పాలో ఆల్టో నెట్వర్క్స్ ఫైర్వాల్ల యొక్క అన్ని ప్రయోజనాలు ఉన్నప్పటికీ, ఈ పరికరాలను సెటప్ చేయడంపై RuNetలో చాలా మెటీరియల్ లేదు, అలాగే వాటి అమలు యొక్క అనుభవాన్ని వివరించే పాఠాలు. ఈ విక్రేత యొక్క పరికరాలతో మా పని సమయంలో మేము సేకరించిన పదార్థాలను సంగ్రహించాలని మరియు వివిధ ప్రాజెక్టుల అమలు సమయంలో మేము ఎదుర్కొన్న లక్షణాల గురించి మాట్లాడాలని మేము నిర్ణయించుకున్నాము.
పాలో ఆల్టో నెట్వర్క్లకు మిమ్మల్ని పరిచయం చేయడానికి, ఈ కథనం అత్యంత సాధారణ ఫైర్వాల్ సమస్యలలో ఒకదాన్ని పరిష్కరించడానికి అవసరమైన కాన్ఫిగరేషన్ను పరిశీలిస్తుంది - రిమోట్ యాక్సెస్ కోసం SSL VPN. మేము సాధారణ ఫైర్వాల్ కాన్ఫిగరేషన్, వినియోగదారు గుర్తింపు, అప్లికేషన్లు మరియు భద్రతా విధానాల కోసం యుటిలిటీ ఫంక్షన్ల గురించి కూడా మాట్లాడుతాము. పాఠకులకు ఆసక్తి కలిగించే అంశం అయితే, భవిష్యత్తులో మేము పనోరమను ఉపయోగించి సైట్-టు-సైట్ VPN, డైనమిక్ రూటింగ్ మరియు కేంద్రీకృత నిర్వహణను విశ్లేషించే మెటీరియల్లను విడుదల చేస్తాము.
Palo Alto Networks ఫైర్వాల్లు App-ID, User-ID, Content-IDతో సహా అనేక వినూత్న సాంకేతికతలను ఉపయోగిస్తాయి. ఈ కార్యాచరణ యొక్క ఉపయోగం అధిక స్థాయి భద్రతను నిర్ధారించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, యాప్-IDతో SSL టన్నెల్తో సహా ఉపయోగించిన పోర్ట్ మరియు ప్రోటోకాల్తో సంబంధం లేకుండా సంతకాలు, డీకోడింగ్ మరియు హ్యూరిస్టిక్స్ ఆధారంగా అప్లికేషన్ ట్రాఫిక్ను గుర్తించడం సాధ్యమవుతుంది. LDAP ఇంటిగ్రేషన్ ద్వారా నెట్వర్క్ వినియోగదారులను గుర్తించడానికి వినియోగదారు-ID మిమ్మల్ని అనుమతిస్తుంది. Content-ID ట్రాఫిక్ని స్కాన్ చేయడం మరియు ప్రసారం చేయబడిన ఫైల్లు మరియు వాటి కంటెంట్లను గుర్తించడం సాధ్యం చేస్తుంది. ఇతర ఫైర్వాల్ ఫంక్షన్లలో చొరబాటు రక్షణ, దుర్బలత్వాలు మరియు DoS దాడుల నుండి రక్షణ, అంతర్నిర్మిత యాంటీ-స్పైవేర్, URL ఫిల్టరింగ్, క్లస్టరింగ్ మరియు కేంద్రీకృత నిర్వహణ ఉన్నాయి.
ప్రదర్శన కోసం, మేము పరికర పేర్లు, AD డొమైన్ పేరు మరియు IP చిరునామాలను మినహాయించి, వాస్తవమైనదానికి సమానమైన కాన్ఫిగరేషన్తో వివిక్త స్టాండ్ని ఉపయోగిస్తాము. వాస్తవానికి, ప్రతిదీ మరింత క్లిష్టంగా ఉంటుంది - అనేక శాఖలు ఉండవచ్చు. ఈ సందర్భంలో, ఒకే ఫైర్వాల్కు బదులుగా, సెంట్రల్ సైట్ల సరిహద్దుల వద్ద క్లస్టర్ వ్యవస్థాపించబడుతుంది మరియు డైనమిక్ రూటింగ్ కూడా అవసరం కావచ్చు.
స్టాండ్లో ఉపయోగించబడుతుంది PAN-OS 7.1.9. సాధారణ కాన్ఫిగరేషన్గా, అంచున ఉన్న పాలో ఆల్టో నెట్వర్క్స్ ఫైర్వాల్తో నెట్వర్క్ను పరిగణించండి. ఫైర్వాల్ ప్రధాన కార్యాలయానికి రిమోట్ SSL VPN యాక్సెస్ను అందిస్తుంది. యాక్టివ్ డైరెక్టరీ డొమైన్ వినియోగదారు డేటాబేస్గా ఉపయోగించబడుతుంది (మూర్తి 1).
మూర్తి 1 - నెట్వర్క్ బ్లాక్ రేఖాచిత్రం
సెటప్ దశలు:
- పరికర ముందస్తు కాన్ఫిగరేషన్. పేరు, నిర్వహణ IP చిరునామా, స్టాటిక్ మార్గాలు, నిర్వాహక ఖాతాలు, నిర్వహణ ప్రొఫైల్లను సెట్ చేస్తోంది
- లైసెన్స్లను ఇన్స్టాల్ చేయడం, అప్డేట్లను కాన్ఫిగర్ చేయడం మరియు ఇన్స్టాల్ చేయడం
- భద్రతా మండలాలు, నెట్వర్క్ ఇంటర్ఫేస్లు, ట్రాఫిక్ విధానాలు, చిరునామా అనువాదం కాన్ఫిగర్ చేయడం
- LDAP ప్రమాణీకరణ ప్రొఫైల్ మరియు వినియోగదారు గుర్తింపు లక్షణాన్ని కాన్ఫిగర్ చేస్తోంది
- SSL VPNని సెటప్ చేస్తోంది
1. ప్రీసెట్
పాలో ఆల్టో నెట్వర్క్స్ ఫైర్వాల్ను కాన్ఫిగర్ చేయడానికి ప్రధాన సాధనం వెబ్ ఇంటర్ఫేస్; CLI ద్వారా నిర్వహణ కూడా సాధ్యమే. డిఫాల్ట్గా, నిర్వహణ ఇంటర్ఫేస్ IP చిరునామా 192.168.1.1/24కి సెట్ చేయబడింది, లాగిన్: అడ్మిన్, పాస్వర్డ్: అడ్మిన్.
మీరు అదే నెట్వర్క్ నుండి వెబ్ ఇంటర్ఫేస్కు కనెక్ట్ చేయడం ద్వారా లేదా ఆదేశాన్ని ఉపయోగించడం ద్వారా చిరునామాను మార్చవచ్చు deviceconfig సిస్టమ్ ip-address <> netmask <> సెట్ చేయండి. ఇది కాన్ఫిగరేషన్ మోడ్లో నిర్వహించబడుతుంది. కాన్ఫిగరేషన్ మోడ్కు మారడానికి, ఆదేశాన్ని ఉపయోగించండి ఆకృతీకరించుటకు. సెట్టింగులు కమాండ్ ద్వారా నిర్ధారించబడిన తర్వాత మాత్రమే ఫైర్వాల్లోని అన్ని మార్పులు జరుగుతాయి కమిట్, కమాండ్ లైన్ మోడ్లో మరియు వెబ్ ఇంటర్ఫేస్లో రెండూ.
వెబ్ ఇంటర్ఫేస్లో సెట్టింగ్లను మార్చడానికి, విభాగాన్ని ఉపయోగించండి పరికరం -> సాధారణ సెట్టింగ్లు మరియు పరికరం -> నిర్వహణ ఇంటర్ఫేస్ సెట్టింగ్లు. పేరు, బ్యానర్లు, టైమ్ జోన్ మరియు ఇతర సెట్టింగ్లను సాధారణ సెట్టింగ్ల విభాగంలో (Fig. 2) సెట్ చేయవచ్చు.
మూర్తి 2 - నిర్వహణ ఇంటర్ఫేస్ పారామితులు
మీరు ESXi ఎన్విరాన్మెంట్లో వర్చువల్ ఫైర్వాల్ని ఉపయోగిస్తుంటే, జనరల్ సెట్టింగ్ల విభాగంలో మీరు హైపర్వైజర్ కేటాయించిన MAC చిరునామాను ఉపయోగించడాన్ని ప్రారంభించాలి లేదా హైపర్వైజర్లోని ఫైర్వాల్ ఇంటర్ఫేస్లపై పేర్కొన్న MAC చిరునామాలను కాన్ఫిగర్ చేయాలి లేదా సెట్టింగ్లను మార్చాలి MAC చిరునామాలను మార్చడానికి వర్చువల్ స్విచ్లను అనుమతిస్తుంది. లేకుంటే రాకపోకలు సాగవు.
నిర్వహణ ఇంటర్ఫేస్ విడిగా కాన్ఫిగర్ చేయబడింది మరియు నెట్వర్క్ ఇంటర్ఫేస్ల జాబితాలో ప్రదర్శించబడదు. అధ్యాయంలో నిర్వహణ ఇంటర్ఫేస్ సెట్టింగ్లు నిర్వహణ ఇంటర్ఫేస్ కోసం డిఫాల్ట్ గేట్వేని పేర్కొంటుంది. ఇతర స్టాటిక్ మార్గాలు వర్చువల్ రూటర్స్ విభాగంలో కాన్ఫిగర్ చేయబడ్డాయి; ఇది తరువాత చర్చించబడుతుంది.
ఇతర ఇంటర్ఫేస్ల ద్వారా పరికరానికి ప్రాప్యతను అనుమతించడానికి, మీరు తప్పనిసరిగా నిర్వహణ ప్రొఫైల్ను సృష్టించాలి నిర్వహణ ప్రొఫైల్ విభాగం నెట్వర్క్ -> నెట్వర్క్ ప్రొఫైల్లు -> ఇంటర్ఫేస్ Mgmt మరియు దానిని తగిన ఇంటర్ఫేస్కు కేటాయించండి.
తరువాత, మీరు విభాగంలో DNS మరియు NTPలను కాన్ఫిగర్ చేయాలి పరికరం -> సేవలు నవీకరణలను స్వీకరించడానికి మరియు సమయాన్ని సరిగ్గా ప్రదర్శించడానికి (Fig. 3). డిఫాల్ట్గా, ఫైర్వాల్ ద్వారా ఉత్పన్నమయ్యే మొత్తం ట్రాఫిక్ నిర్వహణ ఇంటర్ఫేస్ IP చిరునామాను దాని మూల IP చిరునామాగా ఉపయోగిస్తుంది. విభాగంలోని ప్రతి నిర్దిష్ట సేవకు మీరు వేరే ఇంటర్ఫేస్ని కేటాయించవచ్చు సర్వీస్ రూట్ కాన్ఫిగరేషన్.
మూర్తి 3 - DNS, NTP మరియు సిస్టమ్ మార్గాల సేవా పారామితులు
2. లైసెన్స్లను ఇన్స్టాల్ చేయడం, అప్డేట్లను సెటప్ చేయడం మరియు ఇన్స్టాల్ చేయడం
అన్ని ఫైర్వాల్ ఫంక్షన్ల పూర్తి ఆపరేషన్ కోసం, మీరు తప్పనిసరిగా లైసెన్స్ను ఇన్స్టాల్ చేయాలి. మీరు పాలో ఆల్టో నెట్వర్క్ల భాగస్వాముల నుండి ట్రయల్ లైసెన్స్ను అభ్యర్థించడం ద్వారా దాన్ని ఉపయోగించవచ్చు. దీని చెల్లుబాటు వ్యవధి 30 రోజులు. లైసెన్స్ ఫైల్ ద్వారా లేదా Auth-Codeని ఉపయోగించి యాక్టివేట్ చేయబడుతుంది. లైసెన్స్లు విభాగంలో కాన్ఫిగర్ చేయబడ్డాయి పరికరం -> లైసెన్స్లు (అత్తి 4).
లైసెన్స్ను ఇన్స్టాల్ చేసిన తర్వాత, మీరు విభాగంలో నవీకరణల ఇన్స్టాలేషన్ను కాన్ఫిగర్ చేయాలి పరికరం -> డైనమిక్ నవీకరణలు.
విభాగం పరికరం -> సాఫ్ట్వేర్ మీరు PAN-OS యొక్క కొత్త వెర్షన్లను డౌన్లోడ్ చేసి, ఇన్స్టాల్ చేసుకోవచ్చు.
మూర్తి 4 - లైసెన్స్ నియంత్రణ ప్యానెల్
3. భద్రతా మండలాలు, నెట్వర్క్ ఇంటర్ఫేస్లు, ట్రాఫిక్ విధానాలు, చిరునామా అనువాదం కాన్ఫిగర్ చేయడం
పాలో ఆల్టో నెట్వర్క్స్ ఫైర్వాల్లు నెట్వర్క్ నియమాలను కాన్ఫిగర్ చేసేటప్పుడు జోన్ లాజిక్ను ఉపయోగిస్తాయి. నెట్వర్క్ ఇంటర్ఫేస్లు నిర్దిష్ట జోన్కు కేటాయించబడతాయి మరియు ఈ జోన్ ట్రాఫిక్ నియమాలలో ఉపయోగించబడుతుంది. ఈ విధానం భవిష్యత్తులో, ఇంటర్ఫేస్ సెట్టింగ్లను మార్చేటప్పుడు, ట్రాఫిక్ నియమాలను మార్చకుండా, తగిన జోన్లకు అవసరమైన ఇంటర్ఫేస్లను తిరిగి కేటాయించడానికి అనుమతిస్తుంది. డిఫాల్ట్గా, జోన్లో ట్రాఫిక్ అనుమతించబడుతుంది, జోన్ల మధ్య ట్రాఫిక్ నిషేధించబడింది, ముందే నిర్వచించిన నియమాలు దీనికి బాధ్యత వహిస్తాయి ఇంట్రాజోన్-డిఫాల్ట్ и ఇంటర్జోన్-డిఫాల్ట్.
మూర్తి 5 - భద్రతా మండలాలు
ఈ ఉదాహరణలో, అంతర్గత నెట్వర్క్లోని ఇంటర్ఫేస్ జోన్కు కేటాయించబడుతుంది అంతర్గత, మరియు ఇంటర్నెట్ను ఎదుర్కొంటున్న ఇంటర్ఫేస్ జోన్కు కేటాయించబడింది బాహ్య. SSL VPN కోసం, ఒక టన్నెల్ ఇంటర్ఫేస్ సృష్టించబడింది మరియు జోన్కు కేటాయించబడింది VPN (అత్తి 5).
పాలో ఆల్టో నెట్వర్క్ల ఫైర్వాల్ నెట్వర్క్ ఇంటర్ఫేస్లు ఐదు వేర్వేరు మోడ్లలో పనిచేయగలవు:
- కుళాయి - పర్యవేక్షణ మరియు విశ్లేషణ ప్రయోజనాల కోసం ట్రాఫిక్ని సేకరించడానికి ఉపయోగిస్తారు
- HA - క్లస్టర్ ఆపరేషన్ కోసం ఉపయోగించబడుతుంది
- వర్చువల్ వైర్ - ఈ మోడ్లో, పాలో ఆల్టో నెట్వర్క్లు రెండు ఇంటర్ఫేస్లను మిళితం చేస్తాయి మరియు MAC మరియు IP చిరునామాలను మార్చకుండా వాటి మధ్య ట్రాఫిక్ను పారదర్శకంగా పాస్ చేస్తుంది.
- లేయర్ 2 - స్విచ్ మోడ్
- లేయర్ 3 - రూటర్ మోడ్
మూర్తి 6 - ఇంటర్ఫేస్ ఆపరేటింగ్ మోడ్ను సెట్ చేస్తోంది
ఈ ఉదాహరణలో, Layer3 మోడ్ ఉపయోగించబడుతుంది (Fig. 6). నెట్వర్క్ ఇంటర్ఫేస్ పారామితులు IP చిరునామా, ఆపరేటింగ్ మోడ్ మరియు సంబంధిత సెక్యూరిటీ జోన్ను సూచిస్తాయి. ఇంటర్ఫేస్ యొక్క ఆపరేటింగ్ మోడ్తో పాటు, మీరు దీన్ని తప్పనిసరిగా వర్చువల్ రూటర్ వర్చువల్ రూటర్కు కేటాయించాలి, ఇది పాలో ఆల్టో నెట్వర్క్లలోని VRF ఉదాహరణ యొక్క అనలాగ్. వర్చువల్ రౌటర్లు ఒకదానికొకటి వేరుచేయబడతాయి మరియు వాటి స్వంత రూటింగ్ పట్టికలు మరియు నెట్వర్క్ ప్రోటోకాల్ సెట్టింగ్లను కలిగి ఉంటాయి.
వర్చువల్ రూటర్ సెట్టింగ్లు స్టాటిక్ రూట్లు మరియు రూటింగ్ ప్రోటోకాల్ సెట్టింగ్లను పేర్కొంటాయి. ఈ ఉదాహరణలో, బాహ్య నెట్వర్క్లను యాక్సెస్ చేయడానికి డిఫాల్ట్ మార్గం మాత్రమే సృష్టించబడింది (Fig. 7).
మూర్తి 7 - వర్చువల్ రూటర్ను సెటప్ చేస్తోంది
తదుపరి కాన్ఫిగరేషన్ దశ ట్రాఫిక్ విధానాలు, విభాగం విధానాలు -> భద్రత. కాన్ఫిగరేషన్ యొక్క ఉదాహరణ మూర్తి 8లో చూపబడింది. నియమాల తర్కం అన్ని ఫైర్వాల్ల మాదిరిగానే ఉంటుంది. నియమాలు పై నుండి క్రిందికి, మొదటి మ్యాచ్ వరకు తనిఖీ చేయబడతాయి. నియమాల సంక్షిప్త వివరణ:
1. వెబ్ పోర్టల్కి SSL VPN యాక్సెస్. రిమోట్ కనెక్షన్లను ప్రామాణీకరించడానికి వెబ్ పోర్టల్కు ప్రాప్యతను అనుమతిస్తుంది
2. VPN ట్రాఫిక్ - రిమోట్ కనెక్షన్లు మరియు ప్రధాన కార్యాలయం మధ్య ట్రాఫిక్ను అనుమతిస్తుంది
3. ప్రాథమిక ఇంటర్నెట్ - dns, ping, traceroute, ntp అప్లికేషన్లను అనుమతిస్తుంది. ఫైర్వాల్ పోర్ట్ నంబర్లు మరియు ప్రోటోకాల్ల కంటే సంతకాలు, డీకోడింగ్ మరియు హ్యూరిస్టిక్ల ఆధారంగా అప్లికేషన్లను అనుమతిస్తుంది, అందుకే సర్వీస్ విభాగం అప్లికేషన్-డిఫాల్ట్ అని చెబుతుంది. ఈ అప్లికేషన్ కోసం డిఫాల్ట్ పోర్ట్/ప్రోటోకాల్
4. వెబ్ యాక్సెస్ - అప్లికేషన్ నియంత్రణ లేకుండా HTTP మరియు HTTPS ప్రోటోకాల్ల ద్వారా ఇంటర్నెట్ యాక్సెస్ను అనుమతిస్తుంది
5,6 ఇతర ట్రాఫిక్ కోసం డిఫాల్ట్ నియమాలు.
మూర్తి 8 — నెట్వర్క్ నియమాలను ఏర్పాటు చేయడానికి ఉదాహరణ
NATని కాన్ఫిగర్ చేయడానికి, విభాగాన్ని ఉపయోగించండి విధానాలు -> NAT. NAT కాన్ఫిగరేషన్ యొక్క ఉదాహరణ మూర్తి 9లో చూపబడింది.
మూర్తి 9 - NAT కాన్ఫిగరేషన్ యొక్క ఉదాహరణ
అంతర్గత నుండి బాహ్యానికి ఏదైనా ట్రాఫిక్ కోసం, మీరు మూల చిరునామాను ఫైర్వాల్ యొక్క బాహ్య IP చిరునామాకు మార్చవచ్చు మరియు డైనమిక్ పోర్ట్ చిరునామా (PAT)ని ఉపయోగించవచ్చు.
4. LDAP అథెంటికేషన్ ప్రొఫైల్ మరియు యూజర్ ఐడెంటిఫికేషన్ ఫంక్షన్ కాన్ఫిగర్ చేయడం
SSL-VPN ద్వారా వినియోగదారులను కనెక్ట్ చేయడానికి ముందు, మీరు ప్రామాణీకరణ యంత్రాంగాన్ని కాన్ఫిగర్ చేయాలి. ఈ ఉదాహరణలో, పాలో ఆల్టో నెట్వర్క్స్ వెబ్ ఇంటర్ఫేస్ ద్వారా యాక్టివ్ డైరెక్టరీ డొమైన్ కంట్రోలర్కు ప్రామాణీకరణ జరుగుతుంది.
మూర్తి 10 - LDAP ప్రొఫైల్
ప్రామాణీకరణ పని చేయడానికి, మీరు కాన్ఫిగర్ చేయాలి LDAP ప్రొఫైల్ и ప్రమాణీకరణ ప్రొఫైల్. విభాగంలో పరికరం -> సర్వర్ ప్రొఫైల్లు -> LDAP (Fig. 10) మీరు డొమైన్ కంట్రోలర్ యొక్క IP చిరునామా మరియు పోర్ట్, LDAP రకం మరియు సమూహాలలో చేర్చబడిన వినియోగదారు ఖాతాను పేర్కొనాలి సర్వర్ ఆపరేటర్లు, ఈవెంట్ లాగ్ రీడర్లు, పంపిణీ చేయబడిన COM వినియోగదారులు. అప్పుడు విభాగంలో పరికరం -> ప్రామాణీకరణ ప్రొఫైల్ ప్రామాణీకరణ ప్రొఫైల్ను సృష్టించండి (Fig. 11), గతంలో సృష్టించిన దాన్ని గుర్తించండి LDAP ప్రొఫైల్ మరియు అధునాతన ట్యాబ్లో రిమోట్ యాక్సెస్ అనుమతించబడిన వినియోగదారుల సమూహాన్ని (Fig. 12) మేము సూచిస్తాము. మీ ప్రొఫైల్లోని పరామితిని గమనించడం ముఖ్యం వినియోగదారు డొమైన్, లేకుంటే సమూహ ఆధారిత ప్రమాణీకరణ పని చేయదు. ఫీల్డ్ తప్పనిసరిగా NetBIOS డొమైన్ పేరును సూచించాలి.
మూర్తి 11 - ప్రామాణీకరణ ప్రొఫైల్
మూర్తి 12 - AD సమూహం ఎంపిక
తదుపరి దశ సెటప్ పరికరం -> వినియోగదారు గుర్తింపు. ఇక్కడ మీరు డొమైన్ కంట్రోలర్ యొక్క IP చిరునామా, కనెక్షన్ ఆధారాలను పేర్కొనాలి మరియు సెట్టింగ్లను కూడా కాన్ఫిగర్ చేయాలి భద్రతా లాగ్ని ప్రారంభించండి, సెషన్ను ప్రారంభించండి, ప్రోబింగ్ని ప్రారంభించండి (Fig. 13). అధ్యాయంలో గ్రూప్ మ్యాపింగ్ (Fig. 14) మీరు LDAPలో ఆబ్జెక్ట్లను గుర్తించడం కోసం పారామితులను మరియు అధికారం కోసం ఉపయోగించబడే సమూహాల జాబితాను గమనించాలి. ప్రామాణీకరణ ప్రొఫైల్లో వలె, ఇక్కడ మీరు వినియోగదారు డొమైన్ పరామితిని సెట్ చేయాలి.
మూర్తి 13 – వినియోగదారు మ్యాపింగ్ పారామితులు
మూర్తి 14 - గ్రూప్ మ్యాపింగ్ పారామితులు
ఈ దశలో చివరి దశ VPN జోన్ మరియు ఆ జోన్ కోసం ఇంటర్ఫేస్ను సృష్టించడం. మీరు ఇంటర్ఫేస్లో ఎంపికను ప్రారంభించాలి వినియోగదారు గుర్తింపును ప్రారంభించండి (అత్తి 15).
మూర్తి 15 - VPN జోన్ను సెటప్ చేయడం
5. SSL VPNని సెటప్ చేస్తోంది
SSL VPNకి కనెక్ట్ చేయడానికి ముందు, రిమోట్ వినియోగదారు తప్పనిసరిగా వెబ్ పోర్టల్కి వెళ్లి, గ్లోబల్ ప్రొటెక్ట్ క్లయింట్ను ప్రామాణీకరించి, డౌన్లోడ్ చేసుకోవాలి. తర్వాత, ఈ క్లయింట్ ఆధారాలను అభ్యర్థిస్తుంది మరియు కార్పొరేట్ నెట్వర్క్కి కనెక్ట్ చేస్తుంది. వెబ్ పోర్టల్ https మోడ్లో పనిచేస్తుంది మరియు దాని ప్రకారం, మీరు దాని కోసం ఒక ప్రమాణపత్రాన్ని ఇన్స్టాల్ చేయాలి. వీలైతే పబ్లిక్ సర్టిఫికేట్ ఉపయోగించండి. అప్పుడు వినియోగదారు సైట్లోని సర్టిఫికేట్ చెల్లనిది గురించి హెచ్చరికను అందుకోలేరు. పబ్లిక్ సర్టిఫికేట్ను ఉపయోగించడం సాధ్యం కాకపోతే, మీరు మీ స్వంతంగా జారీ చేయాలి, ఇది https కోసం వెబ్ పేజీలో ఉపయోగించబడుతుంది. ఇది స్వీయ సంతకం లేదా స్థానిక సర్టిఫికేట్ అధికారం ద్వారా జారీ చేయబడుతుంది. రిమోట్ కంప్యూటర్ విశ్వసనీయ రూట్ అధికారుల జాబితాలో తప్పనిసరిగా రూట్ లేదా స్వీయ సంతకం చేసిన సర్టిఫికేట్ను కలిగి ఉండాలి, తద్వారా వెబ్ పోర్టల్కు కనెక్ట్ చేస్తున్నప్పుడు వినియోగదారు లోపాన్ని స్వీకరించరు. ఈ ఉదాహరణ యాక్టివ్ డైరెక్టరీ సర్టిఫికేట్ సేవల ద్వారా జారీ చేయబడిన ప్రమాణపత్రాన్ని ఉపయోగిస్తుంది.
ప్రమాణపత్రాన్ని జారీ చేయడానికి, మీరు విభాగంలో సర్టిఫికేట్ అభ్యర్థనను సృష్టించాలి పరికరం -> సర్టిఫికేట్ నిర్వహణ -> సర్టిఫికెట్లు -> రూపొందించండి. అభ్యర్థనలో మేము సర్టిఫికేట్ పేరు మరియు వెబ్ పోర్టల్ యొక్క IP చిరునామా లేదా FQDN (Fig. 16) ను సూచిస్తాము. అభ్యర్థనను రూపొందించిన తర్వాత, డౌన్లోడ్ చేయండి .csr AD CS వెబ్ ఎన్రోల్మెంట్ వెబ్ ఫారమ్లోని సర్టిఫికేట్ అభ్యర్థన ఫీల్డ్లోకి ఫైల్ చేసి, దాని కంటెంట్లను కాపీ చేయండి. సర్టిఫికేట్ అథారిటీ ఎలా కాన్ఫిగర్ చేయబడిందనే దానిపై ఆధారపడి, సర్టిఫికేట్ అభ్యర్థన తప్పనిసరిగా ఆమోదించబడాలి మరియు జారీ చేయబడిన సర్టిఫికేట్ తప్పనిసరిగా ఫార్మాట్లో డౌన్లోడ్ చేయబడాలి Base64 ఎన్కోడ్ చేసిన సర్టిఫికెట్. అదనంగా, మీరు ధృవీకరణ అధికారం యొక్క రూట్ సర్టిఫికేట్ను డౌన్లోడ్ చేసుకోవాలి. అప్పుడు మీరు ఫైర్వాల్లోకి రెండు సర్టిఫికేట్లను దిగుమతి చేసుకోవాలి. వెబ్ పోర్టల్ కోసం సర్టిఫికెట్ను దిగుమతి చేస్తున్నప్పుడు, మీరు తప్పనిసరిగా పెండింగ్లో ఉన్న అభ్యర్థనను ఎంచుకుని, దిగుమతిని క్లిక్ చేయాలి. సర్టిఫికెట్ పేరు తప్పనిసరిగా అభ్యర్థనలో ముందుగా పేర్కొన్న పేరుతో సరిపోలాలి. రూట్ సర్టిఫికేట్ పేరు ఏకపక్షంగా పేర్కొనవచ్చు. ప్రమాణపత్రాన్ని దిగుమతి చేసిన తర్వాత, మీరు సృష్టించాలి SSL/TLS సర్వీస్ ప్రొఫైల్ విభాగం పరికరం -> సర్టిఫికేట్ నిర్వహణ. ప్రొఫైల్లో మేము గతంలో దిగుమతి చేసుకున్న ప్రమాణపత్రాన్ని సూచిస్తాము.
మూర్తి 16 - సర్టిఫికేట్ అభ్యర్థన
తదుపరి దశ వస్తువులను సెటప్ చేయడం గ్లోబల్ ప్రొటెక్ట్ గేట్వే и గ్లోబల్ ప్రొటెక్ట్ పోర్టల్ విభాగం నెట్వర్క్ -> గ్లోబల్ ప్రొటెక్ట్. సెట్టింగ్లలో గ్లోబల్ ప్రొటెక్ట్ గేట్వే ఫైర్వాల్ యొక్క బాహ్య IP చిరునామాను సూచించండి, అలాగే గతంలో సృష్టించబడింది SSL ప్రొఫైల్, ప్రమాణీకరణ ప్రొఫైల్, టన్నెల్ ఇంటర్ఫేస్ మరియు క్లయింట్ IP సెట్టింగ్లు. క్లయింట్కు చిరునామా కేటాయించబడే IP చిరునామాల పూల్ను మీరు పేర్కొనాలి మరియు యాక్సెస్ రూట్ - ఇవి క్లయింట్కు మార్గాన్ని కలిగి ఉండే సబ్నెట్లు. ఫైర్వాల్ ద్వారా మొత్తం యూజర్ ట్రాఫిక్ను చుట్టడం పని అయితే, మీరు సబ్నెట్ 0.0.0.0/0 (Fig. 17) ను పేర్కొనాలి.
మూర్తి 17 - IP చిరునామాలు మరియు మార్గాల పూల్ను కాన్ఫిగర్ చేయడం
అప్పుడు మీరు కాన్ఫిగర్ చేయాలి గ్లోబల్ ప్రొటెక్ట్ పోర్టల్. ఫైర్వాల్ యొక్క IP చిరునామాను పేర్కొనండి, SSL ప్రొఫైల్ и ప్రమాణీకరణ ప్రొఫైల్ మరియు క్లయింట్ కనెక్ట్ చేసే ఫైర్వాల్ల బాహ్య IP చిరునామాల జాబితా. అనేక ఫైర్వాల్లు ఉంటే, మీరు ప్రతిదానికి ప్రాధాన్యతని సెట్ చేయవచ్చు, దీని ప్రకారం వినియోగదారులు కనెక్ట్ చేయడానికి ఫైర్వాల్ను ఎంచుకుంటారు.
విభాగం పరికరం -> GlobalProtect క్లయింట్ మీరు పాలో ఆల్టో నెట్వర్క్ల సర్వర్ల నుండి VPN క్లయింట్ పంపిణీని డౌన్లోడ్ చేసుకోవాలి మరియు దానిని సక్రియం చేయాలి. కనెక్ట్ చేయడానికి, వినియోగదారు తప్పనిసరిగా పోర్టల్ వెబ్ పేజీకి వెళ్లాలి, అక్కడ అతను డౌన్లోడ్ చేయమని అడగబడతాడు గ్లోబల్ ప్రొటెక్ట్ క్లయింట్. డౌన్లోడ్ చేసి, ఇన్స్టాల్ చేసిన తర్వాత, మీరు మీ ఆధారాలను నమోదు చేయవచ్చు మరియు SSL VPN ద్వారా మీ కార్పొరేట్ నెట్వర్క్కి కనెక్ట్ చేయవచ్చు.
తీర్మానం
ఇది సెటప్లోని పాలో ఆల్టో నెట్వర్క్ల భాగాన్ని పూర్తి చేస్తుంది. సమాచారం ఉపయోగకరంగా ఉందని మరియు పాలో ఆల్టో నెట్వర్క్లలో ఉపయోగించిన సాంకేతికతలను రీడర్ అర్థం చేసుకున్నారని మేము ఆశిస్తున్నాము. భవిష్యత్ కథనాల కోసం అంశాలపై సెటప్ మరియు సూచనల గురించి మీకు ఏవైనా ప్రశ్నలు ఉంటే, వాటిని వ్యాఖ్యలలో వ్రాయండి, మేము సమాధానం ఇవ్వడానికి సంతోషిస్తాము.
మూలం: www.habr.com