ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN

పాలో ఆల్టో నెట్‌వర్క్స్ ఫైర్‌వాల్‌ల యొక్క అన్ని ప్రయోజనాలు ఉన్నప్పటికీ, ఈ పరికరాలను సెటప్ చేయడంపై RuNetలో చాలా మెటీరియల్ లేదు, అలాగే వాటి అమలు యొక్క అనుభవాన్ని వివరించే పాఠాలు. ఈ విక్రేత యొక్క పరికరాలతో మా పని సమయంలో మేము సేకరించిన పదార్థాలను సంగ్రహించాలని మరియు వివిధ ప్రాజెక్టుల అమలు సమయంలో మేము ఎదుర్కొన్న లక్షణాల గురించి మాట్లాడాలని మేము నిర్ణయించుకున్నాము.

పాలో ఆల్టో నెట్‌వర్క్‌లకు మిమ్మల్ని పరిచయం చేయడానికి, ఈ కథనం అత్యంత సాధారణ ఫైర్‌వాల్ సమస్యలలో ఒకదాన్ని పరిష్కరించడానికి అవసరమైన కాన్ఫిగరేషన్‌ను పరిశీలిస్తుంది - రిమోట్ యాక్సెస్ కోసం SSL VPN. మేము సాధారణ ఫైర్‌వాల్ కాన్ఫిగరేషన్, వినియోగదారు గుర్తింపు, అప్లికేషన్‌లు మరియు భద్రతా విధానాల కోసం యుటిలిటీ ఫంక్షన్‌ల గురించి కూడా మాట్లాడుతాము. పాఠకులకు ఆసక్తి కలిగించే అంశం అయితే, భవిష్యత్తులో మేము పనోరమను ఉపయోగించి సైట్-టు-సైట్ VPN, డైనమిక్ రూటింగ్ మరియు కేంద్రీకృత నిర్వహణను విశ్లేషించే మెటీరియల్‌లను విడుదల చేస్తాము.

Palo Alto Networks ఫైర్‌వాల్‌లు App-ID, User-ID, Content-IDతో సహా అనేక వినూత్న సాంకేతికతలను ఉపయోగిస్తాయి. ఈ కార్యాచరణ యొక్క ఉపయోగం అధిక స్థాయి భద్రతను నిర్ధారించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, యాప్-IDతో SSL టన్నెల్‌తో సహా ఉపయోగించిన పోర్ట్ మరియు ప్రోటోకాల్‌తో సంబంధం లేకుండా సంతకాలు, డీకోడింగ్ మరియు హ్యూరిస్టిక్స్ ఆధారంగా అప్లికేషన్ ట్రాఫిక్‌ను గుర్తించడం సాధ్యమవుతుంది. LDAP ఇంటిగ్రేషన్ ద్వారా నెట్‌వర్క్ వినియోగదారులను గుర్తించడానికి వినియోగదారు-ID మిమ్మల్ని అనుమతిస్తుంది. Content-ID ట్రాఫిక్‌ని స్కాన్ చేయడం మరియు ప్రసారం చేయబడిన ఫైల్‌లు మరియు వాటి కంటెంట్‌లను గుర్తించడం సాధ్యం చేస్తుంది. ఇతర ఫైర్‌వాల్ ఫంక్షన్‌లలో చొరబాటు రక్షణ, దుర్బలత్వాలు మరియు DoS దాడుల నుండి రక్షణ, అంతర్నిర్మిత యాంటీ-స్పైవేర్, URL ఫిల్టరింగ్, క్లస్టరింగ్ మరియు కేంద్రీకృత నిర్వహణ ఉన్నాయి.

ప్రదర్శన కోసం, మేము పరికర పేర్లు, AD డొమైన్ పేరు మరియు IP చిరునామాలను మినహాయించి, వాస్తవమైనదానికి సమానమైన కాన్ఫిగరేషన్‌తో వివిక్త స్టాండ్‌ని ఉపయోగిస్తాము. వాస్తవానికి, ప్రతిదీ మరింత క్లిష్టంగా ఉంటుంది - అనేక శాఖలు ఉండవచ్చు. ఈ సందర్భంలో, ఒకే ఫైర్‌వాల్‌కు బదులుగా, సెంట్రల్ సైట్‌ల సరిహద్దుల వద్ద క్లస్టర్ వ్యవస్థాపించబడుతుంది మరియు డైనమిక్ రూటింగ్ కూడా అవసరం కావచ్చు.

స్టాండ్‌లో ఉపయోగించబడుతుంది PAN-OS 7.1.9. సాధారణ కాన్ఫిగరేషన్‌గా, అంచున ఉన్న పాలో ఆల్టో నెట్‌వర్క్స్ ఫైర్‌వాల్‌తో నెట్‌వర్క్‌ను పరిగణించండి. ఫైర్‌వాల్ ప్రధాన కార్యాలయానికి రిమోట్ SSL VPN యాక్సెస్‌ను అందిస్తుంది. యాక్టివ్ డైరెక్టరీ డొమైన్ వినియోగదారు డేటాబేస్‌గా ఉపయోగించబడుతుంది (మూర్తి 1).

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 1 - నెట్‌వర్క్ బ్లాక్ రేఖాచిత్రం

సెటప్ దశలు:

  1. పరికర ముందస్తు కాన్ఫిగరేషన్. పేరు, నిర్వహణ IP చిరునామా, స్టాటిక్ మార్గాలు, నిర్వాహక ఖాతాలు, నిర్వహణ ప్రొఫైల్‌లను సెట్ చేస్తోంది
  2. లైసెన్స్‌లను ఇన్‌స్టాల్ చేయడం, అప్‌డేట్‌లను కాన్ఫిగర్ చేయడం మరియు ఇన్‌స్టాల్ చేయడం
  3. భద్రతా మండలాలు, నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లు, ట్రాఫిక్ విధానాలు, చిరునామా అనువాదం కాన్ఫిగర్ చేయడం
  4. LDAP ప్రమాణీకరణ ప్రొఫైల్ మరియు వినియోగదారు గుర్తింపు లక్షణాన్ని కాన్ఫిగర్ చేస్తోంది
  5. SSL VPNని సెటప్ చేస్తోంది

1. ప్రీసెట్

పాలో ఆల్టో నెట్‌వర్క్స్ ఫైర్‌వాల్‌ను కాన్ఫిగర్ చేయడానికి ప్రధాన సాధనం వెబ్ ఇంటర్‌ఫేస్; CLI ద్వారా నిర్వహణ కూడా సాధ్యమే. డిఫాల్ట్‌గా, నిర్వహణ ఇంటర్‌ఫేస్ IP చిరునామా 192.168.1.1/24కి సెట్ చేయబడింది, లాగిన్: అడ్మిన్, పాస్‌వర్డ్: అడ్మిన్.

మీరు అదే నెట్‌వర్క్ నుండి వెబ్ ఇంటర్‌ఫేస్‌కు కనెక్ట్ చేయడం ద్వారా లేదా ఆదేశాన్ని ఉపయోగించడం ద్వారా చిరునామాను మార్చవచ్చు deviceconfig సిస్టమ్ ip-address <> netmask <> సెట్ చేయండి. ఇది కాన్ఫిగరేషన్ మోడ్‌లో నిర్వహించబడుతుంది. కాన్ఫిగరేషన్ మోడ్‌కు మారడానికి, ఆదేశాన్ని ఉపయోగించండి ఆకృతీకరించుటకు. సెట్టింగులు కమాండ్ ద్వారా నిర్ధారించబడిన తర్వాత మాత్రమే ఫైర్‌వాల్‌లోని అన్ని మార్పులు జరుగుతాయి కమిట్, కమాండ్ లైన్ మోడ్‌లో మరియు వెబ్ ఇంటర్‌ఫేస్‌లో రెండూ.

వెబ్ ఇంటర్‌ఫేస్‌లో సెట్టింగ్‌లను మార్చడానికి, విభాగాన్ని ఉపయోగించండి పరికరం -> సాధారణ సెట్టింగ్‌లు మరియు పరికరం -> నిర్వహణ ఇంటర్‌ఫేస్ సెట్టింగ్‌లు. పేరు, బ్యానర్‌లు, టైమ్ జోన్ మరియు ఇతర సెట్టింగ్‌లను సాధారణ సెట్టింగ్‌ల విభాగంలో (Fig. 2) సెట్ చేయవచ్చు.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 2 - నిర్వహణ ఇంటర్ఫేస్ పారామితులు

మీరు ESXi ఎన్విరాన్‌మెంట్‌లో వర్చువల్ ఫైర్‌వాల్‌ని ఉపయోగిస్తుంటే, జనరల్ సెట్టింగ్‌ల విభాగంలో మీరు హైపర్‌వైజర్ కేటాయించిన MAC చిరునామాను ఉపయోగించడాన్ని ప్రారంభించాలి లేదా హైపర్‌వైజర్‌లోని ఫైర్‌వాల్ ఇంటర్‌ఫేస్‌లపై పేర్కొన్న MAC చిరునామాలను కాన్ఫిగర్ చేయాలి లేదా సెట్టింగ్‌లను మార్చాలి MAC చిరునామాలను మార్చడానికి వర్చువల్ స్విచ్‌లను అనుమతిస్తుంది. లేకుంటే రాకపోకలు సాగవు.

నిర్వహణ ఇంటర్‌ఫేస్ విడిగా కాన్ఫిగర్ చేయబడింది మరియు నెట్‌వర్క్ ఇంటర్‌ఫేస్‌ల జాబితాలో ప్రదర్శించబడదు. అధ్యాయంలో నిర్వహణ ఇంటర్‌ఫేస్ సెట్టింగ్‌లు నిర్వహణ ఇంటర్‌ఫేస్ కోసం డిఫాల్ట్ గేట్‌వేని పేర్కొంటుంది. ఇతర స్టాటిక్ మార్గాలు వర్చువల్ రూటర్స్ విభాగంలో కాన్ఫిగర్ చేయబడ్డాయి; ఇది తరువాత చర్చించబడుతుంది.

ఇతర ఇంటర్‌ఫేస్‌ల ద్వారా పరికరానికి ప్రాప్యతను అనుమతించడానికి, మీరు తప్పనిసరిగా నిర్వహణ ప్రొఫైల్‌ను సృష్టించాలి నిర్వహణ ప్రొఫైల్ విభాగం నెట్‌వర్క్ -> నెట్‌వర్క్ ప్రొఫైల్‌లు -> ఇంటర్‌ఫేస్ Mgmt మరియు దానిని తగిన ఇంటర్‌ఫేస్‌కు కేటాయించండి.

తరువాత, మీరు విభాగంలో DNS మరియు NTPలను కాన్ఫిగర్ చేయాలి పరికరం -> సేవలు నవీకరణలను స్వీకరించడానికి మరియు సమయాన్ని సరిగ్గా ప్రదర్శించడానికి (Fig. 3). డిఫాల్ట్‌గా, ఫైర్‌వాల్ ద్వారా ఉత్పన్నమయ్యే మొత్తం ట్రాఫిక్ నిర్వహణ ఇంటర్‌ఫేస్ IP చిరునామాను దాని మూల IP చిరునామాగా ఉపయోగిస్తుంది. విభాగంలోని ప్రతి నిర్దిష్ట సేవకు మీరు వేరే ఇంటర్‌ఫేస్‌ని కేటాయించవచ్చు సర్వీస్ రూట్ కాన్ఫిగరేషన్.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 3 - DNS, NTP మరియు సిస్టమ్ మార్గాల సేవా పారామితులు

2. లైసెన్స్‌లను ఇన్‌స్టాల్ చేయడం, అప్‌డేట్‌లను సెటప్ చేయడం మరియు ఇన్‌స్టాల్ చేయడం

అన్ని ఫైర్‌వాల్ ఫంక్షన్‌ల పూర్తి ఆపరేషన్ కోసం, మీరు తప్పనిసరిగా లైసెన్స్‌ను ఇన్‌స్టాల్ చేయాలి. మీరు పాలో ఆల్టో నెట్‌వర్క్‌ల భాగస్వాముల నుండి ట్రయల్ లైసెన్స్‌ను అభ్యర్థించడం ద్వారా దాన్ని ఉపయోగించవచ్చు. దీని చెల్లుబాటు వ్యవధి 30 రోజులు. లైసెన్స్ ఫైల్ ద్వారా లేదా Auth-Codeని ఉపయోగించి యాక్టివేట్ చేయబడుతుంది. లైసెన్స్‌లు విభాగంలో కాన్ఫిగర్ చేయబడ్డాయి పరికరం -> లైసెన్స్‌లు (అత్తి 4).
లైసెన్స్‌ను ఇన్‌స్టాల్ చేసిన తర్వాత, మీరు విభాగంలో నవీకరణల ఇన్‌స్టాలేషన్‌ను కాన్ఫిగర్ చేయాలి పరికరం -> డైనమిక్ నవీకరణలు.
విభాగం పరికరం -> సాఫ్ట్‌వేర్ మీరు PAN-OS యొక్క కొత్త వెర్షన్‌లను డౌన్‌లోడ్ చేసి, ఇన్‌స్టాల్ చేసుకోవచ్చు.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 4 - లైసెన్స్ నియంత్రణ ప్యానెల్

3. భద్రతా మండలాలు, నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లు, ట్రాఫిక్ విధానాలు, చిరునామా అనువాదం కాన్ఫిగర్ చేయడం

పాలో ఆల్టో నెట్‌వర్క్స్ ఫైర్‌వాల్‌లు నెట్‌వర్క్ నియమాలను కాన్ఫిగర్ చేసేటప్పుడు జోన్ లాజిక్‌ను ఉపయోగిస్తాయి. నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లు నిర్దిష్ట జోన్‌కు కేటాయించబడతాయి మరియు ఈ జోన్ ట్రాఫిక్ నియమాలలో ఉపయోగించబడుతుంది. ఈ విధానం భవిష్యత్తులో, ఇంటర్‌ఫేస్ సెట్టింగ్‌లను మార్చేటప్పుడు, ట్రాఫిక్ నియమాలను మార్చకుండా, తగిన జోన్‌లకు అవసరమైన ఇంటర్‌ఫేస్‌లను తిరిగి కేటాయించడానికి అనుమతిస్తుంది. డిఫాల్ట్‌గా, జోన్‌లో ట్రాఫిక్ అనుమతించబడుతుంది, జోన్‌ల మధ్య ట్రాఫిక్ నిషేధించబడింది, ముందే నిర్వచించిన నియమాలు దీనికి బాధ్యత వహిస్తాయి ఇంట్రాజోన్-డిఫాల్ట్ и ఇంటర్జోన్-డిఫాల్ట్.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 5 - భద్రతా మండలాలు

ఈ ఉదాహరణలో, అంతర్గత నెట్‌వర్క్‌లోని ఇంటర్‌ఫేస్ జోన్‌కు కేటాయించబడుతుంది అంతర్గత, మరియు ఇంటర్నెట్‌ను ఎదుర్కొంటున్న ఇంటర్‌ఫేస్ జోన్‌కు కేటాయించబడింది బాహ్య. SSL VPN కోసం, ఒక టన్నెల్ ఇంటర్‌ఫేస్ సృష్టించబడింది మరియు జోన్‌కు కేటాయించబడింది VPN (అత్తి 5).

పాలో ఆల్టో నెట్‌వర్క్‌ల ఫైర్‌వాల్ నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లు ఐదు వేర్వేరు మోడ్‌లలో పనిచేయగలవు:

  • కుళాయి - పర్యవేక్షణ మరియు విశ్లేషణ ప్రయోజనాల కోసం ట్రాఫిక్‌ని సేకరించడానికి ఉపయోగిస్తారు
  • HA - క్లస్టర్ ఆపరేషన్ కోసం ఉపయోగించబడుతుంది
  • వర్చువల్ వైర్ - ఈ మోడ్‌లో, పాలో ఆల్టో నెట్‌వర్క్‌లు రెండు ఇంటర్‌ఫేస్‌లను మిళితం చేస్తాయి మరియు MAC మరియు IP చిరునామాలను మార్చకుండా వాటి మధ్య ట్రాఫిక్‌ను పారదర్శకంగా పాస్ చేస్తుంది.
  • లేయర్ 2 - స్విచ్ మోడ్
  • లేయర్ 3 - రూటర్ మోడ్

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 6 - ఇంటర్ఫేస్ ఆపరేటింగ్ మోడ్ను సెట్ చేస్తోంది

ఈ ఉదాహరణలో, Layer3 మోడ్ ఉపయోగించబడుతుంది (Fig. 6). నెట్‌వర్క్ ఇంటర్‌ఫేస్ పారామితులు IP చిరునామా, ఆపరేటింగ్ మోడ్ మరియు సంబంధిత సెక్యూరిటీ జోన్‌ను సూచిస్తాయి. ఇంటర్‌ఫేస్ యొక్క ఆపరేటింగ్ మోడ్‌తో పాటు, మీరు దీన్ని తప్పనిసరిగా వర్చువల్ రూటర్ వర్చువల్ రూటర్‌కు కేటాయించాలి, ఇది పాలో ఆల్టో నెట్‌వర్క్‌లలోని VRF ఉదాహరణ యొక్క అనలాగ్. వర్చువల్ రౌటర్లు ఒకదానికొకటి వేరుచేయబడతాయి మరియు వాటి స్వంత రూటింగ్ పట్టికలు మరియు నెట్‌వర్క్ ప్రోటోకాల్ సెట్టింగ్‌లను కలిగి ఉంటాయి.

వర్చువల్ రూటర్ సెట్టింగ్‌లు స్టాటిక్ రూట్‌లు మరియు రూటింగ్ ప్రోటోకాల్ సెట్టింగ్‌లను పేర్కొంటాయి. ఈ ఉదాహరణలో, బాహ్య నెట్‌వర్క్‌లను యాక్సెస్ చేయడానికి డిఫాల్ట్ మార్గం మాత్రమే సృష్టించబడింది (Fig. 7).

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 7 - వర్చువల్ రూటర్‌ను సెటప్ చేస్తోంది

తదుపరి కాన్ఫిగరేషన్ దశ ట్రాఫిక్ విధానాలు, విభాగం విధానాలు -> భద్రత. కాన్ఫిగరేషన్ యొక్క ఉదాహరణ మూర్తి 8లో చూపబడింది. నియమాల తర్కం అన్ని ఫైర్‌వాల్‌ల మాదిరిగానే ఉంటుంది. నియమాలు పై నుండి క్రిందికి, మొదటి మ్యాచ్ వరకు తనిఖీ చేయబడతాయి. నియమాల సంక్షిప్త వివరణ:

1. వెబ్ పోర్టల్‌కి SSL VPN యాక్సెస్. రిమోట్ కనెక్షన్‌లను ప్రామాణీకరించడానికి వెబ్ పోర్టల్‌కు ప్రాప్యతను అనుమతిస్తుంది
2. VPN ట్రాఫిక్ - రిమోట్ కనెక్షన్‌లు మరియు ప్రధాన కార్యాలయం మధ్య ట్రాఫిక్‌ను అనుమతిస్తుంది
3. ప్రాథమిక ఇంటర్నెట్ - dns, ping, traceroute, ntp అప్లికేషన్‌లను అనుమతిస్తుంది. ఫైర్‌వాల్ పోర్ట్ నంబర్‌లు మరియు ప్రోటోకాల్‌ల కంటే సంతకాలు, డీకోడింగ్ మరియు హ్యూరిస్టిక్‌ల ఆధారంగా అప్లికేషన్‌లను అనుమతిస్తుంది, అందుకే సర్వీస్ విభాగం అప్లికేషన్-డిఫాల్ట్ అని చెబుతుంది. ఈ అప్లికేషన్ కోసం డిఫాల్ట్ పోర్ట్/ప్రోటోకాల్
4. వెబ్ యాక్సెస్ - అప్లికేషన్ నియంత్రణ లేకుండా HTTP మరియు HTTPS ప్రోటోకాల్‌ల ద్వారా ఇంటర్నెట్ యాక్సెస్‌ను అనుమతిస్తుంది
5,6 ఇతర ట్రాఫిక్ కోసం డిఫాల్ట్ నియమాలు.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 8 — నెట్‌వర్క్ నియమాలను ఏర్పాటు చేయడానికి ఉదాహరణ

NATని కాన్ఫిగర్ చేయడానికి, విభాగాన్ని ఉపయోగించండి విధానాలు -> NAT. NAT కాన్ఫిగరేషన్ యొక్క ఉదాహరణ మూర్తి 9లో చూపబడింది.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 9 - NAT కాన్ఫిగరేషన్ యొక్క ఉదాహరణ

అంతర్గత నుండి బాహ్యానికి ఏదైనా ట్రాఫిక్ కోసం, మీరు మూల చిరునామాను ఫైర్‌వాల్ యొక్క బాహ్య IP చిరునామాకు మార్చవచ్చు మరియు డైనమిక్ పోర్ట్ చిరునామా (PAT)ని ఉపయోగించవచ్చు.

4. LDAP అథెంటికేషన్ ప్రొఫైల్ మరియు యూజర్ ఐడెంటిఫికేషన్ ఫంక్షన్ కాన్ఫిగర్ చేయడం
SSL-VPN ద్వారా వినియోగదారులను కనెక్ట్ చేయడానికి ముందు, మీరు ప్రామాణీకరణ యంత్రాంగాన్ని కాన్ఫిగర్ చేయాలి. ఈ ఉదాహరణలో, పాలో ఆల్టో నెట్‌వర్క్స్ వెబ్ ఇంటర్‌ఫేస్ ద్వారా యాక్టివ్ డైరెక్టరీ డొమైన్ కంట్రోలర్‌కు ప్రామాణీకరణ జరుగుతుంది.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 10 - LDAP ప్రొఫైల్

ప్రామాణీకరణ పని చేయడానికి, మీరు కాన్ఫిగర్ చేయాలి LDAP ప్రొఫైల్ и ప్రమాణీకరణ ప్రొఫైల్. విభాగంలో పరికరం -> సర్వర్ ప్రొఫైల్‌లు -> LDAP (Fig. 10) మీరు డొమైన్ కంట్రోలర్ యొక్క IP చిరునామా మరియు పోర్ట్, LDAP రకం మరియు సమూహాలలో చేర్చబడిన వినియోగదారు ఖాతాను పేర్కొనాలి సర్వర్ ఆపరేటర్లు, ఈవెంట్ లాగ్ రీడర్‌లు, పంపిణీ చేయబడిన COM వినియోగదారులు. అప్పుడు విభాగంలో పరికరం -> ప్రామాణీకరణ ప్రొఫైల్ ప్రామాణీకరణ ప్రొఫైల్‌ను సృష్టించండి (Fig. 11), గతంలో సృష్టించిన దాన్ని గుర్తించండి LDAP ప్రొఫైల్ మరియు అధునాతన ట్యాబ్‌లో రిమోట్ యాక్సెస్ అనుమతించబడిన వినియోగదారుల సమూహాన్ని (Fig. 12) మేము సూచిస్తాము. మీ ప్రొఫైల్‌లోని పరామితిని గమనించడం ముఖ్యం వినియోగదారు డొమైన్, లేకుంటే సమూహ ఆధారిత ప్రమాణీకరణ పని చేయదు. ఫీల్డ్ తప్పనిసరిగా NetBIOS డొమైన్ పేరును సూచించాలి.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 11 - ప్రామాణీకరణ ప్రొఫైల్

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 12 - AD సమూహం ఎంపిక

తదుపరి దశ సెటప్ పరికరం -> వినియోగదారు గుర్తింపు. ఇక్కడ మీరు డొమైన్ కంట్రోలర్ యొక్క IP చిరునామా, కనెక్షన్ ఆధారాలను పేర్కొనాలి మరియు సెట్టింగ్‌లను కూడా కాన్ఫిగర్ చేయాలి భద్రతా లాగ్‌ని ప్రారంభించండి, సెషన్‌ను ప్రారంభించండి, ప్రోబింగ్‌ని ప్రారంభించండి (Fig. 13). అధ్యాయంలో గ్రూప్ మ్యాపింగ్ (Fig. 14) మీరు LDAPలో ఆబ్జెక్ట్‌లను గుర్తించడం కోసం పారామితులను మరియు అధికారం కోసం ఉపయోగించబడే సమూహాల జాబితాను గమనించాలి. ప్రామాణీకరణ ప్రొఫైల్‌లో వలె, ఇక్కడ మీరు వినియోగదారు డొమైన్ పరామితిని సెట్ చేయాలి.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 13 – వినియోగదారు మ్యాపింగ్ పారామితులు

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 14 - గ్రూప్ మ్యాపింగ్ పారామితులు

ఈ దశలో చివరి దశ VPN జోన్ మరియు ఆ జోన్ కోసం ఇంటర్‌ఫేస్‌ను సృష్టించడం. మీరు ఇంటర్‌ఫేస్‌లో ఎంపికను ప్రారంభించాలి వినియోగదారు గుర్తింపును ప్రారంభించండి (అత్తి 15).

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 15 - VPN జోన్‌ను సెటప్ చేయడం

5. SSL VPNని సెటప్ చేస్తోంది

SSL VPNకి కనెక్ట్ చేయడానికి ముందు, రిమోట్ వినియోగదారు తప్పనిసరిగా వెబ్ పోర్టల్‌కి వెళ్లి, గ్లోబల్ ప్రొటెక్ట్ క్లయింట్‌ను ప్రామాణీకరించి, డౌన్‌లోడ్ చేసుకోవాలి. తర్వాత, ఈ క్లయింట్ ఆధారాలను అభ్యర్థిస్తుంది మరియు కార్పొరేట్ నెట్‌వర్క్‌కి కనెక్ట్ చేస్తుంది. వెబ్ పోర్టల్ https మోడ్‌లో పనిచేస్తుంది మరియు దాని ప్రకారం, మీరు దాని కోసం ఒక ప్రమాణపత్రాన్ని ఇన్‌స్టాల్ చేయాలి. వీలైతే పబ్లిక్ సర్టిఫికేట్ ఉపయోగించండి. అప్పుడు వినియోగదారు సైట్‌లోని సర్టిఫికేట్ చెల్లనిది గురించి హెచ్చరికను అందుకోలేరు. పబ్లిక్ సర్టిఫికేట్‌ను ఉపయోగించడం సాధ్యం కాకపోతే, మీరు మీ స్వంతంగా జారీ చేయాలి, ఇది https కోసం వెబ్ పేజీలో ఉపయోగించబడుతుంది. ఇది స్వీయ సంతకం లేదా స్థానిక సర్టిఫికేట్ అధికారం ద్వారా జారీ చేయబడుతుంది. రిమోట్ కంప్యూటర్ విశ్వసనీయ రూట్ అధికారుల జాబితాలో తప్పనిసరిగా రూట్ లేదా స్వీయ సంతకం చేసిన సర్టిఫికేట్‌ను కలిగి ఉండాలి, తద్వారా వెబ్ పోర్టల్‌కు కనెక్ట్ చేస్తున్నప్పుడు వినియోగదారు లోపాన్ని స్వీకరించరు. ఈ ఉదాహరణ యాక్టివ్ డైరెక్టరీ సర్టిఫికేట్ సేవల ద్వారా జారీ చేయబడిన ప్రమాణపత్రాన్ని ఉపయోగిస్తుంది.

ప్రమాణపత్రాన్ని జారీ చేయడానికి, మీరు విభాగంలో సర్టిఫికేట్ అభ్యర్థనను సృష్టించాలి పరికరం -> సర్టిఫికేట్ నిర్వహణ -> సర్టిఫికెట్లు -> రూపొందించండి. అభ్యర్థనలో మేము సర్టిఫికేట్ పేరు మరియు వెబ్ పోర్టల్ యొక్క IP చిరునామా లేదా FQDN (Fig. 16) ను సూచిస్తాము. అభ్యర్థనను రూపొందించిన తర్వాత, డౌన్‌లోడ్ చేయండి .csr AD CS వెబ్ ఎన్‌రోల్‌మెంట్ వెబ్ ఫారమ్‌లోని సర్టిఫికేట్ అభ్యర్థన ఫీల్డ్‌లోకి ఫైల్ చేసి, దాని కంటెంట్‌లను కాపీ చేయండి. సర్టిఫికేట్ అథారిటీ ఎలా కాన్ఫిగర్ చేయబడిందనే దానిపై ఆధారపడి, సర్టిఫికేట్ అభ్యర్థన తప్పనిసరిగా ఆమోదించబడాలి మరియు జారీ చేయబడిన సర్టిఫికేట్ తప్పనిసరిగా ఫార్మాట్‌లో డౌన్‌లోడ్ చేయబడాలి Base64 ఎన్‌కోడ్ చేసిన సర్టిఫికెట్. అదనంగా, మీరు ధృవీకరణ అధికారం యొక్క రూట్ సర్టిఫికేట్‌ను డౌన్‌లోడ్ చేసుకోవాలి. అప్పుడు మీరు ఫైర్‌వాల్‌లోకి రెండు సర్టిఫికేట్‌లను దిగుమతి చేసుకోవాలి. వెబ్ పోర్టల్ కోసం సర్టిఫికెట్‌ను దిగుమతి చేస్తున్నప్పుడు, మీరు తప్పనిసరిగా పెండింగ్‌లో ఉన్న అభ్యర్థనను ఎంచుకుని, దిగుమతిని క్లిక్ చేయాలి. సర్టిఫికెట్ పేరు తప్పనిసరిగా అభ్యర్థనలో ముందుగా పేర్కొన్న పేరుతో సరిపోలాలి. రూట్ సర్టిఫికేట్ పేరు ఏకపక్షంగా పేర్కొనవచ్చు. ప్రమాణపత్రాన్ని దిగుమతి చేసిన తర్వాత, మీరు సృష్టించాలి SSL/TLS సర్వీస్ ప్రొఫైల్ విభాగం పరికరం -> సర్టిఫికేట్ నిర్వహణ. ప్రొఫైల్‌లో మేము గతంలో దిగుమతి చేసుకున్న ప్రమాణపత్రాన్ని సూచిస్తాము.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 16 - సర్టిఫికేట్ అభ్యర్థన

తదుపరి దశ వస్తువులను సెటప్ చేయడం గ్లోబల్ ప్రొటెక్ట్ గేట్‌వే и గ్లోబల్ ప్రొటెక్ట్ పోర్టల్ విభాగం నెట్‌వర్క్ -> గ్లోబల్ ప్రొటెక్ట్. సెట్టింగ్‌లలో గ్లోబల్ ప్రొటెక్ట్ గేట్‌వే ఫైర్‌వాల్ యొక్క బాహ్య IP చిరునామాను సూచించండి, అలాగే గతంలో సృష్టించబడింది SSL ప్రొఫైల్, ప్రమాణీకరణ ప్రొఫైల్, టన్నెల్ ఇంటర్‌ఫేస్ మరియు క్లయింట్ IP సెట్టింగ్‌లు. క్లయింట్‌కు చిరునామా కేటాయించబడే IP చిరునామాల పూల్‌ను మీరు పేర్కొనాలి మరియు యాక్సెస్ రూట్ - ఇవి క్లయింట్‌కు మార్గాన్ని కలిగి ఉండే సబ్‌నెట్‌లు. ఫైర్‌వాల్ ద్వారా మొత్తం యూజర్ ట్రాఫిక్‌ను చుట్టడం పని అయితే, మీరు సబ్‌నెట్ 0.0.0.0/0 (Fig. 17) ను పేర్కొనాలి.

పాలో ఆల్టో నెట్‌వర్క్‌ల సెటప్ లక్షణాలు: SSL VPN
మూర్తి 17 - IP చిరునామాలు మరియు మార్గాల పూల్‌ను కాన్ఫిగర్ చేయడం

అప్పుడు మీరు కాన్ఫిగర్ చేయాలి గ్లోబల్ ప్రొటెక్ట్ పోర్టల్. ఫైర్‌వాల్ యొక్క IP చిరునామాను పేర్కొనండి, SSL ప్రొఫైల్ и ప్రమాణీకరణ ప్రొఫైల్ మరియు క్లయింట్ కనెక్ట్ చేసే ఫైర్‌వాల్‌ల బాహ్య IP చిరునామాల జాబితా. అనేక ఫైర్‌వాల్‌లు ఉంటే, మీరు ప్రతిదానికి ప్రాధాన్యతని సెట్ చేయవచ్చు, దీని ప్రకారం వినియోగదారులు కనెక్ట్ చేయడానికి ఫైర్‌వాల్‌ను ఎంచుకుంటారు.

విభాగం పరికరం -> GlobalProtect క్లయింట్ మీరు పాలో ఆల్టో నెట్‌వర్క్‌ల సర్వర్‌ల నుండి VPN క్లయింట్ పంపిణీని డౌన్‌లోడ్ చేసుకోవాలి మరియు దానిని సక్రియం చేయాలి. కనెక్ట్ చేయడానికి, వినియోగదారు తప్పనిసరిగా పోర్టల్ వెబ్ పేజీకి వెళ్లాలి, అక్కడ అతను డౌన్‌లోడ్ చేయమని అడగబడతాడు గ్లోబల్ ప్రొటెక్ట్ క్లయింట్. డౌన్‌లోడ్ చేసి, ఇన్‌స్టాల్ చేసిన తర్వాత, మీరు మీ ఆధారాలను నమోదు చేయవచ్చు మరియు SSL VPN ద్వారా మీ కార్పొరేట్ నెట్‌వర్క్‌కి కనెక్ట్ చేయవచ్చు.

తీర్మానం

ఇది సెటప్‌లోని పాలో ఆల్టో నెట్‌వర్క్‌ల భాగాన్ని పూర్తి చేస్తుంది. సమాచారం ఉపయోగకరంగా ఉందని మరియు పాలో ఆల్టో నెట్‌వర్క్‌లలో ఉపయోగించిన సాంకేతికతలను రీడర్ అర్థం చేసుకున్నారని మేము ఆశిస్తున్నాము. భవిష్యత్ కథనాల కోసం అంశాలపై సెటప్ మరియు సూచనల గురించి మీకు ఏవైనా ప్రశ్నలు ఉంటే, వాటిని వ్యాఖ్యలలో వ్రాయండి, మేము సమాధానం ఇవ్వడానికి సంతోషిస్తాము.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి