پرو هوسٽر > بلاگ > انتظاميه > Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN

Palo Alto نيٽ ورڪ فائر والز جي سڀني فائدن جي باوجود، انهن ڊوائيسز کي ترتيب ڏيڻ تي RuNet تي گهڻو مواد نه آهي، ۽ انهي سان گڏ متن جيڪي انهن جي عمل درآمد جي تجربي کي بيان ڪن ٿا. اسان ان مواد کي اختصار ڪرڻ جو فيصلو ڪيو آهي جيڪو اسان پنهنجي ڪم دوران گڏ ڪيو آهي هن وينڊر جي سامان سان ۽ انهن خاصيتن جي باري ۾ ڳالهايون جيڪي اسان مختلف منصوبن تي عمل ڪرڻ دوران سامهون آيا.

توھان کي متعارف ڪرائڻ لاءِ Palo Alto Networks، ھي آرٽيڪل نظر ايندو ترتيب جي ھڪڙي عام فائر وال مسئلن کي حل ڪرڻ لاءِ - SSL VPN ريموٽ رسائي لاءِ. اسان عام فائر وال جي ٺاھ جوڙ، صارف جي سڃاڻپ، ايپليڪيشنون، ۽ سيڪيورٽي پاليسين لاء يوٽيلٽي افعال جي باري ۾ پڻ ڳالهائينداسين. جيڪڏهن موضوع پڙهندڙن لاءِ دلچسپيءَ جو آهي، مستقبل ۾ اسان مواد جاري ڪنداسين سائيٽ کان سائيٽ وي پي اين، متحرڪ روٽنگ ۽ مرڪزي انتظام جو تجزيو ڪندي Panorama استعمال ڪندي.

Palo Alto Networks فائر والز ڪيتريون ئي جديد ٽيڪنالاجيون استعمال ڪن ٿيون، جن ۾ ايپ-ID، User-ID، Content-ID شامل آهن. هن ڪارڪردگي جو استعمال توهان کي سيڪيورٽي جي اعلي سطح کي يقيني بڻائڻ جي اجازت ڏئي ٿو. مثال طور، ايپ-ID سان، اهو ممڪن آهي ته ايپليڪيشن ٽرئفڪ کي سڃاڻڻ جي بنياد تي دستخط، ڊيڪوڊنگ ۽ هوريسٽڪس، بندرگاهه ۽ پروٽوڪول جي استعمال کان سواء، هڪ SSL سرنگ اندر شامل آهي. يوزر-آءِ ڊي توهان کي اجازت ڏئي ٿي نيٽ ورڪ استعمال ڪندڙن کي سڃاڻڻ جي ذريعي LDAP انٽيگريشن. Content-ID ٽريفڪ کي اسڪين ڪرڻ ۽ منتقل ٿيل فائلن ۽ انهن جي مواد کي سڃاڻڻ ممڪن بڻائي ٿو. ٻيا فائر وال افعال شامل آهن مداخلت تحفظ، خطرن جي خلاف تحفظ ۽ DoS حملن، بلٽ ان اينٽي اسپائي ويئر، URL فلٽرنگ، ڪلسترنگ، ۽ مرڪزي انتظام.

مظاهري لاءِ، اسان هڪ الڳ ٿيل اسٽينڊ استعمال ڪنداسين، هڪ ٺاھ جوڙ سان حقيقي ھڪڙي جي ھڪڙي، ڊيوائس نالن، AD ڊومين جو نالو ۽ IP پتي جي استثنا سان. حقيقت ۾، سڀڪنھن شيء کي وڌيڪ پيچيده آهي - اتي ڪيترن ئي شاخون ٿي سگهي ٿو. انهي حالت ۾، هڪ واحد فائر وال جي بدران، مرڪزي سائيٽن جي سرحدن تي هڪ ڪلستر نصب ڪيو ويندو، ۽ متحرڪ رستو پڻ گهربل هجي.

اسٽينڊ تي استعمال ٿيل PAN-OS 7.1.9. ھڪڙي عام ترتيب جي طور تي، ھڪڙي نيٽ ورڪ تي غور ڪريو پالو آلٽو نيٽ ورڪ فائر وال سان ڪنڊ تي. فائر وال ريموٽ SSL VPN کي هيڊ آفيس تائين رسائي فراهم ڪري ٿي. فعال ڊاريڪٽري ڊومين استعمال ڪيو ويندو صارف ڊيٽابيس جي طور تي (شڪل 1).

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 1 - نيٽ ورڪ بلاڪ ڊراگرام

سيٽ اپ قدم:

  1. ڊوائيس اڳ ۾ ترتيب ڏيڻ. نالو ترتيب ڏيڻ، انتظام IP پتو، جامد رستا، منتظم اڪائونٽس، انتظامي پروفائلز
  2. لائسنس کي انسٽال ڪرڻ، ترتيب ڏيڻ ۽ تازه ڪاري کي انسٽال ڪرڻ
  3. سيڪيورٽي زونن کي ترتيب ڏيڻ، نيٽ ورڪ انٽرفيس، ٽرئفڪ پاليسين، ايڊريس ترجمو
  4. LDAP تصديق ڪندڙ پروفائل ۽ صارف جي سڃاڻپ جي خصوصيت کي ترتيب ڏيڻ
  5. هڪ SSL VPN ترتيب ڏيڻ

1. اڳواٽ

پالو آلٽو نيٽ ورڪ فائر وال کي ترتيب ڏيڻ جو مکيه اوزار ويب انٽرفيس آهي؛ انتظام CLI ذريعي پڻ ممڪن آهي. ڊفالٽ طور، مينيجمينٽ انٽرفيس مقرر ڪيو ويو آهي IP پتي 192.168.1.1/24، لاگ ان: منتظم، پاسورڊ: منتظم.

توھان ايڊريس تبديل ڪري سگھو ٿا يا ته ساڳي نيٽ ورڪ کان ويب انٽرفيس سان ڳنڍڻ سان، يا ڪمانڊ استعمال ڪندي سيٽ ڪريو deviceconfig سسٽم ip-address <> netmask <>. اهو ترتيب واري موڊ ۾ ڪيو ويندو آهي. ترتيب ڏيڻ واري موڊ کي تبديل ڪرڻ لاء، حڪم استعمال ڪريو ترتيب ڏيو. فائر وال تي سڀئي تبديليون صرف سيٽنگون حڪم جي تصديق ٿيڻ کان پوء ٿينديون آهن انجام ڏيو، ٻئي ڪمانڊ لائن موڊ ۾ ۽ ويب انٽرفيس ۾.

ويب انٽرفيس ۾ سيٽنگون تبديل ڪرڻ لاء، سيڪشن استعمال ڪريو ڊوائيس -> جنرل سيٽنگون ۽ ڊوائيس -> انتظام انٽرفيس سيٽنگون. نالو، بينر، ٽائيم زون ۽ ٻيون سيٽنگون جنرل سيٽنگون سيڪشن ۾ سيٽ ڪري سگھجن ٿيون (تصوير 2).

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 2 - مئنيجمينٽ انٽرفيس پيٽرول

جيڪڏهن توهان هڪ ESXi ماحول ۾ ورچوئل فائر وال استعمال ڪريو ٿا، جنرل سيٽنگون سيڪشن ۾ توهان کي هائيپروائزر پاران ڏنل MAC ايڊريس جي استعمال کي فعال ڪرڻ جي ضرورت آهي، يا هائپر وائزر تي فائر وال انٽرفيس تي مخصوص ڪيل MAC پتي کي ترتيب ڏيڻ، يا سيٽنگون تبديل ڪرڻ جي ضرورت آهي. مجازي سوئچز کي اجازت ڏيڻ لاءِ MAC پتي کي تبديل ڪري ٿو. ٻي صورت ۾، ٽريفڪ گذر نه ٿيندو.

مئنيجمينٽ انٽرفيس الڳ ترتيب ڏنل آھي ۽ نيٽ ورڪ انٽرفيس جي لسٽ ۾ ڏيکاريل نه آھي. باب ۾ مينيجمينٽ انٽرفيس سيٽنگون مينيجمينٽ انٽرفيس لاءِ ڊفالٽ گيٽ وي بيان ڪري ٿو. ٻيا جامد رستا ورچوئل روٽرز سيڪشن ۾ ترتيب ڏنل آھن؛ اھو بعد ۾ بحث ڪيو ويندو.

ٻين انٽرفيس ذريعي ڊوائيس تائين رسائي جي اجازت ڏيڻ لاء، توهان کي هڪ انتظام پروفائل ٺاهڻ گهرجي انتظامي پروفائل سيڪشن نيٽورڪ -> نيٽورڪ پروفائلز -> انٽرفيس Mgmt ۽ ان کي مناسب انٽرفيس تي لڳايو.

اڳيون، توهان کي سيڪشن ۾ DNS ۽ NTP ترتيب ڏيڻ جي ضرورت آهي ڊوائيس -> خدمتون تازه ڪاريون حاصل ڪرڻ ۽ وقت کي صحيح نموني ڏيکارڻ لاءِ (تصوير 3). ڊفالٽ طور، فائر وال پاران ٺاهيل سموري ٽرئفڪ مينيجمينٽ انٽرفيس IP پتي کي ان جي ماخذ IP پتي طور استعمال ڪري ٿي. توهان سيڪشن ۾ هر مخصوص خدمت لاءِ مختلف انٽرفيس تفويض ڪري سگهو ٿا سروس روٽ جي ٺاھ جوڙ.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 3 - DNS، NTP ۽ سسٽم رستا سروس پيٽرولر

2. لائسنس کي انسٽال ڪرڻ، اپڊيٽ ڪرڻ ۽ انسٽال ڪرڻ

سڀني فائر وال افعال جي مڪمل آپريشن لاءِ، توھان کي لازمي طور تي ھڪ لائسنس انسٽال ڪرڻ گھرجي. توھان استعمال ڪري سگھو ٿا آزمائشي لائسنس ان کي درخواست ڪندي Palo Alto نيٽ ورڪ ڀائيوارن کان. ان جي صحيح مدت 30 ڏينهن آهي. لائسنس يا ته فائل ذريعي يا Auth-Code استعمال ڪندي چالو ڪيو ويو آهي. لائسنس سيڪشن ۾ ترتيب ڏنل آهن ڊوائيس -> لائسنس (انجنيئر 4).
لائسنس کي انسٽال ڪرڻ کان پوء، توهان کي سيڪشن ۾ تازه ڪاري جي انسٽاليشن کي ترتيب ڏيڻ جي ضرورت آهي ڊوائيس -> متحرڪ تازه ڪاريون.
سيڪشن ڊوائيس -> سافٽ ويئر توھان PAN-OS جا نوان ورجن ڊائون لوڊ ۽ انسٽال ڪري سگھو ٿا.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 4 - لائسنس ڪنٽرول پينل

3. سيڪيورٽي زونن کي ترتيب ڏيڻ، نيٽ ورڪ انٽرفيس، ٽرئفڪ پاليسين، ايڊريس ترجمو

پالو آلٽو نيٽ ورڪ فائر والز زون منطق استعمال ڪندا آهن جڏهن نيٽ ورڪ ضابطن کي ترتيب ڏيو. نيٽ ورڪ انٽرفيس هڪ مخصوص زون تي لڳايو ويو آهي، ۽ هي زون ٽرئفڪ ضابطن ۾ استعمال ٿيندو آهي. اهو طريقو مستقبل ۾ اجازت ڏئي ٿو، جڏهن انٽرفيس سيٽنگون تبديل ڪندي، ٽرئفڪ جي ضابطن کي تبديل ڪرڻ لاء نه، پر ان جي بدران مناسب علائقن ڏانهن ضروري انٽرفيس کي ٻيهر ڏيڻ لاء. ڊفالٽ طور، هڪ زون اندر ٽريفڪ جي اجازت آهي، زونن جي وچ ۾ ٽريفڪ ممنوع آهي، اڳواٽ مقرر ضابطا هن لاء ذميوار آهن intrazone- ڊفالٽ и interzone- ڊفالٽ.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 5 - حفاظتي علائقا

هن مثال ۾، اندروني نيٽ ورڪ تي هڪ انٽرفيس زون کي لڳايو ويو آهي اندروني، ۽ انٽرنيٽ کي منهن ڏيڻ وارو انٽرفيس زون ڏانهن لڳايو ويو آهي ظاهري. SSL VPN لاءِ، ھڪ سرنگ انٽرفيس ٺاھيو ويو آھي ۽ زون کي لڳايو ويو آھي vpn (انجنيئر 5).

پالو آلٽو نيٽ ورڪ فائر وال نيٽ ورڪ انٽرفيس پنج مختلف طريقن ۾ ڪم ڪري سگھن ٿا:

  • ٽيپ ڪريو - نگراني ۽ تجزيو جي مقصدن لاءِ ٽرئفڪ گڏ ڪرڻ لاءِ استعمال ڪيو ويو
  • HA - ڪلستر آپريشن لاء استعمال ڪيو
  • ورچوئل تار - هن موڊ ۾، پالو آلٽو نيٽ ورڪ ٻن انٽرفيس کي گڏ ڪري ٿو ۽ شفاف طور تي انهن جي وچ ۾ ٽرئفڪ کي منتقل ڪري ٿو بغير MAC ۽ IP پتي کي تبديل ڪرڻ جي
  • پرت - سوئچ موڊ
  • پرت - روٽر موڊ

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 6 - انٽرفيس آپريٽنگ موڊ سيٽنگ

هن مثال ۾، Layer3 موڊ استعمال ڪيو ويندو (تصوير 6). نيٽ ورڪ انٽرفيس جا پيرا ميٽر IP پتي، آپريٽنگ موڊ ۽ لاڳاپيل سيڪيورٽي زون کي ظاهر ڪن ٿا. انٽرفيس جي آپريٽنگ موڊ کان علاوه، توهان کي ان کي ورچوئل روٽر ورچوئل روٽر تي تفويض ڪرڻ گهرجي، هي پولو آلٽو نيٽ ورڪ ۾ وي آر ايف مثال جو هڪ اينالاگ آهي. ورچوئل راؤٽر هڪ ٻئي کان ڌار آهن ۽ انهن جا پنهنجا روٽنگ ٽيبل ۽ نيٽ ورڪ پروٽوڪول سيٽنگون آهن.

مجازي روٽر سيٽنگون جامد رستن ۽ روٽنگ پروٽوڪول سيٽنگون بيان ڪن ٿيون. هن مثال ۾، صرف هڪ ڊفالٽ رستو ٺاهيو ويو آهي ٻاهرين نيٽ ورڪ تائين رسائي لاءِ (تصوير 7).

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 7 - هڪ ورچوئل روٽر ترتيب ڏيڻ

ايندڙ تشڪيل جو مرحلو ٽريفڪ پاليسين، سيڪشن آهي پاليسيون -> سيڪيورٽي. ٺاھ جوڙ جو ھڪڙو مثال شڪل 8 ۾ ڏيکاريو ويو آھي. ضابطن جو منطق ساڳيو آھي جيئن سڀني فائر والز لاءِ. ضابطا چيڪ ڪيا ويا آهن مٿي کان هيٺ تائين، پهرين ميچ تائين. ضابطن جي مختصر وضاحت:

1. SSL VPN ويب پورٽل تائين رسائي. ريموٽ ڪنيڪشن جي تصديق ڪرڻ لاءِ ويب پورٽل تائين رسائي جي اجازت ڏئي ٿي
2. VPN ٽرئفڪ - ريموٽ ڪنيڪشن ۽ هيڊ آفيس جي وچ ۾ ٽرئفڪ جي اجازت ڏئي ٿي
3. بنيادي انٽرنيٽ - اجازت ڏيڻ dns، ping، traceroute، ntp ايپليڪيشنون. فائر وال پورٽ نمبرن ۽ پروٽوڪول جي بجاءِ دستخطن، ڊيڪوڊنگ، ۽ هوريسٽڪس جي بنياد تي ايپليڪيشنن کي اجازت ڏئي ٿو، اهو ئي سبب آهي ته سروس سيڪشن چوي ٿو ايپليڪيشن-ڊفالٽ. هن ايپليڪيشن لاءِ ڊفالٽ پورٽ/پروٽوڪول
4. ويب رسائي - انٽرنيٽ جي رسائي جي اجازت ڏئي ٿي HTTP ۽ HTTPS پروٽوڪولن ذريعي بغير ايپليڪيشن ڪنٽرول
5,6. ٻين ٽرئفڪ لاءِ ڊفالٽ ضابطا.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 8 — نيٽ ورڪ ضابطن کي ترتيب ڏيڻ جو مثال

NAT ترتيب ڏيڻ لاء، سيڪشن استعمال ڪريو پاليسيون -> NAT. NAT ٺاھ جوڙ جو ھڪڙو مثال شڪل 9 ۾ ڏيکاريل آھي.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 9 - NAT ٺاھ جوڙ جو مثال

اندروني کان بيروني تائين ڪنهن به ٽرئفڪ لاءِ، توھان مٽائي سگھوٿا ماخذ ايڊريس کي فائر وال جي خارجي IP پتي تي ۽ استعمال ڪري سگھوٿا متحرڪ پورٽ ايڊريس (PAT).

4. LDAP تصديق ڪندڙ پروفائل ۽ صارف جي سڃاڻپ جي فنڪشن کي ترتيب ڏيڻ
SSL-VPN ذريعي صارفين کي ڳنڍڻ کان اڳ، توهان کي هڪ تصديق واري ميڪانيزم کي ترتيب ڏيڻ جي ضرورت آهي. ھن مثال ۾، تصديق ٿيندي فعال ڊاريڪٽري ڊومين ڪنٽرولر کي Palo Alto نيٽ ورڪ ويب انٽرفيس ذريعي.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 10 - LDAP پروفائل

ڪم ڪرڻ جي تصديق لاء، توهان کي ترتيب ڏيڻ جي ضرورت آهي LDAP پروفائل и تصديق جي پروفائيل. ڀا Inي ۾ ڊوائيس -> سرور پروفائلز -> LDAP (تصوير 10) توهان کي ڊومين ڪنٽرولر جو IP پتو ۽ بندرگاهن جي وضاحت ڪرڻ جي ضرورت آهي، گروپن ۾ شامل LDAP قسم ۽ صارف اڪائونٽ سرور آپريٽرز, واقعا لاگ پڙهندڙ, ورهايل COM صارفين. پوء سيڪشن ۾ ڊوائيس -> تصديق ڪندڙ پروفائل هڪ تصديق ڪندڙ پروفائل ٺاهيو (تصوير 11)، اڳ ۾ ٺهيل هڪ کي نشان لڳايو LDAP پروفائل ۽ Advanced ٽئب ۾ اسان استعمال ڪندڙن جي گروپ کي ڏيکاريون ٿا (تصوير 12) جن کي ريموٽ رسائي جي اجازت آهي. اهو ضروري آهي ته توهان جي پروفائل ۾ پيٽرولر کي نوٽ ڪريو استعمال ڪندڙ ڊومينٻي صورت ۾ گروپ جي بنياد تي اختيار ڪم نه ڪندو. فيلڊ کي ظاهر ڪرڻ گهرجي NetBIOS ڊومين جو نالو.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 11 - تصديق جي پروفائيل

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 12 - AD گروپ جي چونڊ

ايندڙ اسٽيج سيٽنگ آهي ڊوائيس -> استعمال ڪندڙ جي سڃاڻپ. هتي توهان کي ڊومين ڪنٽرولر جي IP پتي جي وضاحت ڪرڻ جي ضرورت آهي، ڪنيڪشن جي سندون، ۽ سيٽنگون پڻ ترتيب ڏيو سيڪيورٽي لاگ کي فعال ڪريو, سيشن کي فعال ڪريو, تحقيق کي فعال ڪريو (تصوير 13). باب ۾ گروپ ميپنگ (تصوير 14) توهان کي LDAP ۾ شين جي سڃاڻپ لاءِ پيرا ميٽرز ۽ گروپن جي لسٽ کي نوٽ ڪرڻ جي ضرورت آهي جيڪي اختيار ڪرڻ لاءِ استعمال ڪيا ويندا. جيئن ته تصديق جي پروفائيل ۾، هتي توهان کي مقرر ڪرڻ جي ضرورت آهي صارف ڊومين پيٽرولر.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 13 - يوزر ميپنگ جا پيرا ميٽر

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 14 - گروپ ميپنگ جا پيرا ميٽر

هن مرحلي ۾ آخري قدم هڪ VPN زون ۽ ان زون لاءِ انٽرفيس ٺاهڻ آهي. توھان کي انٽرفيس تي اختيار کي فعال ڪرڻ جي ضرورت آھي استعمال ڪندڙ جي سڃاڻپ کي فعال ڪريو (انجنيئر 15).

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 15 - هڪ وي پي اين زون قائم ڪرڻ

5. سيٽ اپ SSL VPN

هڪ SSL VPN سان ڳنڍڻ کان پهريان، ريموٽ استعمال ڪندڙ کي ويب پورٽل ڏانهن وڃڻ گهرجي، گلوبل پروٽيڪڪٽ ڪلائنٽ جي تصديق ۽ ڊائون لوڊ ڪرڻ گهرجي. اڳيون، هي گراهڪ سند جي درخواست ڪندو ۽ ڪارپوريٽ نيٽ ورڪ سان ڳنڍندو. ويب پورٽل https موڊ ۾ هلندي آهي ۽، مطابق، توهان کي ان لاءِ هڪ سرٽيفڪيٽ انسٽال ڪرڻو پوندو. جيڪڏهن ممڪن هجي ته عوامي سرٽيفڪيٽ استعمال ڪريو. پوءِ صارف کي سائيٽ تي سرٽيفڪيٽ جي غلط هجڻ بابت ڊيڄاريندڙ نه ملندي. جيڪڏهن عوامي سرٽيفڪيٽ استعمال ڪرڻ ممڪن نه آهي، ته پوءِ توهان کي پنهنجو پاڻ جاري ڪرڻ جي ضرورت آهي، جيڪو https لاءِ ويب پيج تي استعمال ڪيو ويندو. اهو مقامي سرٽيفڪيٽ اٿارٽي ذريعي خود دستخط يا جاري ڪري سگهجي ٿو. ريموٽ ڪمپيوٽر کي قابل اعتماد روٽ اختيارين جي لسٽ ۾ روٽ يا خود دستخط ٿيل سرٽيفڪيٽ هجڻ ضروري آهي ته جيئن ويب پورٽل سان ڳنڍڻ وقت صارف کي غلطي نه ملي. هي مثال استعمال ڪندو هڪ سرٽيفڪيٽ جاري ڪيل ايڪٽو ڊاريڪٽري سرٽيفڪيٽ سروسز ذريعي.

هڪ سرٽيفڪيٽ جاري ڪرڻ لاء، توهان کي سيڪشن ۾ هڪ سرٽيفڪيٽ درخواست ٺاهڻ جي ضرورت آهي ڊوائيس -> سرٽيفڪيٽ انتظام -> سرٽيفڪيٽ -> ٺاھيو. درخواست ۾ اسان سرٽيفڪيٽ جو نالو ۽ IP پتي يا ويب پورٽل جو FQDN ظاهر ڪريون ٿا (تصوير 16). درخواست تيار ڪرڻ کان پوء، ڊائون لوڊ ڪريو .csr فائل ڪريو ۽ ان جو مواد نقل ڪريو سرٽيفڪيٽ جي درخواست واري فيلڊ ۾ AD CS ويب داخلا ويب فارم ۾. ان تي منحصر آهي ته سرٽيفڪيٽ اٿارٽي ڪيئن ترتيب ڏني وئي آهي، سرٽيفڪيٽ جي درخواست کي منظور ڪيو وڃي ۽ جاري ڪيل سرٽيفڪيٽ فارميٽ ۾ ڊائون لوڊ ڪيو وڃي بيس 64 انڪوڊ ٿيل سرٽيفڪيٽ. اضافي طور تي، توهان کي ڊائون لوڊ ڪرڻ جي ضرورت آهي سرٽيفڪيشن اٿارٽي جي روٽ سرٽيفڪيٽ. پوء توهان کي ٻنهي سرٽيفڪيٽن کي فائر وال ۾ درآمد ڪرڻ جي ضرورت آهي. جڏهن ويب پورٽل لاءِ سرٽيفڪيٽ درآمد ڪري رهيا آهيو، توهان کي لازمي طور تي التوا واري صورتحال ۾ درخواست چونڊيو ۽ درآمد تي ڪلڪ ڪرڻ گهرجي. سرٽيفڪيٽ جو نالو لازمي طور تي درخواست ۾ بيان ڪيل نالي سان ملندو. روٽ سرٽيفڪيٽ جو نالو پاڻمرادو بيان ڪري سگھجي ٿو. سرٽيفڪيٽ درآمد ڪرڻ کان پوء، توهان کي ٺاهڻ جي ضرورت آهي SSL/TLS سروس پروفائل سيڪشن ڊوائيس -> سرٽيفڪيٽ انتظام. پروفائل ۾ اسان اڳئين درآمد ٿيل سرٽيفڪيٽ کي ظاھر ڪندا آھيون.

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 16 - سرٽيفڪيٽ جي درخواست

ايندڙ قدم شين کي ترتيب ڏيڻ آهي گلوبل تحفظ گيٽ وي и گلوبل پروٽيڪشن پورٽل سيڪشن نيٽورڪ -> گلوبل تحفظ. سيٽنگون ۾ گلوبل تحفظ گيٽ وي ظاهر ڪريو ٻاهرين IP پتي جي فائر وال جي، انهي سان گڏ اڳ ۾ ٺهيل SSL پروفائل, تصديق جي پروفائيل، سرنگ انٽرفيس ۽ ڪلائنٽ IP سيٽنگون. توهان کي IP پتي جو هڪ تلاء بيان ڪرڻ جي ضرورت آهي جنهن مان پتو لڳايو ويندو ڪلائنٽ، ۽ رسائي جو رستو - اهي اهي ذيلي نيٽ آهن جن ڏانهن مراجعه لاء رستو هوندو. جيڪڏهن ڪم سڀني صارفن جي ٽرئفڪ کي فائر وال ذريعي لپائڻ آهي، ته پوء توهان کي وضاحت ڪرڻ جي ضرورت آهي سب نيٽ 0.0.0.0/0 (تصوير 17).

Palo Alto نيٽ ورڪ سيٽ اپ خاصيتون: SSL VPN
شڪل 17 - IP پتي ۽ رستن جي تلاء کي ترتيب ڏيڻ

پوء توهان کي ترتيب ڏيڻ جي ضرورت آهي گلوبل پروٽيڪشن پورٽل. فائر وال جي IP پتي جي وضاحت ڪريو، SSL پروفائل и تصديق جي پروفائيل ۽ فائر والز جي ٻاهرين IP پتي جي هڪ فهرست جنهن سان ڪلائنٽ ڳنڍيندو. جيڪڏهن اتي ڪيترائي فائر وال آهن، توهان هر هڪ لاء ترجيح مقرر ڪري سگهو ٿا، جنهن جي مطابق صارفين کي ڳنڍڻ لاء فائر وال چونڊيو ويندو.

سيڪشن ڊوائيس -> GlobalProtect ڪلائنٽ توھان کي ڊائون لوڊ ڪرڻ جي ضرورت آھي VPN ڪلائنٽ جي تقسيم Palo Alto نيٽ ورڪ سرورز کان ۽ ان کي چالو ڪريو. ڳنڍڻ لاء، صارف کي پورٽل ويب پيج تي وڃڻ گهرجي، جتي هن کي ڊائون لوڊ ڪرڻ لاء چيو ويندو GlobalProtect ڪلائنٽ. هڪ دفعو ڊائون لوڊ ۽ انسٽال ٿيل، توهان داخل ڪري سگهو ٿا پنهنجون سندون ۽ ڳنڍي پنهنجي ڪارپوريٽ نيٽ ورڪ ذريعي SSL VPN.

ٿڪل

هي مڪمل ڪري ٿو Palo Alto نيٽ ورڪ سيٽ اپ جو حصو. اسان کي اميد آهي ته معلومات مفيد هئي ۽ پڙهندڙن کي Palo Alto نيٽ ورڪ تي استعمال ٿيندڙ ٽيڪنالاجي جي ڄاڻ حاصل ڪئي. جيڪڏهن توهان وٽ سيٽ اپ بابت سوال آهن ۽ مستقبل جي مضمونن لاءِ عنوانن تي تجويزون، انهن کي تبصرن ۾ لکو، اسان جواب ڏيڻ ۾ خوش ٿينداسين.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو