E ui lava i mea lelei uma o Palo Alto Networks firewalls, e le tele ni mea i luga o le RuNet i le faʻatulagaina o nei masini, faʻapea foʻi ma tusitusiga e faʻamatala ai le poto masani o latou faʻatinoga. Na matou filifili e tauaofai mea na matou faʻaputuina i le taimi o la matou galuega ma meafaigaluega a lenei tagata faʻatau ma talanoa e uiga i foliga na matou feagai i le taimi o le faʻatinoina o galuega eseese.
Ina ia faʻafeiloaʻi oe i Palo Alto Networks, o lenei tusiga o le a vaʻavaʻai i le faʻatulagaina e manaʻomia e foia ai se tasi o faʻafitauli faʻalavelave faʻafefe masani - SSL VPN mo avanoa mamao. O le a matou talanoa foʻi e uiga i galuega faʻaoga mo le faʻapipiʻiina lautele o firewall, faʻamatalaga tagata faʻaoga, talosaga, ma faiga faʻavae saogalemu. Afai o le autu e fiafia i ai le au faitau, i le lumanaʻi o le a matou tuʻuina atu mea e suʻesuʻe ai le Site-to-Site VPN, taʻavale malosi ma pulega faʻapitoa e faʻaaoga ai le Panorama.
Palo Alto Networks firewalls fa'aogaina le tele o tekonolosi fou, e aofia ai le App-ID, User-ID, Content-ID. O le faʻaogaina o lenei faʻatinoga e mafai ai e oe ona faʻamautinoa se tulaga maualuga o le saogalemu. Mo se faʻataʻitaʻiga, faʻatasi ai ma le App-ID e mafai ona faʻamaonia le faʻaogaina o fefaʻatauaiga e faʻavae i luga o saini, decoding ma heuristics, e tusa lava po o le a le taulaga ma le protocol faʻaaogaina, e aofia ai totonu o se alalaupapa SSL. User-ID e mafai ai ona e iloa tagata fa'aoga feso'ota'iga e ala i le tu'ufa'atasiga o le LDAP. Content-ID e mafai ai ona su'esu'e feoaiga ma fa'ailoa faila fa'asalalau ma latou mea. O isi galuega fa'amalama e aofia ai puipuiga fa'alavelave, puipuiga mai fa'aletonu ma osofa'iga a le DoS, fa'apipi'i-anti-spyware, fa'amama URL, fa'apipi'i, ma pulega fa'atotonugalemu.
Mo le faʻataʻitaʻiga, o le a matou faʻaogaina se tulaga tuʻufua, faʻatasi ai ma se faʻatulagaga e tutusa ma le mea moni, sei vagana ai igoa o masini, AD domain name ma tuatusi IP. O le mea moni, o mea uma e sili atu ona faigata - e mafai ona tele lala. I lenei tulaga, nai lo le tasi firewall, o le a faʻapipiʻi se fuifui i tuaoi o nofoaga tutotonu, ma e ono manaʻomia foʻi le taʻavale malosi.
Fa'aoga i luga ole tulaga PAN-OS 7.1.9. I le avea ai o se faʻatulagaga masani, mafaufau i se fesoʻotaʻiga ma le Palo Alto Networks firewall i le pito. O le firewall e maua ai le SSL VPN mamao avanoa i le ofisa ulu. Ole vaega ole Active Directory ole a fa'aogaina e fai ma fa'amaumauga ole tagata fa'aoga (Ata 1).
Ata 1 – Ata poloka poloka
Laasaga seti:
- Fa'atonuga muamua o masini. Faʻatulagaina le igoa, tuatusi IP pulega, auala faʻapitoa, faʻamatalaga faʻatonu, faʻamatalaga pulega
- Fa'apipi'i laisene, fa'apipi'i ma fa'apipi'i fa'afouga
- Fa'atonu sone saogalemu, feso'ota'iga feso'ota'iga, faiga fa'avae fe'avea'i, fa'aliliuga tuatusi
- Fa'atulagaina o le LDAP Authentication Profile ma le Fa'amatalaga Fa'asinomaga
- Fa'atulaga se SSL VPN
1. Fa'atonu
O le meafaigaluega autu mo le faʻatulagaina o le Palo Alto Networks firewall o le upega tafaʻilagi; pulega e ala i le CLI e mafai foi. E ala i le faaletonu, ua setiina le pulega pulega ile tuatusi IP 192.168.1.1/24, login: admin, password: admin.
E mafai ona e suia le tuatusi e ala i le faʻafesoʻotaʻi i le upega tafaʻilagi mai le fesoʻotaʻiga tutusa, poʻo le faʻaaogaina o le poloaiga seti deviceconfig system ip-address <> netmask <>. O lo'o fa'atinoina i le faiga fa'atulagaina. Ina ia fesuiai i le faatulagaga o le faatulagaga, faaaoga le poloaiga configures. O suiga uma i luga o le firewall e tupu pe a uma ona faʻamaonia tulaga e le poloaiga tautino, e le gata i le fa'atonuga laina fa'apea fo'i ile fa'aoga i luga ole laiga.
Ina ia suia tulaga i totonu o le upega tafaʻilagi, faʻaoga le vaega Masini -> Fa'atonu Fa'atonu ma Masini -> Fa'atonu Fa'atonu Fa'atonu. O le igoa, fuʻa, sone taimi ma isi faʻatulagaga e mafai ona seti i le vaega o Faʻasalalauga Lautele (Fig. 2).
Ata 2 – Fa'asologa o feso'ota'iga pulega
Afai e te faʻaogaina se faʻamalama afi i totonu o se siosiomaga ESXi, i le vaega o Faʻatonuga Lautele e te manaʻomia e faʻatagaina ai le faʻaogaina o le tuatusi MAC na tuʻuina atu e le hypervisor, poʻo le faʻapipiʻiina o tuatusi MAC o loʻo faʻamaonia i luga o fesoʻotaʻiga afi i luga o le hypervisor, pe suia tulaga o le. o suiga faʻapitoa e faʻatagaina ai le MAC e suia tuatusi. A leai, o le a le pasia taavale.
O le pulega fa'aoga e fa'apipi'i ese ma e le fa'aalia i le lisi o feso'ota'iga feso'ota'iga. I le mataupu Fa'atonuga Fa'afeso'ota'i fa'ama'oti le faitoto'a fa'aletonu mo le fa'afoega tau pulega. O isi auala fa'asolosolo o lo'o fa'apipi'iina i le vaega o le telefoni feavea'i; o le a talanoaina mulimuli ane.
Ina ia faʻatagaina le avanoa i le masini e ala i isi fesoʻotaʻiga, e tatau ona e fatuina se talaaga o le pulega Fa'amatalaga Fa'atonu o le fuaiupu Feso'ota'iga -> Fa'amatalaga Fa'amatalaga -> Feso'ota'iga Mgmt ma tu'u atu i le fa'aoga talafeagai.
Le isi, e tatau ona e faʻatulagaina DNS ma NTP i le vaega Meafaigaluega -> Auaunaga e maua ai faʻamatalaga ma faʻaalia saʻo le taimi (Ata. 3). Ona o le le mafai, o fefaʻatauaiga uma e faʻatupuina e le firewall e faʻaaogaina le tuatusi IP faʻatautaia e avea ma tuatusi IP puna. E mafai ona e tofia se atinaʻe eseese mo auaunaga faʻapitoa taʻitasi i le vaega Fa'atonuga Auala Au'aunaga.
Ata 3 – DNS, NTP ma auala faiga fa'asologa o auaunaga
2. Fa'apipi'i laisene, fa'atutu ma fa'apipi'i fa'afouga
Mo le fa'agaioiga atoatoa o galuega fai puipui uma, e tatau ona e fa'apipi'i se laisene. E mafai ona e fa'aogaina se laisene fa'ata'ita'i e ala i le talosaga mai pa'aga Palo Alto Networks. O lona vaitaimi aoga e 30 aso. O le laisene e fa'agaoioia pe ala i se faila po'o le fa'aogaina o le Auth-Code. Laisene ua faatulagaina i le vaega Meafaigaluega -> Laisene (Fig. 4).
A maeʻa ona faʻapipiʻi le laisene, e tatau ona e faʻatulagaina le faʻapipiʻiina o faʻafouga i le vaega Meafaigaluega -> Fa'afouina Fa'afouga.
o le fuaiupu Meafaigaluega -> Polokalama e mafai ona e sii maia ma faʻapipiʻi lomiga fou o le PAN-OS.
Ata 4 – Laisene pulea vaega
3. Fa'atonu sone saogalemu, feso'ota'iga feso'ota'iga, faiga fa'avae fe'avea'i, fa'aliliuga tuatusi
Palo Alto Networks firewalls e fa'aogaina le sone logic pe a fa'atulaga tulafono o feso'otaiga. O feso'ota'iga feso'ota'iga e tu'uina atu i se sone fa'apitoa, ma o lenei sone o lo'o fa'aaogaina i tulafono tau feoaiga. O lenei faiga e mafai ai i le lumanaʻi, pe a suia le faʻaogaina o fesoʻotaʻiga, e le o le suia o tulafono o feoaiga, ae nai lo le toe tuʻuina atu o fesoʻotaʻiga talafeagai i sone talafeagai. Ona o le faaletonu, o feoaiga i totonu o se sone e faʻatagaina, feoaiga i le va o sone e faʻasaina, o tulafono faʻamaonia e nafa ma lenei. intrazone-fa'aletonu и interzone-default.
Ata 5 – Sone saogalemu
I lenei faʻataʻitaʻiga, o se atinaʻe i luga o fesoʻotaiga i totonu o loʻo tuʻuina atu i le sone totonu, ma o le atinaʻe e faʻasaga i le Initaneti ua tuʻuina atu i le sone ese. Mo SSL VPN, ua fausia ma tuʻuina atu i le sone se fesoʻotaʻiga alalaupapa vpn (Fig. 5).
Palo Alto Networks 'upega tafa'ilagi feso'ota'iga feso'ota'iga e mafai ona fa'agaoioi i ni auala eseese se lima:
- Tap – fa'aaoga e aoina ai feoaiga mo le mata'ituina ma le au'ili'ili
- HA - fa'aaogaina mo le fa'aogaina o fuifui
- Uaea Va'aia - i lenei faiga, o le Palo Alto Networks e tuʻufaʻatasia ni fesoʻotaʻiga se lua ma faʻasalalau manino fefaʻatauaiga i le va oi latou e aunoa ma le suia o tuatusi MAC ma IP.
- Vaega 2 – sui faiga
- Vaega 3 – faiga alaala
Ata 6 – Fa'atulaga le faiga fa'aoga fa'aoga
I lenei faʻataʻitaʻiga, o le a faʻaogaina le Layer3 mode (Fig. 6). O fa'asologa o feso'ota'iga feso'ota'iga o lo'o fa'ailoa mai ai le tuatusi IP, faiga fa'aoga ma le sone saogalemu talafeagai. I le faʻaopoopoga i le faʻaogaina o le faʻaoga, e tatau ona e tuʻuina atu i le Virtual Router virtual router, o se faʻataʻitaʻiga lea o se VRF faʻataʻitaʻiga i Palo Alto Networks. E tu'u'ese'ese 'au ta'avale fa'apitoa mai le tasi ma le isi ma e iai a latou lava laulau ta'avale ma fa'asologa o feso'ota'iga.
O fa'atonuga o le router virtual e fa'amaoti mai ai ala fa'ata'atia ma fa'atonuga fa'aalaala. I lenei faʻataʻitaʻiga, naʻo se auala faʻaletonu na faia mo le faʻaogaina o fesoʻotaʻiga i fafo (Fig. 7).
Ata 7 – Fa'atūina se telefoni feavea'i
O le isi laasaga faʻatulagaina o faiga faʻavae, vaega Faiga Faavae -> Puipuiga. O se faʻataʻitaʻiga o le faʻatulagaina o loʻo faʻaalia i le Ata 8. O le faʻaogaina o tulafono e tutusa ma mo puipui afi uma. E siaki tulafono mai luga i lalo, lalo ifo i le taaloga muamua. Fa'amatalaga puupuu o tulafono:
1. SSL VPN Avanoa ile Upega Tafa'ilagi. Fa'ataga le avanoa i le upega tafa'ilagi e fa'amaonia ai feso'ota'iga mamao
2. VPN felauaiga - faʻatagaina fefaʻatauaiga i le va o fesoʻotaʻiga mamao ma le ofisa ulu
3. Autu Initaneti - faʻatagaina dns, ping, traceroute, ntp talosaga. O le firewall e faʻatagaina talosaga e faʻavae i luga o saini, decoding, ma heuristics nai lo numera o le taulaga ma faʻasalalauga, o le mea lea e fai mai ai le vaega o Auaunaga talosaga-faʻaletonu. Taulaga masani/protocol mo lenei talosaga
4. Avanoa i luga ole laiga - faʻatagaina le Initaneti e ala ile HTTP ma HTTPS protocols e aunoa ma le faʻatonuina o talosaga
5,6. Tulafono masani mo isi feoaiga.
Ata 8 - Fa'ata'ita'iga o le fa'atulagaina o tulafono o feso'otaiga
Ina ia faʻatulagaina le NAT, faʻaaoga le vaega Faiga Fa'avae -> NAT. O se faʻataʻitaʻiga o le faʻatulagaina o le NAT o loʻo faʻaalia i le Ata 9.
Ata 9 – Fa'ata'ita'iga ole fa'atulagaina ole NAT
Mo soʻo se fefaʻatauaʻiga mai totonu i fafo, e mafai ona e suia le tuatusi faʻapogai i le tuatusi IP fafo o le pa puipui ma faʻaaoga se tuatusi o le taulaga (PAT).
4. Fa'atulaga le LDAP Authentication Profile ma le Fa'amatalaga Fa'amatalaga Fa'aoga
Aʻo leʻi faʻafesoʻotaʻi tagata faʻaoga e ala i le SSL-VPN, e tatau ona e faʻatulagaina se masini faʻamaonia. I lenei faʻataʻitaʻiga, o le a faʻamaonia le faʻamaonia i le Active Directory domain controller e ala i le Palo Alto Networks web interface.
Ata 10 – fa'amatalaga LDAP
Mo le faʻamaoni e galue, e tatau ona e faʻatulagaina Tala'aga a le LDAP и Fa'amatalaga Fa'amaoni. I le vaega Meafaigaluega -> Fa'amatalaga Fa'aumau -> LDAP (Fig. 10) e tatau ona e faʻamaonia le tuatusi IP ma le taulaga o le pule o le domain, ituaiga LDAP ma faʻamatalaga faʻaoga o loʻo aofia i vaega Tagata fa'atonu, Tagata Faitau Log o Mea e fai, Fa'asoa COM Tagata fa'aoga. Ona sosoo ai lea ma le vaega Meafaigaluega -> Faʻamatalaga Faʻamaonia fatuina se talaaga faʻamaonia (Fig. 11), faʻailoga le mea na faia muamua Tala'aga a le LDAP ma i le Advanced tab matou te faʻaalia le vaega o tagata faʻaoga (Fig. 12) o loʻo faʻatagaina avanoa mamao. E taua le matauina o le parakalafa i lau talaaga otooto Tagata fa'aoga fanua, a leai o le a le aoga le faatagaga fa'avae vaega. O le fanua e tatau ona faʻaalia le igoa ole NetBIOS.
Ata 11 – Fa'amatalaga fa'amaoni
Ata 12 – Filifiliga vaega AD
O le isi laasaga o le seti Meafaigaluega -> Faʻamatalaga Faʻamatalaga. O iinei e te manaʻomia e faʻamaonia ai le tuatusi IP o le pule o le domain, faʻamatalaga fesoʻotaʻiga, ma faʻapipiʻi foi tulaga Fa'agaoioi Log Saogalemu, Fa'aaga le Sauniga, Fa'aaga su'esu'e (Ata 13). I le mataupu Fa'afanua Vaega (Fig. 14) e manaʻomia ona e maitauina faʻamaufaʻailoga mo le faʻamaonia o mea i le LDAP ma le lisi o vaega o le a faʻaaogaina mo le faʻatagaina. E pei lava o le Authentication Profile, iinei e tatau ona e setiina le User Domain parameter.
Ata 13 – Fa'afanua Fa'afanua Fa'aoga
Ata 14 – Fa'afanua Fa'afanua Vaega
O le laasaga mulimuli i lenei vaega o le fatuina lea o se VPN sone ma se atinaʻe mo lena sone. E te manaʻomia le faʻatagaina o le filifiliga i luga o le atinaʻe Fa'ataga le Fa'amatalaga Fa'aaogā (Fig. 15).
Ata 15 – Fa'atuina se sone VPN
5. Faʻatulagaina SSL VPN
Aʻo leʻi faʻafesoʻotaʻi i se SSL VPN, e tatau i le tagata faʻaoga mamao ona alu i le upega tafaʻilagi, faʻamaonia ma download le Global Protect client. O le isi, o le a talosagaina e le tagata o tausia ni faʻamaoniga ma faʻafesoʻotaʻi i le fesoʻotaʻiga kamupani. O le upega tafaʻilagi e galue i le https mode ma, e tusa ai, e tatau ona e faʻapipiʻi se tusi faamaonia mo ia. Fa'aaogā se tusi fa'alaua'itele pe a mafai. Ona le maua lea e le tagata faʻaoga se lapataiga e uiga i le le aoga o le tusi faamaonia i luga o le saite. Afai e le mafai ona faʻaaogaina se tusi faʻasalalau lautele, ona e manaʻomia lea e tuʻuina atu lau oe lava, lea o le a faʻaaogaina i luga o le itulau web mo https. E mafai ona sainia e le tagata lava ia pe tuʻuina atu e ala i se pulega tusi faamaonia i le lotoifale. O le komepiuta mamao e tatau ona i ai se aʻa poʻo le saini a le tagata lava ia i le lisi o pulega faʻalagolago i aʻa ina ia le maua e le tagata faʻaoga se mea sese pe a faʻafesoʻotaʻi i le upega tafaʻilagi. O lenei faʻataʻitaʻiga o le a faʻaaogaina se tusi faamaonia na tuʻuina atu e ala ile Active Directory Certificate Services.
Ina ia tuʻuina atu se tusi faamaonia, e tatau ona e fatuina se talosaga tusi faamaonia i le vaega Masini -> Pulea Tusi Faamaonia -> Tusi Faamaonia -> Fausia. I le talosaga matou te faʻaalia le igoa o le tusi faamaonia ma le tuatusi IP poʻo le FQDN o le upega tafaʻilagi (Fig. 16). A uma ona fai le talosaga, download .csr faila ma kopi ona mea i totonu o le tusi talosaga fanua ile AD CS Web Enrollment web form. Faʻalagolago i le faʻaogaina o le pule faʻamaonia, e tatau ona faʻamaonia le talosaga tusi pasi ma e tatau ona sii mai le tusi faamaonia i le faatulagaga. Base64 Tusi Fa'ailoga Fa'ailoga. E le gata i lea, e mana'omia lou la'uina mai o le tusi a'a o le pulega fa'amaonia. Ona e manaʻomia lea ona faʻaulufaleina uma tusi pasi i totonu o le firewall. A fa'aulufale mai se tusi faamaonia mo se upega tafa'ilagi, e tatau ona e filifilia le talosaga i le tulaga o lo'o fa'atali ma kiliki le fa'aulufale mai. E tatau ona fetaui le igoa o le tusi faamaonia ma le igoa na fa'ailoa muamua i le talosaga. O le igoa o le aʻa e mafai ona faʻamaonia faʻamaonia. A maeʻa ona faʻaulufale mai le tusi faamaonia, e tatau ona e fatuina SSL/TLS Service Profile o le fuaiupu Meafaigaluega -> Puleaina o Tusi Faamaonia. I le faʻamatalaga matou te faʻaalia ai le tusi faamaonia na faʻaulufaleina muamua.
Ata 16 – Talosaga tusipasi
O le isi laasaga o le setiina o mea faitino Global Puipuia Gateway и Global Protect Portal o le fuaiupu Fesootaiga -> Puipuiga o le Lalolagi. I tulaga Global Puipuia Gateway faʻaalia le tuatusi IP fafo o le pa puipui, faʻapea foʻi ma le mea na faia muamua Fa'amatalaga SSL, Fa'amatalaga Fa'amaoni, fa'aoga alavai ma fa'atulagaga IP o tagata o tausia. E mana'omia lou fa'ailoaina o se vaitaele o tuatusi IP e tu'uina atu ai le tuatusi i le kalani, ma le Avanoa Auala - o subnets ia e maua ai e le kalani se auala. Afai o le galuega o le afifiina o fefaʻatauaiga uma a tagata e ala i se pa puipui, ona e manaʻomia lea e faʻamaonia le subnet 0.0.0.0/0 (Fig. 17).
Ata 17 – Fa'atulagaina se vaitaele o tuatusi IP ma auala
Ona e manaʻomia lea e faʻapipiʻi Global Protect Portal. Fa'ailoa le tuatusi IP o le pa puipui, Fa'amatalaga SSL и Fa'amatalaga Fa'amaoni ma se lisi o tuatusi IP fafo o firewalls e fa'afeso'ota'i i ai le tagata o tausia. Afai e tele faʻamalama, e mafai ona e setiina se faʻamuamua mo taʻitasi, e tusa ai ma tagata faʻaoga e filifili se pa puipui e faʻafesoʻotaʻi i ai.
o le fuaiupu Meafaigaluega -> GlobalProtect Client e tatau ona e sii maia le tufatufaina atu o tagata VPN mai le Palo Alto Networks servers ma faʻagaoioia. Ina ia faʻafesoʻotaʻi, e tatau i le tagata faʻaoga ona alu i le itulau web portal, lea o le a talosagaina ai o ia e sii mai GlobalProtect Client. A maeʻa ona sii mai ma faʻapipiʻi, e mafai ona e ulufale i au faʻamaoniga ma faʻafesoʻotaʻi i lau fesoʻotaʻiga faʻapitoa e ala ile SSL VPN.
iʻuga
O lenei mea e faʻamaeʻa ai le Palo Alto Networks vaega o le seti. Matou te faʻamoemoe na aoga le faʻamatalaga ma maua ai e le tagata faitau se malamalamaaga i tekinolosi faʻaaogaina i Palo Alto Networks. Afai ei ai ni au fesili e uiga i le seti ma fautuaga i autu mo tala i le lumanaʻi, tusi i latou i faʻamatalaga, matou te fiafia e tali.
puna: www.habr.com