Palo Alto Networks firewalls á á¡á¬ážáá¬áá»ááºáá»á¬ážá¡á¬ážáá¯á¶ážááŸááá±á¬áºáááºážá RuNet ááœáẠá€áááááá¬áá»á¬ážááᯠááá·áºááœááºážááŒááºážá¡ááœáẠá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážá
áœá¬á¡ááŒáẠáááºážááá¯á·á á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯á¡ááœá±á·á¡ááŒá¯á¶ááᯠáá±á¬áºááŒááá·áº á
á¬áá¬ážáá»á¬ážáá«ááŸááááºá áá»áœááºá¯ááºááá¯á·ááẠá€áá±á¬ááºážáá»áá°áá
ááºáááááá¬ááŒáá·áº áá»áœááºá¯ááºááá¯á·ááá¯ááºáááºážáá±á¬ááºááœááºá
ááºá¡ááœááºáž áá»áœááºá¯ááºááá¯á·á
á¯áá±á¬ááºážáááŸááá¬ážáá±á¬áá
á¹á
ááºážáá»á¬ážááᯠá¡áá»ááºážáá»á¯ááºááŒá®áž á¡áá»áá¯ážáá»áá¯ážáá±á¬ááá±á¬áá»ááºáá»á¬ážááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºá
ááºááœáẠáá»áœááºá¯ááºááá¯á·ááŒá¯á¶ááœá±á·áá²á·áááá·áºá¡ááºá¹áá«áááºáá»á¬ážá¡ááŒá±á¬ááºáž ááœá±ážááœá±ážááẠáá¯á¶ážááŒááºáá²á·áááºá
Palo Alto Networks ááŸáá·áº ááááºáááºáá±ážáááºá á€áá±á¬ááºážáá«ážááœáẠá¡ááŒá
áºáá»á¬ážáá¯á¶áž firewall ááŒá¿áá¬áá»á¬ážáá²á០áá
áºáá¯ááᯠááŒá±ááŸááºážááẠááá¯á¡ááºáá±á¬ configuration ááᯠááŒáá·áºááŸá¯áá«ááẠ- á¡áá±ážááŸáááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááá¯ááºáá±á¬ SSL VPNá áá±áá°áá» firewall configurationá á¡áá¯á¶ážááŒá¯áá° identificationá á¡ááá®áá±ážááŸááºážáá»á¬ážááŸáá·áº áá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»á¬ážá¡ááœáẠá¡áá¯á¶ážáááºááá·áºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááá¯áááºáž ááœá±ážááœá±ážáá«áááºá áá±á«ááºážá
ááºááẠá
á¬áááºáá°áá»á¬áž á
áááºáááºá
á¬ážáá«áá á¡áá¬áááºááœáẠSite-to-Site VPNá ááŸá¯ááºááŸá¬ážááœá¬ážáá¬ááŸá¯áááºážááŒá±á¬ááºážááŸáá·áº Panorama ááᯠá¡áá¯á¶ážááŒá¯á áááá¯áá»á¯ááºááá¯ááºááŸá¯á
á®áá¶ááá·áºááœá²ááŒááºážááá¯ááºáᬠá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáá»áœááºá¯ááºááá¯á· áá¯ááºááŒááºáá«áááºá
Palo Alto Networks firewall áá»á¬ážááẠApp-IDá User-IDá Content-ID á¡áá«á¡ááẠáááºážáá
áºáá±á¬áááºážááá¬áá»á¬ážá
áœá¬ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá á€áá¯ááºáá±á¬ááºáá»ááºááá¯á¡áá¯á¶ážááŒá¯ááŒááºážááẠááá·áºá¡á¬áž áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áºááŒáá·áºáá¬ážá
á±ááŒá±á¬ááºáž áá±áá»á¬á
á±áááºá á¥ááá¬á¡á¬ážááŒáá·áºá App-ID ááŒáá·áº SSL ááá¯ááºáá±á«ááºážá¡ááœááºáž á¡áá«á¡ááẠá¡áá¯á¶ážááŒá¯ááá·áº ááááºáááºážááŸáá·áº áááá¯ááá¯áá±á¬ áááºááá¯á·áááºááŸáá
á±áá¬áá° áááºááŸááºáá»á¬ážá áá¯ááºááœááºážááŒááºážááŸáá·áº á¡ááœááºá¡ááŒááºáá»á¬ážáá±á«áºáá°áááºá á¡ááá®áá±ážááŸááºážá¡ááœá¬ážá¡áá¬ááᯠááœá²ááŒá¬ážáááºááŸááºááá¯ááºáááºá User-ID ááẠLDAP áá±á«ááºážá
ááºááŸá¯ááŸáá
áºááá·áº ááœááºáááºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠááœá²ááŒá¬ážáááºááŸááºááá¯ááºá
á±áá«áááºá Content-ID ááẠá¡ááœá¬ážá¡áá¬ááᯠá
áááºááºáááºáᬠááá¯á·ááœáŸááºáá±á¬ ááá¯ááºáá»á¬ážááŸáá·áº áááºážááá¯á·á á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááœá²ááŒá¬ážáááºááŸááºááá¯ááºá
á±áá«áááºá á¡ááŒá¬ážáá±á¬ Firewall áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááœáẠáá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŒááºážá¡á¬áž á¡áá¬á¡ááœááºáá±ážááŒááºážá á¡á¬ážáááºážáá»ááºáá»á¬ážááŸáá·áº DoS ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠá¡áá¬á¡ááœááºáá±ážááŒááºážá áááºáááºáá¬ážááá·áº Spyware ááá·áºáá»ááºááŸá¯á URL á
á
áºáá¯ááºááŒááºážá á¡á
á¯á¡áá±ážááŒá¯áá¯ááºááŒááºážááŸáá·áº áááá¯áá»á¯ááºááá¯ááºááŸá¯ á
á®áá¶ááá·áºááœá²ááŒááºážááá¯á· áá«áááºáááºá
ááá¯ááºááŒááŸá¯á¡ááœááºá á ááºáá á¹á ááºážá¡áááºáá»á¬ážá AD ááá¯ááááºážá¡áááºááŸáá·áº IP ááááºá á¬áá»á¬ážááŸááœá²á áá»ááºáá áºáŠážááŸáá·áºáá áºáŠáž áááºáá°ááœá²á·á ááºážááŸá¯áá¯á¶á á¶áá° áá®ážááŒá¬ážáááºáááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯áá«áááºá áááºááœá±á·ááœááºá á¡áá¬á¡á¬ážáá¯á¶ážááẠááá¯áááŸá¯ááºááœá±ážááẠ- á¡ááá¯ááºážá¡áááºáá»á¬ážá áœá¬ááŸáááá¯ááºáááºá á€ááá á¹á ááœááºá áá áºáá¯áááºážáá±á¬ firewall á¡á á¬ážá áááá¯ááá¯ááºáá»á¬ážá áááºááááááºáá»á¬ážááœáẠá¡á á¯á¡áá±ážáá áºáá¯ááᯠáááºáááºáááºááŒá áºááŒá®ážá ááœá±á·áá»á¬ážááœá¬ážáá¬ááŒááºážááá¯áááºáž ááá¯á¡ááºááá¯ááºáá«áááºá
áááºáááºáááºáá±á«áºááœáẠá¡áá¯á¶ážááŒá¯áááºá PAN-OS 7.1.9. áá¯á¶ááŸááºááœá²á·á ááºážáá¯á¶áá áºáá¯á¡áá±ááŒáá·áºá á¡á áœááºážááŸá Palo Alto Networks firewall áá«ááá·áº ááœááºáááºáá áºáá¯ááᯠááá·áºááœááºážá ááºážá á¬ážáá«á Firewall ááẠáá¯á¶ážáá»á¯ááºááá¯á· á¡áá±ážááááºáž SSL VPN á¡áá¯á¶ážááŒá¯ááœáá·áºááᯠáá±ážáááºá Active Directory ááá¯ááááºážááᯠá¡áá¯á¶ážááŒá¯áá°áá±áá¬áá±á·á Ạ(áá¯á¶ 1) á¡ááŒá Ạá¡áá¯á¶ážááŒá¯áá«áááºá
áá¯á¶ 1 â ááœááºáááºááááºááá¯á·ááŒááºáž ááá¬áž
á áá áºááá·áºááœááºážááẠá¡ááá·áºáá»á¬áž-
- á ááºáá á¹á ááºáž ááŒáá¯áááºááœá²á·á ááºážááŸá¯á á¡áááºá á á®áá¶ááá·áºááœá²ááŸá¯ IP ááááºá á¬á áááºááŒáááºáá±á¬áááºážááŒá±á¬ááºážáá»á¬ážá á á®áá¶ááá·áºááœá²áá°á¡áá±á¬áá·áºáá»á¬ážá á á®áá¶ááá·áºááœá²ááŸá¯áááá¯ááá¯ááºáá»á¬ážááᯠáááºááŸááºááŒááºážá
- ááá¯ááºá ááºáá»á¬ážááᯠááá·áºááœááºážááŒááºážá ááŒááºáááºááŒááºážááŸáá·áº á¡ááºááááºáá»á¬ážááᯠááá·áºááœááºážááŒááºážá
- áá¯á¶ááŒá¯á¶áá±ážáá¯ááºáá»á¬ážá ááœááºáááºá¡ááºáá¬áá±á·á áºáá»á¬ážá áá¬ááºááŒá±á¬á¡ááœá¬ážá¡áá¬áá°áá«ááá»á¬ážá ááááºá á¬áá¬áá¬ááŒááºááá¯ááŒááºážááᯠááŒááºáááºááŒááºážá
- LDAP á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááá¯ááá¯ááºááŸáá·áº á¡áá¯á¶ážááŒá¯áá°ááœá²ááŒá¬ážáááºááŸááºááŒááºážá¡ááºá¹áá«áááºááᯠááŒááºáááºáááºááŸááºááŒááºážá
- SSL VPN ááᯠá áá áºááá·áºááœááºážááŒááºážá
1. ááŒáá¯áááºáááºááŸááºáá«á
Palo Alto Networks firewall ááᯠconfigure ááŒá¯áá¯ááºááẠá¡ááááááááá¬ááŸá¬ áááºá¡ááºáá¬áá±á·á áºááŒá áºááŒá®áž CLI ááŸáá áºááá·áº á á®áá¶ááá·áºááœá²ááŸá¯áááºáž ááŒá áºááá¯ááºáááºá áá°áááºážá¡á¬ážááŒáá·áºá á á®áá¶ááá·áºááœá²ááŸá¯ á¡ááºáá¬áá±á·á áºááᯠIP ááááºá ᬠ192.168.1.1/24á á¡áá±á¬áá·áºáááºáááº- adminá á áá¬ážááŸááº- admin áᯠáááºááŸááºáá¬ážáááºá
áá°áá®áá±á¬ááœááºáááºá០áááºá¡ááºáá¬áá±á·á áºááᯠáá»áááºáááºááŒááºáž ááá¯á·ááá¯áẠá¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááŒáá·áº ááááºá á¬ááᯠáááºááŒá±á¬ááºážáá²ááá¯ááºáááºá deviceconfig á áá Ạip-address <> netmask <> ááᯠáááºááŸááºáá«á. áááºážááᯠááœá²á·á ááºážááŸá¯áá¯ááºááœáẠáá¯ááºáá±á¬ááºáááºá ááœá²á·á ááºážááŸá¯áá¯ááºááá¯á· ááŒá±á¬ááºážáááºá á¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯áá«á configuration. command ááŒáá·áº áááºáááºáá»á¬ážááᯠá¡áááºááŒá¯ááŒá®ážááŸáᬠfirewall áá±á«áºááŸá ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážá¡á¬ážáá¯á¶áž ááŒá áºáá±á«áºáá«áááºá áá»á°ážááœááºá¡áááá·áºáá±ážááá¯ááºážáá¯ááºááœááºáá±á¬ áááºá¡ááºáá¬áá±á·á áºááœááºáá±á¬á
áááºá¡ááºáá¬áá±á·á áºááŸá áááºáááºáá»á¬ážááᯠááŒá±á¬ááºážáá²ááẠááá¹áááᯠá¡áá¯á¶ážááŒá¯áá«á á ááºáá á¹á ááºáž -> á¡ááœá±ááœá± áááºáááºáá»á¬ážááŸáá·áº á ááºáá á¹á ááºáž -> á á®áá¶ááá·áºááœá²ááŸá¯ á¡ááºáá¬áá±á·á Ạáááºáááºáá»á¬ážá á¡áááºá ááá°ážá ááºážáá»á¬ážá á¡áá»áááºáá¯ááºááŸáá·áº á¡ááŒá¬ážáááºáááºáá»á¬ážááᯠá¡ááœá±ááœá±áááºáááºáá»á¬ážááá¹á (áá¯á¶. 2) ááœáẠáááºááŸááºááá¯ááºáá«áááºá
áá¯á¶ 2 â á
á®áá¶ááá·áºááœá²ááŸá¯ á¡ááºáá¬áá±á·á
Ạáá±á¬ááºáá»á¬áž
á¡áááºá áááºááẠESXi áááºáááºážáá»ááºááœáẠvirtual firewall ááá¯á¡áá¯á¶ážááŒá¯áá«áá á¡ááœá±ááœá±áááºáááºáá»á¬ážááá¹áááœáẠhypervisor ááŸáááºááŸááºáá±ážáá¬ážáá±á¬ MAC ááááºá á¬á¡áá¯á¶ážááŒá¯ááŸá¯ááá¯ááœáá·áºááẠááá¯á¡ááºáááºá ááá¯á·ááá¯áẠhypervisor ááŸá firewall interfaces ááœááºáá±á¬áºááŒáá¬ážáá±á¬ MAC ááááºá á¬áá»á¬ážááᯠconfigure áá¯ááºáááºá ááá¯á·ááá¯áẠáááºáááºáá»á¬ážááá¯ááŒá±á¬ááºážáá²áá«á MAC ááááºá á¬áá»á¬ážááᯠááŒá±á¬ááºážáá²ááœáá·áºááŒá¯ááẠvirtual switches áá»á¬ážá ááá¯ááºááẠáá¬ááºááŒá±á¬á ááŒááºáááºážááŸá¬ ááá¯ááºáá°ážá
á á®áá¶ááá·áºááœá²ááŸá¯á¡ááºáá¬áá±á·á áºááᯠáá®ážááŒá¬ážá á®á á®á ááºáá¬ážááŒá®áž ááœááºáááºá¡ááºáá¬áá±á·á áºáá»á¬ážá á¬áááºážááœáẠáááŒáá«á á¡áááºážáá²ááŸá¬ á á®áá¶ááá·áºááœá²ááŸá¯ á¡ááºáá¬áá±á·á Ạáááºáááºáá»á¬áž á á®áá¶ááá·áºááœá²ááŸá¯ á¡ááºáá¬áá±á·á áºá¡ááœáẠáá¯á¶áá±áá¶áá«ážáá±á«ááºááᯠáááºááŸááºáááºá á¡ááŒá¬ážáá±á¬ static routes áá»á¬ážááᯠvirtual routers ááá¹áááœáẠconfigure áá¯ááºáá¬ážááŒá®ážá áááºážááᯠáá±á¬ááºááá¯ááºážááœáẠááœá±ážááœá±ážáá«áááºá
á¡ááŒá¬ážá¡ááºáá¬áá±á·á áºáá»á¬ážááŸáá áºááá·áº á ááºáá á¹á ááºážááá¯á· áááºáá±á¬ááºááœáá·áºááŒá¯áááºá á á®áá¶ááá·áºááœá²ááŸá¯áááá¯ááá¯ááºááᯠáááºáá®ážááá«áááºá á á®áá¶ááá·áºááœá²ááŸá¯ áááá¯ááá¯áẠá¡ááá¯ááºáž Network -> Network Profiles -> Interface Mgmt áááºážááᯠááá·áºáá»á±á¬áºáá±á¬ á¡ááºáá¬áá±á·á áºááá¯á· áááºááŸááºáá±ážáá«á
ááá¯á·áá±á¬ááºá áááºááẠááá¹áááœáẠDNS ááŸáá·áº NTP ááᯠââconfigure áá¯ááºááẠááá¯á¡ááºáááºá á ááºáá á¹á ááºáž -> áááºáá±á¬ááºááŸá¯áá»á¬áž á¡ááºááááºáá»á¬ážáááºáá¶áááŸááááºááŸáá·áº á¡áá»áááºááŸááºááŸááºáááºáááºááŒáááẠ(áá¯á¶ 3)á áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá firewall ááŸáá¯ááºáá±ážáá±á¬á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááẠá á®áá¶ááá·áºááœá²ááŸá¯á¡ááºáá¬áá±á·á ẠIP ááááºá á¬ááᯠáááºážáá¡áááºážá¡ááŒá ẠIP ááááºá á¬á¡ááŒá Ạá¡áá¯á¶ážááŒá¯áááºá ááá¹áááŸá áá®ážááŒá¬ážáááºáá±á¬ááºááŸá¯áá áºáá¯á á®á¡ááœáẠááá°áá®áá±á¬á¡ááºáá¬áá±á·á áºáá áºáá¯ááᯠáááºáááºááŸááºááá¯ááºáááºá áááºáá±á¬ááºááŸá¯áááºážááŒá±á¬ááºáž ááœá²á·á ááºážááŸá¯.
áá¯á¶ 3 â DNSá NTP ááŸáá·áº á
áá
áºáááºážááŒá±á¬ááºážáá»á¬áž áááºáá±á¬ááºááŸá¯ áá±á¬ááºáá»á¬áž
2. ááá¯ááºá ááºáá»á¬ážááᯠááá·áºááœááºážááŒááºážá á¡ááºááááºáá»á¬ážááᯠá áá áºááá·áºááœááºážááŒááºážááŸáá·áº áááºáááºááŒááºážá
Firewall áá¯ááºáá±á¬ááºáá»ááºá¡á¬ážáá¯á¶ážááᯠá¡ááŒáá·áºá¡ááááºáááºáááºá¡ááœáẠáááºááẠááá¯ááºá
ááºáá
áºáá¯ááᯠááá·áºááœááºážááá«áááºá Palo Alto Networks ááááºáááºáá»á¬ážáá¶á០áá±á¬ááºážááá¯ááŒááºážááŒáá·áº á¡á
ááºážááá¯ááºá
ááºááᯠáááºá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá áááºážáááá¬ážáááºáá¬áááẠ30 áááºááŒá
áºáááºá ááá¯ááºá
ááºááᯠááá¯ááºáá
áºáá¯ááŸáááá·áºááŒá
áºá
á± ááá¯á·ááá¯áẠAuth-Code ááᯠá¡áá¯á¶ážááŒá¯á á¡áááºááœááºážáá¬ážáááºá ááá¯ááºá
ááºáá»á¬ážááᯠááá¹áááœáẠááŒááºáááºáááºááŸááºáá¬ážáááºá á
ááºáá
á¹á
ááºáž -> ááá¯ááºá
ááºáá»á¬áž (áá¯á¶á 4) á
ááá¯ááºá
ááºááᯠááá·áºááœááºážááŒá®ážáá±á¬ááºá ááá¹áááœáẠá¡ááºááááºáá»á¬áž áááºáááºááŒááºážááᯠáá»áááºááŸáááẠááá¯á¡ááºáááºá á
ááºáá
á¹á
ááºáž -> ááá¯ááºážááá
Ạá¡ááºááááºáá»á¬áž.
á¡ááá¯ááºáž áááááᬠ-> áá±á¬á·ááºáá² PAN-OS áá¬ážááŸááºážá¡áá
áºáá»á¬ážááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž ááá·áºááœááºážááá¯ááºáááºá
áá¯á¶ 4 â ááá¯ááºá
ááºááááºážáá»á¯ááºááŸá¯áá±á¬ááº
3. áá¯á¶ááŒá¯á¶áá±ážáá¯ááºáá»á¬ážá ááœááºáááºá¡ááºáá¬áá±á·á áºáá»á¬ážá áá¬ááºááŒá±á¬á¡ááœá¬ážá¡áá¬áá°áá«ááá»á¬ážá ááááºá á¬áá¬áá¬ááŒááºááá¯ááŒááºážááᯠááŒááºáááºááŒááºážá
Palo Alto Networks firewalls áá»á¬ážááẠááœááºáááºá ááºážáá»ááºážáá»á¬ážááᯠááŒááºáááºáááºááŸááºáá¬ááœáẠzone logic ááᯠá¡áá¯á¶ážááŒá¯áááºá ááœááºáááºá¡ááºáá¬áá±á·á áºáá»á¬ážááᯠáá®ážááŒá¬ážáá¯ááºáá áºáá¯á¡ááŒá ẠáááºááŸááºáá±ážáá¬ážááŒá®áž á€áá¯ááºááᯠáá¬ááºá ááºážáááºážáááºážá ááºážáááºážáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯áá«áááºá á€áá»ááºážáááºááŸá¯ááẠá¡áá¬áááºááœááºá á¡ááºáá¬áá±á·á áºáááºáááºáá»á¬ážááᯠááŒá±á¬ááºážáá²ááá·áºá¡áá« áá¬ááºá ááºážáááºážáá»á¬ážááᯠááŒá±á¬ááºážáá²áááºááá¯ááºáá² ááá¯á¡ááºáá±á¬á¡ááºáá¬áá±á·á áºáá»á¬ážááᯠááá·áºáá»á±á¬áºáá±á¬áá¯ááºáá»á¬ážááá¯á· ááŒááºáááºáááºááŸááºáá±ážáááºááŒá áºáááºá áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá áá¯ááºáá áºáá¯á¡ááœááºáž áá¬ááºááŒá±á¬ááááºááá¯á·ááŸá¯ááᯠááœáá·áºááŒá¯áááºá áá¯ááºáá»á¬ážá¡ááŒá¬áž ááœá¬ážáá¬ááŸá¯ááᯠáá¬ážááŒá áºáááºá á€á¡ááœáẠááŒáá¯áááºáááºááŸááºáá¬ážáá±á¬ á ááºážáá»ááºážáá»á¬ážááẠáá¬áááºááŸááá«áááºá intrazone-áá°á О interzone-áá°áááºáž.
áá¯á¶ 5 â áá±ážáááºážáá±ážáá¯ááºáá»á¬áž
á€á¥ááá¬ááœááºá á¡ááœááºážááœááºáááºáá±á«áºááŸá á¡ááºáá¬áá±á·á áºááᯠáá¯ááºá¡ááŒá ẠáááºááŸááºáááºá ááŒááºááœááºážáá±ážááŸáá·áº á¡ááºáá¬áááºááᯠáá»ááºááŸá¬áá°áá¬ážááá·áº áá»ááºááŸá¬ááŒááºááᯠáá¯ááºá¡ááŒá ẠáááºááŸááºáá¬ážáááºá ááŒááºá. SSL VPN á¡ááœááºá á¥áááºá¡ááºáá¬áá±á·á áºááᯠáááºáá®ážááŒá®áž áá¯ááºááá¯á· áááºááŸááºáá±ážáá¬ážáááºá VPN (áá¯á¶á 5) á
Palo Alto Networks firewall network interface áá»á¬ážááẠááá°áá®áá±á¬áá¯ááºáá«ážáá¯ááŒáá·áº áá¯ááºáá±á¬ááºááá¯ááºáááº-
- ááá¯áááá¯ááºáá« - á á±á¬áá·áºááŒáá·áºááŒááºážááŸáá·áº ááœá²ááŒááºážá áááºááŒá¬ááŒááºáž áááºááœááºáá»ááºáá»á¬ážá¡ááœáẠá¡ááœá¬ážá¡áᬠá á¯áá±á¬ááºážááẠá¡áá¯á¶ážááŒá¯áááºá
- HA - á¡á á¯á¡áá±ážáááºáááºááŸá¯á¡ááœááºá¡áá¯á¶ážááŒá¯áááºá
- Virtual Wire - á€áá¯ááºááœááºá Palo Alto Networks ááẠá¡ááºáá¬áá±á·á áºááŸá áºáá¯ááᯠáá±á«ááºážá ááºááŒá®áž MAC ááŸáá·áº IP ááááºá á¬áá»á¬ážááᯠáááŒá±á¬ááºážáá²áá² áááºážááá¯á·ááŒá¬ážááŸá á¡ááœá¬ážá¡áá¬áá»á¬ážááᯠááœáá·áºáááºážááŒááºáá¬á áœá¬ááŒááºáááºážáá«áááºá
- á¡ááœáŸá¬ á - áá¯ááºááŒá±á¬ááºážáá«á
- á¡ááœáŸá¬ á - router áá¯ááº
áá¯á¶ 6 â á¡ááºáá¬áá±á·á
áºáááºáááºááŸá¯áá¯ááºááᯠáááºááŸááºááŒááºážá
á€á¥ááá¬ááœááºá Layer3 áá¯ááºááᯠá¡áá¯á¶ážááŒá¯ááẠ(áá¯á¶á 6)á ááœááºáááºááŒá¬ážáá¶áá±á¬ááºáá»á¬ážááẠIP ááááºá á¬á áááºáááºááŸá¯áá¯ááºááŸáá·áº áááºááá¯ááºáᬠáá¯á¶ááŒá¯á¶áá±ážáá¯ááºááᯠááœáŸááºááŒáááºá á¡ááºáá¬áá±á·á áºááááºáááºááŸá¯áá¯ááºá¡ááŒááºá áááºážááẠPalo Alto Networks ááŸá VRF á á¶ááŒáá áºáá¯á analogue áá áºáá¯ááŒá áºááá·áº Virtual Router ááᯠVirtual Router ááá¯á· áááºáááºááŸááºááááºááŒá áºáááºá Virtual Router áá»á¬ážááẠáá áºáá¯ááŸáá·áºáá áºáᯠáá®ážááŒá¬ážááœá²áá¬ážááŒá®áž áááºážááá¯á·á ááá¯ááºááá¯ááºáááºážááŒá±á¬ááºážáááºááá¬ážáá»á¬ážááŸáá·áº ááœááºáááºáááá¯ááá¯áá±á¬ áááºáááºáá»á¬ážááŸááááºá
virtual router áááºáááºáá»á¬ážááẠstatic routes áá»á¬ážááŸáá·áº routing protocol áááºáááºáá»á¬ážááᯠáááºááŸááºáá±ážáá«áááºá á€á¥ááá¬ááœááºá ááŒááºáááœááºáááºáá»á¬ážáááºáá±á¬ááºáááºá¡ááœáẠáá¯á¶áá±áááºážááŒá±á¬ááºážáá áºáá¯áᬠáááºáá®ážáá¬ážááẠ(áá¯á¶á 7)á
áá¯á¶ 7 â virtual router áá
áºáá¯ááᯠá
áá
áºááá·áºááœááºážááŒááºážá
áá±á¬ááºááœá²á·á ááºážáá¯á¶á¡ááá·áºááŸá¬ áá¬ááºááŒá±á¬ááááºááá¯á·ááŸá¯áá°áá«ááá»á¬ážá á¡ááá¯ááºážááŒá áºáááºá áá°áá«ááá»á¬áž -> áá¯á¶ááŒá¯á¶áá±áž. áá¯á¶ 8 ááœáẠconfiguration áááá°áá¬ááá¯ááŒáá¬ážáááºá á ááºážáá»ááºážáá»á¬ážá logic ááẠfirewalls á¡á¬ážáá¯á¶ážááŸáá·áºá¡áá°áá°ááŒá áºáááºá á ááºážáá»ááºážáá»á¬ážááᯠá¡áá±á«áºááŸá¡á±á¬ááºá áááááœá²á¡áá á á áºáá±ážáááºá á ááºážáááºážáá»ááºá¡áá»ááºážáá±á¬áºááŒáá»ááº-
1. SSL VPN áááºáá±á«áºáááºááá¯á· áááºáá±á¬ááºááœáá·áºá á¡áá±ážááŸáá»áááºáááºááŸá¯áá»á¬ážááᯠá
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááẠáááºáá±á«áºáááºááá¯á· áááºáá±á¬ááºááœáá·áºááŒá¯áááºá
2. VPN á¡ááœá¬ážá¡áᬠâ á¡áá±ážááááºážáá»áááºáááºááŸá¯áá»á¬ážááŸáá·áº áá¯á¶ážáá»á¯ááºá¡ááŒá¬áž áááºážááŒá±á¬ááºážááᯠááœáá·áºááŒá¯áá±ážáááºá
3. á¡ááŒá±áá¶á¡ááºáá¬ááẠâ dnsá pingá tracerouteá ntp á¡ááá®áá±ážááŸááºážáá»á¬ážááᯠááœáá·áºááŒá¯áááºá firewall ááẠport áá¶áá«ááºáá»á¬ážááŸáá·áº protocols áá»á¬ážááẠáááºááŸááºáá»á¬ážá á
áá¬ážááŸááºáá»á¬ážááŸáá·áº heuristics áá»á¬ážááᯠá¡ááŒá±áá¶á á¡ááá®áá±ážááŸááºážáá»á¬ážááᯠááœáá·áºááŒá¯áá¬ážáá±á¬ááŒá±á¬áá·áº áááºáá±á¬ááºááŸá¯ááá¹áááœáẠapplication-default ááŒá
áºáááºáᯠááá¯áá¬ážáááºá á€á¡ááá®áá±ážááŸááºážá¡ááœáẠáá°áááºážááááºáááºáž/áááá¯ááá¯áá±á¬
4. Web Access â á¡ááá®áá±ážááŸááºážááááºážáá»á¯ááºááŸá¯áááŸááá² HTTP ááŸáá·áº HTTPS áááá¯ááá¯áá±á¬áá»á¬ážááŸáá
áºááá·áº á¡ááºáá¬áááºáááºáá±á¬ááºááœáá·áºááᯠááœáá·áºááŒá¯ááŒááºážá
á
.áá á¡ááŒá¬ážá¡ááœá¬ážá¡áá¬áá»á¬ážá¡ááœáẠáá°áááºážá
ááºážáá»ááºážáá»á¬ážá
áá¯á¶ 8 â ááœááºáááºá
ááºážáá»ááºážáá»á¬ážáááºááŸááºááŒááºážááá°áá¬
NAT ááᯠááŒááºáááºáááºááŸááºááẠááá¹áááᯠá¡áá¯á¶ážááŒá¯áá«á áá°áá«ááá»á¬áž -> NAT. NAT configuration á á¥ááá¬ááᯠáá¯á¶ 9 ááœáẠááŒáá¬ážáááºá
áá¯á¶ 9 â NAT ááœá²á·á
ááºážááŸá¯áá¯á¶á
ᶠááá°áá¬
á¡ááœááºážááá¯ááºážá០ááŒááºáááá¯á· ááœá¬ážáá¬ááŸá¯ááá¯ááºážá¡ááœááºá áááºááẠá¡áááºážá¡ááŒá áºááááºá á¬ááᯠfirewall á ááŒááºá IP ááááºá á¬ááá¯á· ááŒá±á¬ááºážáá²ááá¯ááºááŒá®áž dynamic port address (PAT) ááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
4. LDAP á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááá¯ááá¯ááºááŸáá·áº á¡áá¯á¶ážááŒá¯áá°ááœá²ááŒá¬ážáááºááŸááºááŒááºážáá¯ááºáá±á¬ááºáá»ááºááᯠááŒááºáááºáááºááŸááºááŒááºážá
SSL-VPN ááŸáá
áºááá·áº á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠáá»áááºáááºááŒááºážáááŒá¯áá®á áááºááẠá¡áá±á¬ááºá¡áá¬ážá
áá
á
áºááŒááºáž ááá¹ááá¬ážáá
áºáá¯ááᯠáááºááŸááºááẠááá¯á¡ááºáááºá á€á¥ááá¬ááœááºá Palo Alto Networks áááºá¡ááºáá¬áá±á·á
áºááŸáááá·áº Active Directory domain controller ááœáẠá
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááá·áºáááºá
áá¯á¶ 10 â LDAP áááá¯ááá¯ááº
á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒáááºá ááẠconfigure áá¯ááºáááºááá¯á¡ááºáááºá LDAP áááá¯ááá¯áẠО á¡áá±á¬ááºá¡áá¬ážááŒááŒááºáž áááá¯ááá¯ááº... á¡ááá¯ááºážá á ááºáá á¹á ááºáž -> áá¬áá¬áááá¯ááá¯ááºáá»á¬áž -> LDAP (áá¯á¶á 10) áááºááẠááá¯ááááºážááááºážáá»á¯ááºáááááá¬á IP ááááºá á¬ááŸáá·áº ááááºáááºážá LDAP á¡áá»áá¯ážá¡á á¬ážááŸáá·áº á¡á¯ááºá á¯áá»á¬ážááœáẠáá«áááºáá±á¬ á¡áá¯á¶ážááŒá¯áá°á¡áá±á¬áá·áºááᯠáááºááŸááºááẠááá¯á¡ááºáááºá áá¬áá¬á¡á±á¬áºááá±áá¬áá»á¬áž, ááœá²ááŸááºáááºážá á¬áááºáá°áá»á¬áž, ááŒáá·áºáá±áá¬ážáá±á¬ COM á¡áá¯á¶ážááŒá¯áá°áá»á¬áž. ááá¯á·áá±á¬ááºá¡ááá¯ááºážá á ááºáá á¹á ááºáž -> á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬áž áááá¯ááá¯áẠá¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºáž áááá¯ááá¯ááºáá áºáá¯áááºáá®ážáá« (áá¯á¶á 11)á ááááºáááºáá®ážáá¬ážááá·áºáá áºáá¯ááᯠá¡ááŸááºá¡áá¬ážááŒá¯áá«á LDAP áááá¯ááá¯áẠááŸáá·áº Advanced áááºááºááœáẠá¡áá±ážááŸáááºáá±á¬ááºááœáá·áºááᯠááœáá·áºááŒá¯áá¬ážáá±á¬ áá¯á¶ážá áœá²áá°á¡á¯ááºá ᯠ(áá¯á¶ 12) ááᯠáá»áœááºá¯ááºááá¯á·ááœáŸááºááŒáá«áááºá ááá·áºáááá¯ááá¯ááºááŸá parameter ááá¯ááŸááºáá¬ážáááºá¡áá±ážááŒá®ážáá«áááºá á¡áá¯á¶ážááŒá¯áá° Domainááá¯ááºáá«á á¡ááœá²á·á¡ááŒá±ááŒá¯ááœáá·áºááŒá¯áá»ááºááẠá¡áá¯ááºáááŒá áºáá«á á¡ááœááºááẠNetBIOS ááá¯ááááºážá¡áááºááᯠááœáŸááºááŒááá«áááºá
áá¯á¶ 11 â á¡áá±á¬ááºá¡áá¬ážááŒááŒááºáž áááá¯ááá¯ááº
áá¯á¶ 12 â AD á¡á¯ááºá
á¯ááœá±ážáá»ááºááŸá¯
áá±á¬ááºáá áºááá·áºááá±á¬á· setup áá«á á ááºáá á¹á ááºáž -> á¡áá¯á¶ážááŒá¯áá° ááœá²ááŒá¬ážáááºááŸááºááŒááºážá. á€áá±áá¬ááœáẠáááºááẠdomain controller á IP ááááºá á¬á áá»áááºáááºááŸá¯ááá¯ááºáᬠá¡áá±á¬ááºá¡áá¬ážáá»á¬ážááŸáá·áº áááºáááºáá»á¬ážááᯠconfigure áá¯ááºááẠááá¯á¡ááºáá«áááºá áá¯á¶ááŒá¯á¶áá±ážááŸááºáááºážááᯠááœáá·áºáá«á, Session ááá¯ááœáá·áºáá«á, Probing ááá¯ááœáá·áºáá«á (áá¯á¶á 13)á á¡áááºážáá²ááŸá¬ á¡ááœá²á·ááá¯ááºááŒá±áá¯á¶ááœá²ááŒááºážá (áá¯á¶á 14) LDAP ááŸá á¡áá¬ááá¹áá¯áá»á¬ážááᯠááœá²ááŒá¬ážáááºááŸááºááŒááºážá¡ááœáẠááá·áºáááºáá»ááºáá»á¬ážááŸáá·áº ááœáá·áºááŒá¯áá»ááºá¡ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº á¡á¯ááºá á¯áá»á¬ážá á¬áááºážááᯠáááºááŸááºáá¬ážáá¬ážááẠááá¯á¡ááºáá«áááºá Authentication Profile ááœááºáá²á·ááá¯á·áááºá á€áá±áá¬ááœáẠáááºááẠUser Domain áá«áá¬áá®áá¬ááᯠáááºááŸááºááẠááá¯á¡ááºáááºá
áá¯á¶ 13 â á¡áá¯á¶ážááŒá¯áá°ááŒá±áá¯á¶ááœá²ááŒááºáž áá±á¬ááºáá»á¬áž
áá¯á¶ 14 â Group Mapping áá±á¬ááºáá»á¬áž
á€á¡ááá·áºááá±á¬ááºáá¯á¶ážá¡ááá·áºááŸá¬ VPN áá¯ááºáá áºáá¯ááŸáá·áº ááá¯áá¯ááºá¡ááœáẠá¡ááºáá¬áá±á·á áºáá áºáá¯ááᯠáááºáá®ážáááºááŒá áºáááºá á¡ááºáá¬áá±á·á áºáá±á«áºááŸá option ááá¯áááºááœáá·áºáááºááá¯á¡ááºáááºá á¡áá¯á¶ážááŒá¯áá° á¡áá±á¬ááºá¡áá¬ážááᯠááœáá·áºáá«á (áá¯á¶á 15) á
áá¯á¶ 15 â VPN áá¯ááºáá
áºáᯠáááºááŸááºááŒááºážá
5. SSL VPN ááᯠá áá áºááá·áºááœááºážááŒááºážá
SSL VPN ááá¯á·ááá»áááºáááºáá®á á¡áá±ážááááºážá¡áá¯á¶ážááŒá¯áá°ááẠáááºáá±á«áºáááºááá¯á·ááœá¬ážá á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒá®áž Global Protect client ááᯠáá±á«ááºážáá¯ááºáá¯ááºááá«áááºá ááá¯á·áá±á¬ááºá á€áá±á¬ááºáááºááẠá¡áá±á¬ááºá¡áá¬ážáá»á¬ážáá±á¬ááºážááá¯ááŒá®áž áá±á¬áºááá¯ááááºááœááºáááºááá¯á· áá»áááºáááºáááºááŒá áºáááºá áááºáá±á«áºáááºááẠhttps áá¯ááºááœáẠáá¯ááºáá±á¬ááºáá±ááŒá®áž áááºážá¡ááœáẠáááºááŸááºáá áºáᯠááá·áºááœááºážááẠááá¯á¡ááºáááºá ááŒá áºááá¯ááºáá»áŸáẠá¡áá»á¬ážáá°ááŸá¬ áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯áá«á ááá¯á·áá±á¬áẠá¡áá¯á¶ážááŒá¯áá°ááẠáááºááá¯ááºááŸá áááºááŸááºáááá¬ážááááºááŸá¯ááŸáá·áºáááºáááºá ááááá±ážáá»ááºááᯠáááºáá¶áááŸááááºááá¯ááºáá«á á¡áá»á¬ážáá°ááŸá¬ áááºááŸááºááᯠá¡áá¯á¶ážáááŒá¯ááá¯ááºáá«á https á¡ááœáẠáááºá á¬áá»ááºááŸá¬ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº ááá·áºááá¯ááºááá¯áẠáá¯ááºáá±ážááẠááá¯á¡ááºáá«áááºá áááºážááᯠááá¯ááºááá¯ááºáááºááŸááºááá¯ážááŒááºáž ááá¯á·ááá¯áẠáá±áááá¯ááºáᬠá¡ááá¡ááŸááºááŒá¯áááºááŸáẠá¡á¬áá¬ááá¯ááºááŸáá áºááá·áº áá¯ááºáá±ážááá¯ááºáááºá á¡áá±ážááááºážááœááºááŒá°áá¬ááœáẠá¡áá¯á¶ážááŒá¯áá°ááẠáááºáá±á«áºáááºááá¯á· áá»áááºáááºáá¬ááœáẠá¡ááŸá¬ážá¡ááœááºážáá áºáá¯ááááŸáá á±ááẠáá¯á¶ááŒááºá áááºáá»ááá±á¬ á¡ááŒá áºá¡á¬áá¬ááá¯ááºá á¬áááºážááœáẠá¡ááŒá Ạááá¯á·ááá¯áẠááá¯ááºááá¯ááºáááºááŸááºááá¯ážáá¬ážáá±á¬ áááºááŸááºáá áºáᯠááŸáááá«áááºá á€á¥ááá¬ááẠActive Directory Certificate Services ááŸáááá·áºáá¯ááºáá±ážáá±á¬ áááºááŸááºááᯠá¡áá¯á¶ážááŒá¯áá«áááºá
áááºááŸááºáá¯ááºáá±ážáááºá ááá¹áááœáẠáááºááŸááºáá±á¬ááºážááá¯ááŸá¯ááᯠáááºáá®ážááẠááá¯á¡ááºáááºá á ááºáá á¹á ááºáž -> áááºááŸááºá á®áá¶ááá·áºááœá²ááŸá¯ -> áááºááŸááºáá»á¬áž -> áá¯ááºáá±ážáááºá. áá±á¬ááºážááá¯áá»ááºááœáẠáá»áœááºá¯ááºááá¯á·ááẠáááºááŸááºáá¡áááºááŸáá·áº áááºáá±á«áºáááºá IP ááááºá ᬠááá¯á·ááá¯áẠFQDN (áá¯á¶ 16) ááᯠááœáŸááºááŒáá«áááºá áá±á¬ááºážááá¯áá»ááºááᯠáááºáá®ážááŒá®ážáá±á¬áẠáá±á«ááºážáá¯ááºáá¯ááºáá«á .csr ááá¯ááºááŸáá·áº áááºážáá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠAD CS Web Enrollment áááºáá±á¬ááºááŸá áááºááŸááºáá±á¬ááºážááá¯ááŸá¯á¡ááœááºááá¯á· áá°ážáá°áá«á áááºááŸááºá¡á¬áá¬ááᯠáááºááá¯áá¯á¶á á¶áá²á· ááŒááºáááºáááºááŸááºáá¬ážááá²áá±á«áºáá°áááºááŒá®áž áááºááŸááºáá±á¬ááºážááá¯ááŸá¯ááᯠá¡áááºááŒá¯ááááºááŒá áºááŒá®áž áá¯ááºáá±ážáá¬ážáá±á¬ áááºááŸááºááᯠáá±á¬áºáááºááŒáá·áº áá±á«ááºážáá¯ááºáá¯ááºááá«áááºá Base64 áá¯ááºááœááºážáá¬ážáá±á¬ áááºááŸááº. ááá¯á·á¡ááŒááºá áááºááẠá¡ááá¡ááŸááºááŒá¯áááºááŸááºá¡á¬áá¬ááá¯ááºá root áááºááŸááºááᯠáá±á«ááºážáá¯ááºáá¯ááºááẠááá¯á¡ááºáááºá ááá¯á·áá±á¬áẠáááºááŸááºááŸá áºáá¯áá¯á¶ážááᯠFirewall ááá¯á· áááºááœááºážááẠááá¯á¡ááºáááºá áááºáá±á«áºáááºá¡ááœáẠáááºááŸááºááᯠáááºááœááºážááá·áºá¡áá«á ááá¯ááºážáá¶á·áá¬ážááá·áº á¡ááŒá±á¡áá±ááœáẠáá±á¬ááºážááá¯áá»ááºááᯠááœá±ážáá»ááºááŒá®áž áááºááœááºážááŸá¯ááᯠááŸáááºááá«áááºá áááºááŸááºá¡áááºááẠáá±á¬ááºážááá¯áá»ááºááœáẠá¡á á±á¬ááá¯ááºážá áááºááŸááºáá¬ážáá±á¬ á¡áááºááŸáá·áº ááá¯ááºáá®ááá«áááºá á¡áááºážáááºááŸááºáá¡áááºááᯠááá¯ááºáááºá á®ážáááºážáááºááŸááºááá¯ááºáááºá áááºááŸááºááá¯áááºááœááºážááŒá®ážáá±á¬ááºá áááºáááºáá®ážáááºááá¯á¡ááºáááºá SSL/TLS áááºáá±á¬ááºááŸá¯ áááá¯ááá¯áẠá¡ááá¯ááºáž á ááºáá á¹á ááºáž -> áááºááŸááºá á®áá¶ááá·áºááœá²ááŸá¯. áááá¯ááá¯ááºááœáẠáá»áœááºá¯ááºááá¯á·ááẠááááºáááºááœááºážáá¬ážáá±á¬ áááºááŸááºááᯠááœáŸááºááŒáá«áááºá
áá¯á¶ 16 - áááºááŸááºáá±á¬ááºážáá¶ááŒááºážá
áá±á¬ááºáá áºááá·áºááŸá¬ á¡áá¬ááá¹áá¯áá»á¬ážááᯠáááºááŸááºááŒááºáž ááŒá áºáááºá Global Protect Gateway О Global Protect Portal á¡ááá¯ááºáž ááœááºááẠ-> ááá¹áá¬áá¯á¶ážááá¯ááºáᬠáá¬ááœááºááŸá¯. áááºáááºáá»á¬ážááœáẠGlobal Protect Gateway Firewall á ááŒááºá IP ááááºá á¬á¡ááŒáẠááááºá áááºáá®ážáá¬ážáá±á¬ ááááºá á¬ááᯠááœáŸááºááŒáá«á SSL Profile, á¡áá±á¬ááºá¡áá¬ážááŒááŒááºáž áááá¯ááá¯ááºá á¥áááºá¡ááºáá¬áá±á·á áºááŸáá·áº áá¯á¶ážá áœá²áá° IP áááºáááºáá»á¬ážá Client ááá¯á· ááááºá á¬áááºááŸááºáá±ážááá·áº IP ááááºá á¬áá±á«ááºážá á¯áá áºáá¯á¡á¬áž áááºáááºááŸááºáááºááá¯á¡ááºááŒá®áž Access Route - áááºážááá¯á·ááẠclient ááœáẠáááºážááŒá±á¬ááºážáá áºáá¯ááŸáááá·áº subnets áá»á¬ážááŒá áºáááºá á¡áááºá á¡áá¯ááºááẠfirewall ááŸáááá·áºá¡áá¯á¶ážááŒá¯áá°á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááá¯ááŒá¯á¶áááºááŒá áºáá«áá áááºááẠsubnet 0.0.0.0/0 (áá¯á¶. 17) ááá¯áááºááŸááºáááºááá¯á¡ááºáááºá
áá¯á¶ 17 â IP ááááºá
á¬áá»á¬ážááŸáá·áº áááºážááŒá±á¬ááºážáá»á¬áž áá±á«ááºážáá°ážááœá²á·á
ááºážááŸá¯
ááá¯á·áá±á¬ááºááẠconfigure áá¯ááºáááºááá¯á¡ááºáááºá Global Protect Portal. Firewall á IP ááááºá á¬ááᯠáááºááŸááºáá«á SSL Profile О á¡áá±á¬ááºá¡áá¬ážááŒááŒááºáž áááá¯ááá¯áẠááŸáá·áº client áá»áááºáááºááá·áº firewalls áá»á¬ážá ááŒááºá IP ááááºá á¬áá»á¬ážá á¬áááºážá Firewall á¡áá»á¬ážá¡ááŒá¬ážááŸááá«áá á¡áá¯á¶ážááŒá¯áá°áá»á¬ážáá»áááºáááºááá·áº firewall ááá¯ááœá±ážáá»ááºááá·áºá¡ááá¯áẠáá áºáá¯á á®á¡ááœáẠáŠážá á¬ážáá±ážáááºááŸááºááá¯ááºáááºá
á¡ááá¯ááºáž á ááºáá á¹á ááºáž -> GlobalProtect áááá¯ááºážááá·áº Palo Alto Networks áá¬áá¬áá»á¬ážá០VPN áá¯á¶ážá áœá²áá°ááŒáá·áºáá»á®ááŸá¯ááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž áááºážááᯠá¡áááºááœááºážááẠááá¯á¡ááºáááºá áá»áááºáááºáááºá á¡áá¯á¶ážááŒá¯áá°ááẠáá±á«ááºážáá¯ááºáá¯ááºááẠáá±á¬ááºážááá¯ááá·áº portal áááºá á¬áá»ááºááŸá¬ááá¯á· ááœá¬ážááááºááŒá áºáááºá GlobalProtect áá±á¬ááºáááº. áá±á«ááºážáá¯ááºáá¯ááºááŒá®áž ááá·áºááœááºážááŒá®ážáááºááŸáá·áºá áááºááẠáááºáá¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠááá·áºááœááºážááŒá®áž SSL VPN ááŸáá áºááá·áº áááºááá±á¬áºááá¯ááááºááœááºáááºááá¯á· áá»áááºáááºááá¯ááºáá«áááºá
áá±á¬ááºáá»ááº
áááºážááẠá
áá
áºááá·áºááœááºážááŸá¯á Palo Alto Networks á¡á
áááºá¡ááá¯ááºážááᯠá¡ááŒá®ážáááºá
á±áááºá á¡áá»ááºá¡áááºáá»á¬ážááẠá¡áá¯á¶ážáááºááŒá®áž Palo Alto Networks ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº áááºážááá¬áá»á¬ážááᯠá
á¬áááºáá°áá»á¬áž áá¬ážáááºááá±á¬áá±á«ááºáá¬á
á±ááẠáá»áŸá±á¬áºááá·áºáá«áááºá áá±á¬ááºáá±á¬ááºážáá«ážáá»á¬ážá¡ááœáẠáá±á«ááºážá
ááºááá·áºááœááºážááŒááºážááŸáá·áº á¡ááŒá¶ááŒá¯áá»ááºáá»á¬ážááŸáá·áºáááºáááºááá·áº áá±ážááœááºážáá»á¬ážááŸááá«á ááŸááºáá»ááºáá»á¬ážááœáẠáá±ážáá±ážáá«á áá»áœááºá¯ááºááá¯á· áá»á±áááºá
áœá¬ ááŒá±ááŒá¬ážáá±ážáá«áááºá
source: www.habr.com