Сарфи назар аз тамоми бартариҳои брандмауэрҳои Palo Alto Networks, дар RuNet оид ба таъсиси ин дастгоҳҳо маводи зиёде мавҷуд нест, инчунин матнҳое, ки таҷрибаи татбиқи онҳоро тавсиф мекунанд. Мо тасмим гирифтем, ки маводҳоеро, ки дар давоми кор бо таҷҳизоти ин фурӯшанда ҷамъ овардаем, ҷамъбаст кунем ва дар бораи хусусиятҳое, ки ҳангоми татбиқи лоиҳаҳои гуногун дучор шудаем, сӯҳбат кунем.
Барои муаррифии шумо бо Palo Alto Networks, ин мақола конфигуратсияеро, ки барои ҳалли яке аз мушкилоти маъмултарини брандмауэр лозим аст - SSL VPN барои дастрасии дурдаст дида мебарояд. Мо инчунин дар бораи функсияҳои коммуналӣ барои конфигуратсияи умумии брандмауэр, мушаххаскунии корбар, барномаҳо ва сиёсатҳои амниятӣ сӯҳбат хоҳем кард. Агар мавзӯъ ба хонандагон таваҷҷӯҳ дошта бошад, дар оянда мо маводҳоеро нашр хоҳем кард, ки VPN-и Сайт ба Сайт, масири динамикӣ ва идоракунии мутамарказро бо истифода аз Panorama таҳлил мекунанд.
Сипар деворҳои Palo Alto Networks як қатор технологияҳои инноватсионӣ, аз ҷумла App-ID, User-ID, Content-ID-ро истифода мебаранд. Истифодаи ин функсия ба шумо имкон медиҳад, ки сатҳи баланди амниятро таъмин кунед. Масалан, бо App-ID мумкин аст трафики барномаро дар асоси имзоҳо, рамзкушоӣ ва эвристика, новобаста аз порт ва протоколи истифодашуда, аз ҷумла дар дохили нақби SSL муайян кард. User-ID ба шумо имкон медиҳад, ки корбарони шабакаро тавассути ҳамгироии LDAP муайян кунед. Content-ID имкон медиҳад, ки трафикро скан карда, файлҳои интиқолшуда ва мундариҷаи онҳоро муайян кунад. Дигар вазифаҳои брандмауэр аз муҳофизат аз ҳамла, муҳофизат аз осебпазириҳо ва ҳамлаҳои DoS, зидди ҷосусии дарунсохт, филтркунии URL, кластерсозӣ ва идоракунии мутамарказ иборатанд.
Барои намоиш, мо стенди ҷудогонаеро истифода хоҳем бурд, ки конфигуратсияаш ба конфигуратсияи воқеӣ шабеҳ аст, ба истиснои номҳои дастгоҳ, номи домени AD ва суроғаҳои IP. Дар асл, ҳама чиз мураккабтар аст - метавонад бисёр шохаҳо бошад. Дар ин ҳолат, ба ҷои як девори ягона, дар сарҳадҳои сайтҳои марказӣ кластер насб карда мешавад ва инчунин метавонад масири динамикӣ талаб карда шавад.
Дар стенд истифода мешавад PAN-OS 7.1.9. Ҳамчун конфигуратсияи маъмулӣ, шабакаро бо девори Palo Alto Networks дар канори он баррасӣ кунед. Сипар дастрасии дурдасти SSL VPN-ро ба идораи марказӣ таъмин мекунад. Домени Active Directory ҳамчун пойгоҳи додаҳои корбарон истифода мешавад (Расми 1).
Расми 1 – Диаграммаи блоки шабака
Қадамҳои насб:
- Конфигуратсияи пешакии дастгоҳ. Муқаррар кардани ном, суроғаи IP-и идоракунӣ, масирҳои статикӣ, ҳисобҳои администратор, профилҳои идоракунӣ
- Насб кардани иҷозатномаҳо, танзим ва насб кардани навсозиҳо
- Танзими минтақаҳои амниятӣ, интерфейсҳои шабакавӣ, сиёсати трафик, тарҷумаи суроғаҳо
- Танзими профили аутентификатсияи LDAP ва хусусияти мушаххаси корбар
- Насб кардани SSL VPN
1. Пешакӣ
Воситаи асосӣ барои танзими девори Palo Alto Networks интерфейси веб мебошад; идоракунӣ тавассути CLI низ имконпазир аст. Бо нобаёнӣ, интерфейси идоракунӣ ба суроғаи IP 192.168.1.1/24, логин: admin, гузарвожа: admin гузошта шудааст.
Шумо метавонед суроғаро тавассути пайвастшавӣ ба веб-интерфейс аз ҳамон шабака ё бо истифода аз фармон иваз кунед насб кардани дастгоҳ конфигуратсияи системаи ip-адрес <> ниқоби шабака <>. Он дар реҷаи конфигуратсия иҷро карда мешавад. Барои гузаштан ба ҳолати конфигуратсия, фармонро истифода баред танзим кунед. Ҳама тағиротҳо дар брандмауэр танҳо пас аз тасдиқи танзимот бо фармон ба амал меоянд содир кардан, ҳам дар ҳолати сатри фармон ва ҳам дар интерфейси веб.
Барои тағир додани танзимот дар интерфейси веб, қисматро истифода баред Дастгоҳ -> Танзимоти умумӣ ва Дастгоҳ -> Танзимоти интерфейси идоракунӣ. Ном, баннерҳо, минтақаи вақт ва дигар танзимотро дар бахши Танзимоти умумӣ муқаррар кардан мумкин аст (расми 2).
Тасвири 2 - Параметрҳои интерфейси идоракунӣ
Агар шумо девори виртуалиро дар муҳити ESXi истифода баред, дар бахши Танзимоти умумӣ ба шумо лозим аст, ки истифодаи суроғаи MAC-ро, ки гипервизор таъин кардааст, фаъол созед ё суроғаҳои MAC-ро, ки дар интерфейсҳои брандмауэр дар гипервизор нишон дода шудаанд, танзим кунед ё танзимоти коммутаторҳои маҷозӣ имкон медиҳад, ки MAC суроғаҳоро тағир диҳад. Дар акси ҳол, нақлиёт аз он намегузарад.
Интерфейси идоракунӣ алоҳида танзим карда мешавад ва дар рӯйхати интерфейсҳои шабакавӣ намоиш дода намешавад. Дар боб Танзимоти интерфейси идоракунӣ дарвозаи пешфарзро барои интерфейси идоракунӣ муайян мекунад. Дигар масирҳои статикӣ дар қисмати роутерҳои виртуалӣ танзим карда мешаванд; ин баъдтар баррасӣ хоҳад шуд.
Барои иҷозат додан ба дастгоҳ тавассути интерфейсҳои дигар, шумо бояд профили идоракуниро эҷод кунед Профили идоракунӣ фасли Шабака -> Профилҳои шабака -> Интерфейси Mgmt ва онро ба интерфейси мувофиқ таъин кунед.
Баъдан, шумо бояд DNS ва NTP-ро дар бахш танзим кунед Дастгоҳ -> Хидматҳо барои гирифтани навсозиҳо ва дуруст нишон додани вақт (расми 3). Бо нобаёнӣ, тамоми трафики аз ҷониби брандмауэр тавлидшуда суроғаи IP-и интерфейси идоракуниро ҳамчун суроғаи IP-и манбаи худ истифода мебарад. Шумо метавонед интерфейси гуногунро барои ҳар як хидмати мушаххас дар бахш таъин кунед Конфигуратсияи масири хидматрасонӣ.
Тасвири 3 – Параметрҳои хидматрасонии DNS, NTP ва масирҳои система
2. Насби иҷозатномаҳо, насб ва насби навсозиҳо
Барои кори пурраи ҳамаи функсияҳои девор, шумо бояд иҷозатнома насб кунед. Шумо метавонед литсензияи озмоиширо тавассути дархости он аз шарикони Palo Alto Networks истифода баред. Мӯҳлати амали он 30 рӯз аст. Иҷозатнома ё тавассути файл ё бо истифода аз Auth-Code фаъол карда мешавад. Литсензияҳо дар бахш танзим карда мешаванд Дастгоҳ -> Литсензияҳо (расми 4).
Пас аз насб кардани иҷозатнома, шумо бояд насби навсозиро дар қисмат танзим кунед Дастгоҳ -> Навсозиҳои динамикӣ.
фасли Дастгоҳ -> Нармафзор шумо метавонед версияҳои нави PAN-OS-ро зеркашӣ ва насб кунед.
Расми 4 - Панели идоракунии иҷозатнома
3. Танзими минтақаҳои амниятӣ, интерфейсҳои шабакавӣ, сиёсати трафик, тарҷумаи суроғаҳо
Сипар деворҳои Palo Alto Networks ҳангоми танзими қоидаҳои шабака мантиқи минтақаро истифода мебаранд. Интерфейсҳои шабакавӣ ба як минтақаи мушаххас таъин карда мешаванд ва ин минтақа дар қоидаҳои ҳаракат истифода мешавад. Ин равиш имкон медиҳад, ки дар оянда ҳангоми тағир додани танзимоти интерфейс қоидаҳои ҳаракатро тағир надиҳанд, балки ба ҷои он интерфейсҳои заруриро ба минтақаҳои мувофиқ дубора таъин кунанд. Бо нобаёнӣ, ҳаракат дар дохили минтақа иҷозат дода мешавад, ҳаракат дар байни минтақаҳо манъ аст, қоидаҳои пешакӣ муайяншуда барои ин масъуланд intrazone - пешфарз и байниминтақавӣ - пешфарз.
Расми 5 – Минтақаҳои бехатарӣ
Дар ин мисол, интерфейси шабакаи дохилӣ ба минтақа таъин карда шудааст дохилӣ, ва интерфейси рӯ ба Интернет ба минтақа таъин карда мешавад берунӣ. Барои SSL VPN, интерфейси нақб сохта шудааст ва ба минтақа таъин шудааст VPN (расми 5).
Интерфейсҳои шабакаи девории Palo Alto Networks метавонанд дар панҷ намуди гуногун кор кунанд:
- Нишон диҳед - барои ҷамъоварии трафик барои мониторинг ва таҳлил истифода мешавад
- HA – барои амалиёти кластер истифода мешавад
- Сими виртуалӣ - дар ин режим, Palo Alto Networks ду интерфейсро муттаҳид мекунад ва трафикро байни онҳо бидуни тағир додани суроғаҳои MAC ва IP ба таври шаффоф мегузарад.
- Қабати2 - ҳолати гузариш
- Қабати3 - ҳолати роутер
Расми 6 – Муқаррар кардани реҷаи кори интерфейс
Дар ин мисол режими Layer3 истифода мешавад (расми 6). Параметрҳои интерфейси шабака суроғаи IP, ҳолати корӣ ва минтақаи амнияти мувофиқро нишон медиҳанд. Илова ба реҷаи кори интерфейс, шумо бояд онро ба роутери виртуалии Virtual Router таъин кунед, ин як аналоги намунаи VRF дар Palo Alto Networks мебошад. Роутерҳои виртуалӣ аз ҳамдигар ҷудо шудаанд ва ҷадвалҳои масир ва танзимоти протоколи шабакавии худро доранд.
Танзимоти роутери виртуалӣ хатсайрҳои статикӣ ва танзимоти протоколи масирро муайян мекунанд. Дар ин мисол танҳо як масири пешфарз барои дастрасӣ ба шабакаҳои беруна сохта шудааст (расми 7).
Расми 7 – Насб кардани роутери виртуалӣ
Марҳилаи навбатии конфигуратсия сиёсати трафик, бахш аст Сиёсат -> Амният. Намунаи конфигуратсия дар расми 8 нишон дода шудааст. Мантиқи қоидаҳо ҳамон тавре, ки барои ҳама деворҳои деворҳо монанд аст. Қоидаҳо аз боло то поён, то бозии аввал тафтиш карда мешаванд. Тавсифи мухтасари қоидаҳо:
1. Дастрасии SSL VPN ба веб-портал. Имкон медиҳад дастрасӣ ба веб-портал барои тасдиқи пайвастҳои дурдаст
2. Трафики VPN – имкон медиҳад трафик байни пайвастҳои дурдаст ва идораи марказӣ
3. Интернети асосӣ – имкон додани барномаҳои dns, ping, traceroute, ntp. Сипар имкон медиҳад, ки барномаҳо дар асоси имзоҳо, рамзкушоӣ ва эвристика на рақамҳои портҳо ва протоколҳо бошанд, аз ин рӯ бахши Хизматрасонӣ мегӯяд, барнома-пешфарз. Порт/протоколи пешфарз барои ин барнома
4. Дастрасӣ ба веб – иҷозаи дастрасӣ ба Интернет тавассути протоколҳои HTTP ва HTTPS бидуни назорати барнома
5,6. Қоидаҳои пешфарз барои трафики дигар.
Расми 8 - Намунаи муқаррар кардани қоидаҳои шабака
Барои танзим кардани NAT, қисматро истифода баред Сиёсат -> NAT. Намунаи конфигуратсияи NAT дар расми 9 нишон дода шудааст.
Расми 9 – Намунаи конфигуратсияи NAT
Барои ҳама гуна трафик аз дохилӣ ба берунӣ, шумо метавонед суроғаи манбаъро ба суроғаи IP-и берунаи брандмауэр иваз кунед ва суроғаи порти динамикӣ (PAT) истифода баред.
4. Танзими профили аутентификатсияи LDAP ва функсияи мушаххаси корбар
Пеш аз пайваст кардани корбарон тавассути SSL-VPN, шумо бояд механизми аутентификатсияро танзим кунед. Дар ин мисол, аутентификатсия ба контролери домени Active Directory тавассути интерфейси веби Palo Alto Networks сурат мегирад.
Расми 10 – Профили LDAP
Барои кор кардани аутентификатсия, шумо бояд танзим кунед Профили LDAP и Профили тасдиқи... Дар боб Дастгоҳ -> Профилҳои сервер -> LDAP (Расми 10) ба шумо лозим аст, ки суроғаи IP ва порти контролери домен, навъи LDAP ва ҳисоби корбариро, ки ба гурӯҳҳо дохил мешаванд, муайян кунед. Операторҳои сервер, Хонандагони гузориши рӯйдодҳо, Корбарони тақсимшудаи COM. Баъд дар бахш Дастгоҳ -> Профили аутентификатсия профили аутентификатсия эҷод кунед (расми 11), профили қаблан сохташударо қайд кунед Профили LDAP ва дар ҷадвали Advanced мо гурӯҳи корбаронро нишон медиҳем (расми 12), ки дастрасии дурдаст иҷозат дода шудааст. Муҳим аст, ки параметрро дар профили худ қайд кунед Домени корбар, дар акси ҳол иҷозати гурӯҳӣ кор намекунад. Майдон бояд номи домени NetBIOS-ро нишон диҳад.
Расми 11 – Профили аутентификатсия
Расми 12 – Интихоби гурӯҳи AD
Марҳилаи навбатӣ танзим аст Дастгоҳ -> Идентификатсияи корбар. Дар ин ҷо шумо бояд суроғаи IP-и нозири домен, маълумотҳои пайвастшавӣ ва инчунин танзимотро танзим кунед Сабти амниятро фаъол созед, Сеансро фаъол созед, Санҷишро фаъол созед (расми 13). Дар боб Харитасозии гурӯҳ (Расми 14) шумо бояд параметрҳои муайянкунии объектҳоро дар LDAP ва рӯйхати гурӯҳҳоеро, ки барои иҷозатдиҳӣ истифода мешаванд, қайд кунед. Мисли профили аутентификатсия, дар ин ҷо шумо бояд параметри домени корбарро таъин кунед.
Тасвири 13 - Параметрҳои харитасозии корбар
Расми 14 – Параметрҳои харитасозии гурӯҳ
Қадами охирин дар ин марҳила эҷоди минтақаи VPN ва интерфейси он минтақа мебошад. Шумо бояд интихобро дар интерфейс фаъол созед Идентификатсияи корбарро фаъол созед (расми 15).
Тасвири 15 – Танзими минтақаи VPN
5. Танзими SSL VPN
Пеш аз пайваст шудан ба SSL VPN, корбари дурдаст бояд ба веб-портал равад, мизоҷи Global Protect-ро тасдиқ кунад ва зеркашӣ кунад. Баъдан, ин муштарӣ маълумоти эътимоднома дархост мекунад ва ба шабакаи корпоративӣ пайваст мешавад. Веб-портал дар реҷаи https кор мекунад ва мувофиқан шумо бояд барои он сертификат насб кунед. Агар имконпазир бошад, шаҳодатномаи ҷамъиятиро истифода баред. Он гоҳ корбар дар бораи беэътибор будани сертификат дар сайт огоҳӣ нахоҳад гирифт. Агар истифодаи сертификати ҷамъиятӣ ғайриимкон бошад, пас шумо бояд худатонро пешниҳод кунед, ки он дар саҳифаи интернетии https истифода мешавад. Он метавонад худаш имзо карда шавад ё тавассути мақомоти маҳаллии сертификатсия дода шавад. Компютери дурдаст бояд дар рӯйхати мақомоти боэътимоди реша сертификати решавӣ ё худ имзошуда дошта бошад, то корбар ҳангоми пайвастшавӣ ба веб-портал хатогие нагирад. Ин мисол сертификатеро истифода мебарад, ки тавассути Сертификати Сертификати Active Directory дода шудааст.
Барои додани сертификат, шумо бояд дар бахш дархости сертификат эҷод кунед Дастгоҳ -> Идоракунии сертификатҳо -> Шаҳодатномаҳо -> Эҷод. Дар дархост мо номи сертификат ва суроғаи IP ё FQDN-и веб-порталро нишон медиҳем (расми 16). Пас аз тавлиди дархост, зеркашӣ кунед .csr файл ва мундариҷаи онро ба майдони дархости сертификат дар шакли веби AD CS Enrollment Web нусхабардорӣ кунед. Вобаста аз он, ки мақомоти сертификатсия чӣ гуна танзим карда шудааст, дархости сертификат бояд тасдиқ карда шавад ва сертификати додашуда бояд дар формат зеркашӣ карда шавад. Шаҳодатномаи рамзгузоришудаи Base64. Илова бар ин, шумо бояд шаҳодатномаи решаи мақомоти сертификатсияро зеркашӣ кунед. Пас шумо бояд ҳарду сертификатро ба брандмауэр ворид кунед. Ҳангоми ворид кардани сертификат барои портали веб, шумо бояд дархостро дар ҳолати интизорӣ интихоб кунед ва воридотро клик кунед. Номи сертификат бояд ба номе, ки қаблан дар дархост зикр шудааст, мувофиқ бошад. Номи сертификати решавӣ метавонад ба таври худсарона муайян карда шавад. Пас аз ворид кардани сертификат, шумо бояд эҷод кунед Профили хидмати SSL/TLS фасли Дастгоҳ -> Идоракунии сертификатҳо. Дар профил мо шаҳодатномаи қаблан воридшударо нишон медиҳем.
Расми 16 – Дархост барои сертификат
Қадами навбатӣ насб кардани объектҳо мебошад Gateway Global Protect и Портали Global Protect фасли Шабака -> Муҳофизати глобалӣ. Дар танзимот Gateway Global Protect нишон додани суроғаи IP-и берунии девор, инчунин қаблан сохташуда Профили SSL, Профили тасдиқи, интерфейси нақб ва танзимоти IP муштарӣ. Шумо бояд ҳавзи суроғаҳои IP-ро, ки аз онҳо суроға ба муштарӣ таъин карда мешавад, муайян кунед ва Роҳи дастрасӣ - ин зершабакаҳое мебошанд, ки муштарӣ ба онҳо масир хоҳад дошт. Агар вазифа аз он иборат бошад, ки тамоми трафики корбар тавассути брандмауэр гузарад, пас шумо бояд зершабакаи 0.0.0.0/0-ро муайян кунед (расми 17).
Расми 17 – Танзими ҳавзи суроғаҳои IP ва масирҳо
Пас шумо бояд танзим кунед Портали Global Protect. Суроғаи IP-и деворро муайян кунед, Профили SSL и Профили тасдиқи ва рӯйхати суроғаҳои IP-и берунаи деворҳо, ки муштарӣ ба онҳо пайваст мешавад. Агар якчанд деворҳо вуҷуд дошта бошанд, шумо метавонед барои ҳар як афзалият муқаррар кунед, ки мувофиқи он корбарон барои пайвастшавӣ ба девор интихоб мекунанд.
фасли Дастгоҳ -> Client GlobalProtect шумо бояд тақсимоти муштарии VPN-ро аз серверҳои Palo Alto Networks зеркашӣ кунед ва онро фаъол созед. Барои пайваст шудан, корбар бояд ба саҳифаи веби портал равад, ки дар он ҷо аз ӯ дархост карда мешавад, ки зеркашӣ кунад Мизоҷи GlobalProtect. Пас аз зеркашӣ ва насб, шумо метавонед эътимодномаи худро ворид кунед ва тавассути SSL VPN ба шабакаи корпоративии худ пайваст шавед.
хулоса
Ин қисми шабакаҳои Palo Alto-ро ба анҷом мерасонад. Мо умедворем, ки иттилоот муфид буд ва хонанда дар бораи технологияҳои дар Palo Alto Networks истифодашаванда фаҳмиш пайдо кард. Агар шумо дар бораи танзимот ва пешниҳодҳо оид ба мавзӯъҳои мақолаҳои оянда савол дошта бошед, онҳоро дар шарҳҳо нависед, мо бо омодагӣ ҷавоб медиҳем.
Манбаъ: will.com