د پالو الټو شبکې فایر والونو ټولو ګټو سره سره ، د دې وسیلو په ترتیب کولو کې په RuNet کې ډیر توکي شتون نلري ، او همدارنګه متنونه چې د دوی پلي کولو تجربه بیانوي. موږ پریکړه وکړه چې د دې پلورونکي تجهیزاتو سره زموږ د کار پرمهال راټول شوي توکي لنډیز کړو او د هغه ځانګړتیاو په اړه وغږیږو چې موږ د مختلف پروژو پلي کولو پرمهال ورسره مخ شوي یو.
د پالو الټو شبکې ته د تاسو د معرفي کولو لپاره، دا مقاله به د فایروال ترټولو عام ستونزې حل کولو لپاره اړین ترتیب وګوري - SSL VPN د لرې لاسرسي لپاره. موږ به د عام فایروال ترتیب کولو ، د کارونکي پیژندنې ، غوښتنلیکونو ، او امنیت پالیسیو لپاره د کارموندنې دندو په اړه هم وغږیږو. که موضوع د لوستونکو لپاره د علاقې وړ وي، په راتلونکي کې به موږ د پانوراما په کارولو سره د سایټ څخه سایټ VPN، متحرک روټینګ او مرکزي مدیریت تحلیل مواد خپاره کړو.
د پالو الټو شبکې فائر والونه یو شمیر نوښتي ټیکنالوژي کاروي ، پشمول د App-ID, User-ID, Content-ID. د دې فعالیت کارول تاسو ته اجازه درکوي د لوړې کچې امنیت ډاډمن کړئ. د مثال په توګه، د App-ID سره دا ممکنه ده چې د غوښتنلیک ټرافيک د لاسلیکونو، کوډ کولو او هیوریسټیکونو پراساس وپیژني، پرته له دې چې کارول شوي بندر او پروتوکول په پام کې ونیول شي، په شمول د SSL تونل دننه. د کارن ID تاسو ته اجازه درکوي د LDAP ادغام له لارې د شبکې کاروونکي وپیژني. د منځپانګې ID دا ممکنه کوي چې ترافیک سکین کړي او لیږدول شوي فایلونه او د دوی مینځپانګې وپیژني. د اور وژونکي نور دندو کې د مداخلې محافظت، د زیان منونکو او د DoS بریدونو په وړاندې محافظت، د سپایویر ضد جوړ شوی، د URL فلټر کول، کلستر کول، او مرکزي مدیریت شامل دي.
د مظاهرې لپاره، موږ به یو جلا موقف وکاروو، د اصلي سره ورته ترتیب سره، د وسیلو نومونو، د AD ډومین نوم او IP پتې استثنا سره. په واقعیت کې، هرڅه خورا پیچلي دي - ډیری څانګې شتون لري. په دې حالت کې، د یو واحد فائر وال پر ځای، یو کلستر به د مرکزي سایټونو په سرحدونو کې نصب شي، او متحرک روټینګ ته هم اړتیا وي.
په سټینډ کې کارول کیږي PAN-OS 7.1.9. د یو عادي ترتیب په توګه، په څنډه کې د پالو الټو شبکې فایر وال سره شبکه په پام کې ونیسئ. د اور وژنې وال سر دفتر ته د لرې پرتو SSL VPN لاسرسی چمتو کوي. د فعال لارښود ډومین به د کاروونکي ډیټابیس په توګه وکارول شي (شکل 1).
شکل 1 – د شبکې بلاک ډیاګرام
د تنظیم کولو ګامونه:
- د وسیلې مخکې ترتیب. د نوم تنظیم کول، د مدیریت IP پته، جامد لارې، د مدیر حسابونه، مدیریت پروفایلونه
- د جوازونو نصبول، د تازه معلوماتو ترتیب کول او نصب کول
- د امنیتي زونونو ترتیب کول، د شبکې انٹرفیسونه، د ټرافیک پالیسۍ، د پتې ژباړه
- د LDAP تصدیق کولو پروفایل او د کارونکي پیژندنې ځانګړتیا تنظیم کول
- د SSL VPN تنظیم کول
1. مخکینی
د پالو الټو شبکې فایر وال تنظیم کولو اصلي وسیله ویب انٹرفیس دی؛ د CLI له لارې مدیریت هم امکان لري. د ډیفالټ په واسطه، د مدیریت انٹرفیس د IP پته 192.168.1.1/24 ته ټاکل شوی، ننوتل: اډمین، پاسورډ: اډمین.
تاسو کولی شئ پته یا د ورته شبکې څخه ویب انٹرفیس سره وصل کولو سره یا د کمانډ په کارولو سره بدل کړئ د deviceconfig سیسټم ip-address <> netmask <> تنظیم کړئ. دا د ترتیب کولو حالت کې ترسره کیږي. د ترتیب کولو حالت ته د بدلولو لپاره، کمانډ وکاروئ سمبالول. په فایر وال کې ټول بدلونونه یوازې وروسته له هغه پیښیږي کله چې تنظیمات د کمانډ لخوا تایید شي ژمن کول، دواړه د کمانډ لاین حالت او ویب انٹرفیس کې.
په ویب انٹرفیس کې د تنظیماتو بدلولو لپاره، برخه وکاروئ وسیله -> عمومي ترتیبات او وسیله -> د مدیریت انٹرفیس تنظیمات. نوم، بینرونه، د وخت زون او نور ترتیبات د عمومي ترتیباتو برخه کې ټاکل کیدی شي (2 انځور).
شکل 2 – د مدیریت انٹرفیس پیرامیټونه
که تاسو په ESXi چاپیریال کې مجازی فایر وال کاروئ، د عمومي ترتیباتو برخه کې تاسو اړتیا لرئ چې د هایپروایزر لخوا ټاکل شوي MAC پتې کارول فعال کړئ، یا د MAC پتې په هایپروایزر کې د فایروال انٹرفیسونو کې مشخص شوي تنظیم کړئ، یا د ترتیباتو ترتیبات بدل کړئ. مجازی سویچونه MAC ته اجازه ورکوي چې پتې بدل کړي. که نه نو، ټرافيک به له لارې تېر نشي.
د مدیریت انٹرفیس په جلا توګه ترتیب شوی او د شبکې انٹرفیس لیست کې نه ښودل کیږي. په څپرکی کې د مدیریت انٹرفیس ترتیبات د مدیریت انٹرفیس لپاره ډیفالټ ګیټس مشخص کوي. نور جامد لارې د مجازی روټر برخې کې تنظیم شوي؛ دا به وروسته بحث وشي.
د نورو انٹرفیسونو له لارې وسیلې ته د لاسرسي اجازه ورکولو لپاره ، تاسو باید د مدیریت پروفایل رامینځته کړئ د مدیریت پروفایل کړی شبکه -> د شبکې پروفایلونه -> انٹرفیس Mgmt او مناسب انٹرفیس ته یې وټاکئ.
بیا، تاسو اړتیا لرئ په برخه کې DNS او NTP تنظیم کړئ وسیله -> خدمتونه تازه معلومات ترلاسه کول او وخت په سمه توګه ښودل (3 شکل). په ډیفالټ کې، ټول ټرافیک چې د فایروال لخوا رامینځته کیږي د مدیریت انٹرفیس IP پته د هغې سرچینې IP پتې په توګه کاروي. تاسو کولی شئ په برخه کې د هر ځانګړي خدمت لپاره مختلف انٹرفیس وټاکئ د خدماتو روټ ترتیب.
شکل 3 – DNS، NTP او د سیسټم لارې د خدماتو پیرامیټونه
2. د جوازونو نصبول، د تازه معلوماتو ترتیب کول او نصب کول
د ټولو فایروال دندو بشپړ عملیاتو لپاره ، تاسو باید جواز نصب کړئ. تاسو کولی شئ د پالو الټو شبکې شریکانو څخه د غوښتنې په واسطه د آزموینې جواز وکاروئ. د اعتبار موده یې 30 ورځې ده. لایسنس یا د فایل له لارې یا د Auth-Code په کارولو سره فعال شوی. جوازونه په برخه کې ترتیب شوي دي وسیله -> جوازونه (شکل. 4).
د جواز نصبولو وروسته، تاسو اړتیا لرئ په برخه کې د تازه معلوماتو نصب کول تنظیم کړئ وسیله -> متحرک تازه معلومات.
کړی وسیله -> سافټویر تاسو کولی شئ د PAN-OS نوې نسخې ډاونلوډ او نصب کړئ.
شکل 4 – د جواز کنټرول پینل
3. د امنیتي زونونو ترتیبول، د شبکې انٹرفیسونه، د ټرافیک پالیسۍ، د پته ژباړه
د پالو الټو شبکې فایر والونه د شبکې قواعد تنظیم کولو پر مهال د زون منطق کاروي. د شبکې انٹرفیسونه یو ځانګړي زون ته ټاکل شوي، او دا زون د ټرافيکي مقرراتو کې کارول کیږي. دا طریقه په راتلونکي کې اجازه ورکوي، کله چې د انٹرفیس ترتیبات بدل کړي، د ټرافيکي مقرراتو بدلولو لپاره نه، بلکه د مناسبو زونونو لپاره اړین انٹرفیس بیا وټاکئ. په ډیفالټ ، په زون کې ترافیک اجازه لري ، د زونونو ترمینځ ترافیک منع دی ، مخکې ټاکل شوي مقررات د دې لپاره مسؤل دي intrazone-default и interzone-default.
شکل 5 – د خوندیتوب زونونه
په دې مثال کې، په داخلي شبکه کې یو انٹرفیس زون ته ټاکل شوی داخلي، او د انټرنیټ سره مخامخ انٹرفیس زون ته ټاکل شوی بهرني. د SSL VPN لپاره، یو تونل انٹرفیس رامینځته شوی او زون ته ټاکل شوی vnn (شکل. 5).
د پالو الټو شبکې د فایر وال شبکې انٹرفیس کولی شي په پنځو مختلف حالتونو کې کار وکړي:
- tap - د څارنې او تحلیل موخو لپاره د ترافیک راټولولو لپاره کارول کیږي
- HA - د کلستر عملیاتو لپاره کارول کیږي
- مجازی تار - په دې حالت کې، پالو الټو شبکه دوه انٹرفیسونه سره یوځای کوي او په شفاف ډول د MAC او IP پتې بدلولو پرته ټرافيک تیریږي.
- پرت 2 - د بدلولو حالت
- پرت 3 - د روټر حالت
شکل 6 – د انٹرفیس عملیاتي حالت تنظیم کول
په دې مثال کې، د Layer3 حالت به کارول کیږي (6 شکل). د شبکې انٹرفیس پیرامیټونه د IP پته ، عملیاتي حالت او اړونده امنیت زون په ګوته کوي. د انٹرفیس د عملیاتي حالت سربیره، تاسو باید دا د مجازی روټر مجازی روټر ته وټاکئ، دا د پالو الټو شبکې کې د VRF مثال یو انلاګ دی. مجازی روټرونه له یو بل څخه جلا شوي او د دوی خپل روټینګ میزونه او د شبکې پروتوکول تنظیمات لري.
د مجازی روټر تنظیمات جامد لارې او د روټینګ پروتوکول تنظیمات مشخص کوي. په دې مثال کې، بهرنۍ شبکو ته د لاسرسي لپاره یوازې یو ډیفالټ لاره جوړه شوې ده (7 شکل).
شکل 7 - د مجازی روټر تنظیم کول
د ترتیب کولو راتلونکی مرحله د ترافیک پالیسۍ برخه ده پالیسۍ -> امنیت. د تشکیلاتو یوه بیلګه په 8 شکل کې ښودل شوې. د قواعدو منطق د ټولو اور وژونکو لپاره ورته دی. مقررات له پورته څخه ښکته، تر لومړۍ لوبې پورې چک شوي. د قواعدو لنډه توضیحات:
1. ویب پورټل ته د SSL VPN لاسرسی. د لرې پرتو اړیکو تصدیق کولو لپاره ویب پورټل ته د لاسرسي اجازه ورکوي
2. د VPN ترافیک - د لرې پرتو اړیکو او مرکزي دفتر ترمینځ ترافیک ته اجازه ورکوي
3. بنسټیز انټرنیټ – dns، ping، traceroute، ntp غوښتنلیکونو ته اجازه ورکوي. فایر وال د پورټ شمیرو او پروتوکولونو پرځای د لاسلیکونو ، کوډ کولو ، او هوریستیک پراساس غوښتنلیکونو ته اجازه ورکوي ، له همدې امله د خدماتو برخه د غوښتنلیک ډیفالټ وايي. د دې غوښتنلیک لپاره ډیفالټ پورټ/پروتوکول
4. ویب لاسرسی – د غوښتنلیک کنټرول پرته د HTTP او HTTPS پروتوکولونو له لارې انټرنیټ لاسرسي ته اجازه ورکوي
5,6. د نورو ترافیکو لپاره ډیفالټ مقررات.
8 شکل — د شبکې د مقرراتو د تنظیم کولو بیلګه
د NAT تنظیم کولو لپاره، برخه وکاروئ پالیسۍ -> NAT. د NAT ترتیب یوه بیلګه په 9 شکل کې ښودل شوې.
شکل 9 – د NAT ترتیب بیلګه
د داخلي څخه بهر ته د هر ډول ټرافیک لپاره، تاسو کولی شئ د سرچینې پته د فایروال بهرني IP پتې ته بدل کړئ او د متحرک پورټ پته (PAT) وکاروئ.
4. د LDAP تصدیق کولو پروفایل او د کارونکي پیژندنې فعالیت تنظیم کول
مخکې لدې چې د SSL-VPN له لارې کاروونکي وصل کړئ ، تاسو اړتیا لرئ د تصدیق میکانیزم تنظیم کړئ. په دې مثال کې، تصدیق به د پالو الټو شبکې ویب انٹرفیس له لارې د فعال لارښود ډومین کنټرولر ته پیښ شي.
شکل 10 – LDAP پروفایل
د کار کولو تصدیق کولو لپاره ، تاسو اړتیا لرئ تنظیم کړئ د LDAP پروفایل и د تصدیق کولو پروفایل. برخه کې وسیله -> د سرور پروفایلونه -> LDAP (شکل 10) تاسو اړتیا لرئ د IP پته او د ډومین کنټرولر پورټ مشخص کړئ ، د LDAP ډول او د کارونکي حساب په ګروپونو کې شامل کړئ د سرور چلونکي, د پیښې لاګ لوستونکي, توزیع شوي COM کاروونکي. بیا په برخه کې وسیله -> د تصدیق کولو پروفایل د تصدیق کولو پروفایل جوړ کړئ (11 شکل)، مخکې جوړ شوی په نښه کړئ د LDAP پروفایل او په پرمختللی ټب کې موږ د کاروونکو ګروپ (انځور 12) ته اشاره کوو چې د لیرې لاسرسي اجازه لري. دا مهمه ده چې ستاسو په پروفایل کې پیرامیټر یاد کړئ د کارن ډومین، که نه نو د ګروپ پر بنسټ واک به کار ونکړي. ساحه باید د NetBIOS ډومین نوم په ګوته کړي.
شکل 11 – د تصدیق پروفایل
شکل 12 – د AD ګروپ انتخاب
بل پړاو تنظیم دی وسیله -> د کارونکي پیژندنه. دلته تاسو اړتیا لرئ د ډومین کنټرولر IP پته مشخص کړئ، د پیوستون اسناد، او همدارنګه د ترتیباتو ترتیب کول د امنیت لاګ فعال کړئ, سیشن فعال کړئ, تفتیش فعال کړئ (انځور 13). په څپرکی کې ګروپ نقشه کول (شکل 14) تاسو اړتیا لرئ په LDAP کې د شیانو پیژندلو لپاره پیرامیټرې او د هغو ډلو لیست یاد کړئ چې د جواز لپاره به کارول کیږي. لکه څنګه چې د تصدیق کولو پروفایل کې ، دلته تاسو اړتیا لرئ د کارن ډومین پیرامیټر تنظیم کړئ.
شکل 13 - د کارن نقشه کولو پیرامیټونه
شکل 14 – د ګروپ نقشه کولو پیرامیټونه
پدې مرحله کې وروستی ګام د VPN زون او د دې زون لپاره انٹرفیس رامینځته کول دي. تاسو اړتیا لرئ په انٹرفیس کې اختیار فعال کړئ د کارونکي پیژندنه فعاله کړئ (شکل. 15).
شکل 15 - د VPN زون تنظیم کول
5. د SSL VPN تنظیم کول
د SSL VPN سره وصل کیدو دمخه ، ریموټ کارونکي باید ویب پورټل ته لاړ شي ، د نړیوال محافظت پیرودونکي تصدیق او ډاونلوډ کړي. بیا، دا پیرودونکی به د اعتبار غوښتنه وکړي او د کارپوریټ شبکې سره وصل شي. ویب پورټل په https حالت کې کار کوي او په وینا یې، تاسو اړتیا لرئ د دې لپاره یو سند نصب کړئ. که امکان ولري عامه سند وکاروئ. بیا به کارونکي په سایټ کې د سند د باطلیدو په اړه خبرداری ترلاسه نکړي. که چیرې د عامه سند کارول ممکن نه وي، نو تاسو باید خپل ځان خپور کړئ، کوم چې به د https لپاره په ویب پاڼه کې کارول کیږي. دا پخپله لاسلیک کیدی شي یا د محلي سند واک له لارې صادر شي. ریموټ کمپیوټر باید د باوري روټ چارواکو په لیست کې یو روټ یا پخپله لاسلیک شوی سند ولري ترڅو کارونکي د ویب پورټل سره د وصل کیدو پرمهال غلطي ترلاسه نکړي. دا مثال به یو سند وکاروي چې د فعال لارښود سند خدماتو له لارې صادر شوی.
د سند صادرولو لپاره ، تاسو اړتیا لرئ په برخه کې د سند غوښتنه رامینځته کړئ وسیله -> د سند مدیریت -> سندونه -> تولید. په غوښتنلیک کې موږ د سند نوم او د ویب پورټل IP پته یا FQDN په ګوته کوو (شکل 16). د غوښتنې رامینځته کولو وروسته ، ډاونلوډ کړئ .csr د AD CS ویب نوم لیکنې ویب فارم کې د سند غوښتنې ساحې کې د دې مینځپانګې فایل او کاپي کړئ. د دې پورې اړه لري چې د سند واک څنګه تنظیم شوی ، د سند غوښتنه باید تصویب شي او صادر شوی سند باید په ب formatه کې ډاونلوډ شي بیس 64 کوډ شوی سند. سربیره پردې ، تاسو اړتیا لرئ د تصدیق کولو ادارې روټ سند ډاونلوډ کړئ. بیا تاسو اړتیا لرئ دواړه سندونه فایر وال ته وارد کړئ. کله چې د ویب پورټل لپاره سند وارد کړئ ، نو تاسو باید په پاتې حالت کې غوښتنه وټاکئ او وارد کلیک وکړئ. د سند نوم باید د هغه نوم سره سمون ولري چې مخکې په غوښتنه کې مشخص شوي. د روټ سند نوم په خپله خوښه مشخص کیدی شي. د سند واردولو وروسته ، تاسو اړتیا لرئ رامینځته کړئ د SSL/TLS خدمت پروفایل کړی وسیله -> د سند مدیریت. په پروفایل کې موږ دمخه وارد شوي سند په ګوته کوو.
شکل 16 – د سند غوښتنه
بل ګام د شیانو تنظیم کول دي د نړیوال محافظت دروازه и د نړیوال محافظت پورټل کړی شبکه -> نړیوال محافظت. په ترتیباتو کې د نړیوال محافظت دروازه د فایروال بهرنی IP پته په ګوته کړئ، او همدارنګه مخکې جوړ شوی د ایس ایس ایل پروفایل, د تصدیق کولو پروفایل، د تونل انٹرفیس او د پیرودونکي IP تنظیمات. تاسو اړتیا لرئ د IP پتې یو حوض مشخص کړئ چې له هغې څخه به ادرس پیرودونکي ته ورکړل شي، او د لاسرسي لاره - دا هغه فرعي سایټونه دي چې مراجع به ورته لاره ولري. که چیرې دنده د فایر وال له لارې د کارونکي ټول ټرافیک وتړل وي، نو تاسو اړتیا لرئ چې فرعي نیټ 0.0.0.0/0 مشخص کړئ (17 انځور).
17 شکل – د IP پتې او لارو د حوض ترتیب کول
بیا تاسو اړتیا لرئ تنظیم کړئ د نړیوال محافظت پورټل. د فایروال IP پته مشخص کړئ، د ایس ایس ایل پروفایل и د تصدیق کولو پروفایل او د فایر والونو د بهرني IP پتې لیست چې پیرودونکي به ورسره وصل شي. که چیرې ډیری فایروالونه شتون ولري ، تاسو کولی شئ د هر یو لپاره لومړیتوب وټاکئ ، د کوم له مخې چې کارونکي به د وصل کیدو لپاره فایر وال غوره کړي.
کړی وسیله -> GlobalProtect مراجع تاسو اړتیا لرئ د پالو الټو شبکې سرورونو څخه د VPN پیرودونکي توزیع ډاونلوډ کړئ او فعال یې کړئ. د نښلولو لپاره، کاروونکي باید د پورټل ویب پاڼې ته لاړ شي، چیرته چې هغه به د ډاونلوډ کولو غوښتنه وکړي د GlobalProtect پیرودونکي. یوځل چې ډاونلوډ او نصب شو ، تاسو کولی شئ خپل سندونه دننه کړئ او د SSL VPN له لارې خپل کارپوریټ شبکې سره وصل شئ.
پایلې
دا د پالو الټو شبکې د تنظیم برخه بشپړوي. موږ امید لرو چې معلومات ګټور وو او لوستونکي د پالو الټو شبکې کې کارول شوي ټیکنالوژیو پوهه ترلاسه کړې. که تاسو د راتلونکو مقالو لپاره د موضوعاتو په اړه د تنظیم او وړاندیزونو په اړه پوښتنې لرئ، په نظرونو کې یې ولیکئ، موږ به خوشحاله یو چې ځواب ووایو.
سرچینه: www.habr.com