புரோஹோஸ்டர் > Блог > நிர்வாகம் > பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN

பாலோ ஆல்டோ நெட்வொர்க்குகளின் ஃபயர்வால்களின் அனைத்து நன்மைகள் இருந்தபோதிலும், இந்த சாதனங்களை உள்ளமைப்பதில் இணையத்தில் பல பொருட்கள் இல்லை, அதே போல் அவை செயல்படுத்தப்பட்ட அனுபவத்தை விவரிக்கும் உரைகளும் உள்ளன. இந்த விற்பனையாளரின் உபகரணங்களுடன் பணிபுரியும் போது நாங்கள் சேகரித்த பொருட்களை சுருக்கமாகக் கூறவும், பல்வேறு திட்டங்களை செயல்படுத்தும் போது நாங்கள் சந்தித்த அம்சங்களைப் பற்றி பேசவும் முடிவு செய்தோம்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் பற்றிய அறிமுகத்திற்காக, இந்தக் கட்டுரையில், மிகவும் பொதுவான ஃபயர்வால் பணிகளில் ஒன்றான ரிமோட் அணுகலுக்கான SSL VPN-ஐத் தீர்க்க தேவையான அமைப்புகளைப் பார்க்கலாம். பொதுவான ஃபயர்வால் உள்ளமைவு, பயனர் அடையாளம், பயன்பாடு மற்றும் பாதுகாப்புக் கொள்கைகளுக்கான உதவி செயல்பாடுகளைப் பற்றியும் பேசுவோம். தலைப்பு வாசகர்களுக்கு ஆர்வமாக இருந்தால், எதிர்காலத்தில் பனோரமாவைப் பயன்படுத்தி சைட்-டு-சைட் VPN, டைனமிக் ரூட்டிங் மற்றும் மையப்படுத்தப்பட்ட மேலாண்மை ஆகியவற்றின் பகுப்பாய்வுடன் பொருட்களை வெளியிடுவோம்.

Palo Alto Networks ஃபயர்வால்கள் App-ID, User-ID, Content-ID உள்ளிட்ட பல புதுமையான தொழில்நுட்பங்களைப் பயன்படுத்துகின்றன. இந்த செயல்பாட்டின் பயன்பாடு உயர் மட்ட பாதுகாப்பை வழங்க உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, ஆப்-ஐடியைப் பயன்படுத்தி கையொப்பங்கள், டிகோடிங் மற்றும் ஹூரிஸ்டிக்ஸ் ஆகியவற்றின் அடிப்படையில் பயன்பாட்டு போக்குவரத்தை அடையாளம் காண முடியும், போர்ட் மற்றும் நெறிமுறையைப் பொருட்படுத்தாமல், SSL சுரங்கப்பாதை உட்பட. LDAP உடன் ஒருங்கிணைப்பதன் மூலம் நெட்வொர்க் பயனர்களை அடையாளம் காண பயனர் ஐடி உங்களை அனுமதிக்கிறது. Content-ID ஆனது போக்குவரத்தை ஸ்கேன் செய்து மாற்றப்பட்ட கோப்புகள் மற்றும் அவற்றின் உள்ளடக்கங்களை அடையாளம் காண உதவுகிறது. மற்ற ஃபயர்வால் அம்சங்களில் ஊடுருவல் பாதுகாப்பு, பாதிப்புகள் மற்றும் DoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பு, உள்ளமைக்கப்பட்ட ஸ்பைவேர் எதிர்ப்பு, URL வடிகட்டுதல், கிளஸ்டரிங் மற்றும் மையப்படுத்தப்பட்ட மேலாண்மை ஆகியவை அடங்கும்.

ஆர்ப்பாட்டத்திற்கு, சாதனத்தின் பெயர்கள், AD டொமைன் பெயர் மற்றும் IP முகவரிகள் தவிர, உண்மையான ஒன்றை ஒத்த உள்ளமைவுடன் தனிமைப்படுத்தப்பட்ட நிலைப்பாட்டை நாங்கள் பயன்படுத்துவோம். உண்மையில், எல்லாம் மிகவும் சிக்கலானது - பல கிளைகள் இருக்கலாம். இந்த வழக்கில், ஒரு ஃபயர்வாலுக்கு பதிலாக, மைய தளங்களின் எல்லைகளில் ஒரு கிளஸ்டர் நிறுவப்படும், மேலும் டைனமிக் ரூட்டிங் தேவைப்படலாம்.

நிலைப்பாடு பயன்படுத்துகிறது PAN-OS 7.1.9. ஒரு பொதுவான கட்டமைப்பாக, விளிம்பில் உள்ள பாலோ ஆல்டோ நெட்வொர்க்ஸ் ஃபயர்வால் கொண்ட நெட்வொர்க்கைக் கவனியுங்கள். ஃபயர்வால், தலைமை அலுவலகத்திற்கு ரிமோட் SSL VPN அணுகலை வழங்குகிறது. ஆக்டிவ் டைரக்டரி டொமைன் பயனர் தரவுத்தளமாகப் பயன்படுத்தப்படும் (படம் 1).

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 1 - நெட்வொர்க்கின் பிளாக் வரைபடம்

படிகளை அமைத்தல்:

  1. சாதன முன்னமைவு. பெயர், மேலாண்மை ஐபி முகவரி, நிலையான வழிகள், நிர்வாகி கணக்குகள், மேலாண்மை சுயவிவரங்களை அமைத்தல்
  2. உரிமங்களை நிறுவுதல், புதுப்பிப்புகளை கட்டமைத்தல் மற்றும் நிறுவுதல்
  3. பாதுகாப்பு மண்டலங்கள், பிணைய இடைமுகங்கள், போக்குவரத்துக் கொள்கை, முகவரி மொழிபெயர்ப்பு ஆகியவற்றை அமைத்தல்
  4. LDAP அங்கீகார சுயவிவரம் மற்றும் பயனர் அடையாளத்தை கட்டமைத்தல்
  5. ஒரு SSL VPN ஐ கட்டமைக்கிறது

1. முன்னமைவு

பாலோ ஆல்டோ நெட்வொர்க்குகள் ஃபயர்வாலை உள்ளமைப்பதற்கான முக்கிய கருவி ஒரு வலை இடைமுகமாகும், மேலும் CLI வழியாக மேலாண்மையும் சாத்தியமாகும். முன்னிருப்பாக, மேலாண்மை இடைமுகம் IP முகவரி 192.168.1.1/24, உள்நுழைவு: நிர்வாகம், கடவுச்சொல்: நிர்வாகம்.

அதே நெட்வொர்க்கிலிருந்து இணைய இடைமுகத்துடன் இணைப்பதன் மூலம் அல்லது கட்டளையைப் பயன்படுத்தி முகவரியை மாற்றலாம் deviceconfig அமைப்பு ip-address <> netmask <> அமைக்கவும். இது கட்டமைப்பு முறையில் இயங்கும். உள்ளமைவு பயன்முறைக்கு மாற, கட்டளையைப் பயன்படுத்தவும் கட்டமைக்க. ஃபயர்வாலில் உள்ள அனைத்து மாற்றங்களும் கட்டளையால் அமைப்புகளை உறுதிப்படுத்திய பின்னரே நிகழ்கின்றன செய்து, கட்டளை வரி முறையிலும் இணைய இடைமுகத்திலும்.

இணைய இடைமுகத்தில் அமைப்புகளை மாற்ற, பிரிவைப் பயன்படுத்தவும் சாதனம் -> பொது அமைப்புகள் மற்றும் சாதனம் -> மேலாண்மை இடைமுக அமைப்புகள். பெயர், பேனர்கள், நேர மண்டலம் மற்றும் பிற அமைப்புகளை பொது அமைப்புகள் பிரிவில் (படம் 2) அமைக்கலாம்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 2 - கட்டுப்பாட்டு இடைமுக அளவுருக்கள்

ESXi சூழலில் மெய்நிகர் ஃபயர்வால் பயன்படுத்தப்பட்டால், பொது அமைப்புகள் பிரிவில், ஹைப்பர்வைசரால் ஒதுக்கப்பட்ட MAC முகவரியைப் பயன்படுத்துவதை நீங்கள் இயக்க வேண்டும் அல்லது ஃபயர்வால் இடைமுகங்களில் குறிப்பிடப்பட்டுள்ள ஹைப்பர்வைசரில் MAC முகவரிகளை உள்ளமைக்க வேண்டும் அல்லது அமைப்புகளை மாற்ற வேண்டும். MAC முகவரிகளை மாற்ற அனுமதிக்கும் மெய்நிகர் சுவிட்சுகள். இல்லையெனில், போக்குவரத்து செல்லாது.

மேலாண்மை இடைமுகம் தனித்தனியாக கட்டமைக்கப்பட்டுள்ளது மற்றும் பிணைய இடைமுகங்களின் பட்டியலில் காட்டப்படாது. அத்தியாயத்தில் மேலாண்மை இடைமுக அமைப்புகள் மேலாண்மை இடைமுகத்திற்கான இயல்புநிலை நுழைவாயிலைக் குறிப்பிடுகிறது. பிற நிலையான வழிகள் மெய்நிகர் திசைவிகள் பிரிவில் கட்டமைக்கப்பட்டுள்ளன, அவை பின்னர் விவாதிக்கப்படும்.

பிற இடைமுகங்கள் மூலம் சாதனத்தை அணுக அனுமதிக்க, நீங்கள் ஒரு நிர்வாக சுயவிவரத்தை உருவாக்க வேண்டும் மேலாண்மை சுயவிவரம் பிரிவில் நெட்வொர்க் -> நெட்வொர்க் சுயவிவரங்கள் -> இடைமுகம் Mgmt மற்றும் அதை பொருத்தமான இடைமுகத்திற்கு ஒதுக்கவும்.

அடுத்து, நீங்கள் பிரிவில் DNS மற்றும் NTP ஐ கட்டமைக்க வேண்டும் சாதனம் -> சேவைகள் புதுப்பிப்புகளைப் பெறவும் நேரத்தை சரியாகக் காட்டவும் (படம் 3). முன்னிருப்பாக, ஃபயர்வால் மூலம் உருவாக்கப்பட்ட அனைத்து போக்குவரமும் அதன் மூல IP முகவரியாக மேலாண்மை இடைமுகத்தின் IP முகவரியைப் பயன்படுத்துகிறது. பிரிவில் உள்ள ஒவ்வொரு குறிப்பிட்ட சேவைக்கும் வெவ்வேறு இடைமுகத்தை நீங்கள் ஒதுக்கலாம் சேவை பாதை கட்டமைப்பு.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 3 - DNS, NTP சேவைகள் மற்றும் கணினி வழிகளின் அளவுருக்கள்

2. உரிமங்களை நிறுவுதல், புதுப்பிப்புகளை அமைத்தல் மற்றும் நிறுவுதல்

அனைத்து ஃபயர்வால் செயல்பாடுகளின் முழு செயல்பாட்டிற்கு, நீங்கள் உரிமத்தை நிறுவ வேண்டும். Palo Alto Networks கூட்டாளர்களிடம் இருந்து அதைக் கோருவதன் மூலம் சோதனை உரிமத்தைப் பயன்படுத்தலாம். இதன் செல்லுபடியாகும் காலம் 30 நாட்கள். உரிமம் கோப்பு மூலமாகவோ அல்லது அங்கீகாரக் குறியீட்டைப் பயன்படுத்தியோ செயல்படுத்தப்படுகிறது. உரிமங்கள் பிரிவில் கட்டமைக்கப்பட்டுள்ளன சாதனம் -> உரிமங்கள் (படம் 4).
உரிமத்தை நிறுவிய பின், பிரிவில் புதுப்பிப்புகளின் நிறுவலை நீங்கள் கட்டமைக்க வேண்டும் சாதனம் -> டைனமிக் புதுப்பிப்புகள்.
பிரிவில் சாதனம் -> மென்பொருள் நீங்கள் PAN-OS இன் புதிய பதிப்புகளை பதிவிறக்கம் செய்து நிறுவலாம்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 4 - உரிமக் கட்டுப்பாட்டுப் பலகம்

3. பாதுகாப்பு மண்டலங்கள், பிணைய இடைமுகங்கள், போக்குவரத்துக் கொள்கை, முகவரி மொழிபெயர்ப்பு ஆகியவற்றை அமைத்தல்

பாலோ ஆல்டோ நெட்வொர்க்குகள் ஃபயர்வால்கள் பிணைய விதிகளை உள்ளமைக்கும் போது மண்டல தர்க்கத்தைப் பயன்படுத்துகின்றன. நெட்வொர்க் இடைமுகங்கள் ஒரு குறிப்பிட்ட மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளன, மேலும் இது போக்குவரத்து விதிகளில் பயன்படுத்தப்படுகிறது. இந்த அணுகுமுறை எதிர்காலத்தில், இடைமுக அமைப்புகளை மாற்றும்போது, ​​போக்குவரத்து விதிகளை மாற்றாமல், பொருத்தமான மண்டலங்களுக்கு தேவையான இடைமுகங்களை மறுசீரமைக்க அனுமதிக்கிறது. இயல்பாக, மண்டலத்திற்குள் போக்குவரத்து அனுமதிக்கப்படுகிறது, மண்டலங்களுக்கு இடையிலான போக்குவரத்து தடைசெய்யப்பட்டுள்ளது, முன் வரையறுக்கப்பட்ட விதிகள் இதற்கு பொறுப்பு intrazone-default и interzone-default.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 5 - பாதுகாப்பு மண்டலங்கள்

இந்த எடுத்துக்காட்டில், உள் நெட்வொர்க்கில் உள்ள இடைமுகம் மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளது உள்நாட்டு, மற்றும் இணையத்திற்கு இயக்கப்பட்ட இடைமுகம் மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளது வெளி. SSL VPNக்கு ஒரு சுரங்கப்பாதை இடைமுகம் உருவாக்கப்பட்டு மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளது VPN (படம் 5).

பாலோ ஆல்டோ நெட்வொர்க்குகள் ஃபயர்வால் நெட்வொர்க் இடைமுகங்கள் ஐந்து வெவ்வேறு முறைகளில் செயல்பட முடியும்:

  • குழாய் - கண்காணிப்பு மற்றும் பகுப்பாய்வு நோக்கத்திற்காக போக்குவரத்து சேகரிக்க பயன்படுத்தப்படுகிறது
  • HA - கிளஸ்டர் செயல்பாட்டிற்கு பயன்படுத்தப்படுகிறது
  • மெய்நிகர் கம்பி - இந்த பயன்முறையில், பாலோ ஆல்டோ நெட்வொர்க்குகள் இரண்டு இடைமுகங்களை ஒருங்கிணைத்து, MAC மற்றும் IP முகவரிகளை மாற்றாமல் அவற்றுக்கிடையே போக்குவரத்தை வெளிப்படையாகக் கடத்துகிறது.
  • layer2 - சுவிட்ச் பயன்முறை
  • layer3 - திசைவி முறை

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 6 - இடைமுக செயல்பாட்டு பயன்முறையை அமைத்தல்

இந்த எடுத்துக்காட்டில், Layer3 பயன்முறை பயன்படுத்தப்படும் (படம் 6). பிணைய இடைமுக அளவுருக்கள் IP முகவரி, செயல்பாட்டு முறை மற்றும் தொடர்புடைய பாதுகாப்பு மண்டலம் ஆகியவற்றைக் குறிப்பிடுகின்றன. இடைமுகத்தின் இயக்க முறைக்கு கூடுதலாக, நீங்கள் அதை மெய்நிகர் திசைவி மெய்நிகர் திசைவிக்கு ஒதுக்க வேண்டும், இது பாலோ ஆல்டோ நெட்வொர்க்குகளில் உள்ள VRF நிகழ்வின் அனலாக் ஆகும். மெய்நிகர் திசைவிகள் ஒருவருக்கொருவர் தனிமைப்படுத்தப்பட்டு அவற்றின் சொந்த ரூட்டிங் அட்டவணைகள் மற்றும் பிணைய நெறிமுறை அமைப்புகளைக் கொண்டுள்ளன.

மெய்நிகர் திசைவி அமைப்புகள் நிலையான வழிகள் மற்றும் ரூட்டிங் நெறிமுறை அமைப்புகளைக் குறிப்பிடுகின்றன. இந்த எடுத்துக்காட்டில், வெளிப்புற நெட்வொர்க்குகளை அணுகுவதற்கான இயல்புநிலை பாதை மட்டுமே உருவாக்கப்பட்டது (படம் 7).

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 7 - மெய்நிகர் திசைவியை கட்டமைக்கிறது

அடுத்த கட்டமைப்பு படி போக்குவரத்து கொள்கைகள், பிரிவு கொள்கைகள் -> பாதுகாப்பு. அமைப்பிற்கான எடுத்துக்காட்டு படம் 8 இல் காட்டப்பட்டுள்ளது. விதிகளின் தர்க்கம் அனைத்து ஃபயர்வால்களுக்கும் ஒரே மாதிரியாக இருக்கும். முதல் போட்டி வரை, மேலிருந்து கீழாக விதிகள் சரிபார்க்கப்படுகின்றன. விதிகளின் சுருக்கமான விளக்கம்:

1. SSL VPN இணைய போர்ட்டலுக்கான அணுகல். தொலை இணைப்புகளை அங்கீகரிக்க இணைய போர்ட்டலுக்கான அணுகலை அனுமதிக்கிறது
2. VPN ட்ராஃபிக் - ரிமோட் இணைப்புகள் மற்றும் தலைமை அலுவலகத்திற்கு இடையே போக்குவரத்தை அனுமதிக்கிறது
3. அடிப்படை இணையம் - dns, ping, traceroute, ntp பயன்பாடுகளை அனுமதிக்கிறது. ஃபயர்வால் போர்ட் எண்கள் மற்றும் நெறிமுறைகளைக் காட்டிலும் கையொப்பங்கள், டிகோடிங் மற்றும் ஹூரிஸ்டிக்ஸ் ஆகியவற்றின் அடிப்படையில் பயன்பாடுகளை அனுமதிக்கிறது, அதனால்தான் சேவைப் பிரிவு பயன்பாடு-இயல்புநிலை என்று கூறுகிறது. இந்தப் பயன்பாட்டிற்கான இயல்புநிலை போர்ட்/நெறிமுறை
4. இணைய அணுகல் - பயன்பாட்டுக் கட்டுப்பாடு இல்லாமல் HTTP மற்றும் HTTPS நெறிமுறைகள் வழியாக இணைய அணுகலை அனுமதிக்கிறது
5,6 பிற போக்குவரத்திற்கான இயல்புநிலை விதிகள்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 8 - பிணைய விதிகளை உள்ளமைப்பதற்கான எடுத்துக்காட்டு

NAT ஐ கட்டமைக்க, பிரிவைப் பயன்படுத்தவும் கொள்கைகள் -> NAT. NAT ஐ அமைப்பதற்கான எடுத்துக்காட்டு படம் 9 இல் காட்டப்பட்டுள்ளது.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 9 - NAT அமைவு உதாரணம்

அகத்திலிருந்து வெளிப்புறத்திற்கு எந்தவொரு போக்குவரத்திற்கும், நீங்கள் மூல முகவரியை ஃபயர்வாலின் வெளிப்புற IP முகவரிக்கு மாற்றலாம் மற்றும் டைனமிக் போர்ட் முகவரியை (PAT) பயன்படுத்தலாம்.

4. LDAP அங்கீகரிப்பு சுயவிவரம் மற்றும் பயனர் அடையாள செயல்பாட்டை உள்ளமைத்தல்
SSL-VPN வழியாக பயனர்களை இணைக்கும் முன், நீங்கள் ஒரு அங்கீகார பொறிமுறையை அமைக்க வேண்டும். இந்த எடுத்துக்காட்டில், பாலோ ஆல்டோ நெட்வொர்க்குகள் இணைய இடைமுகம் மூலம் ஆக்டிவ் டைரக்டரி டொமைன் கன்ட்ரோலரில் அங்கீகாரம் ஏற்படும்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 10 - LDAP சுயவிவரம்

அங்கீகாரம் வேலை செய்ய, நீங்கள் கட்டமைக்க வேண்டும் LDAP சுயவிவரம் и அங்கீகார சுயவிவரம்... அத்தியாயத்தில் சாதனம் -> சர்வர் சுயவிவரங்கள் -> LDAP (படம் 10) நீங்கள் டொமைன் கன்ட்ரோலரின் IP முகவரி மற்றும் போர்ட், LDAP வகை மற்றும் குழுக்களில் சேர்க்கப்பட்டுள்ள பயனர் கணக்கு ஆகியவற்றைக் குறிப்பிட வேண்டும். சர்வர் ஆபரேட்டர்கள், நிகழ்வு பதிவு வாசகர்கள், விநியோகிக்கப்பட்ட COM பயனர்கள். பின்னர் பிரிவில் சாதனம் -> அங்கீகரிப்பு சுயவிவரம் ஒரு அங்கீகார சுயவிவரத்தை உருவாக்கவும் (படம் 11), முன்பு உருவாக்கப்பட்டதைக் குறிக்கவும் LDAP சுயவிவரம் மற்றும் மேம்பட்ட தாவலில், தொலைநிலை அணுகல் அனுமதிக்கப்படும் பயனர்களின் குழுவை (படம் 12) குறிப்பிடவும். சுயவிவரத்தில் உள்ள அளவுருவைக் குறிப்பிடுவது முக்கியம் பயனர் டொமைன், இல்லையெனில் குழு அடிப்படையிலான அங்கீகாரம் இயங்காது. புலத்தில் NetBIOS டொமைன் பெயர் இருக்க வேண்டும்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 11 - அங்கீகார சுயவிவரம்

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 12 - AD குழு தேர்வு

அடுத்த கட்டம் அமைப்பது சாதனம் -> பயனர் அடையாளம். இங்கே நீங்கள் டொமைன் கன்ட்ரோலரின் ஐபி முகவரி, இணைப்புக்கான சான்றுகள் மற்றும் அமைப்புகளை உள்ளமைக்க வேண்டும் பாதுகாப்பு பதிவை இயக்கு, அமர்வை இயக்கு, சோதனையை இயக்கு (படம் 13). அத்தியாயத்தில் குழு மேப்பிங் (படம் 14) LDAP இல் உள்ள பொருட்களை அடையாளம் காணும் அளவுருக்கள் மற்றும் அங்கீகாரத்திற்காகப் பயன்படுத்தப்படும் குழுக்களின் பட்டியலை நீங்கள் கவனிக்க வேண்டும். அங்கீகரிப்பு சுயவிவரத்தைப் போலவே, இங்கே நீங்கள் பயனர் டொமைன் அளவுருவை அமைக்க வேண்டும்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 13 - பயனர் மேப்பிங் அளவுருக்கள்

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 14 - குழு மேப்பிங் அளவுருக்கள்

இந்தப் படிநிலையின் கடைசிப் படி VPN மண்டலம் மற்றும் இந்த மண்டலத்திற்கான இடைமுகத்தை உருவாக்குவது. இடைமுகத்தில், நீங்கள் அளவுருவை இயக்க வேண்டும் பயனர் அடையாளத்தை இயக்கு (படம் 15).

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 15 - VPN மண்டலத்தை அமைத்தல்

5. SSL VPNஐ அமைக்கவும்

SSL VPNஐ இணைக்கும் முன், தொலைநிலைப் பயனர் இணைய போர்ட்டலுக்குச் சென்று, அங்கீகரித்து, Global Protect கிளையண்டைப் பதிவிறக்க வேண்டும். அடுத்து, இந்த கிளையன்ட் நற்சான்றிதழ்களைக் கேட்டு கார்ப்பரேட் நெட்வொர்க்குடன் இணைக்கப்படும். இணைய போர்டல் https பயன்முறையில் செயல்படுகிறது, அதன்படி, அதற்கான சான்றிதழை நிறுவ வேண்டும். முடிந்தால் பொதுச் சான்றிதழைப் பயன்படுத்தவும். பின்னர், தளத்தில் உள்ள சான்றிதழின் செல்லாத தன்மை குறித்த எச்சரிக்கையைப் பயனர் பெறமாட்டார். பொதுச் சான்றிதழைப் பயன்படுத்த முடியாவிட்டால், நீங்கள் சொந்தமாக வழங்க வேண்டும், இது https இணையப் பக்கத்தில் பயன்படுத்தப்படும். இது சுய கையொப்பமிடப்படலாம் அல்லது உள்ளூர் CA மூலம் வழங்கப்படலாம். தொலைநிலை கணினி நம்பகமான ரூட் மையங்களின் பட்டியலில் ரூட் அல்லது சுய கையொப்பமிடப்பட்ட சான்றிதழைக் கொண்டிருக்க வேண்டும், இதனால் இணைய போர்ட்டலுடன் இணைக்கும்போது பயனர் பிழையைப் பெறக்கூடாது. இந்த உதாரணம் செயலில் உள்ள டைரக்டரி சான்றிதழ் சேவைகள் CA மூலம் வழங்கப்பட்ட சான்றிதழைப் பயன்படுத்தும்.

சான்றிதழை வழங்க, பிரிவில் சான்றிதழ் கோரிக்கையை உருவாக்க வேண்டும் சாதனம் -> சான்றிதழ் மேலாண்மை -> சான்றிதழ்கள் -> உருவாக்கு. கோரிக்கையில், சான்றிதழின் பெயர் மற்றும் இணைய போர்ட்டலின் IP முகவரி அல்லது FQDN (படம் 16) ஆகியவற்றைக் குறிப்பிடவும். கோரிக்கையை உருவாக்கிய பிறகு, பதிவிறக்கவும் .csr AD CS வலைப் பதிவு வலைப் படிவத்தில் உள்ள சான்றிதழ் கோரிக்கைப் புலத்தில் கோப்பு மற்றும் அதன் உள்ளடக்கங்களை நகலெடுக்கவும். சான்றிதழ் ஆணையத்தின் அமைப்பைப் பொறுத்து, சான்றிதழ் கோரிக்கை அங்கீகரிக்கப்பட வேண்டும் மற்றும் வழங்கப்பட்ட சான்றிதழை வடிவத்தில் பதிவிறக்கம் செய்ய வேண்டும் Base64 குறியிடப்பட்ட சான்றிதழ். கூடுதலாக, நீங்கள் சான்றிதழ் ஆணையத்தின் ரூட் சான்றிதழைப் பதிவிறக்க வேண்டும். பின்னர் நீங்கள் இரண்டு சான்றிதழ்களையும் ஃபயர்வாலுக்கு இறக்குமதி செய்ய வேண்டும். இணைய போர்ட்டலுக்கான சான்றிதழை இறக்குமதி செய்யும் போது, ​​நிலுவையில் உள்ள கோரிக்கையைத் தேர்ந்தெடுத்து இறக்குமதி என்பதைக் கிளிக் செய்யவும். சான்றிதழின் பெயர் கோரிக்கையில் முன்னர் குறிப்பிடப்பட்ட பெயருடன் பொருந்த வேண்டும். ரூட் சான்றிதழின் பெயரை நீங்கள் தன்னிச்சையாக குறிப்பிடலாம். சான்றிதழை இறக்குமதி செய்த பிறகு, நீங்கள் உருவாக்க வேண்டும் SSL/TLS சேவை சுயவிவரம் பிரிவில் சாதனம் -> சான்றிதழ் மேலாண்மை. சுயவிவரத்தில் முன்பு இறக்குமதி செய்யப்பட்ட சான்றிதழைக் குறிப்பிடவும்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 16 - சான்றிதழுக்கான கோரிக்கை

அடுத்த கட்டம் பொருள்களை அமைப்பதாகும் உலகளாவிய பாதுகாப்பு நுழைவாயில் и உலகளாவிய பாதுகாப்பு போர்டல் பிரிவில் நெட்வொர்க் -> உலகளாவிய பாதுகாப்பு. அமைப்புகளில் உலகளாவிய பாதுகாப்பு நுழைவாயில் ஃபயர்வாலின் வெளிப்புற ஐபி முகவரியைக் குறிப்பிடவும், அத்துடன் முன்பு உருவாக்கப்பட்டவை SSL சுயவிவரம், அங்கீகார சுயவிவரம், சுரங்கப்பாதை இடைமுகம் மற்றும் கிளையன்ட் ஐபி அமைப்புகள். கிளையண்டிற்கு முகவரி ஒதுக்கப்படும் ஐபி முகவரிகளின் தொகுப்பை நீங்கள் குறிப்பிட வேண்டும், மேலும் அணுகல் பாதை என்பது கிளையன்ட் வழியைக் கொண்டிருக்கும் சப்நெட் ஆகும். அனைத்து பயனர் போக்குவரத்தையும் ஃபயர்வால் மூலம் மூடுவது பணி என்றால், நீங்கள் சப்நெட் 0.0.0.0/0 (படம் 17) ஐக் குறிப்பிட வேண்டும்.

பாலோ ஆல்டோ நெட்வொர்க்குகள் அமைவு அம்சங்கள்: SSL VPN
படம் 17 - ஐபி முகவரிகள் மற்றும் வழிகளின் தொகுப்பை அமைத்தல்

பின்னர் நீங்கள் அமைக்க வேண்டும் உலகளாவிய பாதுகாப்பு போர்டல். ஃபயர்வாலின் ஐபி முகவரியைக் குறிப்பிடவும், SSL சுயவிவரம் и அங்கீகார சுயவிவரம் மற்றும் கிளையன்ட் இணைக்கும் வெளிப்புற ஃபயர்வால் ஐபி முகவரிகளின் பட்டியல். பல ஃபயர்வால்கள் இருந்தால், நீங்கள் ஒவ்வொன்றிற்கும் ஒரு முன்னுரிமையை அமைக்கலாம், அதன்படி பயனர்கள் இணைக்க ஃபயர்வாலைத் தேர்ந்தெடுப்பார்கள்.

பிரிவில் சாதனம் -> GlobalProtect Client நீங்கள் பாலோ ஆல்டோ நெட்வொர்க்குகள் சேவையகங்களிலிருந்து VPN கிளையண்டின் விநியோக கிட்டைப் பதிவிறக்கம் செய்து அதைச் செயல்படுத்த வேண்டும். இணைக்க, பயனர் போர்டல் வலைப்பக்கத்திற்குச் செல்ல வேண்டும், அங்கு அவர் பதிவிறக்கும்படி கேட்கப்படுவார் GlobalProtect கிளையண்ட். பதிவிறக்கம் செய்து நிறுவிய பிறகு, உங்கள் நற்சான்றிதழ்களை உள்ளிடவும் மற்றும் SSL VPN வழியாக கார்ப்பரேட் நெட்வொர்க்குடன் இணைக்கவும் முடியும்.

முடிவுக்கு

இது பாலோ ஆல்டோ நெட்வொர்க்குகளின் அமைப்பின் பகுதியை நிறைவு செய்கிறது. தகவல் பயனுள்ளதாக இருந்தது மற்றும் பாலோ ஆல்டோ நெட்வொர்க்கில் பயன்படுத்தப்படும் தொழில்நுட்பங்களைப் பற்றி வாசகர் புரிந்துகொண்டார் என்று நம்புகிறோம். எதிர்கால கட்டுரைகளுக்கான தலைப்புகளில் அமைவு மற்றும் பரிந்துரைகள் பற்றி உங்களிடம் கேள்விகள் இருந்தால், அவற்றை கருத்துகளில் எழுதுங்கள், நாங்கள் பதிலளிப்பதில் மகிழ்ச்சியடைவோம்.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்