Ho sa tsotellehe melemo eohle ea li-firewall tsa Palo Alto Networks, ha ho na boitsebiso bo bongata ho RuNet mabapi le ho theha lisebelisoa tsena, hammoho le litemana tse hlalosang phihlelo ea ts'ebetsong ea tsona. Re ile ra etsa qeto ea ho akaretsa lisebelisoa tseo re li bokeletseng nakong ea mosebetsi oa rona le thepa ea morekisi enoa le ho bua ka likarolo tseo re ileng ra kopana le tsona nakong ea ts'ebetsong ea merero e sa tšoaneng.
Ho u tsebisa Palo Alto Networks, sengoloa sena se tla sheba tlhophiso e hlokahalang ho rarolla e 'ngoe ea mathata a tloaelehileng a firewall - SSL VPN bakeng sa phihlello e hole. Hape re tla bua ka lits'ebetso tsa ts'ebeliso bakeng sa tlhophiso e akaretsang ea li-firewall, boitsebahatso ba basebelisi, lits'ebetso, le maano a ts'ireletso. Haeba sehlooho se khahla babali, nakong e tlang re tla lokolla lisebelisoa tse hlahlobang Site-to-Site VPN, tsamaiso e matla le tsamaiso e bohareng re sebelisa Panorama.
Li-firewall tsa Palo Alto Networks li sebelisa mahlale a macha a mangata, ho kenyeletsoa App-ID, User-ID, Content-ID. Tšebeliso ea ts'ebetso ena e u lumella ho netefatsa boemo bo phahameng ba tšireletso. Mohlala, ka App-ID hoa khoneha ho tseba sephethephethe sa lits'ebetso ho ipapisitsoe le li-signature, decoding le heuristics, ho sa tsotelehe boema-kepe le protocol e sebelisitsoeng, ho kenyeletsoa ka har'a kotopo ea SSL. User-ID e u lumella ho khetholla basebelisi ba marang-rang ka ho kopanya LDAP. Content-ID e etsa hore ho khonehe ho hlahloba sephethephethe le ho tseba lifaele tse fetisoang le litaba tsa tsona. Mesebetsi e meng ea firewall e kenyelletsa ts'ireletso ea ho kenella, ts'ireletso khahlanong le bofokoli le litlhaselo tsa DoS, anti-spyware e hahelletsoeng ka hare, ho sefa URL, ho kopanya, le taolo e bohareng.
Bakeng sa pontšo, re tla sebelisa sebaka se ka thōko, se nang le tlhophiso e ts'oanang le ea 'nete, ntle le mabitso a lisebelisoa, lebitso la AD le liaterese tsa IP. Ha e le hantle, ntho e 'ngoe le e' ngoe e rarahane ho feta - ho ka ba le makala a mangata. Tabeng ena, ho e-na le firewall e le 'ngoe, sehlopha se tla kenngoa meeling ea libaka tse bohareng, 'me ho ka hlokahala hore ho tsamaee ka matla.
E sebedisoang setulong PAN-OS 7.1.9. Joalo ka tlhophiso e tloaelehileng, nahana ka marang-rang a nang le firewall ea Palo Alto Networks pheletsong. Firewall e fana ka phihlello e hole ea SSL VPN ho ofisi ea hlooho. Sebaka sa Active Directory se tla sebelisoa e le database ea basebelisi (setšoantšo sa 1).
Setšoantšo sa 1 - Setšoantšo sa block block
Mehato ea ho seta:
- Tlhophiso esale pele ea sesebelisoa. Ho beha lebitso, aterese ea IP ea taolo, litsela tse sa fetoheng, li-account tsa batsamaisi, liprofaele tsa tsamaiso
- Ho kenya lilaesense, ho lokisa le ho kenya liapdeite
- Ho lokisa libaka tsa ts'ireletso, likhokahano tsa marang-rang, melao ea therafiki, phetolelo ea liaterese
- Ho lokisa profaele ea netefatso ea LDAP le Karolo ea Boitsebiso ba Mosebelisi
- Ho theha SSL VPN
1. Hlophisa esale pele
Sesebelisoa sa mantlha sa ho hlophisa firewall ea Palo Alto Networks ke sehokelo sa webo; taolo ka CLI le eona ea khonahala. Ka ho feletseng, sebopeho sa tsamaiso se behiloe atereseng ea IP 192.168.1.1/24, kena: admin, password: admin.
U ka fetola aterese ka ho hokela marang-rang ho tsoa marang-rang a tšoanang, kapa ka ho sebelisa taelo seta deviceconfig ip-aterese <> netmask <>. E etsoa ka mokhoa oa tlhophiso. Ho fetohela mokhoeng oa tlhophiso, sebelisa taelo lokisa. Liphetoho tsohle ho firewall li etsahala feela ka mor'a hore litlhophiso li tiisetsoe ke taelo iketse, ka bobeli moleng oa taelo le sebopehong sa tepo.
Ho fetola litlhophiso ho sebopeho sa webo, sebelisa karolo Sesebelisoa -> Litlhophiso tse Akaretsang le Sesebelisoa -> Litlhophiso tsa Sebopeho sa Tsamaiso. Lebitso, li-banner, sebaka sa nako le litlhophiso tse ling li ka hlophisoa karolong ea Litlhophiso tsa Kakaretso (setšoantšo sa 2).
Setšoantšo sa 2 - Mekhahlelo ea tsamaiso ea tsamaiso
Haeba u sebelisa firewall e fumanehang tikolohong ea ESXi, karolong ea Litlhophiso tsa Kakaretso u hloka ho nolofalletsa tšebeliso ea aterese ea MAC e fanoeng ke hypervisor, kapa u lokise liaterese tsa MAC tse boletsoeng ho li-interfaces tsa firewall ho hypervisor, kapa u fetole litlhophiso tsa li-switches tse fumanehang ho lumella MAC ho fetola liaterese. Ho seng joalo, sephethephethe se ke ke sa feta.
Sebopeho sa tsamaiso se hlophisitsoe ka thoko 'me ha se bontšoe lethathamong la marang-rang a marang-rang. Khaolong Litlhophiso tsa Sehokelo sa Tsamaiso e totobatsa sebaka sa kamehla sa sebopeho sa tsamaiso. Litsela tse ling tse tsitsitseng li lokiselitsoe karolong ea li-routers tsa sebele; sena se tla tšohloa hamorao.
Ho lumella ho fihlella sesebelisoa ka likhokahano tse ling, u tlameha ho theha profaele ea taolo Boemo ba Tsamaiso karolong Marang-rang -> Liprofaele tsa Marang-rang -> Sebopeho sa Mgmt le ho e abela sebopeho se loketseng.
E latelang, o hloka ho lokisa DNS le NTP karolong Sesebelisoa -> Litšebeletso ho amohela liapdeite le ho bontša nako ka nepo (setšoantšo sa 3). Ka ho sa feleng, sephethephethe sohle se hlahisoang ke firewall se sebelisa aterese ea IP ea tsamaiso e le aterese ea eona ea mohloli oa IP. U ka fana ka sebopeho se fapaneng bakeng sa ts'ebeletso e 'ngoe le e' ngoe e khethehileng karolong eo Tlhophiso ea Tsela ea Tšebeletso.
Setšoantšo sa 3 - DNS, NTP le li-parameter tsa litšebeletso tsa litsela tsa tsamaiso
2. Ho kenya lilaesense, ho theha le ho kenya liapdeite
Bakeng sa ts'ebetso e felletseng ea mesebetsi eohle ea firewall, o tlameha ho kenya laesense. U ka sebelisa laesense ea teko ka ho e kopa ho balekane ba Palo Alto Networks. Nako ea ho sebetsa ha eona ke matsatsi a 30. Laesense e kentsoe tšebetsong ka faele kapa ka ho sebelisa Auth-Code. Lilaesense li hlophisitsoe karolong Sesebelisoa -> Lilaesense (feiga. 4).
Ka mor'a ho kenya laesense, o hloka ho lokisa ho kenngoa ha lisebelisoa karolong Sesebelisoa -> Lintlafatso tse Matla.
karolong Sesebelisoa -> Software o ka khoasolla le ho kenya mefuta e mecha ea PAN-OS.
Setšoantšo sa 4 - Phanele ea taolo ea laesense
3. Ho lokisa libaka tsa ts'ireletso, likhokahano tsa marang-rang, melaoana ea sephethephethe, phetolelo ea liaterese
Li-firewall tsa Palo Alto Networks li sebelisa logic ea libaka ha ho etsoa melao ea marang-rang. Li-interface tsa marang-rang li abeloa sebaka se itseng, 'me sebaka sena se sebelisoa melaong ea sephethephethe. Mokhoa ona o lumella nakong e tlang, ha o fetola litlhophiso tsa li-interface, o se ke oa fetola melao ea sephethephethe, empa ho e-na le hoo o fane ka li-interfaces tse hlokahalang libakeng tse loketseng. Ka mokhoa o ikhethileng, sephethephethe ka har'a libaka se lumelletsoe, sephethephethe lipakeng tsa libaka se thibetsoe, melao e boletsoeng esale pele e ikarabella bakeng sa sena. intrazone-kamehla и interzone-default.
Setšoantšo sa 5 - Libaka tsa tšireletso
Mohlala ona, sebopeho sa marang-rang se ka hare se abeloa sebaka Ka hare, 'me sebopeho se shebaneng le Marang-rang se abeloa sebaka Link. Bakeng sa SSL VPN, ho entsoe sebopeho sa kotopo mme se abeloa sebaka Vpn (feiga. 5).
Likhokahano tsa marang-rang tsa Palo Alto Networks li ka sebetsa ka mekhoa e mehlano e fapaneng:
- u tlanye - e sebelisetsoang ho bokella sephethephethe bakeng sa ho beha leihlo le ho hlahloba
- HA – e sebediswa bakeng sa tshebetso ya sehlopha
- Virtual Wire - ka mokhoa ona, Palo Alto Networks e kopanya likhokahano tse peli 'me e fetisa sephethephethe ka mokhoa o hlakileng pakeng tsa bona ntle le ho fetola liaterese tsa MAC le IP.
- Layer2 – switch mode
- Layer3 - mokhoa oa router
Setšoantšo sa 6 - Ho beha mokhoa oa ho sebetsa oa interface
Mohlala ona, mokhoa oa Layer3 o tla sebelisoa (setšoantšo sa 6). Li-parameter tsa marang-rang li bonts'a aterese ea IP, mokhoa oa ts'ebetso le sebaka sa ts'ireletso se ts'oanang. Ntle le mokhoa oa ho sebetsa oa sebopeho, o tlameha ho o abela Virtual Router router virtual, ena ke analogue ea mohlala oa VRF ho Palo Alto Networks. Li-routers tsa Virtual li arohane le tse ling 'me li na le litafole tsa tsona tsa litsela le litlhophiso tsa protocol tsa marang-rang.
Litlhophiso tsa router li hlakisa litsela tse tsitsitseng le litlhophiso tsa protocol ea routing. Mohlala ona, ke tsela e sa feleng e entsoeng bakeng sa ho fumana marang-rang a ka ntle (setšoantšo sa 7).
Setšoantšo sa 7 - Ho theha router ea sebele
Mokhahlelo o latelang oa tlhophiso ke maano a sephethephethe, karolo Maano -> Tshireletso. Mohlala oa tlhophiso o bontšoa ho Setšoantšo sa 8. Maikutlo a melao a tšoana le a li-firewall tsohle. Melao e hlahlojoa ho tloha holimo ho ea tlaase, ho theohela papaling ea pele. Tlhaloso e khuts'oane ea melaoana:
1. Ho fihlella ha SSL VPN ho Web Portal. E lumella ho kena ho portal ea tepo ho netefatsa likhokahano tse hole
2. Sephethephethe sa VPN - ho lumella sephethephethe pakeng tsa likhokahano tse hōle le ofisi ea hlooho
3. Marang-rang a mantlha - ho lumella lits'ebetso tsa dns, ping, traceroute, ntp. Firewall e lumella lits'ebetso tse ipapisitseng le li-signature, decoding, le heuristics ho fapana le linomoro tsa port le protocol, ke ka lebaka leo karolo ea Ts'ebeletso e reng kopo-kamehla. Boema-kepe/prothokhole ea sesebelisoa sena
4. Ho kena Inthaneteng - ho lumella ho kena Inthaneteng ka liprothokholo tsa HTTP le HTTPS ntle le taolo ea kopo
5,6. Melao ea kamehla bakeng sa sephethephethe se seng.
Setšoantšo sa 8 - Mohlala oa ho theha melao ea marang-rang
Ho lokisa NAT, sebelisa karolo Maano -> NAT. Mohlala oa tlhophiso ea NAT e bonts'oa ho Setšoantšo sa 9.
Setšoantšo sa 9 - Mohlala oa tlhophiso ea NAT
Bakeng sa sephethephethe sefe kapa sefe ho tloha kahare ho ea kantle, o ka fetola aterese ea mohloli ho aterese ea IP ea kantle ea firewall mme o sebelisa aterese e matla ea port (PAT).
4. Ho Hlophisa Profaele ea Tiiso ea LDAP le Mosebetsi oa Boitsebiso ba Mosebelisi
Pele o hokela basebelisi ka SSL-VPN, o hloka ho lokisa mochini oa netefatso. Mohlaleng ona, netefatso e tla etsahala ho molaoli oa sebaka sa Active Directory ka sebopeho sa marang-rang sa Palo Alto Networks.
Setšoantšo sa 10 - boemo ba LDAP
Hore netefatso e sebetse, o hloka ho e lokisa Boemo ba LDAP и Profaele ea netefatso. Karolong Sesebelisoa -> Liprofaele tsa Seva -> LDAP (Setšoantšo sa 10) o hloka ho hlakisa aterese ea IP le boema-kepe ba molaoli oa sebaka, mofuta oa LDAP le ak'haonte ea mosebelisi e kenyellelitsoeng lihlopheng. Basebelisi ba seva, Babali ba Lingoloa tsa Ketsahalo, Basebelisi ba COM ba ajoang. Ebe karolong Sesebelisoa -> Profaele ea netefatso theha profil ea netefatso (setšoantšo sa 11), tšoaea e entsoeng pele Boemo ba LDAP 'me ho Advanced tab re bonts'a sehlopha sa basebelisi (setšoantšo sa 12) ba lumelloang ho kena ka thōko. Ho bohlokoa ho ela hloko paramente profilaneng ea hau User Domain, ho seng joalo tumello ea sehlopha e ke ke ea sebetsa. Sebaka se tlameha ho bonts'a lebitso la sebaka sa NetBIOS.
Setšoantšo sa 11 - Profaele ea netefatso
Setšoantšo sa 12 - khetho ea sehlopha sa AD
Mohato o latelang ke ho seta Sesebelisoa -> Boitsebiso ba Mosebelisi. Mona o hloka ho hlakisa aterese ea IP ea molaoli oa domain, lintlha tsa khokahano, hape o hlophise litlhophiso Numella Log ea Tšireletso, Nolofatsa Session, Nolofatsa Probing (Setšoantšo sa 13). Khaolong 'Mapa oa sehlopha (Setšoantšo sa 14) u lokela ho ela hloko litlhophiso tsa ho khetholla lintho ho LDAP le lethathamo la lihlopha tse tla sebelisoa bakeng sa tumello. Joalo ka Profaele ea Bopaki, mona o hloka ho seta paramethara ea Domain Domain.
Setšoantšo sa 13 - Litekanyetso tsa 'Mapa oa Mosebelisi
Setšoantšo sa 14 - Litekanyetso tsa 'Mapa oa Sehlopha
Mohato oa ho qetela mohatong ona ke ho theha sebaka sa VPN le sebopeho sa sebaka seo. U lokela ho etsa hore kgetho ka segokanyimmediamentsi sa sebolokigolo Numella Boitsebiso ba Mosebelisi (feiga. 15).
Setšoantšo sa 15 - Ho theha sebaka sa VPN
5. Ho theha SSL VPN
Pele o hokela ho SSL VPN, mosebelisi ea hole o tlameha ho ea ho portal ea webo, a netefatse le ho jarolla moreki oa Global Protect. Ka mor'a moo, moreki enoa o tla kopa litokomane ebe o hokela marang-rang a khoebo. Sebaka sa marang-rang se sebetsa ka mokhoa oa https mme, ka hona, o hloka ho e kenya setifikeiti bakeng sa eona. Sebelisa setifikeiti sa sechaba haeba ho khonahala. Joale mosebelisi a ke ke a fumana temoso mabapi le ho se sebetse ha setifikeiti setšeng. Haeba ho ke ke ha khoneha ho sebelisa setifikeiti sa sechaba, joale u lokela ho ntša ea hau, e tla sebelisoa leqepheng la websaete bakeng sa https. E ka saena kapa ea fanoa ka bolaoli ba setifikeiti sa lehae. Khomphuta e hole e tlameha ho ba le setifikeiti sa motso kapa se ingoletseng lethathamong la ba boholong ba tšepahalang e le hore mosebelisi a se ke a fumana phoso ha a hokela ho portal ea webo. Mohlala ona o tla sebelisa setifikeiti se fanoeng ka Active Directory Certificate Services.
Ho fana ka setifikeiti, o hloka ho etsa kopo ea setifikeiti karolong eo Sesebelisoa -> Tsamaiso ea Setifikeiti -> Litifikeiti -> Hlahisa. Ka kopo re bontša lebitso la setifikeiti le aterese ea IP kapa FQDN ea portal ea websaete (setšoantšo sa 16). Kamora ho etsa kopo, jarolla .csr faele le ho kopitsa litaba tsa eona sebakeng sa kopo ea setifikeiti ho foromo ea webo ea Ngoliso ea Web ea AD CS. Ho ipapisitsoe le hore na bolaoli ba setifikeiti bo hlophisoa joang, kopo ea setifikeiti e tlameha ho amoheloa 'me setifikeiti se fanoeng se tlameha ho jarollwa ka sebopeho. Setifikeiti sa Khouto sa Base64. Ho feta moo, o hloka ho khoasolla setifikeiti sa motso oa bolaoli ba setifikeiti. Ebe o hloka ho kenya litifikeiti ka bobeli ho firewall. Ha o kenya setifikeiti bakeng sa portal ea webo, o tlameha ho khetha kopo maemong a ntseng a emetse ebe o tobetsa import. Lebitso la setifikeiti le tlameha ho ts'oana le lebitso le boletsoeng pejana kopong. Lebitso la setifikeiti sa motso le ka hlalosoa ka mokhoa o ikhethileng. Kamora ho kenya setifikeiti, o hloka ho theha Profaele ea Ts'ebeletso ea SSL/TLS karolong Sesebelisoa -> Tsamaiso ea Setifikeiti. Boemong re bonts'a setifikeiti se rekiloeng kantle ho naha.
Setšoantšo sa 16 - Kopo ea setifikeiti
Mohato o latelang ke ho hlophisa lintho Global Protect Gateway и Global Protect Portal karolong Network -> Global Protect. Litlhophisong Global Protect Gateway bontša aterese ea IP ea kantle ea firewall, hammoho le e entsoeng pele Boemo ba SSL, Profaele ea netefatso, sebopeho sa kotopo le litlhophiso tsa IP tsa bareki. U hloka ho hlakisa letamo la liaterese tsa IP moo aterese e tla abeloa moreki, le Access Route - tsena ke li-subnets tseo moreki a tla ba le tsela ho tsona. Haeba mosebetsi ke ho phuthela sephethephethe sa basebelisi ka firewall, joale o hloka ho hlakisa subnet 0.0.0.0/0 (setšoantšo sa 17).
Setšoantšo sa 17 - Ho lokisa letamo la liaterese tsa IP le litsela
Joale u lokela ho configure Global Protect Portal. Hlalosa aterese ea IP ea firewall, Boemo ba SSL и Profaele ea netefatso le lethathamo la liaterese tsa IP tsa kantle tsa li-firewall tseo moreki a tla hokela ho tsona. Haeba ho na le li-firewall tse 'maloa, u ka beha ntho e tlang pele ho e' ngoe le e 'ngoe, ho latela hore na basebelisi ba tla khetha firewall eo ba tla hokela ho eona.
karolong Sesebelisoa -> GlobalProtect Client o hloka ho khoasolla phepelo ea bareki ba VPN ho tsoa ho li-server tsa Palo Alto Networks ebe o e kenya tšebetsong. Ho hokahanya, mosebelisi o tlameha ho ea leqepheng la webo la portal, moo a tla kopuoa ho jarolla GlobalProtect Client. Ha e se e jarollotsoe 'me e kentsoe, o ka kenya lintlha tsa hau mme oa hokela marang-rang a khoebo ka SSL VPN.
fihlela qeto e
Sena se phethela karolo ea Palo Alto Networks ea ho seta. Re tšepa hore boitsebiso boo bo ne bo le molemo 'me' mali o ile a utloisisa mahlale a sebelisoang ho Palo Alto Networks. Haeba u na le lipotso mabapi le ho seta le litlhahiso ka lihlooho tsa lihlooho tse tlang, li ngole maikutlong, re tla thabela ho araba.
Source: www.habr.com