Palo Alto Networks စနစ်ထည့်သွင်းခြင်း အင်္ဂါရပ်များ- SSL VPN

Palo Alto Networks firewalls ၏ အားသာချက်များအားလုံးရှိသော်လည်း၊ RuNet တွင် ဤကိရိယာများကို ထည့်သွင်းခြင်းအတွက် အကြောင်းအရာများစွာအပြင် ၎င်းတို့၏ အကောင်အထည်ဖော်မှုအတွေ့အကြုံကို ဖော်ပြသည့် စာသားများပါရှိသည်။ ကျွန်ုပ်တို့သည် ဤရောင်းချသူ၏စက်ကိရိယာဖြင့် ကျွန်ုပ်တို့၏လုပ်ငန်းဆောင်ရွက်စဉ်အတွင်း ကျွန်ုပ်တို့စုဆောင်းရရှိထားသောပစ္စည်းများကို အကျဉ်းချုပ်ပြီး အမျိုးမျိုးသောပရောဂျက်များကို အကောင်အထည်ဖော်စဉ်တွင် ကျွန်ုပ်တို့ကြုံတွေ့ခဲ့ရသည့်အင်္ဂါရပ်များအကြောင်း ဆွေးနွေးရန် ဆုံးဖြတ်ခဲ့သည်။

Palo Alto Networks အကြောင်း မိတ်ဆက်ပေးဖို့အတွက် ဒီဆောင်းပါးမှာ အသုံးအများဆုံး firewall အလုပ်တစ်ခုဖြစ်တဲ့ remote access အတွက် SSL VPN ကို ဖြေရှင်းဖို့ လိုအပ်တဲ့ setting တွေကို ဆွေးနွေးသွားမှာပါ။ အထွေထွေ firewall configuration၊ user authentication၊ application authentication နဲ့ security policies တွေအတွက် auxiliary features တွေကိုလည်း ဆွေးနွေးသွားပါမယ်။ စာဖတ်သူတွေ စိတ်ဝင်စားရင် Site-to-Site analysis အကြောင်း နောက်ထပ် materials တွေကို ထုတ်ဝေပေးပါမယ်။ VPN ကို၊ Panorama ဖြင့် dynamic routing နှင့် centralized management။

Palo Alto Networks firewall များသည် App-ID၊ User-ID၊ Content-ID အပါအဝင် ဆန်းသစ်သောနည်းပညာများစွာကို အသုံးပြုပါသည်။ ဤလုပ်ဆောင်ချက်ကိုအသုံးပြုခြင်းသည် သင့်အား လုံခြုံရေးအဆင့်မြင့်မားစေကြောင်း သေချာစေသည်။ ဥပမာအားဖြင့်၊ App-ID ဖြင့် SSL လိုဏ်ခေါင်းအတွင်း အပါအဝင် အသုံးပြုသည့် ဆိပ်ကမ်းနှင့် ပရိုတိုကော မည်သို့ပင်ရှိစေကာမူ လက်မှတ်များ၊ ကုဒ်သွင်းခြင်းနှင့် အသွင်အပြင်များပေါ်မူတည်၍ အပလီကေးရှင်းအသွားအလာကို ခွဲခြားသတ်မှတ်နိုင်သည်။ User-ID သည် LDAP ပေါင်းစပ်မှုမှတစ်ဆင့် ကွန်ရက်အသုံးပြုသူများကို ခွဲခြားသတ်မှတ်နိုင်စေပါသည်။ Content-ID သည် အသွားအလာကို စကင်န်ဖတ်ကာ ပို့လွှတ်သော ဖိုင်များနှင့် ၎င်းတို့၏ အကြောင်းအရာများကို ခွဲခြားသတ်မှတ်နိုင်စေပါသည်။ အခြားသော Firewall လုပ်ဆောင်ချက်များတွင် ကျူးကျော်ဝင်ရောက်ခြင်းအား အကာအကွယ်ပေးခြင်း၊ အားနည်းချက်များနှင့် DoS တိုက်ခိုက်မှုများကို အကာအကွယ်ပေးခြင်း၊ တပ်ဆင်ထားသည့် Spyware ဆန့်ကျင်မှု၊ URL စစ်ထုတ်ခြင်း၊ အစုအဝေးပြုလုပ်ခြင်းနှင့် ဗဟိုချုပ်ကိုင်မှု စီမံခန့်ခွဲခြင်းတို့ ပါဝင်သည်။

သရုပ်ပြမှုအတွက်၊ စက်ပစ္စည်းအမည်များ၊ AD ဒိုမိန်းအမည်နှင့် IP လိပ်စာများမှလွဲ၍ ကျန်တစ်ဦးနှင့်တစ်ဦး ထပ်တူဖွဲ့စည်းမှုပုံစံတူ သီးခြားရပ်တည်ချက်ကို အသုံးပြုပါမည်။ လက်တွေ့တွင်၊ အရာအားလုံးသည် ပို၍ရှုပ်ထွေးသည် - အကိုင်းအခက်များစွာရှိနိုင်သည်။ ဤကိစ္စတွင်၊ တစ်ခုတည်းသော firewall အစား၊ ဗဟိုဆိုက်များ၏ နယ်နိမိတ်များတွင် အစုအဝေးတစ်ခုကို တပ်ဆင်မည်ဖြစ်ပြီး၊ ရွေ့လျားသွားလာခြင်းကိုလည်း လိုအပ်နိုင်ပါသည်။

မတ်တပ်ရပ်ပေါ်တွင် အသုံးပြုသည်။ PAN-OS 7.1.9. ပုံမှန်ဖွဲ့စည်းပုံတစ်ခုအနေဖြင့်၊ အစွန်းရှိ Palo Alto Networks firewall ပါသည့် ကွန်ရက်တစ်ခုကို ထည့်သွင်းစဉ်းစားပါ။ Firewall သည် ရုံးချုပ်သို့ အဝေးထိန်း SSL VPN အသုံးပြုခွင့်ကို ပေးသည်။ Active Directory ဒိုမိန်းကို အသုံးပြုသူဒေတာဘေ့စ် (ပုံ 1) အဖြစ် အသုံးပြုပါမည်။

ပုံ 1 – ကွန်ရက်ပိတ်ဆို့ခြင်း ဇယား

စနစ်ထည့်သွင်းရန် အဆင့်များ-

1. စက်ပစ္စည်းကို ကြိုတင်ပြင်ဆင်ခြင်း။ အမည်တစ်ခုသတ်မှတ်ခြင်း၊ IP လိပ်စာများ စီမံခန့်ခွဲမှု၊ static routes များ၊ administrator account များ၊ စီမံခန့်ခွဲမှု profile များ
2. လိုင်စင်များကို ထည့်သွင်းခြင်း၊ ပြင်ဆင်ခြင်းနှင့် အပ်ဒိတ်များကို ထည့်သွင်းခြင်း။
3. လုံခြုံရေးဇုန်များ၊ ကွန်ရက်အင်တာဖေ့စ်များ၊ ယာဉ်ကြောအသွားအလာမူဝါဒများ၊ လိပ်စာဘာသာပြန်ဆိုခြင်းကို ပြင်ဆင်ခြင်း။
4. LDAP စစ်မှန်ကြောင်းအထောက်အထားပြပရိုဖိုင်နှင့် အသုံးပြုသူခွဲခြားသတ်မှတ်ခြင်းအင်္ဂါရပ်ကို ပြင်ဆင်သတ်မှတ်ခြင်း။
5. SSL VPN ကို စနစ်ထည့်သွင်းခြင်း။

1. ကြိုတင်သတ်မှတ်ပါ။

Palo Alto Networks firewall ကို configure ပြုလုပ်ရန် အဓိကကိရိယာမှာ ဝဘ်အင်တာဖေ့စ်ဖြစ်ပြီး CLI မှတစ်ဆင့် စီမံခန့်ခွဲမှုလည်း ဖြစ်နိုင်သည်။ မူရင်းအားဖြင့်၊ စီမံခန့်ခွဲမှု အင်တာဖေ့စ်ကို IP လိပ်စာ 192.168.1.1/24၊ အကောင့်ဝင်ရန်- admin၊ စကားဝှက်- admin ဟု သတ်မှတ်ထားသည်။

တူညီသောကွန်ရက်မှ ဝဘ်အင်တာဖေ့စ်ကို ချိတ်ဆက်ခြင်း သို့မဟုတ် အမိန့်ကို အသုံးပြုခြင်းဖြင့် လိပ်စာကို သင်ပြောင်းလဲနိုင်သည်။ deviceconfig စနစ် ip-address <> netmask <> ကို သတ်မှတ်ပါ။. ၎င်းကို ဖွဲ့စည်းမှုမုဒ်တွင် လုပ်ဆောင်သည်။ ဖွဲ့စည်းမှုမုဒ်သို့ ပြောင်းရန်၊ အမိန့်ကို အသုံးပြုပါ။ configuration. command ဖြင့် ဆက်တင်များကို အတည်ပြုပြီးမှသာ firewall ပေါ်ရှိ ပြောင်းလဲမှုများအားလုံး ဖြစ်ပေါ်ပါသည်။ ကျူးလွန်အမိန့်ပေးလိုင်းမုဒ်တွင်ရော ဝဘ်အင်တာဖေ့စ်တွင်ရော။

ဝဘ်အင်တာဖေ့စ်ရှိ ဆက်တင်များကို ပြောင်းလဲရန် ကဏ္ဍကို အသုံးပြုပါ။ စက်ပစ္စည်း -> အထွေထွေ ဆက်တင်များနှင့် စက်ပစ္စည်း -> စီမံခန့်ခွဲမှု အင်တာဖေ့စ် ဆက်တင်များ။ အမည်၊ နဖူးစည်းများ၊ အချိန်ဇုန်နှင့် အခြားဆက်တင်များကို အထွေထွေဆက်တင်များကဏ္ဍ (ပုံ. 2) တွင် သတ်မှတ်နိုင်ပါသည်။

ပုံ 2 – စီမံခန့်ခွဲမှု အင်တာဖေ့စ် ဘောင်များ

အကယ်၍ သင်သည် ESXi ပတ်ဝန်းကျင်တွင် virtual firewall ကိုအသုံးပြုပါက၊ အထွေထွေဆက်တင်များကဏ္ဍတွင် hypervisor မှသတ်မှတ်ပေးထားသော MAC လိပ်စာအသုံးပြုမှုကိုဖွင့်ရန် လိုအပ်သည်၊ သို့မဟုတ် hypervisor ရှိ firewall interfaces တွင်ဖော်ပြထားသော MAC လိပ်စာများကို configure လုပ်ရန်၊ သို့မဟုတ် ဆက်တင်များကိုပြောင်းလဲပါ။ MAC လိပ်စာများကို ပြောင်းလဲခွင့်ပြုရန် virtual switches များ။ မဟုတ်ရင် ယာဉ်ကြောက ဖြတ်သန်းမှာ မဟုတ်ဘူး။

စီမံခန့်ခွဲမှုအင်တာဖေ့စ်ကို သီးခြားစီစီစဉ်ထားပြီး ကွန်ရက်အင်တာဖေ့စ်များစာရင်းတွင် မပြပါ။ အခန်းထဲမှာ စီမံခန့်ခွဲမှု အင်တာဖေ့စ် ဆက်တင်များ စီမံခန့်ခွဲမှု အင်တာဖေ့စ်အတွက် ပုံသေတံခါးပေါက်ကို သတ်မှတ်သည်။ အခြားသော static routes များကို virtual routers ကဏ္ဍတွင် configure လုပ်ထားပြီး၊ ၎င်းကို နောက်ပိုင်းတွင် ဆွေးနွေးပါမည်။

အခြားအင်တာဖေ့စ်များမှတစ်ဆင့် စက်ပစ္စည်းသို့ ဝင်ရောက်ခွင့်ပြုရန်၊ စီမံခန့်ခွဲမှုပရိုဖိုင်ကို ဖန်တီးရပါမည်။ စီမံခန့်ခွဲမှု ပရိုဖိုင် အပိုင်း Network -> Network Profiles -> Interface Mgmt ၎င်းကို သင့်လျော်သော အင်တာဖေ့စ်သို့ သတ်မှတ်ပေးပါ။

ထို့နောက်၊ သင်သည် ကဏ္ဍတွင် DNS နှင့် NTP ကို ​​configure လုပ်ရန် လိုအပ်သည်။ စက်ပစ္စည်း -> ဝန်ဆောင်မှုများ အပ်ဒိတ်များလက်ခံရရှိရန်နှင့် အချိန်မှန်မှန်ကန်ကန်ပြသရန် (ပုံ 3)။ ပုံမှန်အားဖြင့်၊ firewall မှထုတ်ပေးသောအသွားအလာအားလုံးသည် စီမံခန့်ခွဲမှုအင်တာဖေ့စ် IP လိပ်စာကို ၎င်း၏အရင်းအမြစ် IP လိပ်စာအဖြစ် အသုံးပြုသည်။ ကဏ္ဍရှိ သီးခြားဝန်ဆောင်မှုတစ်ခုစီအတွက် မတူညီသောအင်တာဖေ့စ်တစ်ခုကို သင်သတ်မှတ်နိုင်သည်။ ဝန်ဆောင်မှုလမ်းကြောင်း ဖွဲ့စည်းမှု.

ပုံ 3 – DNS၊ NTP နှင့် စနစ်လမ်းကြောင်းများ ဝန်ဆောင်မှု ဘောင်များ

2. လိုင်စင်များကို ထည့်သွင်းခြင်း၊ အပ်ဒိတ်များကို စနစ်ထည့်သွင်းခြင်းနှင့် တပ်ဆင်ခြင်း။

Firewall လုပ်ဆောင်ချက်အားလုံးကို အပြည့်အဝလည်ပတ်ရန်အတွက် သင်သည် လိုင်စင်တစ်ခုကို ထည့်သွင်းရပါမည်။ Palo Alto Networks မိတ်ဖက်များထံမှ တောင်းဆိုခြင်းဖြင့် အစမ်းလိုင်စင်ကို သင်အသုံးပြုနိုင်ပါသည်။ ၎င်း၏တရားဝင်ကာလသည် 30 ရက်ဖြစ်သည်။ လိုင်စင်ကို ဖိုင်တစ်ခုမှတဆင့်ဖြစ်စေ သို့မဟုတ် Auth-Code ကို အသုံးပြု၍ အသက်သွင်းထားသည်။ လိုင်စင်များကို ကဏ္ဍတွင် ပြင်ဆင်သတ်မှတ်ထားသည်။ စက်ပစ္စည်း -> လိုင်စင်များ (ပုံ။ 4) ။
လိုင်စင်ကို ထည့်သွင်းပြီးနောက်၊ ကဏ္ဍတွင် အပ်ဒိတ်များ တပ်ဆင်ခြင်းကို ချိန်ညှိရန် လိုအပ်သည်။ စက်ပစ္စည်း -> ဒိုင်းနမစ် အပ်ဒိတ်များ.
အပိုင်း ကိရိယာ -> ဆော့ဖ်ဝဲ PAN-OS ဗားရှင်းအသစ်များကို ဒေါင်းလုဒ်လုပ်ပြီး ထည့်သွင်းနိုင်သည်။

ပုံ 4 – လိုင်စင်ထိန်းချုပ်မှုဘောင်

3. လုံခြုံရေးဇုန်များ၊ ကွန်ရက်အင်တာဖေ့စ်များ၊ ယာဉ်ကြောအသွားအလာမူဝါဒများ၊ လိပ်စာဘာသာပြန်ဆိုခြင်းကို ပြင်ဆင်ခြင်း။

Palo Alto Networks firewalls များသည် ကွန်ရက်စည်းမျဉ်းများကို ပြင်ဆင်သတ်မှတ်ရာတွင် zone logic ကို အသုံးပြုသည်။ ကွန်ရက်အင်တာဖေ့စ်များကို သီးခြားဇုန်တစ်ခုအဖြစ် သတ်မှတ်ပေးထားပြီး ဤဇုန်ကို ယာဉ်စည်းကမ်းလမ်းစည်းကမ်းများတွင် အသုံးပြုပါသည်။ ဤချဉ်းကပ်မှုသည် အနာဂတ်တွင်၊ အင်တာဖေ့စ်ဆက်တင်များကို ပြောင်းလဲသည့်အခါ ယာဉ်စည်းကမ်းများကို ပြောင်းလဲရန်မဟုတ်ဘဲ လိုအပ်သောအင်တာဖေ့စ်များကို သင့်လျော်သောဇုန်များသို့ ပြန်လည်သတ်မှတ်ပေးမည်ဖြစ်သည်။ ပုံမှန်အားဖြင့်၊ ဇုန်တစ်ခုအတွင်း ယာဉ်ကြောပိတ်ဆို့မှုကို ခွင့်ပြုသည်၊ ဇုန်များအကြား သွားလာမှုကို တားမြစ်သည်၊ ဤအတွက် ကြိုတင်သတ်မှတ်ထားသော စည်းမျဉ်းများသည် တာဝန်ရှိပါသည်။ intrazone-မူလ и interzone-မူရင်း.

ပုံ 5 – ဘေးကင်းရေးဇုန်များ

ဤဥပမာတွင်၊ အတွင်းကွန်ရက်ပေါ်ရှိ အင်တာဖေ့စ်ကို ဇုန်အဖြစ် သတ်မှတ်သည်။ ပြည်တွင်းရေးနှင့် အင်တာနက်ကို မျက်နှာမူထားသည့် မျက်နှာပြင်ကို ဇုန်အဖြစ် သတ်မှတ်ထားသည်။ ပြင်ပ. SSL VPN အတွက်၊ ဥမင်အင်တာဖေ့စ်ကို ဖန်တီးပြီး ဇုန်သို့ သတ်မှတ်ပေးထားသည်။ VPN (ပုံ။ 5) ။

Palo Alto Networks firewall network interface များသည် မတူညီသောမုဒ်ငါးခုဖြင့် လုပ်ဆောင်နိုင်သည်-

• ကိုထိပုတ်ပါ - စောင့်ကြည့်ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်း ရည်ရွယ်ချက်များအတွက် အသွားအလာ စုဆောင်းရန် အသုံးပြုသည်။
• HA - အစုအဝေးလည်ပတ်မှုအတွက်အသုံးပြုသည်။
• Virtual Wire - ဤမုဒ်တွင်၊ Palo Alto Networks သည် အင်တာဖေ့စ်နှစ်ခုကို ပေါင်းစပ်ပြီး MAC နှင့် IP လိပ်စာများကို မပြောင်းလဲဘဲ ၎င်းတို့ကြားရှိ အသွားအလာများကို ပွင့်လင်းမြင်သာစွာဖြတ်သန်းပါသည်။
• အလွှာ ၂ - မုဒ်ပြောင်းပါ။
• အလွှာ ၂ - router မုဒ်

ပုံ 6 – အင်တာဖေ့စ်လည်ပတ်မှုမုဒ်ကို သတ်မှတ်ခြင်း။

ဤဥပမာတွင်၊ Layer3 မုဒ်ကို အသုံးပြုမည် (ပုံ။ 6)။ ကွန်ရက်ကြားခံဘောင်များသည် IP လိပ်စာ၊ လည်ပတ်မှုမုဒ်နှင့် သက်ဆိုင်ရာ လုံခြုံရေးဇုန်ကို ညွှန်ပြသည်။ အင်တာဖေ့စ်၏လည်ပတ်မှုမုဒ်အပြင်၊ ၎င်းသည် Palo Alto Networks ရှိ VRF စံပြတစ်ခု၏ analogue တစ်ခုဖြစ်သည့် Virtual Router ကို Virtual Router သို့ သင်သတ်မှတ်ရမည်ဖြစ်သည်။ Virtual Router များသည် တစ်ခုနှင့်တစ်ခု သီးခြားခွဲထားပြီး ၎င်းတို့၏ ကိုယ်ပိုင်လမ်းကြောင်းတင်ဇယားများနှင့် ကွန်ရက်ပရိုတိုကော ဆက်တင်များရှိသည်။

virtual router ဆက်တင်များသည် static routes များနှင့် routing protocol ဆက်တင်များကို သတ်မှတ်ပေးပါသည်။ ဤဥပမာတွင်၊ ပြင်ပကွန်ရက်များဝင်ရောက်ရန်အတွက် ပုံသေလမ်းကြောင်းတစ်ခုသာ ဖန်တီးထားသည် (ပုံ။ 7)။

ပုံ 7 – virtual router တစ်ခုကို စနစ်ထည့်သွင်းခြင်း။

နောက်ဖွဲ့စည်းပုံအဆင့်မှာ ယာဉ်ကြောပိတ်ဆို့မှုမူဝါဒများ၊ အပိုင်းဖြစ်သည်။ မူဝါဒများ -> လုံခြုံရေး. ပုံ 8 တွင် configuration ၏နမူနာကိုပြထားသည်။ စည်းမျဉ်းများ၏ logic သည် firewalls အားလုံးနှင့်အတူတူဖြစ်သည်။ စည်းမျဉ်းများကို အပေါ်မှအောက်၊ ပထမပွဲအထိ စစ်ဆေးသည်။ စည်းကမ်းချက်အကျဉ်းဖော်ပြချက်-

1. SSL VPN ဝဘ်ပေါ်တယ်သို့ ဝင်ရောက်ခွင့်။ အဝေးမှချိတ်ဆက်မှုများကို စစ်မှန်ကြောင်းအထောက်အထားပြရန် ဝဘ်ပေါ်တယ်သို့ ဝင်ရောက်ခွင့်ပြုသည်။
2. VPN အသွားအလာ – အဝေးထိန်းချိတ်ဆက်မှုများနှင့် ရုံးချုပ်အကြား လမ်းကြောင်းကို ခွင့်ပြုပေးသည်။
3. အခြေခံအင်တာနက် – dns၊ ping၊ traceroute၊ ntp အပလီကေးရှင်းများကို ခွင့်ပြုသည်။ firewall သည် port နံပါတ်များနှင့် protocols များထက် လက်မှတ်များ၊ စကားဝှက်များနှင့် heuristics များကို အခြေခံ၍ အပလီကေးရှင်းများကို ခွင့်ပြုထားသောကြောင့် ဝန်ဆောင်မှုကဏ္ဍတွင် application-default ဖြစ်သည်ဟု ဆိုထားသည်။ ဤအပလီကေးရှင်းအတွက် မူရင်းဆိပ်ကမ်း/ပရိုတိုကော
4. Web Access – အပလီကေးရှင်းထိန်းချုပ်မှုမရှိဘဲ HTTP နှင့် HTTPS ပရိုတိုကောများမှတစ်ဆင့် အင်တာနက်ဝင်ရောက်ခွင့်ကို ခွင့်ပြုခြင်း။
၅.၆။ အခြားအသွားအလာများအတွက် မူရင်းစည်းမျဉ်းများ။

ပုံ 8 — ကွန်ရက်စည်းမျဉ်းများသတ်မှတ်ခြင်းနမူနာ

NAT ကို ပြင်ဆင်သတ်မှတ်ရန် ကဏ္ဍကို အသုံးပြုပါ။ မူဝါဒများ -> NAT. NAT configuration ၏ ဥပမာကို ပုံ 9 တွင် ပြထားသည်။

ပုံ 9 – NAT ဖွဲ့စည်းမှုပုံစံ နမူနာ

အတွင်းပိုင်းမှ ပြင်ပသို့ သွားလာမှုတိုင်းအတွက်၊ သင်သည် အရင်းအမြစ်လိပ်စာကို firewall ၏ ပြင်ပ IP လိပ်စာသို့ ပြောင်းလဲနိုင်ပြီး dynamic port address (PAT) ကို အသုံးပြုနိုင်သည်။

4. LDAP စစ်မှန်ကြောင်းအထောက်အထားပြပရိုဖိုင်နှင့် အသုံးပြုသူခွဲခြားသတ်မှတ်ခြင်းလုပ်ဆောင်ချက်ကို ပြင်ဆင်သတ်မှတ်ခြင်း။
SSL-VPN မှတစ်ဆင့် အသုံးပြုသူများကို ချိတ်ဆက်ခြင်းမပြုမီ၊ သင်သည် အထောက်အထားစိစစ်ခြင်း ယန္တရားတစ်ခုကို သတ်မှတ်ရန် လိုအပ်သည်။ ဤဥပမာတွင်၊ Palo Alto Networks ဝဘ်အင်တာဖေ့စ်မှတဆင့် Active Directory domain controller တွင် စစ်မှန်ကြောင်းအထောက်အထားပြလိမ့်မည်။

ပုံ 10 – LDAP ပရိုဖိုင်

စစ်မှန်ကြောင်းအထောက်အထားပြရန်၊ သင် configure လုပ်ရန်လိုအပ်သည်။ LDAP ပရိုဖိုင် и အထောက်အထားပြခြင်း ပရိုဖိုင်... အပိုင်း၌ စက်ပစ္စည်း -> ဆာဗာပရိုဖိုင်များ -> LDAP (ပုံ။ 10) သင်သည် ဒိုမိန်းထိန်းချုပ်ကိရိယာ၏ IP လိပ်စာနှင့် ဆိပ်ကမ်း၊ LDAP အမျိုးအစားနှင့် အုပ်စုများတွင် ပါဝင်သော အသုံးပြုသူအကောင့်ကို သတ်မှတ်ရန် လိုအပ်သည်။ ဆာဗာအော်ပရေတာများ, ပွဲမှတ်တမ်းစာဖတ်သူများ, ဖြန့်ဝေထားသော COM အသုံးပြုသူများ. ထို့နောက်အပိုင်း၌ စက်ပစ္စည်း -> စစ်မှန်ကြောင်းအထောက်အထား ပရိုဖိုင် အထောက်အထားစိစစ်ခြင်း ပရိုဖိုင်တစ်ခုဖန်တီးပါ (ပုံ။ 11)၊ ယခင်ဖန်တီးထားသည့်တစ်ခုကို အမှတ်အသားပြုပါ။ LDAP ပရိုဖိုင် နှင့် Advanced တက်ဘ်တွင် အဝေးမှဝင်ရောက်ခွင့်ကို ခွင့်ပြုထားသော သုံးစွဲသူအုပ်စု (ပုံ 12) ကို ကျွန်ုပ်တို့ညွှန်ပြပါသည်။ သင့်ပရိုဖိုင်ရှိ parameter ကိုမှတ်သားရန်အရေးကြီးပါသည်။ အသုံးပြုသူ Domainမဟုတ်ပါက အဖွဲ့အခြေပြုခွင့်ပြုချက်သည် အလုပ်မဖြစ်ပါ။ အကွက်သည် NetBIOS ဒိုမိန်းအမည်ကို ညွှန်ပြရပါမည်။

ပုံ 11 – အထောက်အထားပြခြင်း ပရိုဖိုင်

ပုံ 12 – AD အုပ်စုရွေးချယ်မှု

နောက်တစ်ဆင့်ကတော့ setup ပါ။ စက်ပစ္စည်း -> အသုံးပြုသူ ခွဲခြားသတ်မှတ်ခြင်း။. ဤနေရာတွင် သင်သည် domain controller ၏ IP လိပ်စာ၊ ချိတ်ဆက်မှုဆိုင်ရာ အထောက်အထားများနှင့် ဆက်တင်များကို configure လုပ်ရန် လိုအပ်ပါသည်။ လုံခြုံရေးမှတ်တမ်းကို ဖွင့်ပါ။, Session ကိုဖွင့်ပါ။, Probing ကိုဖွင့်ပါ။ (ပုံ။ 13)။ အခန်းထဲမှာ အဖွဲ့လိုက်မြေပုံဆွဲခြင်း။ (ပုံ။ 14) LDAP ရှိ အရာဝတ္တုများကို ခွဲခြားသတ်မှတ်ခြင်းအတွက် ကန့်သတ်ချက်များနှင့် ခွင့်ပြုချက်အတွက် အသုံးပြုမည့် အုပ်စုများစာရင်းကို သင်မှတ်သားထားရန် လိုအပ်ပါသည်။ Authentication Profile တွင်ကဲ့သို့ပင်၊ ဤနေရာတွင် သင်သည် User Domain ပါရာမီတာကို သတ်မှတ်ရန် လိုအပ်သည်။

ပုံ 13 – အသုံးပြုသူမြေပုံဆွဲခြင်း ဘောင်များ

ပုံ 14 – Group Mapping ဘောင်များ

ဤအဆင့်၏နောက်ဆုံးအဆင့်မှာ VPN ဇုန်တစ်ခုနှင့် ထိုဇုန်အတွက် အင်တာဖေ့စ်တစ်ခုကို ဖန်တီးရန်ဖြစ်သည်။ အင်တာဖေ့စ်ပေါ်ရှိ option ကိုသင်ဖွင့်ရန်လိုအပ်သည်။ အသုံးပြုသူ အထောက်အထားကို ဖွင့်ပါ။ (ပုံ။ 15) ။

ပုံ 15 – VPN ဇုန်တစ်ခု သတ်မှတ်ခြင်း။

5. SSL VPN ကို စနစ်ထည့်သွင်းခြင်း။

SSL VPN သို့မချိတ်ဆက်မီ၊ အဝေးထိန်းအသုံးပြုသူသည် ဝဘ်ပေါ်တယ်သို့သွား၍ အထောက်အထားစိစစ်ပြီး Global Protect client ကို ဒေါင်းလုဒ်လုပ်ရပါမည်။ ထို့နောက်၊ ဤဖောက်သည်သည် အထောက်အထားများတောင်းဆိုပြီး ကော်ပိုရိတ်ကွန်ရက်သို့ ချိတ်ဆက်မည်ဖြစ်သည်။ ဝဘ်ပေါ်တယ်သည် https မုဒ်တွင် လုပ်ဆောင်နေပြီး ၎င်းအတွက် လက်မှတ်တစ်ခု ထည့်သွင်းရန် လိုအပ်သည်။ ဖြစ်နိုင်လျှင် အများသူငှာ လက်မှတ်ကို အသုံးပြုပါ။ ထို့နောက် အသုံးပြုသူသည် ဝဘ်ဆိုက်ရှိ လက်မှတ်၏တရားမ၀င်မှုနှင့်ပတ်သက်၍ သတိပေးချက်ကို လက်ခံရရှိမည်မဟုတ်ပါ။ အများသူငှာ လက်မှတ်ကို အသုံးမပြုနိုင်ပါက https အတွက် ဝဘ်စာမျက်နှာတွင် အသုံးပြုမည့် သင့်ကိုယ်ပိုင် ထုတ်ပေးရန် လိုအပ်ပါသည်။ ၎င်းကို ကိုယ်တိုင်လက်မှတ်ထိုးခြင်း သို့မဟုတ် ဒေသဆိုင်ရာ အသိအမှတ်ပြုလက်မှတ် အာဏာပိုင်မှတစ်ဆင့် ထုတ်ပေးနိုင်သည်။ အဝေးထိန်းကွန်ပြူတာတွင် အသုံးပြုသူသည် ဝဘ်ပေါ်တယ်သို့ ချိတ်ဆက်ရာတွင် အမှားအယွင်းတစ်ခုမရရှိစေရန် ယုံကြည်စိတ်ချရသော အမြစ်အာဏာပိုင်စာရင်းတွင် အမြစ် သို့မဟုတ် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်တစ်ခု ရှိရပါမည်။ ဤဥပမာသည် Active Directory Certificate Services မှတဆင့်ထုတ်ပေးသော လက်မှတ်ကို အသုံးပြုပါမည်။

လက်မှတ်ထုတ်ပေးရန်၊ ကဏ္ဍတွင် လက်မှတ်တောင်းဆိုမှုကို ဖန်တီးရန် လိုအပ်သည်။ စက်ပစ္စည်း -> လက်မှတ်စီမံခန့်ခွဲမှု -> လက်မှတ်များ -> ထုတ်ပေးသည်။. တောင်းဆိုချက်တွင် ကျွန်ုပ်တို့သည် လက်မှတ်၏အမည်နှင့် ဝဘ်ပေါ်တယ်၏ IP လိပ်စာ သို့မဟုတ် FQDN (ပုံ 16) ကို ညွှန်ပြပါသည်။ တောင်းဆိုချက်ကို ဖန်တီးပြီးနောက် ဒေါင်းလုဒ်လုပ်ပါ။ .csr ဖိုင်နှင့် ၎င်း၏အကြောင်းအရာများကို AD CS Web Enrollment ဝဘ်ဖောင်ရှိ လက်မှတ်တောင်းဆိုမှုအကွက်သို့ ကူးယူပါ။ လက်မှတ်အာဏာကို ဘယ်လိုပုံစံနဲ့ ပြင်ဆင်သတ်မှတ်ထားသလဲပေါ်မူတည်ပြီး လက်မှတ်တောင်းဆိုမှုကို အတည်ပြုရမည်ဖြစ်ပြီး ထုတ်ပေးထားသော လက်မှတ်ကို ဖော်မတ်ဖြင့် ဒေါင်းလုဒ်လုပ်ရပါမည်။ Base64 ကုဒ်သွင်းထားသော လက်မှတ်. ထို့အပြင်၊ သင်သည် အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်၏ root လက်မှတ်ကို ဒေါင်းလုဒ်လုပ်ရန် လိုအပ်သည်။ ထို့နောက် လက်မှတ်နှစ်ခုလုံးကို Firewall သို့ တင်သွင်းရန် လိုအပ်သည်။ ဝဘ်ပေါ်တယ်အတွက် လက်မှတ်ကို တင်သွင်းသည့်အခါ၊ ဆိုင်းငံ့ထားသည့် အခြေအနေတွင် တောင်းဆိုချက်ကို ရွေးချယ်ပြီး တင်သွင်းမှုကို နှိပ်ရပါမည်။ လက်မှတ်အမည်သည် တောင်းဆိုချက်တွင် အစောပိုင်းက သတ်မှတ်ထားသော အမည်နှင့် ကိုက်ညီရပါမည်။ အရင်းလက်မှတ်၏အမည်ကို နိုင်ထက်စီးနင်းသတ်မှတ်နိုင်သည်။ လက်မှတ်ကိုတင်သွင်းပြီးနောက်၊ သင်ဖန်တီးရန်လိုအပ်သည်။ SSL/TLS ဝန်ဆောင်မှု ပရိုဖိုင် အပိုင်း စက်ပစ္စည်း -> လက်မှတ်စီမံခန့်ခွဲမှု. ပရိုဖိုင်တွင် ကျွန်ုပ်တို့သည် ယခင်တင်သွင်းထားသော လက်မှတ်ကို ညွှန်ပြပါသည်။

ပုံ 16 - လက်မှတ်တောင်းခံခြင်း။

နောက်တစ်ဆင့်မှာ အရာဝတ္ထုများကို သတ်မှတ်ခြင်း ဖြစ်သည်။ Global Protect Gateway и Global Protect Portal အပိုင်း ကွန်ရက် -> ကမ္ဘာလုံးဆိုင်ရာ ကာကွယ်မှု. ဆက်တင်များတွင် Global Protect Gateway Firewall ၏ ပြင်ပ IP လိပ်စာအပြင် ယခင်က ဖန်တီးထားသော လိပ်စာကို ညွှန်ပြပါ။ SSL Profile, အထောက်အထားပြခြင်း ပရိုဖိုင်၊ ဥမင်အင်တာဖေ့စ်နှင့် သုံးစွဲသူ IP ဆက်တင်များ။ Client သို့ လိပ်စာသတ်မှတ်ပေးမည့် IP လိပ်စာပေါင်းစုတစ်ခုအား သင်သတ်မှတ်ရန်လိုအပ်ပြီး Access Route - ၎င်းတို့သည် client တွင် လမ်းကြောင်းတစ်ခုရှိမည့် subnets များဖြစ်သည်။ အကယ်၍ အလုပ်သည် firewall မှတဆင့်အသုံးပြုသူအသွားအလာအားလုံးကိုခြုံရန်ဖြစ်ပါက၊ သင်သည် subnet 0.0.0.0/0 (ပုံ. 17) ကိုသတ်မှတ်ရန်လိုအပ်သည်။

ပုံ 17 – IP လိပ်စာများနှင့် လမ်းကြောင်းများ ပေါင်းကူးဖွဲ့စည်းမှု

ထို့နောက်သင် configure လုပ်ရန်လိုအပ်သည်။ Global Protect Portal. Firewall ၏ IP လိပ်စာကို သတ်မှတ်ပါ၊ SSL Profile и အထောက်အထားပြခြင်း ပရိုဖိုင် နှင့် client ချိတ်ဆက်မည့် firewalls များ၏ ပြင်ပ IP လိပ်စာများစာရင်း။ Firewall အများအပြားရှိပါက၊ အသုံးပြုသူများချိတ်ဆက်မည့် firewall ကိုရွေးချယ်မည့်အလိုက် တစ်ခုစီအတွက် ဦးစားပေးသတ်မှတ်နိုင်သည်။

အပိုင်း စက်ပစ္စည်း -> GlobalProtect ကလိုင်းယင့် Palo Alto Networks ဆာဗာများမှ VPN သုံးစွဲသူဖြန့်ချီမှုကို ဒေါင်းလုဒ်လုပ်ပြီး ၎င်းကို အသက်သွင်းရန် လိုအပ်သည်။ ချိတ်ဆက်ရန်၊ အသုံးပြုသူသည် ဒေါင်းလုဒ်လုပ်ရန် တောင်းဆိုမည့် portal ဝဘ်စာမျက်နှာသို့ သွားရမည်ဖြစ်သည်။ GlobalProtect ဖောက်သည်. ဒေါင်းလုဒ်လုပ်ပြီး ထည့်သွင်းပြီးသည်နှင့်၊ သင်သည် သင်၏အထောက်အထားများကို ထည့်သွင်းပြီး SSL VPN မှတစ်ဆင့် သင်၏ကော်ပိုရိတ်ကွန်ရက်သို့ ချိတ်ဆက်နိုင်ပါသည်။

ကောက်ချက်

၎င်းသည် စနစ်ထည့်သွင်းမှု၏ Palo Alto Networks အစိတ်အပိုင်းကို အပြီးသတ်စေသည်။ အချက်အလက်များသည် အသုံးဝင်ပြီး Palo Alto Networks တွင် အသုံးပြုသည့် နည်းပညာများကို စာဖတ်သူများ နားလည်သဘောပေါက်လာစေရန် မျှော်လင့်ပါသည်။ နောင်ဆောင်းပါးများအတွက် ခေါင်းစဉ်ထည့်သွင်းခြင်းနှင့် အကြံပြုချက်များနှင့်ပတ်သက်သည့် မေးခွန်းများရှိပါက မှတ်ချက်များတွင် ရေးပေးပါ၊ ကျွန်ုပ်တို့ ကျေနပ်စွာ ဖြေကြားပေးပါမည်။

source: www.habr.com