🥇पालो अल्टो नेटवर्क सेटअप सुविधाहरू: SSL VPN

पालो अल्टो सञ्जाल फायरवालहरूको सबै फाइदाहरूको बावजुद, यी उपकरणहरू सेटअप गर्न रुनेटमा धेरै सामग्री छैन, साथै तिनीहरूको कार्यान्वयनको अनुभव वर्णन गर्ने पाठहरू। हामीले यस विक्रेताको उपकरणसँग हाम्रो कामको क्रममा संकलन गरेका सामग्रीहरू संक्षेप गर्ने र विभिन्न परियोजनाहरूको कार्यान्वयनको क्रममा हामीले सामना गरेका सुविधाहरूको बारेमा कुरा गर्ने निर्णय गर्यौं।

तपाईंलाई Palo Alto Networks मा परिचय गराउनको लागि, यस लेखले सबैभन्दा सामान्य फायरवाल कार्यहरू मध्ये एक समाधान गर्न आवश्यक कन्फिगरेसनलाई हेर्नेछ - टाढाको पहुँचको लागि SSL VPN। हामी सामान्य फायरवाल कन्फिगरेसन, प्रयोगकर्ता पहिचान, अनुप्रयोगहरू, र सुरक्षा नीतिहरूको लागि उपयोगिता प्रकार्यहरूको बारेमा पनि कुरा गर्नेछौं। यदि विषय पाठकहरूको लागि चासोको छ भने, भविष्यमा हामी Panorama प्रयोग गरेर साइट-टु-साइट VPN, गतिशील मार्ग र केन्द्रीकृत व्यवस्थापन विश्लेषण गर्ने सामग्रीहरू जारी गर्नेछौं।

पालो अल्टो नेटवर्क फायरवालहरूले एप-आईडी, प्रयोगकर्ता-आईडी, सामग्री-आईडी सहित धेरै नवीन प्रविधिहरू प्रयोग गर्छन्। यस प्रकार्यको प्रयोगले तपाईंलाई उच्च स्तरको सुरक्षा सुनिश्चित गर्न अनुमति दिन्छ। उदाहरणका लागि, एप-आईडी मार्फत SSL टनेल भित्र लगायत प्रयोग गरिएको पोर्ट र प्रोटोकलको पर्वाह नगरी हस्ताक्षर, डिकोडिङ र हेरिस्टिक्समा आधारित अनुप्रयोग ट्राफिक पहिचान गर्न सम्भव छ। प्रयोगकर्ता-आईडीले तपाईंलाई LDAP एकीकरण मार्फत नेटवर्क प्रयोगकर्ताहरू पहिचान गर्न अनुमति दिन्छ। सामग्री-आईडीले ट्राफिक स्क्यान गर्न र प्रसारित फाइलहरू र तिनीहरूको सामग्रीहरू पहिचान गर्न सम्भव बनाउँछ। अन्य फायरवाल प्रकार्यहरूमा घुसपैठ सुरक्षा, कमजोरीहरू र DoS आक्रमणहरू विरुद्ध सुरक्षा, निर्मित एन्टि-स्पाइवेयर, URL फिल्टरिङ, क्लस्टरिङ, र केन्द्रीकृत व्यवस्थापन समावेश छ।

प्रदर्शनको लागि, हामी उपकरण नामहरू, AD डोमेन नाम र IP ठेगानाहरू बाहेक, वास्तविकसँग मिल्दोजुल्दो कन्फिगरेसनको साथ, एक अलग स्ट्यान्ड प्रयोग गर्नेछौं। वास्तवमा, सबै कुरा अधिक जटिल छ - त्यहाँ धेरै शाखा हुन सक्छ। यस अवस्थामा, एकल फायरवालको सट्टा, केन्द्रीय साइटहरूको सीमामा क्लस्टर स्थापना गरिनेछ, र गतिशील मार्ग पनि आवश्यक हुन सक्छ।

स्ट्यान्डमा प्रयोग गरिन्छ PAN-OS 7.1.9। एक सामान्य कन्फिगरेसनको रूपमा, किनारमा पालो अल्टो नेटवर्क फायरवाल भएको नेटवर्कलाई विचार गर्नुहोस्। फायरवालले मुख्य कार्यालयमा टाढाको SSL VPN पहुँच प्रदान गर्दछ। सक्रिय निर्देशिका डोमेन प्रयोगकर्ता डाटाबेस (चित्र 1) को रूपमा प्रयोग गरिनेछ।

चित्र १ – नेटवर्क ब्लक रेखाचित्र

सेटअप चरणहरू:

उपकरण पूर्व कन्फिगरेसन। नाम, व्यवस्थापन IP ठेगाना, स्थिर मार्गहरू, प्रशासक खाताहरू, व्यवस्थापन प्रोफाइलहरू सेट गर्दै
इजाजतपत्रहरू स्थापना गर्दै, कन्फिगर गर्दै र अद्यावधिकहरू स्थापना गर्दै
सुरक्षा क्षेत्रहरू, नेटवर्क इन्टरफेसहरू, ट्राफिक नीतिहरू, ठेगाना अनुवाद कन्फिगर गर्दै
LDAP प्रमाणीकरण प्रोफाइल र प्रयोगकर्ता पहिचान सुविधा कन्फिगर गर्दै
SSL VPN सेटअप गर्दै

1. पूर्वनिर्धारित

पालो अल्टो नेटवर्क फायरवाल कन्फिगर गर्ने मुख्य उपकरण वेब इन्टरफेस हो; CLI मार्फत व्यवस्थापन पनि सम्भव छ। पूर्वनिर्धारित रूपमा, व्यवस्थापन इन्टरफेस आईपी ठेगाना 192.168.1.1/24 मा सेट गरिएको छ, लगइन: व्यवस्थापक, पासवर्ड: व्यवस्थापक।

तपाइँ एउटै नेटवर्कबाट वेब इन्टरफेसमा जडान गरेर वा आदेश प्रयोग गरेर ठेगाना परिवर्तन गर्न सक्नुहुन्छ उपकरण कन्फिगरेसन प्रणाली आईपी-ठेगाना <> नेटमास्क <> सेट गर्नुहोस्। यो कन्फिगरेसन मोड मा प्रदर्शन गरिएको छ। कन्फिगरेसन मोडमा स्विच गर्न, आदेश प्रयोग गर्नुहोस् कन्फिगर। फायरवालमा भएका सबै परिवर्तनहरू आदेशद्वारा सेटिङहरू पुष्टि भएपछि मात्र हुन्छन् प्रतिबद्ध, दुबै कमाण्ड लाइन मोड र वेब इन्टरफेसमा।

वेब इन्टरफेसमा सेटिङहरू परिवर्तन गर्न, खण्ड प्रयोग गर्नुहोस् उपकरण -> सामान्य सेटिङहरू र उपकरण -> व्यवस्थापन इन्टरफेस सेटिङहरू। नाम, ब्यानर, समय क्षेत्र र अन्य सेटिङहरू सामान्य सेटिङहरू खण्ड (चित्र 2) मा सेट गर्न सकिन्छ।

चित्र २ - व्यवस्थापन इन्टरफेस प्यारामिटरहरू

यदि तपाइँ ESXi वातावरणमा भर्चुअल फायरवाल प्रयोग गर्नुहुन्छ भने, सामान्य सेटिङ खण्डमा तपाइँले हाइपरभाइजरद्वारा तोकिएको MAC ठेगानाको प्रयोग सक्षम गर्न आवश्यक छ, वा हाइपरभाइजरमा फायरवाल इन्टरफेसहरूमा निर्दिष्ट गरिएको MAC ठेगानाहरू कन्फिगर गर्नुहोस्, वा सेटिङहरू परिवर्तन गर्नुहोस्। MAC लाई ठेगानाहरू परिवर्तन गर्न अनुमति दिन भर्चुअल स्विचहरू। अन्यथा, यातायात पास हुनेछैन।

व्यवस्थापन इन्टरफेस छुट्टै कन्फिगर गरिएको छ र नेटवर्क इन्टरफेसहरूको सूचीमा प्रदर्शित हुँदैन। अध्यायमा व्यवस्थापन इन्टरफेस सेटिङहरू व्यवस्थापन इन्टरफेसको लागि पूर्वनिर्धारित गेटवे निर्दिष्ट गर्दछ। अन्य स्थिर मार्गहरू भर्चुअल राउटर सेक्सनमा कन्फिगर गरिएका छन्; यो पछि छलफल गरिनेछ।

अन्य इन्टरफेसहरू मार्फत उपकरणमा पहुँच अनुमति दिन, तपाईंले व्यवस्थापन प्रोफाइल सिर्जना गर्नुपर्छ व्यवस्थापन प्रोफाइल खण्ड नेटवर्क -> नेटवर्क प्रोफाइल -> इन्टरफेस Mgmt र यसलाई उपयुक्त इन्टरफेसमा असाइन गर्नुहोस्।

अर्को, तपाईंले सेक्सनमा DNS र NTP कन्फिगर गर्न आवश्यक छ यन्त्र -> सेवाहरू अद्यावधिकहरू प्राप्त गर्न र समय सही रूपमा प्रदर्शन गर्न (चित्र 3)। पूर्वनिर्धारित रूपमा, फायरवाल द्वारा उत्पन्न सबै ट्राफिकले यसको स्रोत आईपी ठेगानाको रूपमा व्यवस्थापन इन्टरफेस IP ठेगाना प्रयोग गर्दछ। तपाईंले खण्डमा प्रत्येक विशिष्ट सेवाको लागि फरक इन्टरफेस तोक्न सक्नुहुन्छ सेवा मार्ग कन्फिगरेसन.

चित्र ३ – DNS, NTP र प्रणाली मार्ग सेवा प्यारामिटरहरू

2. इजाजतपत्रहरू स्थापना गर्दै, अद्यावधिकहरू सेटअप र स्थापना गर्दै

सबै फायरवाल प्रकार्यहरूको पूर्ण सञ्चालनको लागि, तपाईंले इजाजतपत्र स्थापना गर्नुपर्छ। तपाईंले पालो अल्टो नेटवर्क साझेदारहरूबाट अनुरोध गरेर परीक्षण इजाजतपत्र प्रयोग गर्न सक्नुहुन्छ। यसको वैधता अवधि 30 दिन हो। इजाजतपत्र या त फाइल मार्फत वा प्रमाण-कोड प्रयोग गरेर सक्रिय गरिएको छ। खण्डमा इजाजतपत्रहरू कन्फिगर गरिएका छन् यन्त्र -> इजाजतपत्रहरू (चित्र 4)
इजाजतपत्र स्थापना गरेपछि, तपाईंले सेक्सनमा अद्यावधिकहरूको स्थापना कन्फिगर गर्न आवश्यक छ यन्त्र -> गतिशील अपडेटहरू.
खण्ड उपकरण -> सफ्टवेयर तपाईं PAN-OS को नयाँ संस्करणहरू डाउनलोड र स्थापना गर्न सक्नुहुन्छ।

चित्र 4 - लाइसेन्स नियन्त्रण प्यानल

3. सुरक्षा क्षेत्रहरू कन्फिगर गर्दै, नेटवर्क इन्टरफेसहरू, ट्राफिक नीतिहरू, ठेगाना अनुवाद

पालो अल्टो नेटवर्क फायरवालहरूले नेटवर्क नियमहरू कन्फिगर गर्दा क्षेत्र तर्क प्रयोग गर्दछ। नेटवर्क इन्टरफेसहरू एक विशेष क्षेत्रमा तोकिएका छन्, र यो क्षेत्र ट्राफिक नियमहरूमा प्रयोग गरिन्छ। यस दृष्टिकोणले भविष्यमा, इन्टरफेस सेटिङहरू परिवर्तन गर्दा, ट्राफिक नियमहरू परिवर्तन गर्न होइन, तर उपयुक्त क्षेत्रहरूमा आवश्यक इन्टरफेसहरू पुन: नियुक्त गर्न अनुमति दिन्छ। पूर्वनिर्धारित रूपमा, एक क्षेत्र भित्र ट्राफिक अनुमति छ, जोन बीच ट्राफिक निषेधित छ, पूर्वनिर्धारित नियमहरू यसको लागि जिम्मेवार छन् intrazone-पूर्वनिर्धारित и interzone-पूर्वनिर्धारित.

चित्र ५ – सुरक्षा क्षेत्रहरू

यस उदाहरणमा, आन्तरिक नेटवर्कमा इन्टरफेस जोनमा तोकिएको छ आन्तरिक, र इन्टरनेटको सामना गर्ने इन्टरफेस जोनमा तोकिएको छ बाह्य। SSL VPN को लागि, एउटा सुरुङ इन्टरफेस सिर्जना गरी जोनमा तोकिएको छ VPN (चित्र 5)

पालो अल्टो नेटवर्क फायरवाल नेटवर्क इन्टरफेसहरू पाँच फरक मोडहरूमा सञ्चालन गर्न सक्छन्:

ट्याप गर्नुहोस् - अनुगमन र विश्लेषण उद्देश्यका लागि ट्राफिक सङ्कलन गर्न प्रयोग गरियो
HA - क्लस्टर सञ्चालनको लागि प्रयोग गरिन्छ
भर्चुअल तार - यस मोडमा, पालो अल्टो नेटवर्कले दुई इन्टरफेसहरू संयोजन गर्दछ र MAC र IP ठेगानाहरू परिवर्तन नगरी पारदर्शी रूपमा तिनीहरूको बीचमा ट्राफिक पास गर्दछ।
लेयर २ - स्विच मोड
लेयर २ - राउटर मोड

चित्र 6 - इन्टरफेस अपरेटिङ मोड सेट गर्दै

यस उदाहरणमा, Layer3 मोड प्रयोग गरिनेछ (चित्र 6)। नेटवर्क इन्टरफेस प्यारामिटरहरूले IP ठेगाना, अपरेटिङ मोड र सम्बन्धित सुरक्षा क्षेत्रलाई संकेत गर्दछ। इन्टरफेसको अपरेटिङ मोडको अतिरिक्त, तपाईंले यसलाई भर्चुअल राउटर भर्चुअल राउटरमा असाइन गर्नुपर्छ, यो Palo Alto नेटवर्कहरूमा VRF उदाहरणको एनालग हो। भर्चुअल राउटरहरू एकअर्काबाट अलग छन् र तिनीहरूको आफ्नै रूटिङ तालिकाहरू र नेटवर्क प्रोटोकल सेटिङहरू छन्।

भर्चुअल राउटर सेटिङहरूले स्थिर मार्गहरू र रूटिङ प्रोटोकल सेटिङहरू निर्दिष्ट गर्दछ। यस उदाहरणमा, बाह्य नेटवर्कहरू पहुँच गर्नको लागि केवल पूर्वनिर्धारित मार्ग सिर्जना गरिएको छ (चित्र 7)।

चित्र 7 - भर्चुअल राउटर सेटअप गर्दै

अर्को कन्फिगरेसन चरण ट्राफिक नीतिहरू, खण्ड हो नीतिहरू -> सुरक्षा। कन्फिगरेसनको उदाहरण चित्र 8 मा देखाइएको छ। नियमहरूको तर्क सबै फायरवालहरूको लागि समान छ। नियमहरू माथिदेखि तलसम्म, पहिलो खेलमा तल जाँच गरिन्छ। नियमहरूको संक्षिप्त विवरण:

1. वेब पोर्टलमा SSL VPN पहुँच। टाढाको जडानहरू प्रमाणीकरण गर्न वेब पोर्टलमा पहुँच अनुमति दिन्छ
2. VPN ट्राफिक - रिमोट जडानहरू र मुख्य कार्यालय बीच ट्राफिक अनुमति दिँदै
3. आधारभूत इन्टरनेट - dns, ping, traceroute, ntp अनुप्रयोगहरूलाई अनुमति दिँदै। फायरवालले पोर्ट नम्बरहरू र प्रोटोकलहरूको सट्टा हस्ताक्षर, डिकोडिङ, र हेरिस्टिक्समा आधारित अनुप्रयोगहरूलाई अनुमति दिन्छ, त्यसैले सेवा खण्डले अनुप्रयोग-पूर्वनिर्धारित भन्छ। यस अनुप्रयोगको लागि पूर्वनिर्धारित पोर्ट/प्रोटोकल
4. वेब पहुँच - अनुप्रयोग नियन्त्रण बिना HTTP र HTTPS प्रोटोकल मार्फत इन्टरनेट पहुँच अनुमति दिँदै
५.६। अन्य यातायातका लागि पूर्वनिर्धारित नियमहरू।

चित्र 8 — नेटवर्क नियमहरू सेटअप गर्ने उदाहरण

NAT कन्फिगर गर्न, खण्ड प्रयोग गर्नुहोस् नीतिहरू -> NAT। NAT कन्फिगरेसनको उदाहरण चित्र 9 मा देखाइएको छ।

चित्र ९ - NAT कन्फिगरेसनको उदाहरण

आन्तरिक देखि बाह्य कुनै पनि ट्राफिकको लागि, तपाइँ फायरवालको बाह्य आईपी ठेगानामा स्रोत ठेगाना परिवर्तन गर्न सक्नुहुन्छ र डायनामिक पोर्ट ठेगाना (PAT) प्रयोग गर्न सक्नुहुन्छ।

4. LDAP प्रमाणीकरण प्रोफाइल र प्रयोगकर्ता पहिचान प्रकार्य कन्फिगर गर्दै
SSL-VPN मार्फत प्रयोगकर्ताहरू जडान गर्नु अघि, तपाईंले प्रमाणीकरण संयन्त्र कन्फिगर गर्न आवश्यक छ। यस उदाहरणमा, पालो अल्टो नेटवर्क वेब इन्टरफेस मार्फत सक्रिय निर्देशिका डोमेन नियन्त्रकमा प्रमाणीकरण हुनेछ।

चित्र 10 - LDAP प्रोफाइल

काम गर्न प्रमाणिकरणको लागि, तपाईंले कन्फिगर गर्न आवश्यक छ LDAP प्रोफाइल и प्रमाणीकरण प्रोफाइल। सेक्सनमा यन्त्र -> सर्भर प्रोफाइल -> LDAP (चित्र 10) तपाईंले डोमेन नियन्त्रकको IP ठेगाना र पोर्ट, LDAP प्रकार र समूहहरूमा समावेश प्रयोगकर्ता खाता निर्दिष्ट गर्न आवश्यक छ। सर्भर अपरेटरहरू, घटना लग पाठकहरू, वितरित COM प्रयोगकर्ताहरू। त्यसपछि खण्डमा यन्त्र -> प्रमाणीकरण प्रोफाइल प्रमाणीकरण प्रोफाइल सिर्जना गर्नुहोस् (चित्र 11), पहिले सिर्जना गरिएको एक चिन्ह लगाउनुहोस् LDAP प्रोफाइल र उन्नत ट्याबमा हामी प्रयोगकर्ताहरूको समूह (चित्र 12) लाई संकेत गर्छौं जसलाई टाढाको पहुँच अनुमति छ। तपाईंको प्रोफाइलमा प्यारामिटर नोट गर्न महत्त्वपूर्ण छ प्रयोगकर्ता डोमेन, अन्यथा समूह-आधारित प्राधिकरणले काम गर्दैन। फिल्डले NetBIOS डोमेन नाम संकेत गर्नुपर्छ।

चित्र 11 - प्रमाणीकरण प्रोफाइल

चित्र 12 - AD समूह चयन

अर्को चरण सेटअप हो यन्त्र -> प्रयोगकर्ता पहिचान। यहाँ तपाईंले डोमेन नियन्त्रकको आईपी ठेगाना, जडान प्रमाणहरू, र सेटिङहरू कन्फिगर गर्न आवश्यक छ। सुरक्षा लग सक्षम गर्नुहोस्, सत्र सक्षम गर्नुहोस्, जाँच सक्षम गर्नुहोस् (चित्र 13)। अध्यायमा समूह म्यापिङ (चित्र 14) तपाईंले LDAP मा वस्तुहरू पहिचान गर्नका लागि प्यारामिटरहरू र प्राधिकरणको लागि प्रयोग गरिने समूहहरूको सूची नोट गर्न आवश्यक छ। प्रमाणीकरण प्रोफाइलमा जस्तै, यहाँ तपाईंले प्रयोगकर्ता डोमेन प्यारामिटर सेट गर्न आवश्यक छ।

चित्र 13 - प्रयोगकर्ता म्यापिङ प्यारामिटरहरू

चित्र 14 - समूह म्यापिङ प्यारामिटरहरू

यस चरणको अन्तिम चरण भनेको VPN क्षेत्र र त्यो क्षेत्रको लागि इन्टरफेस सिर्जना गर्नु हो। तपाईंले इन्टरफेसमा विकल्प सक्षम गर्न आवश्यक छ प्रयोगकर्ता पहिचान सक्षम गर्नुहोस् (चित्र 15)

चित्र 15 - एक VPN क्षेत्र सेट अप गर्दै

5. SSL VPN सेटअप गर्दै

SSL VPN मा जडान गर्नु अघि, रिमोट प्रयोगकर्ताले वेब पोर्टलमा जानुपर्छ, ग्लोबल प्रोटेक्ट क्लाइन्टलाई प्रमाणीकरण र डाउनलोड गर्नुपर्छ। अर्को, यो क्लाइन्टले प्रमाणहरू अनुरोध गर्नेछ र कर्पोरेट नेटवर्कमा जडान गर्नेछ। वेब पोर्टल https मोडमा सञ्चालन हुन्छ र, तदनुसार, तपाईंले यसको लागि प्रमाणपत्र स्थापना गर्न आवश्यक छ। सम्भव भएमा सार्वजनिक प्रमाणपत्र प्रयोग गर्नुहोस्। त्यसपछि प्रयोगकर्ताले साइटमा प्रमाणपत्रको अमान्यताको बारेमा चेतावनी प्राप्त गर्ने छैन। यदि सार्वजनिक प्रमाणपत्र प्रयोग गर्न सम्भव छैन भने, तपाईंले आफ्नै जारी गर्न आवश्यक छ, जुन https को लागि वेब पृष्ठमा प्रयोग गरिनेछ। यसलाई स्थानीय प्रमाणपत्र प्राधिकरण मार्फत स्व-हस्ताक्षर वा जारी गर्न सकिन्छ। रिमोट कम्प्युटरसँग विश्वसनीय रूट अधिकारीहरूको सूचीमा रूट वा स्व-हस्ताक्षरित प्रमाणपत्र हुनुपर्छ ताकि प्रयोगकर्ताले वेब पोर्टलमा जडान गर्दा त्रुटि प्राप्त गर्दैन। यो उदाहरणले सक्रिय निर्देशिका प्रमाणपत्र सेवाहरू मार्फत जारी गरिएको प्रमाणपत्र प्रयोग गर्नेछ।

प्रमाणपत्र जारी गर्न, तपाईंले खण्डमा प्रमाणपत्र अनुरोध सिर्जना गर्न आवश्यक छ यन्त्र -> प्रमाणपत्र व्यवस्थापन -> प्रमाणपत्रहरू -> उत्पन्न गर्नुहोस्। अनुरोधमा हामीले प्रमाणपत्रको नाम र वेब पोर्टलको IP ठेगाना वा FQDN (चित्र 16) संकेत गर्छौं। अनुरोध उत्पन्न गरेपछि, डाउनलोड गर्नुहोस् .csr फाइल गर्नुहोस् र यसको सामग्रीहरू AD CS वेब नामांकन वेब फारममा प्रमाणपत्र अनुरोध क्षेत्रमा प्रतिलिपि गर्नुहोस्। प्रमाणपत्र प्राधिकरण कसरी कन्फिगर गरिएको छ भन्ने आधारमा, प्रमाणपत्र अनुरोध स्वीकृत हुनुपर्छ र जारी गरिएको प्रमाणपत्र ढाँचामा डाउनलोड हुनुपर्छ। Base64 एन्कोड गरिएको प्रमाणपत्र। थप रूपमा, तपाईंले प्रमाणीकरण प्राधिकरणको मूल प्रमाणपत्र डाउनलोड गर्न आवश्यक छ। त्यसपछि तपाईंले फायरवालमा दुवै प्रमाणपत्रहरू आयात गर्न आवश्यक छ। वेब पोर्टलको लागि प्रमाणपत्र आयात गर्दा, तपाईंले विचाराधीन स्थितिमा अनुरोध चयन गर्नुपर्छ र आयातमा क्लिक गर्नुपर्छ। प्रमाणपत्रको नाम अनुरोधमा पहिले निर्दिष्ट गरिएको नामसँग मेल खानुपर्छ। मूल प्रमाणपत्रको नाम स्वेच्छाचारी रूपमा निर्दिष्ट गर्न सकिन्छ। प्रमाणपत्र आयात गरेपछि, तपाईंले सिर्जना गर्न आवश्यक छ SSL/TLS सेवा प्रोफाइल खण्ड यन्त्र -> प्रमाणपत्र व्यवस्थापन। प्रोफाइलमा हामीले पहिले आयात गरिएको प्रमाणपत्रलाई संकेत गर्छौं।

चित्र 16 - प्रमाणपत्र अनुरोध

अर्को चरण वस्तुहरू सेट अप गर्दैछ ग्लोबल प्रोटेक्ट गेटवे и ग्लोबल प्रोटेक्ट पोर्टल खण्ड नेटवर्क -> ग्लोबल प्रोटेक्ट। सेटिङहरूमा ग्लोबल प्रोटेक्ट गेटवे फायरवालको बाह्य IP ठेगाना, साथै पहिले सिर्जना गरिएको संकेत गर्नुहोस् SSL प्रोफाइल, प्रमाणीकरण प्रोफाइल, टनेल इन्टरफेस र ग्राहक आईपी सेटिङहरू। तपाईंले आईपी ठेगानाहरूको पूल निर्दिष्ट गर्न आवश्यक छ जसबाट ठेगाना ग्राहकलाई तोकिएको छ, र पहुँच मार्ग - यी सबनेटहरू हुन् जसमा ग्राहकको मार्ग हुनेछ। यदि कार्य फायरवाल मार्फत सबै प्रयोगकर्ता ट्राफिक लपेट्ने हो भने, तपाईंले सबनेट 0.0.0.0/0 (चित्र 17) निर्दिष्ट गर्न आवश्यक छ।

चित्र 17 - IP ठेगाना र मार्गहरूको पूल कन्फिगर गर्दै

त्यसपछि तपाइँ कन्फिगर गर्न आवश्यक छ ग्लोबल प्रोटेक्ट पोर्टल। फायरवालको IP ठेगाना निर्दिष्ट गर्नुहोस्, SSL प्रोफाइल и प्रमाणीकरण प्रोफाइल र फायरवालहरूको बाह्य IP ठेगानाहरूको सूची जसमा ग्राहक जडान हुनेछ। यदि त्यहाँ धेरै फायरवालहरू छन् भने, तपाइँ प्रत्येकको लागि प्राथमिकता सेट गर्न सक्नुहुन्छ, जस अनुसार प्रयोगकर्ताहरूले जडान गर्न फायरवाल छनौट गर्नेछन्।

खण्ड उपकरण -> GlobalProtect ग्राहक तपाईंले पालो अल्टो नेटवर्क सर्भरबाट VPN ग्राहक वितरण डाउनलोड गर्न र यसलाई सक्रिय गर्न आवश्यक छ। जडान गर्न, प्रयोगकर्ताले पोर्टल वेब पृष्ठमा जानुपर्छ, जहाँ उसलाई डाउनलोड गर्न सोधिनेछ ग्लोबल प्रोटेक्ट ग्राहक। एक पटक डाउनलोड र स्थापना भएपछि, तपाईं आफ्नो प्रमाणहरू प्रविष्ट गर्न सक्नुहुन्छ र SSL VPN मार्फत आफ्नो कर्पोरेट नेटवर्कमा जडान गर्न सक्नुहुन्छ।

निष्कर्षमा

यसले सेटअपको पालो अल्टो नेटवर्कको भाग पूरा गर्छ। हामी आशा गर्छौं कि जानकारी उपयोगी थियो र पाठकले Palo Alto Networks मा प्रयोग गरिएका प्रविधिहरूको बारेमा बुझेका छन्। यदि तपाइँसँग भविष्यका लेखहरूको लागि विषयहरूमा सेटअप र सुझावहरूको बारेमा प्रश्नहरू छन् भने, तिनीहरूलाई टिप्पणीहरूमा लेख्नुहोस्, हामी जवाफ दिन खुसी हुनेछौं।

स्रोत: www.habr.com

पालो अल्टो नेटवर्क सेटअप सुविधाहरू: SSL VPN

1. पूर्वनिर्धारित

2. इजाजतपत्रहरू स्थापना गर्दै, अद्यावधिकहरू सेटअप र स्थापना गर्दै

3. सुरक्षा क्षेत्रहरू कन्फिगर गर्दै, नेटवर्क इन्टरफेसहरू, ट्राफिक नीतिहरू, ठेगाना अनुवाद

5. SSL VPN सेटअप गर्दै

निष्कर्षमा

एक टिप्पणी थप्न Отменить ответ