பாலோ ஆல்டோ நெட்வொர்க்குகளின் ஃபயர்வால்களின் அனைத்து நன்மைகள் இருந்தபோதிலும், இந்த சாதனங்களை உள்ளமைப்பதில் இணையத்தில் பல பொருட்கள் இல்லை, அதே போல் அவை செயல்படுத்தப்பட்ட அனுபவத்தை விவரிக்கும் உரைகளும் உள்ளன. இந்த விற்பனையாளரின் உபகரணங்களுடன் பணிபுரியும் போது நாங்கள் சேகரித்த பொருட்களை சுருக்கமாகக் கூறவும், பல்வேறு திட்டங்களை செயல்படுத்தும் போது நாங்கள் சந்தித்த அம்சங்களைப் பற்றி பேசவும் முடிவு செய்தோம்.
பாலோ ஆல்டோ நெட்வொர்க்குகள் பற்றிய அறிமுகத்திற்காக, இந்தக் கட்டுரையில், மிகவும் பொதுவான ஃபயர்வால் பணிகளில் ஒன்றான ரிமோட் அணுகலுக்கான SSL VPN-ஐத் தீர்க்க தேவையான அமைப்புகளைப் பார்க்கலாம். பொதுவான ஃபயர்வால் உள்ளமைவு, பயனர் அடையாளம், பயன்பாடு மற்றும் பாதுகாப்புக் கொள்கைகளுக்கான உதவி செயல்பாடுகளைப் பற்றியும் பேசுவோம். தலைப்பு வாசகர்களுக்கு ஆர்வமாக இருந்தால், எதிர்காலத்தில் பனோரமாவைப் பயன்படுத்தி சைட்-டு-சைட் VPN, டைனமிக் ரூட்டிங் மற்றும் மையப்படுத்தப்பட்ட மேலாண்மை ஆகியவற்றின் பகுப்பாய்வுடன் பொருட்களை வெளியிடுவோம்.
Palo Alto Networks ஃபயர்வால்கள் App-ID, User-ID, Content-ID உள்ளிட்ட பல புதுமையான தொழில்நுட்பங்களைப் பயன்படுத்துகின்றன. இந்த செயல்பாட்டின் பயன்பாடு உயர் மட்ட பாதுகாப்பை வழங்க உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, ஆப்-ஐடியைப் பயன்படுத்தி கையொப்பங்கள், டிகோடிங் மற்றும் ஹூரிஸ்டிக்ஸ் ஆகியவற்றின் அடிப்படையில் பயன்பாட்டு போக்குவரத்தை அடையாளம் காண முடியும், போர்ட் மற்றும் நெறிமுறையைப் பொருட்படுத்தாமல், SSL சுரங்கப்பாதை உட்பட. LDAP உடன் ஒருங்கிணைப்பதன் மூலம் நெட்வொர்க் பயனர்களை அடையாளம் காண பயனர் ஐடி உங்களை அனுமதிக்கிறது. Content-ID ஆனது போக்குவரத்தை ஸ்கேன் செய்து மாற்றப்பட்ட கோப்புகள் மற்றும் அவற்றின் உள்ளடக்கங்களை அடையாளம் காண உதவுகிறது. மற்ற ஃபயர்வால் அம்சங்களில் ஊடுருவல் பாதுகாப்பு, பாதிப்புகள் மற்றும் DoS தாக்குதல்களுக்கு எதிரான பாதுகாப்பு, உள்ளமைக்கப்பட்ட ஸ்பைவேர் எதிர்ப்பு, URL வடிகட்டுதல், கிளஸ்டரிங் மற்றும் மையப்படுத்தப்பட்ட மேலாண்மை ஆகியவை அடங்கும்.
ஆர்ப்பாட்டத்திற்கு, சாதனத்தின் பெயர்கள், AD டொமைன் பெயர் மற்றும் IP முகவரிகள் தவிர, உண்மையான ஒன்றை ஒத்த உள்ளமைவுடன் தனிமைப்படுத்தப்பட்ட நிலைப்பாட்டை நாங்கள் பயன்படுத்துவோம். உண்மையில், எல்லாம் மிகவும் சிக்கலானது - பல கிளைகள் இருக்கலாம். இந்த வழக்கில், ஒரு ஃபயர்வாலுக்கு பதிலாக, மைய தளங்களின் எல்லைகளில் ஒரு கிளஸ்டர் நிறுவப்படும், மேலும் டைனமிக் ரூட்டிங் தேவைப்படலாம்.
நிலைப்பாடு பயன்படுத்துகிறது PAN-OS 7.1.9. ஒரு பொதுவான கட்டமைப்பாக, விளிம்பில் உள்ள பாலோ ஆல்டோ நெட்வொர்க்ஸ் ஃபயர்வால் கொண்ட நெட்வொர்க்கைக் கவனியுங்கள். ஃபயர்வால், தலைமை அலுவலகத்திற்கு ரிமோட் SSL VPN அணுகலை வழங்குகிறது. ஆக்டிவ் டைரக்டரி டொமைன் பயனர் தரவுத்தளமாகப் பயன்படுத்தப்படும் (படம் 1).
படம் 1 - நெட்வொர்க்கின் பிளாக் வரைபடம்
படிகளை அமைத்தல்:
- சாதன முன்னமைவு. பெயர், மேலாண்மை ஐபி முகவரி, நிலையான வழிகள், நிர்வாகி கணக்குகள், மேலாண்மை சுயவிவரங்களை அமைத்தல்
- உரிமங்களை நிறுவுதல், புதுப்பிப்புகளை கட்டமைத்தல் மற்றும் நிறுவுதல்
- பாதுகாப்பு மண்டலங்கள், பிணைய இடைமுகங்கள், போக்குவரத்துக் கொள்கை, முகவரி மொழிபெயர்ப்பு ஆகியவற்றை அமைத்தல்
- LDAP அங்கீகார சுயவிவரம் மற்றும் பயனர் அடையாளத்தை கட்டமைத்தல்
- ஒரு SSL VPN ஐ கட்டமைக்கிறது
1. முன்னமைவு
பாலோ ஆல்டோ நெட்வொர்க்குகள் ஃபயர்வாலை உள்ளமைப்பதற்கான முக்கிய கருவி ஒரு வலை இடைமுகமாகும், மேலும் CLI வழியாக மேலாண்மையும் சாத்தியமாகும். முன்னிருப்பாக, மேலாண்மை இடைமுகம் IP முகவரி 192.168.1.1/24, உள்நுழைவு: நிர்வாகம், கடவுச்சொல்: நிர்வாகம்.
அதே நெட்வொர்க்கிலிருந்து இணைய இடைமுகத்துடன் இணைப்பதன் மூலம் அல்லது கட்டளையைப் பயன்படுத்தி முகவரியை மாற்றலாம் deviceconfig அமைப்பு ip-address <> netmask <> அமைக்கவும். இது கட்டமைப்பு முறையில் இயங்கும். உள்ளமைவு பயன்முறைக்கு மாற, கட்டளையைப் பயன்படுத்தவும் கட்டமைக்க. ஃபயர்வாலில் உள்ள அனைத்து மாற்றங்களும் கட்டளையால் அமைப்புகளை உறுதிப்படுத்திய பின்னரே நிகழ்கின்றன செய்து, கட்டளை வரி முறையிலும் இணைய இடைமுகத்திலும்.
இணைய இடைமுகத்தில் அமைப்புகளை மாற்ற, பிரிவைப் பயன்படுத்தவும் சாதனம் -> பொது அமைப்புகள் மற்றும் சாதனம் -> மேலாண்மை இடைமுக அமைப்புகள். பெயர், பேனர்கள், நேர மண்டலம் மற்றும் பிற அமைப்புகளை பொது அமைப்புகள் பிரிவில் (படம் 2) அமைக்கலாம்.
படம் 2 - கட்டுப்பாட்டு இடைமுக அளவுருக்கள்
ESXi சூழலில் மெய்நிகர் ஃபயர்வால் பயன்படுத்தப்பட்டால், பொது அமைப்புகள் பிரிவில், ஹைப்பர்வைசரால் ஒதுக்கப்பட்ட MAC முகவரியைப் பயன்படுத்துவதை நீங்கள் இயக்க வேண்டும் அல்லது ஃபயர்வால் இடைமுகங்களில் குறிப்பிடப்பட்டுள்ள ஹைப்பர்வைசரில் MAC முகவரிகளை உள்ளமைக்க வேண்டும் அல்லது அமைப்புகளை மாற்ற வேண்டும். MAC முகவரிகளை மாற்ற அனுமதிக்கும் மெய்நிகர் சுவிட்சுகள். இல்லையெனில், போக்குவரத்து செல்லாது.
மேலாண்மை இடைமுகம் தனித்தனியாக கட்டமைக்கப்பட்டுள்ளது மற்றும் பிணைய இடைமுகங்களின் பட்டியலில் காட்டப்படாது. அத்தியாயத்தில் மேலாண்மை இடைமுக அமைப்புகள் மேலாண்மை இடைமுகத்திற்கான இயல்புநிலை நுழைவாயிலைக் குறிப்பிடுகிறது. பிற நிலையான வழிகள் மெய்நிகர் திசைவிகள் பிரிவில் கட்டமைக்கப்பட்டுள்ளன, அவை பின்னர் விவாதிக்கப்படும்.
பிற இடைமுகங்கள் மூலம் சாதனத்தை அணுக அனுமதிக்க, நீங்கள் ஒரு நிர்வாக சுயவிவரத்தை உருவாக்க வேண்டும் மேலாண்மை சுயவிவரம் பிரிவில் நெட்வொர்க் -> நெட்வொர்க் சுயவிவரங்கள் -> இடைமுகம் Mgmt மற்றும் அதை பொருத்தமான இடைமுகத்திற்கு ஒதுக்கவும்.
அடுத்து, நீங்கள் பிரிவில் DNS மற்றும் NTP ஐ கட்டமைக்க வேண்டும் சாதனம் -> சேவைகள் புதுப்பிப்புகளைப் பெறவும் நேரத்தை சரியாகக் காட்டவும் (படம் 3). முன்னிருப்பாக, ஃபயர்வால் மூலம் உருவாக்கப்பட்ட அனைத்து போக்குவரமும் அதன் மூல IP முகவரியாக மேலாண்மை இடைமுகத்தின் IP முகவரியைப் பயன்படுத்துகிறது. பிரிவில் உள்ள ஒவ்வொரு குறிப்பிட்ட சேவைக்கும் வெவ்வேறு இடைமுகத்தை நீங்கள் ஒதுக்கலாம் சேவை பாதை கட்டமைப்பு.
படம் 3 - DNS, NTP சேவைகள் மற்றும் கணினி வழிகளின் அளவுருக்கள்
2. உரிமங்களை நிறுவுதல், புதுப்பிப்புகளை அமைத்தல் மற்றும் நிறுவுதல்
அனைத்து ஃபயர்வால் செயல்பாடுகளின் முழு செயல்பாட்டிற்கு, நீங்கள் உரிமத்தை நிறுவ வேண்டும். Palo Alto Networks கூட்டாளர்களிடம் இருந்து அதைக் கோருவதன் மூலம் சோதனை உரிமத்தைப் பயன்படுத்தலாம். இதன் செல்லுபடியாகும் காலம் 30 நாட்கள். உரிமம் கோப்பு மூலமாகவோ அல்லது அங்கீகாரக் குறியீட்டைப் பயன்படுத்தியோ செயல்படுத்தப்படுகிறது. உரிமங்கள் பிரிவில் கட்டமைக்கப்பட்டுள்ளன சாதனம் -> உரிமங்கள் (படம் 4).
உரிமத்தை நிறுவிய பின், பிரிவில் புதுப்பிப்புகளின் நிறுவலை நீங்கள் கட்டமைக்க வேண்டும் சாதனம் -> டைனமிக் புதுப்பிப்புகள்.
பிரிவில் சாதனம் -> மென்பொருள் நீங்கள் PAN-OS இன் புதிய பதிப்புகளை பதிவிறக்கம் செய்து நிறுவலாம்.
படம் 4 - உரிமக் கட்டுப்பாட்டுப் பலகம்
3. பாதுகாப்பு மண்டலங்கள், பிணைய இடைமுகங்கள், போக்குவரத்துக் கொள்கை, முகவரி மொழிபெயர்ப்பு ஆகியவற்றை அமைத்தல்
பாலோ ஆல்டோ நெட்வொர்க்குகள் ஃபயர்வால்கள் பிணைய விதிகளை உள்ளமைக்கும் போது மண்டல தர்க்கத்தைப் பயன்படுத்துகின்றன. நெட்வொர்க் இடைமுகங்கள் ஒரு குறிப்பிட்ட மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளன, மேலும் இது போக்குவரத்து விதிகளில் பயன்படுத்தப்படுகிறது. இந்த அணுகுமுறை எதிர்காலத்தில், இடைமுக அமைப்புகளை மாற்றும்போது, போக்குவரத்து விதிகளை மாற்றாமல், பொருத்தமான மண்டலங்களுக்கு தேவையான இடைமுகங்களை மறுசீரமைக்க அனுமதிக்கிறது. இயல்பாக, மண்டலத்திற்குள் போக்குவரத்து அனுமதிக்கப்படுகிறது, மண்டலங்களுக்கு இடையிலான போக்குவரத்து தடைசெய்யப்பட்டுள்ளது, முன் வரையறுக்கப்பட்ட விதிகள் இதற்கு பொறுப்பு intrazone-default и interzone-default.
படம் 5 - பாதுகாப்பு மண்டலங்கள்
இந்த எடுத்துக்காட்டில், உள் நெட்வொர்க்கில் உள்ள இடைமுகம் மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளது உள்நாட்டு, மற்றும் இணையத்திற்கு இயக்கப்பட்ட இடைமுகம் மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளது வெளி. SSL VPNக்கு ஒரு சுரங்கப்பாதை இடைமுகம் உருவாக்கப்பட்டு மண்டலத்திற்கு ஒதுக்கப்பட்டுள்ளது VPN (படம் 5).
பாலோ ஆல்டோ நெட்வொர்க்குகள் ஃபயர்வால் நெட்வொர்க் இடைமுகங்கள் ஐந்து வெவ்வேறு முறைகளில் செயல்பட முடியும்:
- குழாய் - கண்காணிப்பு மற்றும் பகுப்பாய்வு நோக்கத்திற்காக போக்குவரத்து சேகரிக்க பயன்படுத்தப்படுகிறது
- HA - கிளஸ்டர் செயல்பாட்டிற்கு பயன்படுத்தப்படுகிறது
- மெய்நிகர் கம்பி - இந்த பயன்முறையில், பாலோ ஆல்டோ நெட்வொர்க்குகள் இரண்டு இடைமுகங்களை ஒருங்கிணைத்து, MAC மற்றும் IP முகவரிகளை மாற்றாமல் அவற்றுக்கிடையே போக்குவரத்தை வெளிப்படையாகக் கடத்துகிறது.
- layer2 - சுவிட்ச் பயன்முறை
- layer3 - திசைவி முறை
படம் 6 - இடைமுக செயல்பாட்டு பயன்முறையை அமைத்தல்
இந்த எடுத்துக்காட்டில், Layer3 பயன்முறை பயன்படுத்தப்படும் (படம் 6). பிணைய இடைமுக அளவுருக்கள் IP முகவரி, செயல்பாட்டு முறை மற்றும் தொடர்புடைய பாதுகாப்பு மண்டலம் ஆகியவற்றைக் குறிப்பிடுகின்றன. இடைமுகத்தின் இயக்க முறைக்கு கூடுதலாக, நீங்கள் அதை மெய்நிகர் திசைவி மெய்நிகர் திசைவிக்கு ஒதுக்க வேண்டும், இது பாலோ ஆல்டோ நெட்வொர்க்குகளில் உள்ள VRF நிகழ்வின் அனலாக் ஆகும். மெய்நிகர் திசைவிகள் ஒருவருக்கொருவர் தனிமைப்படுத்தப்பட்டு அவற்றின் சொந்த ரூட்டிங் அட்டவணைகள் மற்றும் பிணைய நெறிமுறை அமைப்புகளைக் கொண்டுள்ளன.
மெய்நிகர் திசைவி அமைப்புகள் நிலையான வழிகள் மற்றும் ரூட்டிங் நெறிமுறை அமைப்புகளைக் குறிப்பிடுகின்றன. இந்த எடுத்துக்காட்டில், வெளிப்புற நெட்வொர்க்குகளை அணுகுவதற்கான இயல்புநிலை பாதை மட்டுமே உருவாக்கப்பட்டது (படம் 7).
படம் 7 - மெய்நிகர் திசைவியை கட்டமைக்கிறது
அடுத்த கட்டமைப்பு படி போக்குவரத்து கொள்கைகள், பிரிவு கொள்கைகள் -> பாதுகாப்பு. அமைப்பிற்கான எடுத்துக்காட்டு படம் 8 இல் காட்டப்பட்டுள்ளது. விதிகளின் தர்க்கம் அனைத்து ஃபயர்வால்களுக்கும் ஒரே மாதிரியாக இருக்கும். முதல் போட்டி வரை, மேலிருந்து கீழாக விதிகள் சரிபார்க்கப்படுகின்றன. விதிகளின் சுருக்கமான விளக்கம்:
1. SSL VPN இணைய போர்ட்டலுக்கான அணுகல். தொலை இணைப்புகளை அங்கீகரிக்க இணைய போர்ட்டலுக்கான அணுகலை அனுமதிக்கிறது
2. VPN ட்ராஃபிக் - ரிமோட் இணைப்புகள் மற்றும் தலைமை அலுவலகத்திற்கு இடையே போக்குவரத்தை அனுமதிக்கிறது
3. அடிப்படை இணையம் - dns, ping, traceroute, ntp பயன்பாடுகளை அனுமதிக்கிறது. ஃபயர்வால் போர்ட் எண்கள் மற்றும் நெறிமுறைகளைக் காட்டிலும் கையொப்பங்கள், டிகோடிங் மற்றும் ஹூரிஸ்டிக்ஸ் ஆகியவற்றின் அடிப்படையில் பயன்பாடுகளை அனுமதிக்கிறது, அதனால்தான் சேவைப் பிரிவு பயன்பாடு-இயல்புநிலை என்று கூறுகிறது. இந்தப் பயன்பாட்டிற்கான இயல்புநிலை போர்ட்/நெறிமுறை
4. இணைய அணுகல் - பயன்பாட்டுக் கட்டுப்பாடு இல்லாமல் HTTP மற்றும் HTTPS நெறிமுறைகள் வழியாக இணைய அணுகலை அனுமதிக்கிறது
5,6 பிற போக்குவரத்திற்கான இயல்புநிலை விதிகள்.
படம் 8 - பிணைய விதிகளை உள்ளமைப்பதற்கான எடுத்துக்காட்டு
NAT ஐ கட்டமைக்க, பிரிவைப் பயன்படுத்தவும் கொள்கைகள் -> NAT. NAT ஐ அமைப்பதற்கான எடுத்துக்காட்டு படம் 9 இல் காட்டப்பட்டுள்ளது.
படம் 9 - NAT அமைவு உதாரணம்
அகத்திலிருந்து வெளிப்புறத்திற்கு எந்தவொரு போக்குவரத்திற்கும், நீங்கள் மூல முகவரியை ஃபயர்வாலின் வெளிப்புற IP முகவரிக்கு மாற்றலாம் மற்றும் டைனமிக் போர்ட் முகவரியை (PAT) பயன்படுத்தலாம்.
4. LDAP அங்கீகரிப்பு சுயவிவரம் மற்றும் பயனர் அடையாள செயல்பாட்டை உள்ளமைத்தல்
SSL-VPN வழியாக பயனர்களை இணைக்கும் முன், நீங்கள் ஒரு அங்கீகார பொறிமுறையை அமைக்க வேண்டும். இந்த எடுத்துக்காட்டில், பாலோ ஆல்டோ நெட்வொர்க்குகள் இணைய இடைமுகம் மூலம் ஆக்டிவ் டைரக்டரி டொமைன் கன்ட்ரோலரில் அங்கீகாரம் ஏற்படும்.
படம் 10 - LDAP சுயவிவரம்
அங்கீகாரம் வேலை செய்ய, நீங்கள் கட்டமைக்க வேண்டும் LDAP சுயவிவரம் и அங்கீகார சுயவிவரம்... அத்தியாயத்தில் சாதனம் -> சர்வர் சுயவிவரங்கள் -> LDAP (படம் 10) நீங்கள் டொமைன் கன்ட்ரோலரின் IP முகவரி மற்றும் போர்ட், LDAP வகை மற்றும் குழுக்களில் சேர்க்கப்பட்டுள்ள பயனர் கணக்கு ஆகியவற்றைக் குறிப்பிட வேண்டும். சர்வர் ஆபரேட்டர்கள், நிகழ்வு பதிவு வாசகர்கள், விநியோகிக்கப்பட்ட COM பயனர்கள். பின்னர் பிரிவில் சாதனம் -> அங்கீகரிப்பு சுயவிவரம் ஒரு அங்கீகார சுயவிவரத்தை உருவாக்கவும் (படம் 11), முன்பு உருவாக்கப்பட்டதைக் குறிக்கவும் LDAP சுயவிவரம் மற்றும் மேம்பட்ட தாவலில், தொலைநிலை அணுகல் அனுமதிக்கப்படும் பயனர்களின் குழுவை (படம் 12) குறிப்பிடவும். சுயவிவரத்தில் உள்ள அளவுருவைக் குறிப்பிடுவது முக்கியம் பயனர் டொமைன், இல்லையெனில் குழு அடிப்படையிலான அங்கீகாரம் இயங்காது. புலத்தில் NetBIOS டொமைன் பெயர் இருக்க வேண்டும்.
படம் 11 - அங்கீகார சுயவிவரம்
படம் 12 - AD குழு தேர்வு
அடுத்த கட்டம் அமைப்பது சாதனம் -> பயனர் அடையாளம். இங்கே நீங்கள் டொமைன் கன்ட்ரோலரின் ஐபி முகவரி, இணைப்புக்கான சான்றுகள் மற்றும் அமைப்புகளை உள்ளமைக்க வேண்டும் பாதுகாப்பு பதிவை இயக்கு, அமர்வை இயக்கு, சோதனையை இயக்கு (படம் 13). அத்தியாயத்தில் குழு மேப்பிங் (படம் 14) LDAP இல் உள்ள பொருட்களை அடையாளம் காணும் அளவுருக்கள் மற்றும் அங்கீகாரத்திற்காகப் பயன்படுத்தப்படும் குழுக்களின் பட்டியலை நீங்கள் கவனிக்க வேண்டும். அங்கீகரிப்பு சுயவிவரத்தைப் போலவே, இங்கே நீங்கள் பயனர் டொமைன் அளவுருவை அமைக்க வேண்டும்.
படம் 13 - பயனர் மேப்பிங் அளவுருக்கள்
படம் 14 - குழு மேப்பிங் அளவுருக்கள்
இந்தப் படிநிலையின் கடைசிப் படி VPN மண்டலம் மற்றும் இந்த மண்டலத்திற்கான இடைமுகத்தை உருவாக்குவது. இடைமுகத்தில், நீங்கள் அளவுருவை இயக்க வேண்டும் பயனர் அடையாளத்தை இயக்கு (படம் 15).
படம் 15 - VPN மண்டலத்தை அமைத்தல்
5. SSL VPNஐ அமைக்கவும்
SSL VPNஐ இணைக்கும் முன், தொலைநிலைப் பயனர் இணைய போர்ட்டலுக்குச் சென்று, அங்கீகரித்து, Global Protect கிளையண்டைப் பதிவிறக்க வேண்டும். அடுத்து, இந்த கிளையன்ட் நற்சான்றிதழ்களைக் கேட்டு கார்ப்பரேட் நெட்வொர்க்குடன் இணைக்கப்படும். இணைய போர்டல் https பயன்முறையில் செயல்படுகிறது, அதன்படி, அதற்கான சான்றிதழை நிறுவ வேண்டும். முடிந்தால் பொதுச் சான்றிதழைப் பயன்படுத்தவும். பின்னர், தளத்தில் உள்ள சான்றிதழின் செல்லாத தன்மை குறித்த எச்சரிக்கையைப் பயனர் பெறமாட்டார். பொதுச் சான்றிதழைப் பயன்படுத்த முடியாவிட்டால், நீங்கள் சொந்தமாக வழங்க வேண்டும், இது https இணையப் பக்கத்தில் பயன்படுத்தப்படும். இது சுய கையொப்பமிடப்படலாம் அல்லது உள்ளூர் CA மூலம் வழங்கப்படலாம். தொலைநிலை கணினி நம்பகமான ரூட் மையங்களின் பட்டியலில் ரூட் அல்லது சுய கையொப்பமிடப்பட்ட சான்றிதழைக் கொண்டிருக்க வேண்டும், இதனால் இணைய போர்ட்டலுடன் இணைக்கும்போது பயனர் பிழையைப் பெறக்கூடாது. இந்த உதாரணம் செயலில் உள்ள டைரக்டரி சான்றிதழ் சேவைகள் CA மூலம் வழங்கப்பட்ட சான்றிதழைப் பயன்படுத்தும்.
சான்றிதழை வழங்க, பிரிவில் சான்றிதழ் கோரிக்கையை உருவாக்க வேண்டும் சாதனம் -> சான்றிதழ் மேலாண்மை -> சான்றிதழ்கள் -> உருவாக்கு. கோரிக்கையில், சான்றிதழின் பெயர் மற்றும் இணைய போர்ட்டலின் IP முகவரி அல்லது FQDN (படம் 16) ஆகியவற்றைக் குறிப்பிடவும். கோரிக்கையை உருவாக்கிய பிறகு, பதிவிறக்கவும் .csr AD CS வலைப் பதிவு வலைப் படிவத்தில் உள்ள சான்றிதழ் கோரிக்கைப் புலத்தில் கோப்பு மற்றும் அதன் உள்ளடக்கங்களை நகலெடுக்கவும். சான்றிதழ் ஆணையத்தின் அமைப்பைப் பொறுத்து, சான்றிதழ் கோரிக்கை அங்கீகரிக்கப்பட வேண்டும் மற்றும் வழங்கப்பட்ட சான்றிதழை வடிவத்தில் பதிவிறக்கம் செய்ய வேண்டும் Base64 குறியிடப்பட்ட சான்றிதழ். கூடுதலாக, நீங்கள் சான்றிதழ் ஆணையத்தின் ரூட் சான்றிதழைப் பதிவிறக்க வேண்டும். பின்னர் நீங்கள் இரண்டு சான்றிதழ்களையும் ஃபயர்வாலுக்கு இறக்குமதி செய்ய வேண்டும். இணைய போர்ட்டலுக்கான சான்றிதழை இறக்குமதி செய்யும் போது, நிலுவையில் உள்ள கோரிக்கையைத் தேர்ந்தெடுத்து இறக்குமதி என்பதைக் கிளிக் செய்யவும். சான்றிதழின் பெயர் கோரிக்கையில் முன்னர் குறிப்பிடப்பட்ட பெயருடன் பொருந்த வேண்டும். ரூட் சான்றிதழின் பெயரை நீங்கள் தன்னிச்சையாக குறிப்பிடலாம். சான்றிதழை இறக்குமதி செய்த பிறகு, நீங்கள் உருவாக்க வேண்டும் SSL/TLS சேவை சுயவிவரம் பிரிவில் சாதனம் -> சான்றிதழ் மேலாண்மை. சுயவிவரத்தில் முன்பு இறக்குமதி செய்யப்பட்ட சான்றிதழைக் குறிப்பிடவும்.
படம் 16 - சான்றிதழுக்கான கோரிக்கை
அடுத்த கட்டம் பொருள்களை அமைப்பதாகும் உலகளாவிய பாதுகாப்பு நுழைவாயில் и உலகளாவிய பாதுகாப்பு போர்டல் பிரிவில் நெட்வொர்க் -> உலகளாவிய பாதுகாப்பு. அமைப்புகளில் உலகளாவிய பாதுகாப்பு நுழைவாயில் ஃபயர்வாலின் வெளிப்புற ஐபி முகவரியைக் குறிப்பிடவும், அத்துடன் முன்பு உருவாக்கப்பட்டவை SSL சுயவிவரம், அங்கீகார சுயவிவரம், சுரங்கப்பாதை இடைமுகம் மற்றும் கிளையன்ட் ஐபி அமைப்புகள். கிளையண்டிற்கு முகவரி ஒதுக்கப்படும் ஐபி முகவரிகளின் தொகுப்பை நீங்கள் குறிப்பிட வேண்டும், மேலும் அணுகல் பாதை என்பது கிளையன்ட் வழியைக் கொண்டிருக்கும் சப்நெட் ஆகும். அனைத்து பயனர் போக்குவரத்தையும் ஃபயர்வால் மூலம் மூடுவது பணி என்றால், நீங்கள் சப்நெட் 0.0.0.0/0 (படம் 17) ஐக் குறிப்பிட வேண்டும்.
படம் 17 - ஐபி முகவரிகள் மற்றும் வழிகளின் தொகுப்பை அமைத்தல்
பின்னர் நீங்கள் அமைக்க வேண்டும் உலகளாவிய பாதுகாப்பு போர்டல். ஃபயர்வாலின் ஐபி முகவரியைக் குறிப்பிடவும், SSL சுயவிவரம் и அங்கீகார சுயவிவரம் மற்றும் கிளையன்ட் இணைக்கும் வெளிப்புற ஃபயர்வால் ஐபி முகவரிகளின் பட்டியல். பல ஃபயர்வால்கள் இருந்தால், நீங்கள் ஒவ்வொன்றிற்கும் ஒரு முன்னுரிமையை அமைக்கலாம், அதன்படி பயனர்கள் இணைக்க ஃபயர்வாலைத் தேர்ந்தெடுப்பார்கள்.
பிரிவில் சாதனம் -> GlobalProtect Client நீங்கள் பாலோ ஆல்டோ நெட்வொர்க்குகள் சேவையகங்களிலிருந்து VPN கிளையண்டின் விநியோக கிட்டைப் பதிவிறக்கம் செய்து அதைச் செயல்படுத்த வேண்டும். இணைக்க, பயனர் போர்டல் வலைப்பக்கத்திற்குச் செல்ல வேண்டும், அங்கு அவர் பதிவிறக்கும்படி கேட்கப்படுவார் GlobalProtect கிளையண்ட். பதிவிறக்கம் செய்து நிறுவிய பிறகு, உங்கள் நற்சான்றிதழ்களை உள்ளிடவும் மற்றும் SSL VPN வழியாக கார்ப்பரேட் நெட்வொர்க்குடன் இணைக்கவும் முடியும்.
முடிவுக்கு
இது பாலோ ஆல்டோ நெட்வொர்க்குகளின் அமைப்பின் பகுதியை நிறைவு செய்கிறது. தகவல் பயனுள்ளதாக இருந்தது மற்றும் பாலோ ஆல்டோ நெட்வொர்க்கில் பயன்படுத்தப்படும் தொழில்நுட்பங்களைப் பற்றி வாசகர் புரிந்துகொண்டார் என்று நம்புகிறோம். எதிர்கால கட்டுரைகளுக்கான தலைப்புகளில் அமைவு மற்றும் பரிந்துரைகள் பற்றி உங்களிடம் கேள்விகள் இருந்தால், அவற்றை கருத்துகளில் எழுதுங்கள், நாங்கள் பதிலளிப்பதில் மகிழ்ச்சியடைவோம்.
ஆதாரம்: www.habr.com