dominju ta 'Active Directory permezz tal-interface tal-web ta' Palo Alto Networks.
Figura 10 – Profil LDAP
Biex l-awtentikazzjoni taħdem, trid tikkonfigura Profil LDAP и Profil tal-Awtentikazzjoni... Fil-kapitolu Device -> Server Profiles -> LDAP (Fig. 10) għandek bżonn tispeċifika l-indirizz IP u l-port tal-kontrollur tad-dominju, it-tip LDAP u l-kont tal-utent inklużi fil-gruppi Operaturi tas-Server, Qarrejja tar-Reġistri tal-Avvenimenti, Utenti COM distribwiti. Imbagħad fit-taqsima Apparat -> Profil tal-Awtentikazzjoni oħloq profil ta 'awtentikazzjoni (Fig. 11), immarka dak li nħoloq qabel Profil LDAP u fit-tab Avvanzata nindikaw il-grupp ta 'utenti (Fig. 12) li huma permessi aċċess mill-bogħod. Huwa importanti li wieħed jinnota l-parametru fil-profil tiegħek Dominju tal-Utent, inkella l-awtorizzazzjoni bbażata fuq il-grupp ma taħdimx. Il-qasam għandu jindika l-isem tad-dominju NetBIOS.
Figura 11 – Profil tal-awtentikazzjoni
Figura 12 – Għażla tal-grupp AD
L-istadju li jmiss huwa s-setup Apparat -> Identifikazzjoni tal-Utent. Hawnhekk għandek bżonn tispeċifika l-indirizz IP tal-kontrollur tad-dominju, il-kredenzjali tal-konnessjoni, u wkoll tikkonfigura s-settings Ippermetti Log tas-Sigurtà, Attiva Sessjoni, Ippermetti Probing (Fig. 13). Fil-kapitlu Immappjar tal-Grupp (Fig. 14) trid tinnota l-parametri għall-identifikazzjoni ta 'oġġetti f'LDAP u l-lista ta' gruppi li se jintużaw għall-awtorizzazzjoni. Eżatt bħal fil-Profil ta 'Awtentikazzjoni, hawn għandek bżonn issettja l-parametru tad-Dominju tal-Utent.
Figura 13 – Parametri tal-Immappjar tal-Utent
Figura 14 – Parametri tal-Immappjar tal-Grupp
L-aħħar pass f'din il-fażi huwa li toħloq żona VPN u interface għal dik iż-żona. Ikollok bżonn li tippermetti l-għażla fuq l-interface Ippermetti l-Identifikazzjoni tal-Utent (Fig. 15).
Figura 15 – Twaqqif ta’ żona VPN
5. Twaqqif ta 'SSL VPN
Qabel ma jikkonnettja ma 'SSL VPN, l-utent remot għandu jmur fuq il-portal tal-web, jawtentika u tniżżel il-klijent Global Protect. Sussegwentement, dan il-klijent jitlob kredenzjali u jgħaqqad man-netwerk korporattiv. Il-portal tal-web jopera fil-modalità https u, għalhekk, għandek bżonn tinstalla ċertifikat għalih. Uża ċertifikat pubbliku jekk possibbli. Imbagħad l-utent ma jirċievix twissija dwar l-invalidità taċ-ċertifikat fuq is-sit. Jekk ma jkunx possibbli li tuża ċertifikat pubbliku, allura għandek bżonn toħroġ tiegħek, li se jintuża fuq il-paġna web għal https. Jista 'jkun iffirmat minnu nnifsu jew maħruġ permezz ta' awtorità taċ-ċertifikat lokali. Il-kompjuter remot għandu jkollu ċertifikat ta 'l-għeruq jew iffirmat minnu nnifsu fil-lista ta' awtoritajiet ta 'l-għeruq ta' fiduċja sabiex l-utent ma jirċievix żball meta jikkonnettja mal-portal tal-web. Dan l-eżempju se juża ċertifikat maħruġ permezz tas-Servizzi taċ-Ċertifikati ta' l-Active Directory.
Biex toħroġ ċertifikat, trid toħloq talba għal ċertifikat fit-taqsima Apparat -> Ġestjoni taċ-Ċertifikati -> Ċertifikati -> Iġġenera. Fit-talba aħna nindikaw l-isem taċ-ċertifikat u l-indirizz IP jew FQDN tal-portal tal-web (Fig. 16). Wara li tiġġenera t-talba, niżżel .csr fajl u kkopja l-kontenut tiegħu fil-qasam tat-talba taċ-ċertifikat fil-formola tal-web ta’ l-AD CS Web Enrollment. Skont kif tkun ikkonfigurata l-awtorità taċ-ċertifikat, it-talba għaċ-ċertifikat trid tiġi approvata u ċ-ċertifikat maħruġ irid jitniżżel fil-format Ċertifikat Kodifikat Base64. Barra minn hekk, trid tniżżel iċ-ċertifikat tal-għeruq tal-awtorità taċ-ċertifikazzjoni. Imbagħad għandek bżonn timporta ż-żewġ ċertifikati fil-firewall. Meta timporta ċertifikat għal portal tal-web, trid tagħżel it-talba fl-istatus pendenti u ikklikkja importazzjoni. L-isem taċ-ċertifikat għandu jaqbel mal-isem speċifikat aktar kmieni fit-talba. L-isem taċ-ċertifikat ta 'l-għeruq jista' jiġi speċifikat b'mod arbitrarju. Wara li timporta ċ-ċertifikat, trid toħloq Profil tas-Servizz SSL/TLS fit-taqsima Apparat -> Ġestjoni taċ-Ċertifikat. Fil-profil aħna nindikaw iċ-ċertifikat importat qabel.
Figura 16 – Talba għal ċertifikat
Il-pass li jmiss huwa t-twaqqif ta 'oġġetti Globali Ipproteġi Gateway и Portal Global Protect fit-taqsima Netwerk -> Ipproteġi Globali. Fl-issettjar Globali Ipproteġi Gateway indika l-indirizz IP estern tal-firewall, kif ukoll maħluq qabel Profil SSL, Profil tal-Awtentikazzjoni, interface tal-mina u settings tal-IP tal-klijent. Għandek bżonn tispeċifika ġabra ta 'indirizzi IP li minnhom l-indirizz se jiġi assenjat lill-klijent, u Rotta ta' Aċċess - dawn huma s-subnets li għalihom il-klijent se jkollu rotta. Jekk il-kompitu huwa li tkebbeb it-traffiku kollu tal-utent permezz ta 'firewall, allura għandek bżonn tispeċifika s-subnet 0.0.0.0/0 (Fig. 17).
Figura 17 – Konfigurazzjoni ta’ ġabra ta’ indirizzi IP u rotot
Imbagħad għandek bżonn tikkonfigura Portal Global Protect. Speċifika l-indirizz IP tal-firewall, Profil SSL и Profil tal-Awtentikazzjoni u lista ta 'indirizzi IP esterni ta' firewalls li magħhom il-klijent se jgħaqqad. Jekk hemm diversi firewalls, tista 'tissettja prijorità għal kull wieħed, skont liema l-utenti jagħżlu firewall biex jgħaqqdu miegħu.
Fit-taqsima Apparat -> Klijent GlobalProtect għandek bżonn tniżżel id-distribuzzjoni tal-klijent VPN mis-servers ta 'Palo Alto Networks u tattivaha. Biex tikkonnettja, l-utent irid imur fil-paġna web tal-portal, fejn se jintalab tniżżel Klijent GlobalProtect. Ladarba titniżżel u tkun installata, tista' ddaħħal il-kredenzjali tiegħek u tikkonnettja man-netwerk korporattiv tiegħek permezz ta' SSL VPN.
Konklużjoni
Dan jikkompleta l-parti tan-Netwerks Palo Alto tas-setup. Nittamaw li l-informazzjoni kienet utli u l-qarrej kiseb fehim tat-teknoloġiji użati f'Palo Alto Networks. Jekk għandek mistoqsijiet dwar setup u suġġerimenti dwar suġġetti għal artikli futuri, iktebhom fil-kummenti, aħna nkunu kuntenti li nwieġbu.
Sors: www.habr.com