ProHoster > බ්ලොග් > පරිපාලනය > Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN

Palo Alto Networks ෆයර්වෝල් වල ඇති සියලුම වාසි තිබියදීත්, මෙම උපාංග සැකසීමේදී RuNet මත බොහෝ ද්රව්ය නොමැත, මෙන්ම ඒවා ක්රියාත්මක කිරීමේ අත්දැකීම් විස්තර කරන පාඨ. මෙම වෙළෙන්දාගේ උපකරණ සමඟ අපගේ වැඩ කටයුතු වලදී අප විසින් රැස් කර ඇති ද්රව්ය සාරාංශ කිරීමට සහ විවිධ ව්යාපෘති ක්රියාත්මක කිරීමේදී අප මුහුණ දුන් විශේෂාංග ගැන කතා කිරීමට අපි තීරණය කළෙමු.

Palo Alto Networks වෙත ඔබව හඳුන්වා දීම සඳහා, මෙම ලිපිය මගින් වඩාත් පොදු ෆයර්වෝල් ගැටළු වලින් එකක් විසඳීමට අවශ්‍ය වින්‍යාසය දෙස බලනු ඇත - SSL VPN දුරස්ථ ප්‍රවේශය සඳහා. අපි සාමාන්‍ය ෆයර්වෝල් වින්‍යාසය, පරිශීලක හඳුනාගැනීම්, යෙදුම් සහ ආරක්ෂක ප්‍රතිපත්ති සඳහා උපයෝගිතා කාර්යයන් ගැන ද කතා කරමු. මාතෘකාව පාඨකයන්ට උනන්දුවක් දක්වන්නේ නම්, අනාගතයේදී අපි වෙබ් අඩවියෙන් අඩවියට VPN විශ්ලේෂණය, ගතික මාර්ගගත කිරීම සහ මධ්‍යගත කළමණාකරණය Panorama භාවිතයෙන් නිකුත් කරන්නෙමු.

Palo Alto Networks ෆයර්වෝල් App-ID, User-ID, Content-ID ඇතුළු නව්‍ය තාක්ෂණයන් ගණනාවක් භාවිතා කරයි. මෙම ක්රියාකාරිත්වය භාවිතා කිරීමෙන් ඔබට ඉහළ මට්ටමේ ආරක්ෂාවක් සහතික කිරීමට ඉඩ සලසයි. උදාහරණයක් ලෙස, App-ID සමඟින් SSL උමං මාර්ගයක් ඇතුළුව, භාවිතා කරන වරාය සහ ප්‍රොටෝකෝලය කුමක් වුවත්, අත්සන්, විකේතනය සහ හූරිස්ටික් මත පදනම්ව යෙදුම් ගමනාගමනය හඳුනා ගත හැකිය. පරිශීලක-ID ඔබට LDAP ඒකාබද්ධ කිරීම හරහා ජාල භාවිතා කරන්නන් හඳුනා ගැනීමට ඉඩ සලසයි. Content-ID මඟින් ගමනාගමනය පරිලෝකනය කිරීමට සහ සම්ප්‍රේෂණය කළ ගොනු සහ ඒවායේ අන්තර්ගතය හඳුනා ගැනීමට හැකි වේ. අනෙකුත් ෆයර්වෝල් ක්‍රියාකාරකම් අතරට අනවසරයෙන් ඇතුළුවීමේ ආරක්ෂාව, දුර්වලතා සහ DoS ප්‍රහාර වලින් ආරක්ෂා වීම, බිල්ට් ප්‍රති-ස්පයිවෙයාර්, URL පෙරීම, පොකුරු කිරීම සහ මධ්‍යගත කළමනාකරණය ඇතුළත් වේ.

ප්‍රදර්ශනය සඳහා, අපි උපාංග නාම, AD වසම් නාමය සහ IP ලිපින හැර, සැබෑ එකට සමාන වින්‍යාසයක් සහිත හුදකලා ස්ථාවරයක් භාවිතා කරන්නෙමු. යථාර්ථයේ දී, සෑම දෙයක්ම වඩා සංකීර්ණයි - බොහෝ ශාඛා තිබිය හැක. මෙම අවස්ථාවේදී, තනි ෆයර්වෝලයක් වෙනුවට, මධ්යම අඩවි වල මායිම්වල පොකුරක් ස්ථාපනය කරනු ලබන අතර, ගතික මාර්ගගත කිරීමද අවශ්ය විය හැකිය.

ස්ථාවරය මත භාවිතා වේ PAN-OS 7.1.9. සාමාන්‍ය වින්‍යාස කිරීමක් ලෙස, කෙළවරේ Palo Alto Networks ෆයර්වෝලයක් සහිත ජාලයක් සලකා බලන්න. ෆයර්වෝලය ප්‍රධාන කාර්යාලයට දුරස්ථ SSL VPN ප්‍රවේශය සපයයි. සක්‍රීය නාමාවලි වසම පරිශීලක දත්ත ගබඩාවක් ලෙස භාවිතා කරනු ඇත (රූපය 1).

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 1 - ජාල බ්ලොක් රූප සටහන

පියවර සැකසීම:

  1. උපාංගයේ පූර්ව වින්යාසය. නම, කළමනාකරණ IP ලිපිනය, ස්ථිතික මාර්ග, පරිපාලක ගිණුම්, කළමනාකරණ පැතිකඩ සැකසීම
  2. බලපත්‍ර ස්ථාපනය කිරීම, යාවත්කාලීන වින්‍යාස කිරීම සහ ස්ථාපනය කිරීම
  3. ආරක්ෂක කලාප, ජාල අතුරුමුහුණත්, රථවාහන ප්‍රතිපත්ති, ලිපින පරිවර්තනය වින්‍යාස කිරීම
  4. LDAP සත්‍යාපන පැතිකඩක් සහ පරිශීලක හඳුනාගැනීමේ විශේෂාංගයක් වින්‍යාස කිරීම
  5. SSL VPN පිහිටුවීම

1. පෙරසිටුවීම

Palo Alto Networks ෆයර්වෝල් වින්‍යාස කිරීමේ ප්‍රධාන මෙවලම වෙබ් අතුරු මුහුණතයි; CLI හරහා කළමණාකරණය ද කළ හැකිය. පෙරනිමියෙන්, කළමනාකරණ අතුරුමුහුණත IP ලිපිනය 192.168.1.1/24 ලෙස සකසා ඇත, පිවිසුම: පරිපාලක, මුරපදය: පරිපාලක.

එකම ජාලයකින් වෙබ් අතුරු මුහුණතට සම්බන්ධ වීමෙන් හෝ විධානය භාවිතා කිරීමෙන් ඔබට ලිපිනය වෙනස් කළ හැකිය deviceconfig පද්ධති ip-address <> netmask <> සකසන්න. එය මානකරන ආකාරයෙන් සිදු කෙරේ. වින්‍යාස ප්‍රකාරයට මාරු වීමට, විධානය භාවිතා කරන්න වින්යාසගත කරන්න. ෆයර්වෝලයේ සියලුම වෙනස්කම් සිදුවන්නේ විධානය මඟින් සැකසුම් තහවුරු කිරීමෙන් පසුව පමණි කැපවන්න, විධාන රේඛා මාදිලියේ සහ වෙබ් අතුරු මුහුණතේ යන දෙකම.

වෙබ් අතුරු මුහුණතේ සැකසුම් වෙනස් කිරීමට, කොටස භාවිතා කරන්න උපාංගය -> සාමාන්‍ය සැකසුම් සහ උපාංගය -> කළමනාකරණ අතුරුමුහුණත් සැකසුම්. නම, බැනර්, වේලා කලාපය සහ අනෙකුත් සැකසුම් සාමාන්ය සිටුවම් කොටසෙහි (රූපය 2) සැකසිය හැක.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 2 - කළමනාකරණ අතුරුමුහුණත් පරාමිතීන්

ඔබ ESXi පරිසරයක අතථ්‍ය ෆයර්වෝලයක් භාවිතා කරන්නේ නම්, සාමාන්‍ය සැකසුම් කොටසේදී ඔබට අධිවිශේෂකය විසින් පවරන ලද MAC ලිපිනය භාවිතා කිරීම සක්‍රීය කිරීම හෝ හයිපර්වයිසරයේ ෆයර්වෝල් අතුරුමුහුණත්වල දක්වා ඇති MAC ලිපින වින්‍යාස කිරීම හෝ සැකසීම් වෙනස් කිරීම අවශ්‍ය වේ. MAC ලිපිනයන් වෙනස් කිරීමට ඉඩ දීමට අතථ්‍ය ස්විචයන්. එසේ නොමැති නම්, ගමනාගමනය හරහා ගමන් නොකෙරේ.

කළමනාකරණ අතුරුමුහුණත වෙන වෙනම වින්‍යාස කර ඇති අතර ජාල අතුරුමුහුණත් ලැයිස්තුවේ නොපෙන්වයි. පරිච්ඡේදයේ කළමනාකරණ අතුරුමුහුණත් සැකසුම් කළමනාකරණ අතුරුමුහුණත සඳහා පෙරනිමි ද්වාරය නියම කරයි. වෙනත් ස්ථිතික මාර්ග අථත්‍ය රවුටර කොටසෙහි වින්‍යාස කර ඇත; මෙය පසුව සාකච්ඡා කෙරේ.

වෙනත් අතුරුමුහුණත් හරහා උපාංගයට ප්‍රවේශ වීමට ඉඩ දීම සඳහා, ඔබ කළමනාකරණ පැතිකඩක් සෑදිය යුතුය කළමනාකරණ පැතිකඩ කොටස ජාලය -> ජාල පැතිකඩ -> අතුරු මුහුණත Mgmt සහ එය සුදුසු අතුරු මුහුණතට පවරන්න.

ඊළඟට, ඔබ කොටසෙහි DNS සහ NTP වින්යාසගත කළ යුතුය උපාංගය -> සේවා යාවත්කාලීන ලබා ගැනීමට සහ කාලය නිවැරදිව ප්රදර්ශනය කිරීමට (රූපය 3). පෙරනිමියෙන්, ෆයර්වෝලය මගින් ජනනය වන සියලුම ගමනාගමනය එහි මූලාශ්‍ර IP ලිපිනය ලෙස කළමනාකරණ අතුරුමුහුණත IP ලිපිනය භාවිතා කරයි. කොටසේ එක් එක් විශේෂිත සේවාව සඳහා ඔබට වෙනස් අතුරු මුහුණතක් පැවරිය හැක සේවා මාර්ග සැකසුම.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 3 - DNS, NTP සහ පද්ධති මාර්ග සේවා පරාමිතීන්

2. බලපත්‍ර ස්ථාපනය කිරීම, යාවත්කාලීන සැකසීම සහ ස්ථාපනය කිරීම

සියලුම ෆයර්වෝල් ක්‍රියාකාරිත්වයේ සම්පූර්ණ ක්‍රියාකාරිත්වය සඳහා, ඔබ බලපත්‍රයක් ස්ථාපනය කළ යුතුය. Palo Alto Networks හවුල්කරුවන්ගෙන් එය ඉල්ලීමෙන් ඔබට අත්හදා බැලීමේ බලපත්‍රයක් භාවිතා කළ හැක. එහි වලංගු කාලය දින 30 කි. බලපත්‍රය ගොනුවක් හරහා හෝ Auth-Code භාවිතයෙන් සක්‍රිය කර ඇත. බලපත්‍ර කොටසේ වින්‍යාස කර ඇත උපාංගය -> බලපත්ර (රූපය 4).
බලපත්රය ස්ථාපනය කිරීමෙන් පසු, ඔබ කොටසෙහි යාවත්කාලීන ස්ථාපනය වින්යාසගත කළ යුතුය උපාංගය -> ගතික යාවත්කාලීන.
කොටස උපාංගය -> මෘදුකාංග ඔබට PAN-OS හි නව අනුවාද බාගත කර ස්ථාපනය කළ හැක.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 4 - බලපත්ර පාලන පැනලය

3. ආරක්ෂක කලාප, ජාල අතුරුමුහුණත්, ගමනාගමන ප්‍රතිපත්ති, ලිපින පරිවර්තනය සැකසීම

Palo Alto Networks ෆයර්වෝල් ජාල රීති වින්‍යාස කිරීමේදී කලාප තර්කනය භාවිතා කරයි. ජාල අතුරුමුහුණත් නිශ්චිත කලාපයකට පවරා ඇති අතර, මෙම කලාපය රථවාහන නීති වල භාවිතා වේ. මෙම ප්රවේශය අනාගතයේදී, අතුරුමුහුණත් සැකසුම් වෙනස් කිරීමේදී, මාර්ග නීති වෙනස් කිරීමට නොව, සුදුසු කලාපවලට අවශ්ය අතුරු මුහුණත් නැවත පැවරීමට ඉඩ සලසයි. පෙරනිමියෙන්, කලාපයක් තුළ ගමනාගමනයට අවසර ඇත, කලාප අතර ගමනාගමනය තහනම්ය, පූර්ව නිශ්චිත නීති මේ සඳහා වගකිව යුතුය intrazone-default и interzone-default.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 5 - ආරක්ෂිත කලාප

මෙම උදාහරණයේ දී, අභ්යන්තර ජාලයේ අතුරු මුහුණතක් කලාපයට පවරා ඇත අභ්යන්තර, සහ අන්තර්ජාලයට මුහුණ ලා ඇති අතුරු මුහුණත කලාපයට පවරා ඇත බාහිර. SSL VPN සඳහා, උමං අතුරු මුහුණතක් නිර්මාණය කර කලාපයට පවරා ඇත Vpn (රූපය 5).

Palo Alto Networks ෆයර්වෝල් ජාල අතුරුමුහුණත් විවිධ ආකාර පහකින් ක්‍රියා කළ හැක:

  • ටැප් - නිරීක්ෂණ සහ විශ්ලේෂණ අරමුණු සඳහා ගමනාගමනය එකතු කිරීමට භාවිතා කරයි
  • HA - පොකුරු මෙහෙයුම සඳහා භාවිතා වේ
  • අතථ්‍ය වයර් - මෙම මාදිලියේදී, Palo Alto Networks අතුරුමුහුණත් දෙකක් ඒකාබද්ධ කරන අතර MAC සහ IP ලිපින වෙනස් නොකර විනිවිද පෙනෙන ලෙස ඒවා අතර ගමනාගමනය සිදු කරයි.
  • 2 වන ස්ථරය - මාරු මාදිලිය
  • 3 වන ස්ථරය - රවුටර මාදිලිය

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 6 - අතුරුමුහුණත මෙහෙයුම් ආකාරය සැකසීම

මෙම උදාහරණයේදී, Layer3 මාදිලිය භාවිතා කරනු ඇත (රූපය 6). ජාල අතුරුමුහුණත් පරාමිතීන් IP ලිපිනය, මෙහෙයුම් ආකාරය සහ අනුරූප ආරක්ෂක කලාපය දක්වයි. අතුරු මුහුණතේ මෙහෙයුම් මාදිලියට අමතරව, ඔබ එය අතථ්‍ය රවුටරයේ අථත්‍ය රවුටරයට පැවරිය යුතුය, මෙය Palo Alto Networks හි VRF උදාහරණයක ප්‍රතිසමයකි. අතථ්‍ය රවුටර එකිනෙකින් හුදකලා වී ඇති අතර ඒවායේම මාර්ගගත කිරීමේ වගු සහ ජාල ප්‍රොටෝකෝල සැකසුම් ඇත.

අතථ්‍ය රවුටර සැකසුම් ස්ථිතික මාර්ග සහ රවුටින් ප්‍රොටෝකෝල සැකසුම් නියම කරයි. මෙම උදාහරණයේ දී, බාහිර ජාල වෙත ප්රවේශ වීම සඳහා පෙරනිමි මාර්ගයක් පමණක් නිර්මාණය කර ඇත (රූපය 7).

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 7 - අථත්ය රවුටරයක් ​​සැකසීම

ඊළඟ වින්‍යාස කිරීමේ අදියර වන්නේ රථවාහන ප්‍රතිපත්ති, අංශයයි ප්රතිපත්ති -> ආරක්ෂාව. වින්‍යාසය පිළිබඳ උදාහරණයක් රූප සටහන 8 හි පෙන්වා ඇත. රීතිවල තර්කනය සියලුම ෆයර්වෝල් සඳහා සමාන වේ. පළමු තරඟය දක්වා ඉහළ සිට පහළට නීති පරීක්ෂා කරනු ලැබේ. නීති පිළිබඳ කෙටි විස්තරයක්:

1. SSL VPN වෙබ් ද්වාරය වෙත ප්‍රවේශය. දුරස්ථ සම්බන්ධතා සත්‍යාපනය කිරීමට වෙබ් ද්වාරයට ප්‍රවේශ වීමට ඉඩ දෙන්න
2. VPN ගමනාගමනය - දුරස්ථ සම්බන්ධතා සහ ප්‍රධාන කාර්යාලය අතර ගමනාගමනයට ඉඩ සලසයි
3. මූලික අන්තර්ජාලය - dns, ping, traceroute, ntp යෙදුම් වලට ඉඩ දීම. ෆයර්වෝලය වරාය අංක සහ ප්‍රොටෝකෝල වලට වඩා අත්සන්, විකේතනය සහ හූරිස්ටික් මත පදනම්ව යෙදුම් වලට ඉඩ දෙයි, සේවා අංශය යෙදුම්-පෙරනිමිය යැයි පවසන්නේ එබැවිනි. මෙම යෙදුම සඳහා පෙරනිමි වරාය/ප්‍රොටෝකෝලය
4. වෙබ් ප්රවේශය - යෙදුම් පාලනයකින් තොරව HTTP සහ HTTPS ප්රොටෝකෝල හරහා අන්තර්ජාල ප්රවේශය ලබා දීම
5,6 වෙනත් ගමනාගමනය සඳහා පෙරනිමි නීති.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 8 - ජාල රීති සැකසීමේ උදාහරණය

NAT වින්‍යාස කිරීමට, කොටස භාවිතා කරන්න ප්‍රතිපත්ති -> NAT. NAT වින්‍යාසය පිළිබඳ උදාහරණයක් රූප සටහන 9 හි දැක්වේ.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 9 - NAT වින්‍යාසයේ උදාහරණය

අභ්‍යන්තරයේ සිට බාහිර දක්වා ඕනෑම ගමනාගමනයක් සඳහා, ඔබට මූලාශ්‍ර ලිපිනය ෆයර්වෝලයේ බාහිර IP ලිපිනයට වෙනස් කර ගතික වරාය ලිපිනයක් (PAT) භාවිතා කළ හැකිය.

4. LDAP සත්‍යාපන පැතිකඩ සහ පරිශීලක හඳුනාගැනීමේ කාර්යය වින්‍යාස කිරීම
SSL-VPN හරහා පරිශීලකයින් සම්බන්ධ කිරීමට පෙර, ඔබට සත්‍යාපන යාන්ත්‍රණයක් වින්‍යාස කිරීමට අවශ්‍ය වේ. මෙම උදාහරණයේදී, Palo Alto Networks වෙබ් අතුරු මුහුණත හරහා Active Directory domain controller වෙත සත්‍යාපනය සිදුවේ.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 10 - LDAP පැතිකඩ

සත්‍යාපනය වැඩ කිරීමට, ඔබ වින්‍යාසගත කළ යුතුය LDAP පැතිකඩ и සත්‍යාපන පැතිකඩ. කොටසේ උපාංගය -> සේවාදායක පැතිකඩ -> LDAP (පය. 10) ඔබට කණ්ඩායම්වල ඇතුළත් කර ඇති වසම් පාලකයේ IP ලිපිනය සහ වරාය, LDAP වර්ගය සහ පරිශීලක ගිණුම සඳහන් කළ යුතුය. සේවාදායක ක්රියාකරුවන්, සිදුවීම් ලොග් කියවන්නන්, බෙදා හරින ලද COM පරිශීලකයින්. ඉන්පසු කොටසේ උපාංගය -> සත්‍යාපන පැතිකඩ සත්‍යාපන පැතිකඩක් සාදන්න (රූපය 11), කලින් සාදන ලද එක සලකුණු කරන්න LDAP පැතිකඩ සහ උසස් පටිත්තෙහි දුරස්ථ ප්‍රවේශයට අවසර දී ඇති පරිශීලකයින් කණ්ඩායම (රූපය 12) අපි දක්වන්නෙමු. ඔබගේ පැතිකඩෙහි පරාමිතිය සටහන් කිරීම වැදගත් වේ පරිශීලක වසම, එසේ නොමැතිනම් සමූහ පදනම් වූ අවසරය ක්‍රියා නොකරනු ඇත. ක්ෂේත්රය NetBIOS වසම් නාමය සඳහන් කළ යුතුය.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 11 - සත්‍යාපන පැතිකඩ

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 12 - AD කණ්ඩායම් තේරීම

ඊළඟ අදියර වන්නේ සැකසීමයි උපාංගය -> පරිශීලක හඳුනාගැනීම. මෙහිදී ඔබට වසම් පාලකයේ IP ලිපිනය, සම්බන්ධතා අක්තපත්‍ර සහ සැකසීම් වින්‍යාස කිරීමට අවශ්‍ය වේ. ආරක්ෂක ලොගය සක්රිය කරන්න, සැසිය සක්රිය කරන්න, පරීක්ෂා කිරීම සබල කරන්න (රූපය 13). පරිච්ඡේදයේ කණ්ඩායම් සිතියම්ගත කිරීම (රූපය 14) ඔබ LDAP හි වස්තූන් හඳුනාගැනීම සඳහා පරාමිතීන් සහ අවසරය සඳහා භාවිතා කරන කණ්ඩායම් ලැයිස්තුව සටහන් කළ යුතුය. සත්‍යාපන පැතිකඩෙහි මෙන්, මෙහිදී ඔබට පරිශීලක වසම් පරාමිතිය සැකසිය යුතුය.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 13 - පරිශීලක සිතියම්කරණ පරාමිතීන්

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 14 - කණ්ඩායම් සිතියම්කරණ පරාමිතීන්

මෙම අදියරේ අවසාන පියවර වන්නේ VPN කලාපයක් සහ එම කලාපය සඳහා අතුරු මුහුණතක් නිර්මාණය කිරීමයි. ඔබ අතුරු මුහුණත මත විකල්පය සක්රිය කිරීමට අවශ්ය වේ පරිශීලක හඳුනාගැනීම සබල කරන්න (රූපය 15).

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 15 - VPN කලාපයක් සැකසීම

5. SSL VPN පිහිටුවීම

SSL VPN වෙත සම්බන්ධ වීමට පෙර, දුරස්ථ පරිශීලකයා වෙබ් ද්වාරය වෙත ගොස්, Global Protect සේවාලාභියා සත්‍යාපනය කර බාගත කළ යුතුය. ඊළඟට, මෙම සේවාදායකයා අක්තපත්‍ර ඉල්ලා ආයතනික ජාලයට සම්බන්ධ වනු ඇත. වෙබ් ද්වාරය https මාදිලියේ ක්‍රියාත්මක වන අතර, ඒ අනුව, ඔබ ඒ සඳහා සහතිකයක් ස්ථාපනය කළ යුතුය. හැකි නම් පොදු සහතිකයක් භාවිතා කරන්න. එවිට වෙබ් අඩවියේ සහතිකයේ වලංගු භාවය පිළිබඳ අනතුරු ඇඟවීමක් පරිශීලකයාට නොලැබෙනු ඇත. පොදු සහතිකයක් භාවිතා කිරීමට නොහැකි නම්, ඔබ ඔබේම සහතිකයක් නිකුත් කළ යුතුය, එය https සඳහා වෙබ් පිටුවේ භාවිතා කරනු ඇත. එය ස්වයං අත්සන් කිරීම හෝ ප්රාදේශීය සහතික අධිකාරියක් හරහා නිකුත් කළ හැකිය. වෙබ් ද්වාරයට සම්බන්ධ වන විට පරිශීලකයාට දෝෂයක් නොලැබෙන පරිදි දුරස්ථ පරිගණකය විශ්වාසදායක මූල අධිකාරීන්ගේ ලැයිස්තුවේ root හෝ ස්වයං-අත්සන සහිත සහතිකයක් තිබිය යුතුය. මෙම උදාහරණය Active Directory Certificate Services හරහා නිකුත් කරන ලද සහතිකයක් භාවිතා කරනු ඇත.

සහතිකයක් නිකුත් කිරීම සඳහා, ඔබ කොටසේ සහතික ඉල්ලීමක් සෑදිය යුතුය උපාංගය -> සහතික කළමනාකරණය -> සහතික -> ජනනය. ඉල්ලීමෙහි අපි සහතිකයේ නම සහ වෙබ් ද්වාරයෙහි IP ලිපිනය හෝ FQDN (රූපය 16) සඳහන් කරමු. ඉල්ලීම ජනනය කිරීමෙන් පසුව, බාගත කරන්න .csr ගොනු කර එහි අන්තර්ගතය AD CS වෙබ් ලියාපදිංචි කිරීමේ වෙබ් පෝරමයේ සහතික ඉල්ලීම් ක්ෂේත්‍රයට පිටපත් කරන්න. සහතික අධිකාරිය වින්‍යාස කර ඇති ආකාරය අනුව, සහතික ඉල්ලීම අනුමත කළ යුතු අතර නිකුත් කළ සහතිකය ආකෘතියෙන් බාගත කළ යුතුය. Base64 කේතනය කළ සහතිකය. මීට අමතරව, ඔබ සහතික කිරීමේ අධිකාරියේ මූල සහතිකය බාගත කළ යුතුය. එවිට ඔබට සහතික දෙකම ෆයර්වෝලයට ආනයනය කළ යුතුය. වෙබ් ද්වාරයක් සඳහා සහතිකයක් ආනයනය කරන විට, ඔබ අපේක්ෂිත තත්ත්වය තුළ ඉල්ලීම තෝරා ආනයනය ක්ලික් කළ යුතුය. සහතිකයේ නම ඉල්ලීමෙහි කලින් සඳහන් කළ නමට ගැළපිය යුතුය. මූල සහතිකයේ නම අත්තනෝමතික ලෙස සඳහන් කළ හැකිය. සහතිකය ආනයනය කිරීමෙන් පසු, ඔබ නිර්මාණය කළ යුතුය SSL/TLS සේවා පැතිකඩ කොටස උපාංගය -> සහතික කළමනාකරණය. පැතිකඩෙහි අපි කලින් ආනයනය කළ සහතිකය දක්වයි.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 16 - සහතික ඉල්ලීම

ඊළඟ පියවර වන්නේ වස්තූන් සැකසීමයි Global Protect Gateway и Global Protect Portal කොටස ජාලය -> ගෝලීය ආරක්ෂාව... සැකසුම් තුළ Global Protect Gateway ෆයර්වෝලයේ බාහිර IP ලිපිනය සඳහන් කරන්න, මෙන්ම කලින් නිර්මාණය කර ඇත SSL පැතිකඩ, සත්‍යාපන පැතිකඩ, උමං අතුරුමුහුණත සහ සේවාදායක IP සැකසුම්. ඔබ සේවාදායකයාට ලිපිනය පවරනු ලබන IP ලිපින සංචිතයක් සඳහන් කළ යුතුය, සහ ප්‍රවේශ මාර්ගය - මේවා සේවාදායකයාට මාර්ගයක් ඇති උපජාල වේ. කාර්යය වන්නේ ෆයර්වෝලයක් හරහා සියලුම පරිශීලක ගමනාගමනය එතීම නම්, ඔබ උපජාලය 0.0.0.0/0 (රූපය 17) සඳහන් කළ යුතුය.

Palo Alto Networks සැකසුම් විශේෂාංග: SSL VPN
රූපය 17 - IP ලිපින සහ මාර්ග සංචිතයක් වින්‍යාස කිරීම

එවිට ඔබට වින්යාසගත කිරීමට අවශ්ය වේ Global Protect Portal. ෆයර්වෝලයේ IP ලිපිනය සඳහන් කරන්න, SSL පැතිකඩ и සත්‍යාපන පැතිකඩ සහ සේවාලාභියා සම්බන්ධ කරන ෆයර්වෝල් වල බාහිර IP ලිපින ලැයිස්තුවක්. ෆයර්වෝල් කිහිපයක් තිබේ නම්, ඔබට එක් එක් සඳහා ප්‍රමුඛතාවයක් තැබිය හැකිය, ඒ අනුව පරිශීලකයින් සම්බන්ධ වීමට ෆයර්වෝලයක් තෝරා ගනු ඇත.

කොටස උපාංගය -> GlobalProtect සේවාලාභියා ඔබ Palo Alto Networks සේවාදායකයන් වෙතින් VPN සේවාදායක බෙදාහැරීම බාගත කර එය සක්‍රිය කළ යුතුය. සම්බන්ධ වීමට, පරිශීලකයා ද්වාර වෙබ් පිටුවට යා යුතුය, එහිදී ඔහු බාගත කිරීමට අසනු ඇත GlobalProtect සේවාලාභියා. බාගත කර ස්ථාපනය කළ පසු, ඔබට ඔබේ අක්තපත්‍ර ඇතුළත් කර SSL VPN හරහා ඔබේ ආයතනික ජාලයට සම්බන්ධ විය හැක.

නිගමනය

මෙය සැකසුමේ Palo Alto Networks කොටස සම්පූර්ණ කරයි. තොරතුරු ප්‍රයෝජනවත් වූ අතර පාඨකයාට Palo Alto Networks හි භාවිතා වන තාක්ෂණයන් පිළිබඳ අවබෝධයක් ලැබෙනු ඇතැයි අපි බලාපොරොත්තු වෙමු. අනාගත ලිපි සඳහා මාතෘකා පිළිබඳ සැකසීම් සහ යෝජනා පිළිබඳව ඔබට ප්‍රශ්න ඇත්නම්, ඒවා අදහස් දැක්වීමේදී ලියන්න, අපි පිළිතුරු දීමට සතුටු වන්නෙමු.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න