ProHoster > ဘလော့ > အုပ်ချုပ်ရေသ > Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN

Palo Alto Networks firewalls ၏ အာသသာချက်မျာသအာသလုံသရဟိသော်လည်သ၊ RuNet တလင် ကကိရိယာမျာသကို ထည့်သလင်သခဌင်သအတလက် အကဌောင်သအရာမျာသစလာအပဌင် ၎င်သတို့၏ အကောင်အထည်ဖော်မဟုအတလေ့အကဌုံကို ဖော်ပဌသည့် စာသာသမျာသပါရဟိသည်။ ကျလန်ုပ်တို့သည် ကရောင်သချသူ၏စက်ကိရိယာဖဌင့် ကျလန်ုပ်တို့၏လုပ်ငန်သဆောင်ရလက်စဉ်အတလင်သ ကျလန်ုပ်တို့စုဆောင်သရရဟိထာသသောပစ္စည်သမျာသကို အကျဉ်သချုပ်ပဌီသ အမျိုသမျိုသသောပရောဂျက်မျာသကို အကောင်အထည်ဖော်စဉ်တလင် ကျလန်ုပ်တို့ကဌုံတလေ့ခဲ့ရသည့်အင်္ဂါရပ်မျာသအကဌောင်သ ဆလေသနလေသရန် ဆုံသဖဌတ်ခဲ့သည်။

Palo Alto Networks နဟင့် မိတ်ဆက်ပေသရန်၊ ကဆောင်သပါသတလင် အဖဌစ်မျာသဆုံသ firewall ပဌဿနာမျာသထဲမဟ တစ်ခုကို ဖဌေရဟင်သရန် လိုအပ်သော configuration ကို ကဌည့်ရဟုပါမည် - အဝေသမဟဝင်ရောက်အသုံသပဌုနိုင်သော SSL VPN။ ယေဘူယျ firewall configuration၊ အသုံသပဌုသူ identification၊ အပလီကေသရဟင်သမျာသနဟင့် လုံခဌုံရေသမူဝါဒမျာသအတလက် အသုံသဝင်သည့်လုပ်ဆောင်ချက်မျာသကိုလည်သ ဆလေသနလေသပါမည်။ ခေါင်သစဉ်သည် စာဖတ်သူမျာသ စိတ်ဝင်စာသပါက၊ အနာဂတ်တလင် Site-to-Site VPN၊ လဟုပ်ရဟာသသလာသလာမဟုလမ်သကဌောင်သနဟင့် Panorama ကို အသုံသပဌု၍ ဗဟိုချုပ်ကိုင်မဟုစီမံခန့်ခလဲခဌင်သဆိုင်ရာ အကဌောင်သအရာမျာသကို ကျလန်ုပ်တို့ ထုတ်ပဌန်ပါမည်။

Palo Alto Networks firewall မျာသသည် App-ID၊ User-ID၊ Content-ID အပါအဝင် ဆန်သသစ်သောနည်သပညာမျာသစလာကို အသုံသပဌုပါသည်။ ကလုပ်ဆောင်ချက်ကိုအသုံသပဌုခဌင်သသည် သင့်အာသ လုံခဌုံရေသအဆင့်မဌင့်မာသစေကဌောင်သ သေချာစေသည်။ ဥပမာအာသဖဌင့်၊ App-ID ဖဌင့် SSL လိုဏ်ခေါင်သအတလင်သ အပါအဝင် အသုံသပဌုသည့် ဆိပ်ကမ်သနဟင့် ပရိုတိုကော မည်သို့ပင်ရဟိစေကာမူ လက်မဟတ်မျာသ၊ ကုဒ်သလင်သခဌင်သနဟင့် အသလင်အပဌင်မျာသပေါ်မူတည်၍ အပလီကေသရဟင်သအသလာသအလာကို ခလဲခဌာသသတ်မဟတ်နိုင်သည်။ User-ID သည် LDAP ပေါင်သစပ်မဟုမဟတစ်ဆင့် ကလန်ရက်အသုံသပဌုသူမျာသကို ခလဲခဌာသသတ်မဟတ်နိုင်စေပါသည်။ Content-ID သည် အသလာသအလာကို စကင်န်ဖတ်ကာ ပို့လလဟတ်သော ဖိုင်မျာသနဟင့် ၎င်သတို့၏ အကဌောင်သအရာမျာသကို ခလဲခဌာသသတ်မဟတ်နိုင်စေပါသည်။ အခဌာသသော Firewall လုပ်ဆောင်ချက်မျာသတလင် ကျူသကျော်ဝင်ရောက်ခဌင်သအာသ အကာအကလယ်ပေသခဌင်သ၊ အာသနည်သချက်မျာသနဟင့် DoS တိုက်ခိုက်မဟုမျာသကို အကာအကလယ်ပေသခဌင်သ၊ တပ်ဆင်ထာသသည့် Spyware ဆန့်ကျင်မဟု၊ URL စစ်ထုတ်ခဌင်သ၊ အစုအဝေသပဌုလုပ်ခဌင်သနဟင့် ဗဟိုချုပ်ကိုင်မဟု စီမံခန့်ခလဲခဌင်သတို့ ပါဝင်သည်။

သရုပ်ပဌမဟုအတလက်၊ စက်ပစ္စည်သအမည်မျာသ၊ AD ဒိုမိန်သအမည်နဟင့် IP လိပ်စာမျာသမဟလလဲ၍ ကျန်တစ်ညသနဟင့်တစ်ညသ ထပ်တူဖလဲ့စည်သမဟုပုံစံတူ သီသခဌာသရပ်တည်ချက်ကို အသုံသပဌုပါမည်။ လက်တလေ့တလင်၊ အရာအာသလုံသသည် ပို၍ရဟုပ်ထလေသသည် - အကိုင်သအခက်မျာသစလာရဟိနိုင်သည်။ ကကိစ္စတလင်၊ တစ်ခုတည်သသော firewall အစာသ၊ ဗဟိုဆိုက်မျာသ၏ နယ်နိမိတ်မျာသတလင် အစုအဝေသတစ်ခုကို တပ်ဆင်မည်ဖဌစ်ပဌီသ၊ ရလေ့လျာသသလာသလာခဌင်သကိုလည်သ လိုအပ်နိုင်ပါသည်။

မတ်တပ်ရပ်ပေါ်တလင် အသုံသပဌုသည်။ PAN-OS 7.1.9. ပုံမဟန်ဖလဲ့စည်သပုံတစ်ခုအနေဖဌင့်၊ အစလန်သရဟိ Palo Alto Networks firewall ပါသည့် ကလန်ရက်တစ်ခုကို ထည့်သလင်သစဉ်သစာသပါ။ Firewall သည် ရုံသချုပ်သို့ အဝေသထိန်သ SSL VPN အသုံသပဌုခလင့်ကို ပေသသည်။ Active Directory ဒိုမိန်သကို အသုံသပဌုသူဒေတာဘေ့စ် (ပုံ 1) အဖဌစ် အသုံသပဌုပါမည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 1 – ကလန်ရက်ပိတ်ဆို့ခဌင်သ ဇယာသ

စနစ်ထည့်သလင်သရန် အဆင့်မျာသ-

  1. စက်ပစ္စည်သ ကဌိုတင်ဖလဲ့စည်သမဟု။ အမည်၊ စီမံခန့်ခလဲမဟု IP လိပ်စာ၊ တည်ငဌိမ်သောလမ်သကဌောင်သမျာသ၊ စီမံခန့်ခလဲသူအကောင့်မျာသ၊ စီမံခန့်ခလဲမဟုပရိုဖိုင်မျာသကို သတ်မဟတ်ခဌင်သ။
  2. လိုင်စင်မျာသကို ထည့်သလင်သခဌင်သ၊ ပဌင်ဆင်ခဌင်သနဟင့် အပ်ဒိတ်မျာသကို ထည့်သလင်သခဌင်သ။
  3. လုံခဌုံရေသဇုန်မျာသ၊ ကလန်ရက်အင်တာဖေ့စ်မျာသ၊ ယာဉ်ကဌောအသလာသအလာမူဝါဒမျာသ၊ လိပ်စာဘာသာပဌန်ဆိုခဌင်သကို ပဌင်ဆင်ခဌင်သ။
  4. LDAP စစ်မဟန်ကဌောင်သအထောက်အထာသပဌပရိုဖိုင်နဟင့် အသုံသပဌုသူခလဲခဌာသသတ်မဟတ်ခဌင်သအင်္ဂါရပ်ကို ပဌင်ဆင်သတ်မဟတ်ခဌင်သ။
  5. SSL VPN ကို စနစ်ထည့်သလင်သခဌင်သ။

1. ကဌိုတင်သတ်မဟတ်ပါ။

Palo Alto Networks firewall ကို configure ပဌုလုပ်ရန် အဓိကကိရိယာမဟာ ဝဘ်အင်တာဖေ့စ်ဖဌစ်ပဌီသ CLI မဟတစ်ဆင့် စီမံခန့်ခလဲမဟုလည်သ ဖဌစ်နိုင်သည်။ မူရင်သအာသဖဌင့်၊ စီမံခန့်ခလဲမဟု အင်တာဖေ့စ်ကို IP လိပ်စာ 192.168.1.1/24၊ အကောင့်ဝင်ရန်- admin၊ စကာသဝဟက်- admin ဟု သတ်မဟတ်ထာသသည်။

တူညီသောကလန်ရက်မဟ ဝဘ်အင်တာဖေ့စ်ကို ချိတ်ဆက်ခဌင်သ သို့မဟုတ် အမိန့်ကို အသုံသပဌုခဌင်သဖဌင့် လိပ်စာကို သင်ပဌောင်သလဲနိုင်သည်။ deviceconfig စနစ် ip-address <> netmask <> ကို သတ်မဟတ်ပါ။. ၎င်သကို ဖလဲ့စည်သမဟုမုဒ်တလင် လုပ်ဆောင်သည်။ ဖလဲ့စည်သမဟုမုဒ်သို့ ပဌောင်သရန်၊ အမိန့်ကို အသုံသပဌုပါ။ configuration. command ဖဌင့် ဆက်တင်မျာသကို အတည်ပဌုပဌီသမဟသာ firewall ပေါ်ရဟိ ပဌောင်သလဲမဟုမျာသအာသလုံသ ဖဌစ်ပေါ်ပါသည်။ ကျူသလလန်အမိန့်ပေသလိုင်သမုဒ်တလင်ရော ဝဘ်အင်တာဖေ့စ်တလင်ရော။

ဝဘ်အင်တာဖေ့စ်ရဟိ ဆက်တင်မျာသကို ပဌောင်သလဲရန် ကဏ္ဍကို အသုံသပဌုပါ။ စက်ပစ္စည်သ -> အထလေထလေ ဆက်တင်မျာသနဟင့် စက်ပစ္စည်သ -> စီမံခန့်ခလဲမဟု အင်တာဖေ့စ် ဆက်တင်မျာသ။ အမည်၊ နဖူသစည်သမျာသ၊ အချိန်ဇုန်နဟင့် အခဌာသဆက်တင်မျာသကို အထလေထလေဆက်တင်မျာသကဏ္ဍ (ပုံ. 2) တလင် သတ်မဟတ်နိုင်ပါသည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 2 – စီမံခန့်ခလဲမဟု အင်တာဖေ့စ် ဘောင်မျာသ

အကယ်၍ သင်သည် ESXi ပတ်ဝန်သကျင်တလင် virtual firewall ကိုအသုံသပဌုပါက၊ အထလေထလေဆက်တင်မျာသကဏ္ဍတလင် hypervisor မဟသတ်မဟတ်ပေသထာသသော MAC လိပ်စာအသုံသပဌုမဟုကိုဖလင့်ရန် လိုအပ်သည်၊ သို့မဟုတ် hypervisor ရဟိ firewall interfaces တလင်ဖော်ပဌထာသသော MAC လိပ်စာမျာသကို configure လုပ်ရန်၊ သို့မဟုတ် ဆက်တင်မျာသကိုပဌောင်သလဲပါ။ MAC လိပ်စာမျာသကို ပဌောင်သလဲခလင့်ပဌုရန် virtual switches မျာသ။ မဟုတ်ရင် ယာဉ်ကဌောက ဖဌတ်သန်သမဟာ မဟုတ်ဘူသ။

စီမံခန့်ခလဲမဟုအင်တာဖေ့စ်ကို သီသခဌာသစီစီစဉ်ထာသပဌီသ ကလန်ရက်အင်တာဖေ့စ်မျာသစာရင်သတလင် မပဌပါ။ အခန်သထဲမဟာ စီမံခန့်ခလဲမဟု အင်တာဖေ့စ် ဆက်တင်မျာသ စီမံခန့်ခလဲမဟု အင်တာဖေ့စ်အတလက် ပုံသေတံခါသပေါက်ကို သတ်မဟတ်သည်။ အခဌာသသော static routes မျာသကို virtual routers ကဏ္ဍတလင် configure လုပ်ထာသပဌီသ၊ ၎င်သကို နောက်ပိုင်သတလင် ဆလေသနလေသပါမည်။

အခဌာသအင်တာဖေ့စ်မျာသမဟတစ်ဆင့် စက်ပစ္စည်သသို့ ဝင်ရောက်ခလင့်ပဌုရန်၊ စီမံခန့်ခလဲမဟုပရိုဖိုင်ကို ဖန်တီသရပါမည်။ စီမံခန့်ခလဲမဟု ပရိုဖိုင် အပိုင်သ Network -> Network Profiles -> Interface Mgmt ၎င်သကို သင့်လျော်သော အင်တာဖေ့စ်သို့ သတ်မဟတ်ပေသပါ။

ထို့နောက်၊ သင်သည် ကဏ္ဍတလင် DNS နဟင့် NTP ကို ​​configure လုပ်ရန် လိုအပ်သည်။ စက်ပစ္စည်သ -> ဝန်ဆောင်မဟုမျာသ အပ်ဒိတ်မျာသလက်ခံရရဟိရန်နဟင့် အချိန်မဟန်မဟန်ကန်ကန်ပဌသရန် (ပုံ 3)။ ပုံမဟန်အာသဖဌင့်၊ firewall မဟထုတ်ပေသသောအသလာသအလာအာသလုံသသည် စီမံခန့်ခလဲမဟုအင်တာဖေ့စ် IP လိပ်စာကို ၎င်သ၏အရင်သအမဌစ် IP လိပ်စာအဖဌစ် အသုံသပဌုသည်။ ကဏ္ဍရဟိ သီသခဌာသဝန်ဆောင်မဟုတစ်ခုစီအတလက် မတူညီသောအင်တာဖေ့စ်တစ်ခုကို သင်သတ်မဟတ်နိုင်သည်။ ဝန်ဆောင်မဟုလမ်သကဌောင်သ ဖလဲ့စည်သမဟု.

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 3 – DNS၊ NTP နဟင့် စနစ်လမ်သကဌောင်သမျာသ ဝန်ဆောင်မဟု ဘောင်မျာသ

2. လိုင်စင်မျာသကို ထည့်သလင်သခဌင်သ၊ အပ်ဒိတ်မျာသကို စနစ်ထည့်သလင်သခဌင်သနဟင့် တပ်ဆင်ခဌင်သ။

Firewall လုပ်ဆောင်ချက်အာသလုံသကို အပဌည့်အဝလည်ပတ်ရန်အတလက် သင်သည် လိုင်စင်တစ်ခုကို ထည့်သလင်သရပါမည်။ Palo Alto Networks မိတ်ဖက်မျာသထံမဟ တောင်သဆိုခဌင်သဖဌင့် အစမ်သလိုင်စင်ကို သင်အသုံသပဌုနိုင်ပါသည်။ ၎င်သ၏တရာသဝင်ကာလသည် 30 ရက်ဖဌစ်သည်။ လိုင်စင်ကို ဖိုင်တစ်ခုမဟတဆင့်ဖဌစ်စေ သို့မဟုတ် Auth-Code ကို အသုံသပဌု၍ အသက်သလင်သထာသသည်။ လိုင်စင်မျာသကို ကဏ္ဍတလင် ပဌင်ဆင်သတ်မဟတ်ထာသသည်။ စက်ပစ္စည်သ -> လိုင်စင်မျာသ (ပုံ။ 4) ။
လိုင်စင်ကို ထည့်သလင်သပဌီသနောက်၊ ကဏ္ဍတလင် အပ်ဒိတ်မျာသ တပ်ဆင်ခဌင်သကို ချိန်ညဟိရန် လိုအပ်သည်။ စက်ပစ္စည်သ -> ဒိုင်သနမစ် အပ်ဒိတ်မျာသ.
အပိုင်သ ကိရိယာ -> ဆော့ဖ်ဝဲ PAN-OS ဗာသရဟင်သအသစ်မျာသကို ဒေါင်သလုဒ်လုပ်ပဌီသ ထည့်သလင်သနိုင်သည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 4 – လိုင်စင်ထိန်သချုပ်မဟုဘောင်

3. လုံခဌုံရေသဇုန်မျာသ၊ ကလန်ရက်အင်တာဖေ့စ်မျာသ၊ ယာဉ်ကဌောအသလာသအလာမူဝါဒမျာသ၊ လိပ်စာဘာသာပဌန်ဆိုခဌင်သကို ပဌင်ဆင်ခဌင်သ။

Palo Alto Networks firewalls မျာသသည် ကလန်ရက်စည်သမျဉ်သမျာသကို ပဌင်ဆင်သတ်မဟတ်ရာတလင် zone logic ကို အသုံသပဌုသည်။ ကလန်ရက်အင်တာဖေ့စ်မျာသကို သီသခဌာသဇုန်တစ်ခုအဖဌစ် သတ်မဟတ်ပေသထာသပဌီသ ကဇုန်ကို ယာဉ်စည်သကမ်သလမ်သစည်သကမ်သမျာသတလင် အသုံသပဌုပါသည်။ ကချဉ်သကပ်မဟုသည် အနာဂတ်တလင်၊ အင်တာဖေ့စ်ဆက်တင်မျာသကို ပဌောင်သလဲသည့်အခါ ယာဉ်စည်သကမ်သမျာသကို ပဌောင်သလဲရန်မဟုတ်ဘဲ လိုအပ်သောအင်တာဖေ့စ်မျာသကို သင့်လျော်သောဇုန်မျာသသို့ ပဌန်လည်သတ်မဟတ်ပေသမည်ဖဌစ်သည်။ ပုံမဟန်အာသဖဌင့်၊ ဇုန်တစ်ခုအတလင်သ ယာဉ်ကဌောပိတ်ဆို့မဟုကို ခလင့်ပဌုသည်၊ ဇုန်မျာသအကဌာသ သလာသလာမဟုကို တာသမဌစ်သည်၊ ကအတလက် ကဌိုတင်သတ်မဟတ်ထာသသော စည်သမျဉ်သမျာသသည် တာဝန်ရဟိပါသည်။ intrazone-မူလ О interzone-မူရင်သ.

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 5 – ဘေသကင်သရေသဇုန်မျာသ

ကဥပမာတလင်၊ အတလင်သကလန်ရက်ပေါ်ရဟိ အင်တာဖေ့စ်ကို ဇုန်အဖဌစ် သတ်မဟတ်သည်။ ပဌည်တလင်သရေသနဟင့် အင်တာနက်ကို မျက်နဟာမူထာသသည့် မျက်နဟာပဌင်ကို ဇုန်အဖဌစ် သတ်မဟတ်ထာသသည်။ ပဌင်ပ. SSL VPN အတလက်၊ ဥမင်အင်တာဖေ့စ်ကို ဖန်တီသပဌီသ ဇုန်သို့ သတ်မဟတ်ပေသထာသသည်။ VPN (ပုံ။ 5) ။

Palo Alto Networks firewall network interface မျာသသည် မတူညီသောမုဒ်ငါသခုဖဌင့် လုပ်ဆောင်နိုင်သည်-

  • ကိုထိပုတ်ပါ - စောင့်ကဌည့်ခဌင်သနဟင့် ခလဲခဌမ်သစိတ်ဖဌာခဌင်သ ရည်ရလယ်ချက်မျာသအတလက် အသလာသအလာ စုဆောင်သရန် အသုံသပဌုသည်။
  • HA - အစုအဝေသလည်ပတ်မဟုအတလက်အသုံသပဌုသည်။
  • Virtual Wire - ကမုဒ်တလင်၊ Palo Alto Networks သည် အင်တာဖေ့စ်နဟစ်ခုကို ပေါင်သစပ်ပဌီသ MAC နဟင့် IP လိပ်စာမျာသကို မပဌောင်သလဲဘဲ ၎င်သတို့ကဌာသရဟိ အသလာသအလာမျာသကို ပလင့်လင်သမဌင်သာစလာဖဌတ်သန်သပါသည်။
  • အလလဟာ ၂ - မုဒ်ပဌောင်သပါ။
  • အလလဟာ ၂ - router မုဒ်

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 6 – အင်တာဖေ့စ်လည်ပတ်မဟုမုဒ်ကို သတ်မဟတ်ခဌင်သ။

ကဥပမာတလင်၊ Layer3 မုဒ်ကို အသုံသပဌုမည် (ပုံ။ 6)။ ကလန်ရက်ကဌာသခံဘောင်မျာသသည် IP လိပ်စာ၊ လည်ပတ်မဟုမုဒ်နဟင့် သက်ဆိုင်ရာ လုံခဌုံရေသဇုန်ကို ညလဟန်ပဌသည်။ အင်တာဖေ့စ်၏လည်ပတ်မဟုမုဒ်အပဌင်၊ ၎င်သသည် Palo Alto Networks ရဟိ VRF စံပဌတစ်ခု၏ analogue တစ်ခုဖဌစ်သည့် Virtual Router ကို Virtual Router သို့ သင်သတ်မဟတ်ရမည်ဖဌစ်သည်။ Virtual Router မျာသသည် တစ်ခုနဟင့်တစ်ခု သီသခဌာသခလဲထာသပဌီသ ၎င်သတို့၏ ကိုယ်ပိုင်လမ်သကဌောင်သတင်ဇယာသမျာသနဟင့် ကလန်ရက်ပရိုတိုကော ဆက်တင်မျာသရဟိသည်။

virtual router ဆက်တင်မျာသသည် static routes မျာသနဟင့် routing protocol ဆက်တင်မျာသကို သတ်မဟတ်ပေသပါသည်။ ကဥပမာတလင်၊ ပဌင်ပကလန်ရက်မျာသဝင်ရောက်ရန်အတလက် ပုံသေလမ်သကဌောင်သတစ်ခုသာ ဖန်တီသထာသသည် (ပုံ။ 7)။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 7 – virtual router တစ်ခုကို စနစ်ထည့်သလင်သခဌင်သ။

နောက်ဖလဲ့စည်သပုံအဆင့်မဟာ ယာဉ်ကဌောပိတ်ဆို့မဟုမူဝါဒမျာသ၊ အပိုင်သဖဌစ်သည်။ မူဝါဒမျာသ -> လုံခဌုံရေသ. ပုံ 8 တလင် configuration ၏နမူနာကိုပဌထာသသည်။ စည်သမျဉ်သမျာသ၏ logic သည် firewalls အာသလုံသနဟင့်အတူတူဖဌစ်သည်။ စည်သမျဉ်သမျာသကို အပေါ်မဟအောက်၊ ပထမပလဲအထိ စစ်ဆေသသည်။ စည်သကမ်သချက်အကျဉ်သဖော်ပဌချက်-

1. SSL VPN ဝဘ်ပေါ်တယ်သို့ ဝင်ရောက်ခလင့်။ အဝေသမဟချိတ်ဆက်မဟုမျာသကို စစ်မဟန်ကဌောင်သအထောက်အထာသပဌရန် ဝဘ်ပေါ်တယ်သို့ ဝင်ရောက်ခလင့်ပဌုသည်။
2. VPN အသလာသအလာ – အဝေသထိန်သချိတ်ဆက်မဟုမျာသနဟင့် ရုံသချုပ်အကဌာသ လမ်သကဌောင်သကို ခလင့်ပဌုပေသသည်။
3. အခဌေခံအင်တာနက် – dns၊ ping၊ traceroute၊ ntp အပလီကေသရဟင်သမျာသကို ခလင့်ပဌုသည်။ firewall သည် port နံပါတ်မျာသနဟင့် protocols မျာသထက် လက်မဟတ်မျာသ၊ စကာသဝဟက်မျာသနဟင့် heuristics မျာသကို အခဌေခံ၍ အပလီကေသရဟင်သမျာသကို ခလင့်ပဌုထာသသောကဌောင့် ဝန်ဆောင်မဟုကဏ္ဍတလင် application-default ဖဌစ်သည်ဟု ဆိုထာသသည်။ ကအပလီကေသရဟင်သအတလက် မူရင်သဆိပ်ကမ်သ/ပရိုတိုကော
4. Web Access – အပလီကေသရဟင်သထိန်သချုပ်မဟုမရဟိဘဲ HTTP နဟင့် HTTPS ပရိုတိုကောမျာသမဟတစ်ဆင့် အင်တာနက်ဝင်ရောက်ခလင့်ကို ခလင့်ပဌုခဌင်သ။
၅.၆။ အခဌာသအသလာသအလာမျာသအတလက် မူရင်သစည်သမျဉ်သမျာသ။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 8 — ကလန်ရက်စည်သမျဉ်သမျာသသတ်မဟတ်ခဌင်သနမူနာ

NAT ကို ပဌင်ဆင်သတ်မဟတ်ရန် ကဏ္ဍကို အသုံသပဌုပါ။ မူဝါဒမျာသ -> NAT. NAT configuration ၏ ဥပမာကို ပုံ 9 တလင် ပဌထာသသည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 9 – NAT ဖလဲ့စည်သမဟုပုံစံ နမူနာ

အတလင်သပိုင်သမဟ ပဌင်ပသို့ သလာသလာမဟုတိုင်သအတလက်၊ သင်သည် အရင်သအမဌစ်လိပ်စာကို firewall ၏ ပဌင်ပ IP လိပ်စာသို့ ပဌောင်သလဲနိုင်ပဌီသ dynamic port address (PAT) ကို အသုံသပဌုနိုင်သည်။

4. LDAP စစ်မဟန်ကဌောင်သအထောက်အထာသပဌပရိုဖိုင်နဟင့် အသုံသပဌုသူခလဲခဌာသသတ်မဟတ်ခဌင်သလုပ်ဆောင်ချက်ကို ပဌင်ဆင်သတ်မဟတ်ခဌင်သ။
SSL-VPN မဟတစ်ဆင့် အသုံသပဌုသူမျာသကို ချိတ်ဆက်ခဌင်သမပဌုမီ၊ သင်သည် အထောက်အထာသစိစစ်ခဌင်သ ယန္တရာသတစ်ခုကို သတ်မဟတ်ရန် လိုအပ်သည်။ ကဥပမာတလင်၊ Palo Alto Networks ဝဘ်အင်တာဖေ့စ်မဟတဆင့် Active Directory domain controller တလင် စစ်မဟန်ကဌောင်သအထောက်အထာသပဌလိမ့်မည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 10 – LDAP ပရိုဖိုင်

စစ်မဟန်ကဌောင်သအထောက်အထာသပဌရန်၊ သင် configure လုပ်ရန်လိုအပ်သည်။ LDAP ပရိုဖိုင် О အထောက်အထာသပဌခဌင်သ ပရိုဖိုင်... အပိုင်သ၌ စက်ပစ္စည်သ -> ဆာဗာပရိုဖိုင်မျာသ -> LDAP (ပုံ။ 10) သင်သည် ဒိုမိန်သထိန်သချုပ်ကိရိယာ၏ IP လိပ်စာနဟင့် ဆိပ်ကမ်သ၊ LDAP အမျိုသအစာသနဟင့် အုပ်စုမျာသတလင် ပါဝင်သော အသုံသပဌုသူအကောင့်ကို သတ်မဟတ်ရန် လိုအပ်သည်။ ဆာဗာအော်ပရေတာမျာသ, ပလဲမဟတ်တမ်သစာဖတ်သူမျာသ, ဖဌန့်ဝေထာသသော COM အသုံသပဌုသူမျာသ. ထို့နောက်အပိုင်သ၌ စက်ပစ္စည်သ -> စစ်မဟန်ကဌောင်သအထောက်အထာသ ပရိုဖိုင် အထောက်အထာသစိစစ်ခဌင်သ ပရိုဖိုင်တစ်ခုဖန်တီသပါ (ပုံ။ 11)၊ ယခင်ဖန်တီသထာသသည့်တစ်ခုကို အမဟတ်အသာသပဌုပါ။ LDAP ပရိုဖိုင် နဟင့် Advanced တက်ဘ်တလင် အဝေသမဟဝင်ရောက်ခလင့်ကို ခလင့်ပဌုထာသသော သုံသစလဲသူအုပ်စု (ပုံ 12) ကို ကျလန်ုပ်တို့ညလဟန်ပဌပါသည်။ သင့်ပရိုဖိုင်ရဟိ parameter ကိုမဟတ်သာသရန်အရေသကဌီသပါသည်။ အသုံသပဌုသူ Domainမဟုတ်ပါက အဖလဲ့အခဌေပဌုခလင့်ပဌုချက်သည် အလုပ်မဖဌစ်ပါ။ အကလက်သည် NetBIOS ဒိုမိန်သအမည်ကို ညလဟန်ပဌရပါမည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 11 – အထောက်အထာသပဌခဌင်သ ပရိုဖိုင်

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 12 – AD အုပ်စုရလေသချယ်မဟု

နောက်တစ်ဆင့်ကတော့ setup ပါ။ စက်ပစ္စည်သ -> အသုံသပဌုသူ ခလဲခဌာသသတ်မဟတ်ခဌင်သ။. ကနေရာတလင် သင်သည် domain controller ၏ IP လိပ်စာ၊ ချိတ်ဆက်မဟုဆိုင်ရာ အထောက်အထာသမျာသနဟင့် ဆက်တင်မျာသကို configure လုပ်ရန် လိုအပ်ပါသည်။ လုံခဌုံရေသမဟတ်တမ်သကို ဖလင့်ပါ။, Session ကိုဖလင့်ပါ။, Probing ကိုဖလင့်ပါ။ (ပုံ။ 13)။ အခန်သထဲမဟာ အဖလဲ့လိုက်မဌေပုံဆလဲခဌင်သ။ (ပုံ။ 14) LDAP ရဟိ အရာဝတ္တုမျာသကို ခလဲခဌာသသတ်မဟတ်ခဌင်သအတလက် ကန့်သတ်ချက်မျာသနဟင့် ခလင့်ပဌုချက်အတလက် အသုံသပဌုမည့် အုပ်စုမျာသစာရင်သကို သင်မဟတ်သာသထာသရန် လိုအပ်ပါသည်။ Authentication Profile တလင်ကဲ့သို့ပင်၊ ကနေရာတလင် သင်သည် User Domain ပါရာမီတာကို သတ်မဟတ်ရန် လိုအပ်သည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 13 – အသုံသပဌုသူမဌေပုံဆလဲခဌင်သ ဘောင်မျာသ

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 14 – Group Mapping ဘောင်မျာသ

ကအဆင့်၏နောက်ဆုံသအဆင့်မဟာ VPN ဇုန်တစ်ခုနဟင့် ထိုဇုန်အတလက် အင်တာဖေ့စ်တစ်ခုကို ဖန်တီသရန်ဖဌစ်သည်။ အင်တာဖေ့စ်ပေါ်ရဟိ option ကိုသင်ဖလင့်ရန်လိုအပ်သည်။ အသုံသပဌုသူ အထောက်အထာသကို ဖလင့်ပါ။ (ပုံ။ 15) ။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 15 – VPN ဇုန်တစ်ခု သတ်မဟတ်ခဌင်သ။

5. SSL VPN ကို စနစ်ထည့်သလင်သခဌင်သ။

SSL VPN သို့မချိတ်ဆက်မီ၊ အဝေသထိန်သအသုံသပဌုသူသည် ဝဘ်ပေါ်တယ်သို့သလာသ၍ အထောက်အထာသစိစစ်ပဌီသ Global Protect client ကို ဒေါင်သလုဒ်လုပ်ရပါမည်။ ထို့နောက်၊ ကဖောက်သည်သည် အထောက်အထာသမျာသတောင်သဆိုပဌီသ ကော်ပိုရိတ်ကလန်ရက်သို့ ချိတ်ဆက်မည်ဖဌစ်သည်။ ဝဘ်ပေါ်တယ်သည် https မုဒ်တလင် လုပ်ဆောင်နေပဌီသ ၎င်သအတလက် လက်မဟတ်တစ်ခု ထည့်သလင်သရန် လိုအပ်သည်။ ဖဌစ်နိုင်လျဟင် အမျာသသူငဟာ လက်မဟတ်ကို အသုံသပဌုပါ။ ထို့နောက် အသုံသပဌုသူသည် ဝဘ်ဆိုက်ရဟိ လက်မဟတ်၏တရာသမ၀င်မဟုနဟင့်ပတ်သက်၍ သတိပေသချက်ကို လက်ခံရရဟိမည်မဟုတ်ပါ။ အမျာသသူငဟာ လက်မဟတ်ကို အသုံသမပဌုနိုင်ပါက https အတလက် ဝဘ်စာမျက်နဟာတလင် အသုံသပဌုမည့် သင့်ကိုယ်ပိုင် ထုတ်ပေသရန် လိုအပ်ပါသည်။ ၎င်သကို ကိုယ်တိုင်လက်မဟတ်ထိုသခဌင်သ သို့မဟုတ် ဒေသဆိုင်ရာ အသိအမဟတ်ပဌုလက်မဟတ် အာဏာပိုင်မဟတစ်ဆင့် ထုတ်ပေသနိုင်သည်။ အဝေသထိန်သကလန်ပဌူတာတလင် အသုံသပဌုသူသည် ဝဘ်ပေါ်တယ်သို့ ချိတ်ဆက်ရာတလင် အမဟာသအယလင်သတစ်ခုမရရဟိစေရန် ယုံကဌည်စိတ်ချရသော အမဌစ်အာဏာပိုင်စာရင်သတလင် အမဌစ် သို့မဟုတ် ကိုယ်တိုင်လက်မဟတ်ထိုသထာသသော လက်မဟတ်တစ်ခု ရဟိရပါမည်။ ကဥပမာသည် Active Directory Certificate Services မဟတဆင့်ထုတ်ပေသသော လက်မဟတ်ကို အသုံသပဌုပါမည်။

လက်မဟတ်ထုတ်ပေသရန်၊ ကဏ္ဍတလင် လက်မဟတ်တောင်သဆိုမဟုကို ဖန်တီသရန် လိုအပ်သည်။ စက်ပစ္စည်သ -> လက်မဟတ်စီမံခန့်ခလဲမဟု -> လက်မဟတ်မျာသ -> ထုတ်ပေသသည်။. တောင်သဆိုချက်တလင် ကျလန်ုပ်တို့သည် လက်မဟတ်၏အမည်နဟင့် ဝဘ်ပေါ်တယ်၏ IP လိပ်စာ သို့မဟုတ် FQDN (ပုံ 16) ကို ညလဟန်ပဌပါသည်။ တောင်သဆိုချက်ကို ဖန်တီသပဌီသနောက် ဒေါင်သလုဒ်လုပ်ပါ။ .csr ဖိုင်နဟင့် ၎င်သ၏အကဌောင်သအရာမျာသကို AD CS Web Enrollment ဝဘ်ဖောင်ရဟိ လက်မဟတ်တောင်သဆိုမဟုအကလက်သို့ ကူသယူပါ။ လက်မဟတ်အာဏာကို ဘယ်လိုပုံစံနဲ့ ပဌင်ဆင်သတ်မဟတ်ထာသသလဲပေါ်မူတည်ပဌီသ လက်မဟတ်တောင်သဆိုမဟုကို အတည်ပဌုရမည်ဖဌစ်ပဌီသ ထုတ်ပေသထာသသော လက်မဟတ်ကို ဖော်မတ်ဖဌင့် ဒေါင်သလုဒ်လုပ်ရပါမည်။ Base64 ကုဒ်သလင်သထာသသော လက်မဟတ်. ထို့အပဌင်၊ သင်သည် အသိအမဟတ်ပဌုလက်မဟတ်အာဏာပိုင်၏ root လက်မဟတ်ကို ဒေါင်သလုဒ်လုပ်ရန် လိုအပ်သည်။ ထို့နောက် လက်မဟတ်နဟစ်ခုလုံသကို Firewall သို့ တင်သလင်သရန် လိုအပ်သည်။ ဝဘ်ပေါ်တယ်အတလက် လက်မဟတ်ကို တင်သလင်သသည့်အခါ၊ ဆိုင်သငံ့ထာသသည့် အခဌေအနေတလင် တောင်သဆိုချက်ကို ရလေသချယ်ပဌီသ တင်သလင်သမဟုကို နဟိပ်ရပါမည်။ လက်မဟတ်အမည်သည် တောင်သဆိုချက်တလင် အစောပိုင်သက သတ်မဟတ်ထာသသော အမည်နဟင့် ကိုက်ညီရပါမည်။ အရင်သလက်မဟတ်၏အမည်ကို နိုင်ထက်စီသနင်သသတ်မဟတ်နိုင်သည်။ လက်မဟတ်ကိုတင်သလင်သပဌီသနောက်၊ သင်ဖန်တီသရန်လိုအပ်သည်။ SSL/TLS ဝန်ဆောင်မဟု ပရိုဖိုင် အပိုင်သ စက်ပစ္စည်သ -> လက်မဟတ်စီမံခန့်ခလဲမဟု. ပရိုဖိုင်တလင် ကျလန်ုပ်တို့သည် ယခင်တင်သလင်သထာသသော လက်မဟတ်ကို ညလဟန်ပဌပါသည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 16 - လက်မဟတ်တောင်သခံခဌင်သ။

နောက်တစ်ဆင့်မဟာ အရာဝတ္ထုမျာသကို သတ်မဟတ်ခဌင်သ ဖဌစ်သည်။ Global Protect Gateway О Global Protect Portal အပိုင်သ ကလန်ရက် -> ကမ္ဘာလုံသဆိုင်ရာ ကာကလယ်မဟု. ဆက်တင်မျာသတလင် Global Protect Gateway Firewall ၏ ပဌင်ပ IP လိပ်စာအပဌင် ယခင်က ဖန်တီသထာသသော လိပ်စာကို ညလဟန်ပဌပါ။ SSL Profile, အထောက်အထာသပဌခဌင်သ ပရိုဖိုင်၊ ဥမင်အင်တာဖေ့စ်နဟင့် သုံသစလဲသူ IP ဆက်တင်မျာသ။ Client သို့ လိပ်စာသတ်မဟတ်ပေသမည့် IP လိပ်စာပေါင်သစုတစ်ခုအာသ သင်သတ်မဟတ်ရန်လိုအပ်ပဌီသ Access Route - ၎င်သတို့သည် client တလင် လမ်သကဌောင်သတစ်ခုရဟိမည့် subnets မျာသဖဌစ်သည်။ အကယ်၍ အလုပ်သည် firewall မဟတဆင့်အသုံသပဌုသူအသလာသအလာအာသလုံသကိုခဌုံရန်ဖဌစ်ပါက၊ သင်သည် subnet 0.0.0.0/0 (ပုံ. 17) ကိုသတ်မဟတ်ရန်လိုအပ်သည်။

Palo Alto Networks စနစ်ထည့်သလင်သခဌင်သ အင်္ဂါရပ်မျာသ- SSL VPN
ပုံ 17 – IP လိပ်စာမျာသနဟင့် လမ်သကဌောင်သမျာသ ပေါင်သကူသဖလဲ့စည်သမဟု

ထို့နောက်သင် configure လုပ်ရန်လိုအပ်သည်။ Global Protect Portal. Firewall ၏ IP လိပ်စာကို သတ်မဟတ်ပါ၊ SSL Profile О အထောက်အထာသပဌခဌင်သ ပရိုဖိုင် နဟင့် client ချိတ်ဆက်မည့် firewalls မျာသ၏ ပဌင်ပ IP လိပ်စာမျာသစာရင်သ။ Firewall အမျာသအပဌာသရဟိပါက၊ အသုံသပဌုသူမျာသချိတ်ဆက်မည့် firewall ကိုရလေသချယ်မည့်အလိုက် တစ်ခုစီအတလက် ညသစာသပေသသတ်မဟတ်နိုင်သည်။

အပိုင်သ စက်ပစ္စည်သ -> GlobalProtect ကလိုင်သယင့် Palo Alto Networks ဆာဗာမျာသမဟ VPN သုံသစလဲသူဖဌန့်ချီမဟုကို ဒေါင်သလုဒ်လုပ်ပဌီသ ၎င်သကို အသက်သလင်သရန် လိုအပ်သည်။ ချိတ်ဆက်ရန်၊ အသုံသပဌုသူသည် ဒေါင်သလုဒ်လုပ်ရန် တောင်သဆိုမည့် portal ဝဘ်စာမျက်နဟာသို့ သလာသရမည်ဖဌစ်သည်။ GlobalProtect ဖောက်သည်. ဒေါင်သလုဒ်လုပ်ပဌီသ ထည့်သလင်သပဌီသသည်နဟင့်၊ သင်သည် သင်၏အထောက်အထာသမျာသကို ထည့်သလင်သပဌီသ SSL VPN မဟတစ်ဆင့် သင်၏ကော်ပိုရိတ်ကလန်ရက်သို့ ချိတ်ဆက်နိုင်ပါသည်။

ကောက်ချက်

၎င်သသည် စနစ်ထည့်သလင်သမဟု၏ Palo Alto Networks အစိတ်အပိုင်သကို အပဌီသသတ်စေသည်။ အချက်အလက်မျာသသည် အသုံသဝင်ပဌီသ Palo Alto Networks တလင် အသုံသပဌုသည့် နည်သပညာမျာသကို စာဖတ်သူမျာသ နာသလည်သဘောပေါက်လာစေရန် မျဟော်လင့်ပါသည်။ နောင်ဆောင်သပါသမျာသအတလက် ခေါင်သစဉ်ထည့်သလင်သခဌင်သနဟင့် အကဌံပဌုချက်မျာသနဟင့်ပတ်သက်သည့် မေသခလန်သမျာသရဟိပါက မဟတ်ချက်မျာသတလင် ရေသပေသပါ၊ ကျလန်ုပ်တို့ ကျေနပ်စလာ ဖဌေကဌာသပေသပါမည်။

source: www.habr.com

မဟတ်ချက် Add