Sanajan sagala kaunggulan firewalls Palo Alto Networks, teu pira bahan dina RuNet on nyetel alat ieu, kitu ogé téks ngajéntrékeun pangalaman palaksanaan maranéhanana. Kami mutuskeun pikeun nyimpulkeun bahan anu kami kumpulkeun salami damel sareng alat-alat anu ngajual ieu sareng ngobrolkeun fitur anu kami temu nalika palaksanaan sababaraha proyék.
Pikeun ngawanohkeun anjeun Palo Alto Jaringan, artikel ieu bakal kasampak di konfigurasi diperlukeun pikeun ngajawab salah sahiji masalah firewall paling umum - SSL VPN pikeun aksés jauh. Urang ogé bakal ngobrol ngeunaan fungsi utiliti pikeun konfigurasi firewall umum, idéntifikasi pamaké, aplikasi, jeung kawijakan kaamanan. Upami topikna dipikaresep ku pamiarsa, ka hareupna kami bakal ngaleupaskeun bahan nganalisa VPN Situs-to-Situs, rute dinamis sareng manajemén terpusat nganggo Panorama.
Firewalls Palo Alto Networks ngagunakeun sababaraha téknologi inovatif, kaasup App-ID, User-ID, Content-ID. Pamakéan fungsionalitas ieu ngamungkinkeun anjeun pikeun mastikeun tingkat kaamanan anu luhur. Contona, kalawan App-ID kasebut nyaéta dimungkinkeun pikeun ngaidentipikasi lalulintas aplikasi dumasar kana tanda tangan, decoding jeung heuristik, paduli port jeung protokol dipaké, kaasup jero torowongan SSL. User-ID ngidinan Anjeun pikeun ngaidentipikasi pamaké jaringan ngaliwatan integrasi LDAP. Content-ID ngamungkinkeun pikeun nyeken lalu lintas sareng ngaidentipikasi file anu dikirimkeun sareng eusina. Pungsi firewall séjén kaasup panyalindungan intrusion, panyalindungan ngalawan vulnerabilities sarta serangan DoS, built-in anti spyware, nyaring URL, clustering, sarta manajemén terpusat.
Pikeun demonstrasi, urang bakal ngagunakeun stand terasing, kalawan konfigurasi idéntik jeung nyata, iwal ngaran alat, ngaran domain AD jeung alamat IP. Kanyataanana, sadayana langkung rumit - tiasa seueur cabang. Dina hal ieu, tinimbang hiji firewall tunggal, klaster bakal dipasang dina wates situs sentral, sarta routing dinamis bisa ogé jadi diperlukeun.
Dipaké dina stand PAN-OS 7.1.9. Salaku konfigurasi has, mertimbangkeun jaringan sareng firewall Palo Alto Networks di tepi. Firewall nyadiakeun aksés jauh SSL VPN ka kantor pusat. Domain Active Directory bakal dipaké salaku database pamaké (Gambar 1).
Gambar 1 - Diagram blok jaringan
Léngkah Setup:
- Pra-konfigurasi alat. Nyetél nami, alamat IP manajemén, rute statik, akun administrator, profil manajemén
- Masang lisénsi, ngonpigurasikeun sareng masang apdet
- Ngonpigurasikeun zona kaamanan, interfaces jaringan, kawijakan lalulintas, tarjamahan alamat
- Ngonpigurasikeun Propil Auténtikasi LDAP sareng Fitur Idéntifikasi Pamaké
- Nyetel hiji SSL VPN
1. Prasetél
Alat utama pikeun ngonpigurasikeun firewall Palo Alto Networks nyaéta antarmuka wéb; manajemén via CLI ogé mungkin. Sacara standar, panganteur manajemén disetel ka alamat IP 192.168.1.1/24, login: admin, sandi: admin.
Anjeun tiasa ngarobih alamatna ku cara nyambungkeun kana antarmuka wéb tina jaringan anu sami, atanapi nganggo paréntah set deviceconfig system ip-address <> netmask <>. Hal ieu dilakukeun dina modeu konfigurasi. Pikeun pindah ka modeu konfigurasi, paké paréntah ngonpigurasikeun. Sadaya parobihan dina firewall lumangsung ngan saatos setélan dikonfirmasi ku paréntah ngalakukeun kajahatan, boh dina modeu garis paréntah boh dina panganteur wéb.
Pikeun ngarobah setelan dina panganteur web, make bagian Alat -> Setélan Umum sareng Alat -> Setélan Antarmuka Manajemén. Nami, spanduk, zona waktos sareng setélan sanésna tiasa disetél dina bagian Setélan Umum (Gbr. 2).
angka 2 - Parameter panganteur Manajemén
Upami anjeun nganggo firewall virtual di lingkungan ESXi, dina bagian Setélan Umum anjeun kedah ngaktipkeun pamakean alamat MAC anu ditugaskeun ku hypervisor, atanapi ngonpigurasikeun alamat MAC anu ditetepkeun dina antarmuka firewall dina hypervisor, atanapi robih setélan switch virtual pikeun ngidinan MAC ngarobah alamat. Upami teu kitu, lalulintas moal ngaliwatan.
Antarbeungeut manajemén dikonpigurasi sacara misah sareng henteu ditingalikeun dina daptar antarmuka jaringan. Dina bab Pangaturan Interface Setélan nangtukeun gateway standar pikeun panganteur manajemén. Rute statik anu sanés dikonpigurasi dina bagian router virtual; ieu bakal dibahas engké.
Pikeun ngidinan aksés ka alat ngaliwatan interfaces séjén, Anjeun kudu nyieun hiji profil manajemén Propil manajemén bagean Jaringan -> Propil Jaringan -> Antarmuka Mgmt sareng pasangkeun kana antarmuka anu cocog.
Salajengna, anjeun kedah ngonpigurasikeun DNS sareng NTP dina bagian éta Alat -> Jasa pikeun nampa apdet sarta nembongkeun waktu bener (Gbr. 3). Sacara standar, sadaya lalu lintas anu dihasilkeun ku firewall nganggo alamat IP antarmuka manajemén salaku alamat IP sumberna. Anjeun tiasa napelkeun antarbeungeut béda pikeun tiap layanan husus dina bagian Konfigurasi Rute Palayanan.
Angka 3 - DNS, NTP sareng parameter jasa rute sistem
2. Masang lisensi, nyetel tur masang apdet
Pikeun operasi pinuh sadaya fungsi firewall, Anjeun kudu masang lisénsi a. Anjeun tiasa nganggo lisénsi percobaan ku menta ti mitra Palo Alto Networks. Mangsa validitasna nyaéta 30 dinten. Lisénsi diaktipkeun boh ngaliwatan file atanapi nganggo Auth-Code. Lisensi anu ngonpigurasi dina bagian Alat -> Lisensi (buah. 4).
Saatos masang lisénsi, anjeun kedah ngonpigurasikeun pamasangan apdet dina bagian éta Alat -> Pembaruan Dinamis.
bagean Alat -> Parangkat Lunak Anjeun tiasa ngundeur tur masang versi anyar PAN-OS.
angka 4 - panel kontrol lisénsi
3. Ngonpigurasikeun zona kaamanan, interfaces jaringan, kawijakan lalulintas, tarjamahan alamat
Firewalls Palo Alto Networks ngagunakeun logika zone nalika ngonpigurasikeun aturan jaringan. Interfaces jaringan ditugaskeun ka zone husus, sarta zone ieu dipaké dina aturan lalulintas. Pendekatan ieu ngamungkinkeun dina mangsa nu bakal datang, nalika ngarobah setélan panganteur, teu ngarobah aturan lalulintas, tapi gantina reassigns interfaces perlu ka zona luyu. Sacara standar, lalu lintas di jero zona diidinan, lalu lintas antar zona dilarang, aturan anu tos siapkeun tanggung jawab ieu. intrazone-standar и interzone-standar.
angka 5 - zone kaamanan
Dina conto ieu, hiji panganteur dina jaringan internal ditugaskeun ka zone nu di pamatuhana sorangan, sarta panganteur nyanghareup Internet ditugaskeun ka zone nu luar. Pikeun SSL VPN, panganteur torowongan geus dijieun tur ditugaskeun ka zone nu VPN (buah. 5).
Antarmuka jaringan firewall Palo Alto Networks tiasa beroperasi dina lima modeu anu béda:
- ketok - dipaké pikeun ngumpulkeun lalulintas keur kaperluan monitoring sarta analisis
- HA - dipaké pikeun operasi klaster
- Kawat Virtual - dina modeu ieu, Palo Alto Networks ngagabungkeun dua antarmuka sareng transparan ngalangkungan lalu lintas antara aranjeunna tanpa ngarobih alamat MAC sareng IP.
- Lapisan2 - pindah modeu
- Lapisan3 - modeu router
Gambar 6 - Nyetel mode operasi panganteur
Dina conto ieu, mode Layer3 bakal dipaké (Gbr. 6). Parameter antarmuka jaringan nunjukkeun alamat IP, modeu operasi sareng zona kaamanan anu cocog. Salian modeu operasi antarbeungeut, anjeun kedah napelkeun kana Virtual Router virtual router, ieu mangrupikeun analog tina conto VRF di Palo Alto Networks. Router maya diisolasi tina silih sareng gaduh tabel routing sareng setélan protokol jaringan sorangan.
Setélan router virtual nangtukeun rute statik sareng setélan protokol routing. Dina conto ieu, ngan hiji jalur standar geus dijieun pikeun ngakses jaringan éksternal (Gbr. 7).
Angka 7 - Nyetel hiji router virtual
Tahap konfigurasi salajengna nyaeta kawijakan lalulintas, bagian Kawijakan -> Kaamanan. Conto konfigurasi dipidangkeun dina Gambar 8. Logika aturan anu sarua pikeun sakabéh firewalls. Aturan dipariksa ti luhur ka handap, ka handap ka pertandingan kahiji. Katerangan ringkes ngeunaan aturan:
1. SSL VPN Aksés ka Portal Wéb. Ngidinan aksés ka portal wéb pikeun ngaoténtikasi sambungan jauh
2. Lalu lintas VPN - ngamungkinkeun lalu lintas antara sambungan jauh sareng kantor pusat
3. Internét dasar - ngamungkinkeun dns, ping, traceroute, aplikasi ntp. Firewall ngamungkinkeun aplikasi dumasar kana tanda tangan, decoding, sarta heuristik tinimbang nomer port jeung protokol, naha éta bagian Service nyebutkeun aplikasi-standar. Port / protokol standar pikeun aplikasi ieu
4. Aksés Wéb - ngamungkinkeun aksés Internét liwat protokol HTTP sareng HTTPS tanpa kontrol aplikasi
5,6. Aturan standar pikeun lalu lintas sanés.
Gambar 8 - Conto nyetel aturan jaringan
Pikeun ngonpigurasikeun NAT, nganggo bagian Kawijakan -> NAT. Conto konfigurasi NAT dipidangkeun dina Gambar 9.
angka 9 - Conto konfigurasi NAT
Pikeun naon lalulintas ti internal ka éksternal, Anjeun bisa ngarobah alamat sumber ka alamat IP éksternal firewall tur ngagunakeun alamat port dinamis (PAT).
4. Ngonpigurasikeun Propil Auténtikasi LDAP jeung Fungsi Idéntifikasi pamaké
Sateuacan ngahubungkeun pangguna liwat SSL-VPN, anjeun kedah ngonpigurasikeun mékanisme auténtikasi. Dina conto ieu, auténtikasi bakal lumangsung dina Active Directory domain controller ngaliwatan panganteur web Palo Alto Networks.
Angka 10 - profil LDAP
Pikeun auténtikasi tiasa dianggo, anjeun kedah ngonpigurasikeun Propil LDAP и Propil auténtikasi. Dina bagian Alat -> Propil Server -> LDAP (Gbr. 10) Anjeun kudu nangtukeun alamat IP na port of controller domain, tipe LDAP sarta akun pamaké kaasup kana grup. Operator Server, Pembaca Log Acara, Pamaké COM disebarkeun. Lajeng dina bagian Alat -> Propil Auténtikasi nyieun hiji profil auténtikasi (Gbr. 11), cirian nu dijieun saméméhna Propil LDAP sarta dina tab Advanced kami nunjukkeun grup pamaké (Gbr. 12) anu diwenangkeun aksés jauh. Kadé dicatet parameter dina profil anjeun Domain pamaké, disebutkeun otorisasina dumasar grup moal jalan. Widang kedah nunjukkeun nami domain NetBIOS.
Angka 11 - Propil auténtikasi
Gambar 12 - Pilihan grup AD
Tahap salajengna nyaéta setelan Alat -> Idéntifikasi Pamaké. Di dieu anjeun kudu nangtukeun alamat IP tina controller domain, Kapercayaan sambungan, sarta ogé ngonpigurasikeun setélan Aktipkeun Log Kaamanan, Aktipkeun Sesi, Aktipkeun Probing (Gbr. 13). Dina bab Pemetaan Grup (Gbr. 14) Anjeun kudu nyatet parameter pikeun ngaidentipikasi objék dina LDAP jeung daptar grup anu bakal dipaké pikeun otorisasina. Sapertos dina Profil Auténtikasi, di dieu anjeun kedah nyetél parameter Domain Pamaké.
angka 13 - Parameter Mapping pamaké
angka 14 - parameter Grup Mapping
Léngkah terakhir dina fase ieu nyaéta nyiptakeun zona VPN sareng antarmuka pikeun zona éta. Anjeun kedah ngaktipkeun pilihan dina antarmuka Aktipkeun Idéntifikasi pamaké (buah. 15).
Angka 15 - Nyetel zona VPN
5. Nyetél SSL VPN
Sateuacan nyambungkeun ka SSL VPN, pangguna jauh kedah angkat ka portal wéb, ngabuktoskeun kaaslianana sareng unduh klien Global Protect. Salajengna, klien ieu bakal menta Kapercayaan tur nyambung ka jaringan perusahaan. Portal wéb beroperasi dina modeu https sareng, sasuai, anjeun kedah masang sertipikat pikeun éta. Anggo sertipikat umum upami mungkin. Lajeng pamaké moal nampi peringatan ngeunaan invalidity tina sertipikat dina loka. Upami teu mungkin nganggo sertipikat umum, maka anjeun kedah ngaluarkeun anjeun nyalira, anu bakal dianggo dina halaman wéb pikeun https. Éta tiasa ditandatanganan nyalira atanapi dikaluarkeun ngaliwatan otoritas sertipikat lokal. Komputer jauh kedah gaduh akar atanapi sertipikat anu ditandatanganan diri dina daptar otoritas akar anu dipercaya ku kituna pangguna henteu nampi kasalahan nalika nyambungkeun kana portal wéb. Conto ieu bakal nganggo sertipikat anu dikaluarkeun ngaliwatan Active Directory Certificate Services.
Pikeun ngaluarkeun sertipikat, anjeun kedah nyiptakeun pamundut sertipikat dina bagian éta Alat -> Manajemén Sertipikat -> Sertipikat -> Generate. Dina pamundut kami nunjukkeun nami sertipikat sareng alamat IP atanapi FQDN portal wéb (Gbr. 16). Saatos ngahasilkeun pamundut, unduh .csr file sareng salin eusina kana widang pamundut sertipikat dina formulir wéb AD CS Web Enrollment. Gumantung kana kumaha otoritas sertipikat dikonpigurasi, pamundut sertipikat kedah disatujuan sareng sertipikat anu dikaluarkeun kedah diunduh dina format. Base64 sertipikat disandikeun. Salaku tambahan, anjeun kedah ngaunduh sertipikat akar otoritas sertifikasi. Teras anjeun kedah ngimpor duanana sertipikat kana firewall. Nalika ngimpor sertipikat pikeun portal wéb, anjeun kedah milih pamundut dina status pending teras klik impor. Ngaran sertipikat kudu cocog jeung ngaran dieusian saméméhna dina pamundut. Ngaran sertipikat root bisa dieusian sawenang-wenang. Saatos ngimpor sertipikat, anjeun kedah nyiptakeun SSL / Propil Service TLS bagean Alat -> Manajemén Sertipikat. Dina profil kami nunjukkeun sertipikat anu diimpor sateuacana.
angka 16 - pamundut sertipikat
Lengkah saterusna nyaeta nyetel objék Global Nangtayungan Gateway и Global Nangtayungan Portal bagean Jaringan -> Global Protect. Dina setélan Global Nangtayungan Gateway nunjukkeun alamat IP éksternal tina firewall, kitu ogé dijieun saméméhna Propil SSL, Propil auténtikasi, panganteur torowongan sarta setélan IP klien. Anjeun kedah netepkeun kolam renang alamat IP ti mana alamatna bakal ditugaskeun ka klien, sareng Rute Aksés - ieu mangrupikeun subnet dimana klien bakal gaduh rute. Lamun tugas pikeun mungkus sakabéh lalulintas pamaké ngaliwatan firewall a, mangka anjeun kudu nangtukeun subnet 0.0.0.0/0 (Gbr. 17).
Angka 17 - Ngonpigurasikeun kumpulan alamat IP sareng rute
Teras anjeun kedah ngonpigurasikeun Global Nangtayungan Portal. Sebutkeun alamat IP tina firewall, Propil SSL и Propil auténtikasi jeung daptar alamat IP éksternal firewalls nu klien bakal nyambung. Upami aya sababaraha firewall, anjeun tiasa nyetél prioritas pikeun masing-masing, anu mana pangguna bakal milih firewall pikeun nyambungkeun.
bagean Alat -> Klién GlobalProtect Anjeun kedah ngaunduh distribusi klien VPN tina server Palo Alto Networks sareng aktipkeun. Pikeun nyambungkeun, pangguna kedah angkat ka halaman wéb portal, dimana anjeunna bakal dipenta pikeun diunduh Klién GlobalProtect. Saatos diundeur sareng dipasang, anjeun tiasa ngalebetkeun kredensial anjeun sareng nyambung ka jaringan perusahaan anjeun nganggo SSL VPN.
kacindekan
Ieu ngalengkepan bagian Palo Alto Networks tina setelan. Kami ngarepkeun inpormasi éta mangpaat sareng pamaca nampi pamahaman téknologi anu dianggo di Palo Alto Networks. Upami anjeun gaduh patarosan ngeunaan setelan sareng saran ngeunaan topik pikeun tulisan anu bakal datang, tuliskeun dina koméntar, kami bakal resep ngajawab.
sumber: www.habr.com