Licha ya faida zote za firewalls za Palo Alto Networks, hakuna nyenzo nyingi kwenye RuNet juu ya kuanzisha vifaa hivi, pamoja na maandiko yanayoelezea uzoefu wa utekelezaji wao. Tuliamua kufanya muhtasari wa nyenzo ambazo tumekusanya wakati wa kazi yetu na vifaa vya muuzaji huyu na kuzungumza juu ya vipengele tulivyokutana wakati wa utekelezaji wa miradi mbalimbali.
Ili kukutambulisha kwa Mitandao ya Palo Alto, makala hii itaangalia usanidi unaohitajika ili kutatua matatizo ya kawaida ya firewall - SSL VPN kwa upatikanaji wa mbali. Pia tutazungumza kuhusu vitendaji vya matumizi kwa usanidi wa jumla wa ngome, utambulisho wa mtumiaji, programu na sera za usalama. Ikiwa mada inawavutia wasomaji, katika siku zijazo tutatoa nyenzo zinazochanganua VPN ya Tovuti-to-Site, uelekezaji thabiti na usimamizi wa kati kwa kutumia Panorama.
Ngome za moto za Mitandao ya Palo Alto hutumia idadi ya teknolojia bunifu, ikijumuisha Kitambulisho cha Programu, Kitambulisho cha Mtumiaji, Kitambulisho cha Maudhui. Matumizi ya utendaji huu inakuwezesha kuhakikisha kiwango cha juu cha usalama. Kwa mfano, kwa kutumia Kitambulisho cha Programu inawezekana kutambua trafiki ya programu kulingana na saini, usimbaji na uwekaji kumbukumbu, bila kujali mlango na itifaki inayotumika, ikijumuisha ndani ya mtaro wa SSL. Kitambulisho cha Mtumiaji hukuruhusu kutambua watumiaji wa mtandao kupitia muunganisho wa LDAP. Content-ID hukuruhusu kuchanganua trafiki na kutambua faili zinazotumwa na yaliyomo. Vitendaji vingine vya ngome ni pamoja na ulinzi wa kuingilia, ulinzi dhidi ya athari na mashambulizi ya DoS, anti-spyware iliyojengewa ndani, uchujaji wa URL, kuunganisha, na usimamizi wa kati.
Kwa onyesho, tutatumia stendi iliyojitenga, yenye usanidi unaofanana na ule halisi, isipokuwa majina ya kifaa, jina la kikoa cha AD na anwani za IP. Kwa kweli, kila kitu ni ngumu zaidi - kunaweza kuwa na matawi mengi. Katika kesi hii, badala ya firewall moja, nguzo itawekwa kwenye mipaka ya maeneo ya kati, na uelekezaji wa nguvu unaweza kuhitajika.
Inatumika kwenye msimamo PAN-OS 7.1.9. Kama usanidi wa kawaida, zingatia mtandao ulio na ngome ya Palo Alto Networks ukingoni. Firewall hutoa ufikiaji wa mbali wa SSL VPN kwa ofisi kuu. Kikoa cha Saraka Inayotumika kitatumika kama hifadhidata ya mtumiaji (Mchoro 1).
Kielelezo 1 - Mchoro wa kuzuia mtandao
Hatua za kuanzisha:
- Usanidi wa awali wa kifaa. Kuweka jina, anwani ya IP ya usimamizi, njia tuli, akaunti za msimamizi, wasifu wa usimamizi
- Kusakinisha leseni, kusanidi na kusakinisha masasisho
- Kusanidi maeneo ya usalama, violesura vya mtandao, sera za trafiki, tafsiri ya anwani
- Kusanidi Wasifu wa Uthibitishaji wa LDAP na Kipengele cha Utambulisho wa Mtumiaji
- Kuanzisha SSL VPN
1. Weka mapema
Zana kuu ya kusanidi firewall ya Palo Alto Networks ni kiolesura cha wavuti; usimamizi kupitia CLI pia inawezekana. Kwa chaguo-msingi, interface ya usimamizi imewekwa kwa anwani ya IP 192.168.1.1/24, ingia: admin, nenosiri: admin.
Unaweza kubadilisha anwani ama kwa kuunganisha kwenye kiolesura cha wavuti kutoka kwa mtandao huo huo, au kwa kutumia amri weka deviceconfig mfumo wa ip-anwani <> netmask <>. Inafanywa katika hali ya usanidi. Ili kubadili hali ya usanidi, tumia amri configure. Mabadiliko yote kwenye firewall hutokea tu baada ya mipangilio kuthibitishwa na amri fanya, katika hali ya mstari wa amri na kiolesura cha wavuti.
Ili kubadilisha mipangilio kwenye kiolesura cha wavuti, tumia sehemu hiyo Kifaa -> Mipangilio ya Jumla na Kifaa -> Mipangilio ya Kiolesura cha Usimamizi. Jina, mabango, eneo la saa na mipangilio mingine inaweza kuwekwa katika sehemu ya Mipangilio ya Jumla (Mchoro 2).
Kielelezo 2 - Vigezo vya interface ya Usimamizi
Ikiwa unatumia ngome ya mtandaoni katika mazingira ya ESXi, katika sehemu ya Mipangilio ya Jumla unahitaji kuwezesha utumiaji wa anwani ya MAC uliyopewa na hypervisor, au usanidi anwani za MAC zilizoainishwa kwenye miingiliano ya ngome kwenye hypervisor, au ubadilishe mipangilio ya swichi pepe ili kuruhusu MAC kubadilisha anwani. Vinginevyo, trafiki haitapita.
Kiolesura cha usimamizi kimesanidiwa tofauti na hakionyeshwi kwenye orodha ya violesura vya mtandao. Katika sura Mipangilio ya Kiolesura cha Usimamizi hubainisha lango chaguo-msingi la kiolesura cha usimamizi. Njia zingine tuli zimesanidiwa katika sehemu ya vipanga njia pepe; hii itajadiliwa baadaye.
Ili kuruhusu ufikiaji wa kifaa kupitia violesura vingine, lazima uunde wasifu wa usimamizi Wasifu wa Usimamizi sehemu Mtandao -> Wasifu wa Mtandao -> Kiolesura cha Mgmt na uikabidhi kwa kiolesura kinachofaa.
Ifuatayo, unahitaji kusanidi DNS na NTP katika sehemu hiyo Kifaa -> Huduma kupokea sasisho na kuonyesha wakati kwa usahihi (Mchoro 3). Kwa chaguo-msingi, trafiki yote inayozalishwa na ngome hutumia anwani ya IP ya kiolesura cha usimamizi kama anwani yake ya IP ya chanzo. Unaweza kugawa kiolesura tofauti kwa kila huduma mahususi katika sehemu hiyo Usanidi wa Njia ya Huduma.
Kielelezo 3 - DNS, NTP na vigezo vya huduma za njia za mfumo
2. Kuweka leseni, kuweka na kusakinisha masasisho
Kwa uendeshaji kamili wa kazi zote za firewall, lazima usakinishe leseni. Unaweza kutumia leseni ya majaribio kwa kuiomba kutoka kwa washirika wa Palo Alto Networks. Muda wake wa uhalali ni siku 30. Leseni imeamilishwa kupitia faili au kwa kutumia Auth-Code. Leseni zimesanidiwa katika sehemu Kifaa -> Leseni (Kielelezo 4).
Baada ya kufunga leseni, unahitaji kusanidi usakinishaji wa sasisho katika sehemu hiyo Kifaa -> Masasisho Inayobadilika.
Katika sehemu Kifaa -> Programu unaweza kupakua na kusakinisha matoleo mapya ya PAN-OS.
Kielelezo 4 - Paneli ya kudhibiti leseni
3. Kusanidi maeneo ya usalama, violesura vya mtandao, sera za trafiki, tafsiri ya anwani
Ngome za moto za Mitandao ya Palo Alto hutumia mantiki ya eneo wakati wa kusanidi sheria za mtandao. Miingiliano ya mtandao imepewa eneo maalum, na eneo hili linatumika katika sheria za trafiki. Njia hii inaruhusu katika siku zijazo, wakati wa kubadilisha mipangilio ya kiolesura, si kubadili sheria za trafiki, lakini badala yake kuweka upya miingiliano muhimu kwa kanda zinazofaa. Kwa chaguo-msingi, trafiki ndani ya eneo inaruhusiwa, trafiki kati ya maeneo ni marufuku, sheria zilizoainishwa awali zinawajibika kwa hili. intrazoni-chaguo-msingi ΠΈ interzone-chaguo-msingi.
Kielelezo 5 - Maeneo ya usalama
Katika mfano huu, interface kwenye mtandao wa ndani imepewa kanda ndani, na kiolesura kinachokabili mtandao kimepewa eneo nje. Kwa SSL VPN, kiolesura cha handaki kimeundwa na kupewa eneo VPN (Kielelezo 5).
Miingiliano ya mtandao ya ngome ya Mitandao ya Palo Alto inaweza kufanya kazi kwa njia tano tofauti:
- Bomba - hutumika kukusanya trafiki kwa madhumuni ya ufuatiliaji na uchambuzi
- HA - hutumika kwa uendeshaji wa nguzo
- Waya Mtandaoni - katika hali hii, Mitandao ya Palo Alto inachanganya miingiliano miwili na kupitisha trafiki kwa uwazi kati yao bila kubadilisha anwani za MAC na IP.
- Layer2 - kubadili mode
- Layer3 - hali ya router
Kielelezo 6 - Kuweka hali ya uendeshaji ya interface
Katika mfano huu, hali ya Layer3 itatumika (Mchoro 6). Vigezo vya interface ya mtandao vinaonyesha anwani ya IP, hali ya uendeshaji na eneo la usalama linalolingana. Mbali na hali ya uendeshaji ya kiolesura, lazima uikabidhi kwa kipanga njia cha Virtual Router, hii ni analog ya mfano wa VRF katika Mitandao ya Palo Alto. Vipanga njia halisi vimetengwa kutoka kwa kila mmoja na vina meza zao za uelekezaji na mipangilio ya itifaki ya mtandao.
Mipangilio ya kipanga njia bainifu hubainisha njia tuli na mipangilio ya itifaki ya uelekezaji. Katika mfano huu, njia pekee ya chaguo-msingi imeundwa kwa ajili ya kufikia mitandao ya nje (Mchoro 7).
Kielelezo 7 - Kuweka kipanga njia cha mtandao
Hatua inayofuata ya usanidi ni sera za trafiki, sehemu Sera -> Usalama. Mfano wa usanidi umeonyeshwa kwenye Mchoro 8. Mantiki ya sheria ni sawa na kwa firewalls zote. Sheria zinaangaliwa kutoka juu hadi chini, hadi mechi ya kwanza. Maelezo mafupi ya sheria:
1. Ufikiaji wa VPN wa SSL kwa Tovuti ya Wavuti. Huruhusu ufikiaji wa lango la wavuti ili kuthibitisha miunganisho ya mbali
2. Trafiki ya VPN - kuruhusu trafiki kati ya viunganisho vya mbali na ofisi kuu
3. Mtandao wa kimsingi - kuruhusu dns, ping, traceroute, programu za ntp. Ngome huruhusu programu kulingana na saini, kusimbua, na maandishi badala ya nambari za mlango na itifaki, ndiyo maana sehemu ya Huduma inasema chaguo-msingi ya programu. Lango/itifaki chaguomsingi ya programu hii
4. Ufikiaji wa Wavuti - kuruhusu ufikiaji wa Mtandao kupitia itifaki za HTTP na HTTPS bila udhibiti wa programu
5,6. Sheria chaguo-msingi kwa trafiki nyingine.
Kielelezo 8 - Mfano wa kuweka sheria za mtandao
Ili kusanidi NAT, tumia sehemu Sera -> NAT. Mfano wa usanidi wa NAT umeonyeshwa kwenye Mchoro 9.
Kielelezo 9 - Mfano wa usanidi wa NAT
Kwa trafiki yoyote kutoka ndani hadi nje, unaweza kubadilisha anwani ya chanzo hadi anwani ya IP ya nje ya ngome na utumie anwani ya bandari inayobadilika (PAT).
4. Kusanidi Wasifu wa Uthibitishaji wa LDAP na Kazi ya Utambulisho wa Mtumiaji
Kabla ya kuunganisha watumiaji kupitia SSL-VPN, unahitaji kusanidi utaratibu wa uthibitishaji. Katika mfano huu, uthibitishaji utatokea kwa kidhibiti cha kikoa cha Active Directory kupitia kiolesura cha wavuti cha Palo Alto Networks.
Kielelezo 10 - wasifu wa LDAP
Ili uthibitishaji ufanye kazi, unahitaji kusanidi Wasifu wa LDAP ΠΈ Wasifu wa Uthibitishaji. Katika sehemu hiyo Kifaa -> Wasifu wa Seva -> LDAP (Mchoro 10) unahitaji kubainisha anwani ya IP na bandari ya kidhibiti cha kikoa, aina ya LDAP na akaunti ya mtumiaji iliyojumuishwa katika vikundi. Waendeshaji wa Seva, Wasomaji wa Kumbukumbu za Tukio, Watumiaji wa COM waliosambazwa. Kisha katika sehemu Kifaa -> Wasifu wa Uthibitishaji unda wasifu wa uthibitishaji (Mchoro 11), alama moja iliyoundwa hapo awali Wasifu wa LDAP na katika kichupo cha Juu tunaonyesha kikundi cha watumiaji (Mchoro 12) ambao wanaruhusiwa kufikia kijijini. Ni muhimu kutambua parameter katika wasifu wako Kikoa cha Mtumiaji, vinginevyo uidhinishaji wa kikundi hautafanya kazi. Sehemu lazima ionyeshe jina la kikoa cha NetBIOS.
Kielelezo 11 - wasifu wa uthibitishaji
Kielelezo 12 - uteuzi wa kikundi cha AD
Hatua inayofuata ni kuanzisha Kifaa -> Kitambulisho cha Mtumiaji. Hapa unahitaji kutaja anwani ya IP ya mtawala wa kikoa, sifa za uunganisho, na pia usanidi mipangilio Washa Kumbukumbu ya Usalama, Washa Kipindi, Washa Uchunguzi (Mchoro 13). Katika sura Ramani ya Kikundi (Mchoro 14) unahitaji kutambua vigezo vya kutambua vitu katika LDAP na orodha ya vikundi ambavyo vitatumika kwa idhini. Kama tu katika Wasifu wa Uthibitishaji, hapa unahitaji kuweka kigezo cha Kikoa cha Mtumiaji.
Kielelezo 13 - Vigezo vya Ramani ya Mtumiaji
Kielelezo 14 - Vigezo vya Ramani ya Kikundi
Hatua ya mwisho katika awamu hii ni kuunda eneo la VPN na kiolesura cha eneo hilo. Unahitaji kuwezesha chaguo kwenye kiolesura Washa Kitambulisho cha Mtumiaji (Kielelezo 15).
Kielelezo 15 - Kuweka eneo la VPN
5. Kuweka SSL VPN
Kabla ya kuunganisha kwa SSL VPN, mtumiaji wa mbali lazima aende kwenye tovuti ya tovuti, athibitishe na kupakua mteja wa Global Protect. Kisha, mteja huyu ataomba kitambulisho na kuunganisha kwenye mtandao wa shirika. Lango la wavuti linafanya kazi katika hali ya https na, ipasavyo, unahitaji kusakinisha cheti. Tumia cheti cha umma ikiwezekana. Kisha mtumiaji hatapokea onyo kuhusu kutokuwa sahihi kwa cheti kwenye tovuti. Ikiwa haiwezekani kutumia cheti cha umma, basi unahitaji kutoa yako mwenyewe, ambayo itatumika kwenye ukurasa wa wavuti kwa https. Inaweza kusainiwa yenyewe au kutolewa kupitia mamlaka ya cheti cha ndani. Kompyuta ya mbali lazima iwe na mzizi au cheti cha kujiandikisha katika orodha ya mamlaka ya mizizi inayoaminika ili mtumiaji asipokee hitilafu wakati wa kuunganisha kwenye tovuti ya tovuti. Mfano huu utatumia cheti kilichotolewa kupitia Huduma za Cheti cha Active Directory.
Ili kutoa cheti, unahitaji kuunda ombi la cheti katika sehemu hiyo Kifaa -> Usimamizi wa Cheti -> Vyeti -> Tengeneza. Katika ombi tunaonyesha jina la cheti na anwani ya IP au FQDN ya portal ya mtandao (Mchoro 16). Baada ya kutoa ombi, pakua .csr faili na unakili yaliyomo kwenye sehemu ya ombi la cheti katika fomu ya wavuti ya Usajili wa Wavuti ya AD CS. Kulingana na jinsi mamlaka ya cheti imesanidiwa, ombi la cheti lazima liidhinishwe na cheti kilichotolewa lazima kipakuliwe katika umbizo. Cheti cha Base64 kilichosimbwa. Zaidi ya hayo, unahitaji kupakua cheti cha mizizi cha mamlaka ya uthibitishaji. Kisha unahitaji kuagiza cheti zote mbili kwenye firewall. Unapoingiza cheti cha lango la wavuti, lazima uchague ombi katika hali inayosubiri na ubofye Ingiza. Jina la cheti lazima lilingane na jina lililotajwa hapo awali katika ombi. Jina la cheti cha mizizi linaweza kubainishwa kiholela. Baada ya kuagiza cheti, unahitaji kuunda Profaili ya Huduma ya SSL/TLS sehemu Kifaa -> Usimamizi wa Cheti. Katika wasifu tunaonyesha cheti kilichoingizwa hapo awali.
Kielelezo 16 - Ombi la cheti
Hatua inayofuata ni kuanzisha vitu Global Protect Gateway ΠΈ Global Protect Portal sehemu Mtandao -> Global Protect. Katika mipangilio Global Protect Gateway onyesha anwani ya IP ya nje ya firewall, pamoja na kuundwa hapo awali Wasifu wa SSL, Wasifu wa Uthibitishaji, kiolesura cha handaki na mipangilio ya IP ya mteja. Unahitaji kutaja kundi la anwani za IP ambazo anwani itatolewa kwa mteja, na Njia ya Ufikiaji - hizi ni subnets ambazo mteja atakuwa na njia. Ikiwa kazi ni kufunga trafiki yote ya mtumiaji kupitia firewall, basi unahitaji kutaja subnet 0.0.0.0/0 (Mchoro 17).
Kielelezo 17 - Kusanidi bwawa la anwani za IP na njia
Kisha unahitaji kusanidi Global Protect Portal. Taja anwani ya IP ya firewall, Wasifu wa SSL ΠΈ Wasifu wa Uthibitishaji na orodha ya anwani za IP za nje za firewalls ambazo mteja ataunganisha. Ikiwa kuna firewall kadhaa, unaweza kuweka kipaumbele kwa kila mmoja, kulingana na ambayo watumiaji watachagua firewall kuunganisha.
Katika sehemu Kifaa -> Mteja wa GlobalProtect unahitaji kupakua usambazaji wa mteja wa VPN kutoka kwa seva za Mitandao ya Palo Alto na kuiwasha. Ili kuunganisha, mtumiaji lazima aende kwenye ukurasa wa wavuti wa portal, ambapo ataulizwa kupakua Mteja wa GlobalProtect. Baada ya kupakuliwa na kusakinishwa, unaweza kuweka kitambulisho chako na kuunganisha kwenye mtandao wako wa shirika kupitia SSL VPN.
Hitimisho
Hii inakamilisha sehemu ya Mitandao ya Palo Alto ya usanidi. Tunatumahi kuwa maelezo yalikuwa muhimu na msomaji alipata ufahamu wa teknolojia zinazotumiwa katika Palo Alto Networks. Ikiwa una maswali kuhusu kuanzisha na mapendekezo juu ya mada kwa makala ya baadaye, waandike kwenye maoni, tutafurahi kujibu.
Chanzo: mapenzi.com