แม้จะมีข้อดีทั้งหมดของไฟร์วอลล์ Palo Alto Networks แต่ก็มีข้อมูลไม่มากนักในการตั้งค่าอุปกรณ์เหล่านี้ใน RuNet รวมถึงข้อความที่อธิบายประสบการณ์การใช้งาน เราตัดสินใจสรุปวัสดุที่เราสะสมระหว่างการทำงานกับอุปกรณ์ของผู้จำหน่ายรายนี้ และพูดคุยเกี่ยวกับคุณสมบัติที่เราพบระหว่างการดำเนินโครงการต่างๆ
เพื่อแนะนำให้คุณรู้จักกับ Palo Alto Networks บทความนี้จะพิจารณาการกำหนดค่าที่จำเป็นในการแก้ปัญหาไฟร์วอลล์ที่พบบ่อยที่สุดข้อหนึ่ง - SSL VPN สำหรับการเข้าถึงระยะไกล นอกจากนี้เรายังจะพูดถึงฟังก์ชันยูทิลิตี้สำหรับการกำหนดค่าไฟร์วอลล์ทั่วไป การระบุตัวตนผู้ใช้ แอปพลิเคชัน และนโยบายความปลอดภัย หากหัวข้อนี้เป็นที่สนใจของผู้อ่าน ในอนาคตเราจะเผยแพร่เนื้อหาเกี่ยวกับการวิเคราะห์ Site-to-Site VPN การกำหนดเส้นทางแบบไดนามิก และการจัดการแบบรวมศูนย์โดยใช้พาโนรามา
ไฟร์วอลล์ของ Palo Alto Networks ใช้เทคโนโลยีที่เป็นนวัตกรรมจำนวนหนึ่ง รวมถึง App-ID, User-ID, Content-ID การใช้ฟังก์ชันนี้ช่วยให้คุณมั่นใจในความปลอดภัยระดับสูง ตัวอย่างเช่น ด้วย App-ID คุณสามารถระบุการรับส่งข้อมูลแอปพลิเคชันตามลายเซ็น การถอดรหัส และการศึกษาพฤติกรรม โดยไม่คำนึงถึงพอร์ตและโปรโตคอลที่ใช้ รวมถึงภายในอุโมงค์ SSL User-ID ช่วยให้คุณระบุผู้ใช้เครือข่ายผ่านการผสานรวม LDAP Content-ID ช่วยให้สามารถสแกนการรับส่งข้อมูลและระบุไฟล์ที่ส่งและเนื้อหาได้ ฟังก์ชันไฟร์วอลล์อื่นๆ ได้แก่ การป้องกันการบุกรุก การป้องกันช่องโหว่และการโจมตี DoS โปรแกรมป้องกันสปายแวร์ในตัว การกรอง URL การแบ่งกลุ่ม และการจัดการแบบรวมศูนย์
สำหรับการสาธิต เราจะใช้ขาตั้งแบบแยกส่วน โดยมีการกำหนดค่าเหมือนกับของจริง ยกเว้นชื่ออุปกรณ์ ชื่อโดเมน AD และที่อยู่ IP ในความเป็นจริงทุกอย่างซับซ้อนกว่า - สามารถมีได้หลายสาขา ในกรณีนี้ แทนที่จะติดตั้งไฟร์วอลล์ตัวเดียว คลัสเตอร์จะถูกติดตั้งที่ขอบของไซต์ส่วนกลาง และอาจจำเป็นต้องมีการกำหนดเส้นทางแบบไดนามิกด้วย
ใช้งานบนขาตั้ง แพน-โอเอส 7.1.9. ตามการกำหนดค่าทั่วไป ให้พิจารณาเครือข่ายที่มีไฟร์วอลล์ Palo Alto Networks ที่ Edge ไฟร์วอลล์ให้การเข้าถึง SSL VPN ระยะไกลไปยังสำนักงานใหญ่ โดเมน Active Directory จะถูกใช้เป็นฐานข้อมูลผู้ใช้ (รูปที่ 1)
รูปที่ 1 - แผนภาพบล็อกเครือข่าย
ขั้นตอนการตั้งค่า:
- การกำหนดค่าอุปกรณ์ล่วงหน้า การตั้งชื่อ, ที่อยู่ IP การจัดการ, เส้นทางแบบคงที่, บัญชีผู้ดูแลระบบ, โปรไฟล์การจัดการ
- การติดตั้งใบอนุญาต การกำหนดค่า และการติดตั้งการอัปเดต
- การกำหนดค่าโซนความปลอดภัย อินเทอร์เฟซเครือข่าย นโยบายการรับส่งข้อมูล การแปลที่อยู่
- การกำหนดค่าโปรไฟล์การตรวจสอบสิทธิ์ LDAP และคุณสมบัติการระบุผู้ใช้
- การตั้งค่า SSL VPN
1. ตั้งค่าล่วงหน้า
เครื่องมือหลักในการกำหนดค่าไฟร์วอลล์ Palo Alto Networks คือเว็บอินเตอร์เฟส การจัดการผ่าน CLI ก็สามารถทำได้เช่นกัน ตามค่าเริ่มต้น อินเทอร์เฟซการจัดการจะถูกตั้งค่าเป็นที่อยู่ IP 192.168.1.1/24 เข้าสู่ระบบ: ผู้ดูแลระบบ รหัสผ่าน: ผู้ดูแลระบบ
คุณสามารถเปลี่ยนที่อยู่ได้โดยเชื่อมต่อกับเว็บอินเตอร์เฟสจากเครือข่ายเดียวกันหรือใช้คำสั่ง ตั้งค่าที่อยู่ IP ของระบบ Deviceconfig <> netmask <>. จะดำเนินการในโหมดการกำหนดค่า หากต้องการเปลี่ยนเป็นโหมดการกำหนดค่าให้ใช้คำสั่ง กำหนดค่า. การเปลี่ยนแปลงทั้งหมดในไฟร์วอลล์จะเกิดขึ้นหลังจากคำสั่งยืนยันการตั้งค่าแล้วเท่านั้น ผูกมัดทั้งในโหมดบรรทัดคำสั่งและในเว็บอินเตอร์เฟส
หากต้องการเปลี่ยนการตั้งค่าในเว็บอินเตอร์เฟส ให้ใช้ส่วนนี้ อุปกรณ์ -> การตั้งค่าทั่วไป และอุปกรณ์ -> การตั้งค่าอินเทอร์เฟซการจัดการ ชื่อ แบนเนอร์ โซนเวลา และการตั้งค่าอื่นๆ สามารถตั้งค่าได้ในส่วนการตั้งค่าทั่วไป (รูปที่ 2)
รูปที่ 2 – พารามิเตอร์อินเทอร์เฟซการจัดการ
หากคุณใช้ไฟร์วอลล์เสมือนในสภาพแวดล้อม ESXi ในส่วนการตั้งค่าทั่วไป คุณจะต้องเปิดใช้งานการใช้ที่อยู่ MAC ที่กำหนดโดยไฮเปอร์ไวเซอร์ หรือกำหนดค่าที่อยู่ MAC ที่ระบุบนอินเทอร์เฟซไฟร์วอลล์บนไฮเปอร์ไวเซอร์ หรือเปลี่ยนการตั้งค่าของ สวิตช์เสมือนเพื่ออนุญาตให้เปลี่ยนที่อยู่ MAC มิฉะนั้นการจราจรจะไม่ผ่าน
อินเทอร์เฟซการจัดการได้รับการกำหนดค่าแยกต่างหากและจะไม่แสดงอยู่ในรายการอินเทอร์เฟซเครือข่าย ในบทที่ การตั้งค่าอินเทอร์เฟซการจัดการ ระบุเกตเวย์เริ่มต้นสำหรับอินเทอร์เฟซการจัดการ เส้นทางคงที่อื่นๆ ได้รับการกำหนดค่าในส่วนเราเตอร์เสมือน ซึ่งจะกล่าวถึงในภายหลัง
หากต้องการอนุญาตการเข้าถึงอุปกรณ์ผ่านอินเทอร์เฟซอื่น คุณต้องสร้างโปรไฟล์การจัดการ โปรไฟล์การจัดการ ส่วน เครือข่าย -> โปรไฟล์เครือข่าย -> การจัดการอินเทอร์เฟซ และกำหนดให้กับอินเทอร์เฟซที่เหมาะสม
ถัดไปคุณต้องกำหนดค่า DNS และ NTP ในส่วนนี้ อุปกรณ์ -> บริการ เพื่อรับการอัพเดตและแสดงเวลาได้อย่างถูกต้อง (รูปที่ 3) ตามค่าเริ่มต้น การรับส่งข้อมูลทั้งหมดที่สร้างโดยไฟร์วอลล์จะใช้ที่อยู่ IP ของอินเทอร์เฟซการจัดการเป็นที่อยู่ IP ต้นทาง คุณสามารถกำหนดอินเทอร์เฟซที่แตกต่างกันสำหรับแต่ละบริการเฉพาะได้ในส่วนนี้ การกำหนดค่าเส้นทางบริการ.
รูปที่ 3 – พารามิเตอร์บริการเส้นทาง DNS, NTP และระบบ
2. การติดตั้งใบอนุญาต การตั้งค่า และติดตั้งการอัปเดต
เพื่อให้ฟังก์ชันไฟร์วอลล์ทั้งหมดทำงานได้อย่างสมบูรณ์ คุณต้องติดตั้งใบอนุญาต คุณสามารถใช้ใบอนุญาตรุ่นทดลองใช้ได้โดยขอจากพันธมิตรของ Palo Alto Networks ระยะเวลาที่ถูกต้องคือ 30 วัน ใบอนุญาตเปิดใช้งานผ่านไฟล์หรือใช้รหัสรับรองความถูกต้อง ใบอนุญาตได้รับการกำหนดค่าในส่วนนี้ อุปกรณ์ -> ใบอนุญาต (รูปที่ 4)
หลังจากติดตั้งใบอนุญาตแล้ว คุณจะต้องกำหนดค่าการติดตั้งการอัปเดตในส่วนนี้ อุปกรณ์ -> การอัปเดตแบบไดนามิก.
ในส่วน อุปกรณ์ -> ซอฟต์แวร์ คุณสามารถดาวน์โหลดและติดตั้ง PAN-OS เวอร์ชันใหม่ได้
รูปที่ 4 – แผงควบคุมใบอนุญาต
3. การกำหนดค่าโซนความปลอดภัย อินเทอร์เฟซเครือข่าย นโยบายการรับส่งข้อมูล การแปลที่อยู่
ไฟร์วอลล์ Palo Alto Networks ใช้ตรรกะโซนเมื่อกำหนดค่ากฎเครือข่าย อินเทอร์เฟซเครือข่ายถูกกำหนดให้กับโซนเฉพาะและโซนนี้ใช้ในกฎจราจร วิธีการนี้ช่วยให้ในอนาคตเมื่อเปลี่ยนการตั้งค่าอินเทอร์เฟซไม่ต้องเปลี่ยนกฎจราจร แต่ให้กำหนดอินเทอร์เฟซที่จำเป็นให้กับโซนที่เหมาะสมแทน ตามค่าเริ่มต้น อนุญาตให้มีการรับส่งข้อมูลภายในโซน ห้ามรับส่งข้อมูลระหว่างโซน กฎที่กำหนดไว้ล่วงหน้าจะต้องรับผิดชอบในเรื่องนี้ ภายในโซน-ค่าเริ่มต้น и อินเตอร์โซน-ค่าเริ่มต้น.
รูปที่ 5 – โซนความปลอดภัย
ในตัวอย่างนี้ อินเทอร์เฟซบนเครือข่ายภายในถูกกำหนดให้กับโซน ภายในและอินเทอร์เฟซที่หันเข้าหาอินเทอร์เน็ตถูกกำหนดให้กับโซน ภายนอก. สำหรับ SSL VPN มีการสร้างอินเทอร์เฟซทันเนลและกำหนดให้กับโซน VPN (รูปที่ 5)
อินเทอร์เฟซเครือข่ายไฟร์วอลล์ของ Palo Alto Networks สามารถทำงานได้ในห้าโหมดที่แตกต่างกัน:
- แตะเบา ๆ – ใช้เพื่อรวบรวมปริมาณข้อมูลเพื่อวัตถุประสงค์ในการติดตามและวิเคราะห์
- HA – ใช้สำหรับการดำเนินการคลัสเตอร์
- ลวดเสมือน – ในโหมดนี้ Palo Alto Networks จะรวมสองอินเทอร์เฟซและส่งผ่านการรับส่งข้อมูลระหว่างกันอย่างโปร่งใสโดยไม่ต้องเปลี่ยน MAC และที่อยู่ IP
- Layer2 – สลับโหมด
- Layer3 – โหมดเราเตอร์
รูปที่ 6 - การตั้งค่าโหมดการทำงานของอินเทอร์เฟซ
ในตัวอย่างนี้ จะใช้โหมด Layer3 (รูปที่ 6) พารามิเตอร์อินเทอร์เฟซเครือข่ายระบุที่อยู่ IP โหมดการทำงาน และโซนความปลอดภัยที่เกี่ยวข้อง นอกเหนือจากโหมดการทำงานของอินเทอร์เฟซแล้ว คุณต้องกำหนดอินเทอร์เฟซให้กับเราเตอร์เสมือน Virtual Router ซึ่งเป็นอะนาล็อกของอินสแตนซ์ VRF ใน Palo Alto Networks เราเตอร์เสมือนจะถูกแยกออกจากกันและมีตารางเส้นทางและการตั้งค่าโปรโตคอลเครือข่ายของตัวเอง
การตั้งค่าเราเตอร์เสมือนระบุเส้นทางแบบคงที่และการตั้งค่าโปรโตคอลการกำหนดเส้นทาง ในตัวอย่างนี้ เฉพาะเส้นทางเริ่มต้นเท่านั้นที่ถูกสร้างขึ้นสำหรับการเข้าถึงเครือข่ายภายนอก (รูปที่ 7)
รูปที่ 7 – การตั้งค่าเราเตอร์เสมือน
ขั้นตอนการกำหนดค่าถัดไปคือนโยบายการรับส่งข้อมูลส่วน นโยบาย -> ความปลอดภัย. ตัวอย่างของการกำหนดค่าแสดงในรูปที่ 8 ตรรกะของกฎจะเหมือนกับไฟร์วอลล์ทั้งหมด กฎจะถูกตรวจสอบจากบนลงล่างจนถึงนัดแรก คำอธิบายกฎโดยย่อ:
1. การเข้าถึง SSL VPN ไปยังเว็บพอร์ทัล อนุญาตให้เข้าถึงเว็บพอร์ทัลเพื่อตรวจสอบการเชื่อมต่อระยะไกล
2. การรับส่งข้อมูล VPN – อนุญาตการรับส่งข้อมูลระหว่างการเชื่อมต่อระยะไกลและสำนักงานใหญ่
3. อินเทอร์เน็ตขั้นพื้นฐาน - อนุญาตให้ใช้แอปพลิเคชัน DNS, ping, Traceroute, ntp ไฟร์วอลล์อนุญาตให้แอปพลิเคชันใช้ลายเซ็น การถอดรหัส และการศึกษาพฤติกรรมมากกว่าหมายเลขพอร์ตและโปรโตคอล ซึ่งเป็นสาเหตุที่ส่วนบริการระบุว่าเป็นค่าเริ่มต้นของแอปพลิเคชัน พอร์ต/โปรโตคอลเริ่มต้นสำหรับแอปพลิเคชันนี้
4. การเข้าถึงเว็บ – อนุญาตให้เข้าถึงอินเทอร์เน็ตผ่านโปรโตคอล HTTP และ HTTPS โดยไม่ต้องมีการควบคุมแอปพลิเคชัน
5,6. กฎเริ่มต้นสำหรับการรับส่งข้อมูลอื่น
รูปที่ 8 — ตัวอย่างการตั้งค่ากฎเครือข่าย
หากต้องการกำหนดค่า NAT ให้ใช้ส่วนนี้ นโยบาย -> NAT. ตัวอย่างการกำหนดค่า NAT แสดงในรูปที่ 9
รูปที่ 9 – ตัวอย่างการกำหนดค่า NAT
สำหรับการรับส่งข้อมูลจากภายในสู่ภายนอก คุณสามารถเปลี่ยนที่อยู่ต้นทางเป็นที่อยู่ IP ภายนอกของไฟร์วอลล์ และใช้ที่อยู่พอร์ตแบบไดนามิก (PAT)
4. การกำหนดค่าโปรไฟล์การตรวจสอบสิทธิ์ LDAP และฟังก์ชันการระบุผู้ใช้
ก่อนที่จะเชื่อมต่อผู้ใช้ผ่าน SSL-VPN คุณต้องกำหนดค่ากลไกการตรวจสอบสิทธิ์ ในตัวอย่างนี้ การรับรองความถูกต้องจะเกิดขึ้นกับตัวควบคุมโดเมน Active Directory ผ่านทางเว็บอินเทอร์เฟซของ Palo Alto Networks
รูปที่ 10 – โปรไฟล์ LDAP
เพื่อให้การรับรองความถูกต้องทำงานได้ คุณต้องกำหนดค่า โปรไฟล์ LDAP и โปรไฟล์การรับรองความถูกต้อง. ในส่วน อุปกรณ์ -> โปรไฟล์เซิร์ฟเวอร์ -> LDAP (รูปที่ 10) คุณต้องระบุที่อยู่ IP และพอร์ตของตัวควบคุมโดเมนประเภท LDAP และบัญชีผู้ใช้ที่รวมอยู่ในกลุ่ม ผู้ดำเนินการเซิร์ฟเวอร์, ผู้อ่านบันทึกเหตุการณ์, ผู้ใช้ COM แบบกระจาย. แล้วในส่วนของ อุปกรณ์ -> โปรไฟล์การรับรองความถูกต้อง สร้างโปรไฟล์การรับรองความถูกต้อง (รูปที่ 11) ทำเครื่องหมายโปรไฟล์ที่สร้างไว้ก่อนหน้านี้ โปรไฟล์ LDAP และในแท็บขั้นสูงเราจะระบุกลุ่มผู้ใช้ (รูปที่ 12) ที่ได้รับอนุญาตให้เข้าถึงจากระยะไกล สิ่งสำคัญคือต้องจดบันทึกพารามิเตอร์ในโปรไฟล์ของคุณ โดเมนผู้ใช้มิฉะนั้น การอนุญาตแบบกลุ่มจะไม่ทำงาน ฟิลด์จะต้องระบุชื่อโดเมน NetBIOS
รูปที่ 11 – โปรไฟล์การรับรองความถูกต้อง
รูปที่ 12 – การเลือกกลุ่มโฆษณา
ขั้นตอนต่อไปคือการตั้งค่า อุปกรณ์ -> การระบุผู้ใช้. ที่นี่คุณจะต้องระบุที่อยู่ IP ของตัวควบคุมโดเมน ข้อมูลรับรองการเชื่อมต่อ และกำหนดการตั้งค่าด้วย เปิดใช้งานบันทึกความปลอดภัย, เปิดใช้งานเซสชัน, เปิดใช้งานการตรวจสอบ (รูปที่ 13) ในบทที่ การทำแผนที่กลุ่ม (รูปที่ 14) คุณต้องสังเกตพารามิเตอร์สำหรับระบุวัตถุใน LDAP และรายชื่อกลุ่มที่จะใช้สำหรับการอนุญาต เช่นเดียวกับในโปรไฟล์การตรวจสอบสิทธิ์ คุณต้องตั้งค่าพารามิเตอร์โดเมนผู้ใช้ที่นี่
รูปที่ 13 – พารามิเตอร์การแมปผู้ใช้
รูปที่ 14 – พารามิเตอร์การแมปกลุ่ม
ขั้นตอนสุดท้ายในระยะนี้คือการสร้างโซน VPN และอินเทอร์เฟซสำหรับโซนนั้น คุณต้องเปิดใช้งานตัวเลือกบนอินเทอร์เฟซ เปิดใช้งานการระบุผู้ใช้ (รูปที่ 15)
รูปที่ 15 – การตั้งค่าโซน VPN
5. การตั้งค่า SSL VPN
ก่อนที่จะเชื่อมต่อกับ SSL VPN ผู้ใช้ระยะไกลจะต้องไปที่เว็บพอร์ทัล ตรวจสอบสิทธิ์ และดาวน์โหลดไคลเอนต์ Global Protect ถัดไป ไคลเอนต์นี้จะขอข้อมูลรับรองและเชื่อมต่อกับเครือข่ายองค์กร เว็บพอร์ทัลทำงานในโหมด https ดังนั้นคุณต้องติดตั้งใบรับรอง ใช้ใบรับรองสาธารณะถ้าเป็นไปได้ จากนั้นผู้ใช้จะไม่ได้รับคำเตือนเกี่ยวกับความไม่ถูกต้องของใบรับรองบนไซต์ หากไม่สามารถใช้ใบรับรองสาธารณะได้ คุณจะต้องออกใบรับรองของคุณเองซึ่งจะถูกใช้บนหน้าเว็บสำหรับ https สามารถลงนามด้วยตนเองหรือออกผ่านหน่วยงานออกใบรับรองในพื้นที่ คอมพิวเตอร์ระยะไกลต้องมีใบรับรองรูทหรือใบรับรองที่ลงนามด้วยตนเองในรายการหน่วยงานรูทที่เชื่อถือได้ เพื่อให้ผู้ใช้ไม่ได้รับข้อผิดพลาดเมื่อเชื่อมต่อกับเว็บพอร์ทัล ตัวอย่างนี้จะใช้ใบรับรองที่ออกผ่าน Active Directory Certificate Services
หากต้องการออกใบรับรอง คุณต้องสร้างคำขอใบรับรองในส่วนนี้ อุปกรณ์ -> การจัดการใบรับรอง -> ใบรับรอง -> สร้าง. ในคำขอเราระบุชื่อของใบรับรองและที่อยู่ IP หรือ FQDN ของเว็บพอร์ทัล (รูปที่ 16) หลังจากสร้างคำขอแล้ว ให้ดาวน์โหลด .ซีเอสอาร์ และคัดลอกเนื้อหาลงในฟิลด์คำขอใบรับรองในเว็บฟอร์มการลงทะเบียนเว็บ AD CS ขึ้นอยู่กับวิธีการกำหนดค่าผู้ออกใบรับรอง คำขอใบรับรองจะต้องได้รับการอนุมัติและต้องดาวน์โหลดใบรับรองที่ออกให้ในรูปแบบ ใบรับรองที่เข้ารหัส Base64. นอกจากนี้ คุณต้องดาวน์โหลดใบรับรองหลักของผู้ออกใบรับรอง จากนั้นคุณจะต้องนำเข้าใบรับรองทั้งสองรายการลงในไฟร์วอลล์ เมื่อนำเข้าใบรับรองสำหรับเว็บพอร์ทัล คุณต้องเลือกคำขอในสถานะรอดำเนินการแล้วคลิกนำเข้า ชื่อใบรับรองจะต้องตรงกับชื่อที่ระบุไว้ก่อนหน้าในคำขอ สามารถระบุชื่อของใบรับรองหลักได้ตามต้องการ หลังจากนำเข้าใบรับรองแล้ว คุณจะต้องสร้าง โปรไฟล์บริการ SSL/TLS ส่วน อุปกรณ์ -> การจัดการใบรับรอง. ในโปรไฟล์เราระบุใบรับรองที่นำเข้าก่อนหน้านี้
รูปที่ 16 – คำขอใบรับรอง
ขั้นตอนต่อไปคือการตั้งค่าวัตถุ เกตเวย์ปกป้องระดับโลก и พอร์ทัลปกป้องระดับโลก ส่วน เครือข่าย -> การป้องกันทั่วโลก. ในการตั้งค่า เกตเวย์ปกป้องระดับโลก ระบุที่อยู่ IP ภายนอกของไฟร์วอลล์เช่นเดียวกับที่สร้างขึ้นก่อนหน้านี้ โปรไฟล์ SSL, โปรไฟล์การรับรองความถูกต้อง, อินเตอร์เฟสทันเนล และการตั้งค่า IP ไคลเอนต์ คุณต้องระบุกลุ่มที่อยู่ IP ที่จะกำหนดที่อยู่ให้กับไคลเอนต์และเส้นทางการเข้าถึง - นี่คือเครือข่ายย่อยที่ไคลเอนต์จะมีเส้นทาง หากงานคือการรวมการรับส่งข้อมูลของผู้ใช้ทั้งหมดผ่านไฟร์วอลล์คุณจะต้องระบุเครือข่ายย่อย 0.0.0.0/0 (รูปที่ 17)
รูปที่ 17 – การกำหนดค่ากลุ่มที่อยู่ IP และเส้นทาง
จากนั้นคุณจะต้องกำหนดค่า พอร์ทัลปกป้องระดับโลก. ระบุที่อยู่ IP ของไฟร์วอลล์ โปรไฟล์ SSL и โปรไฟล์การรับรองความถูกต้อง และรายการที่อยู่ IP ภายนอกของไฟร์วอลล์ที่ไคลเอ็นต์จะเชื่อมต่อ หากมีไฟร์วอลล์หลายตัว คุณสามารถกำหนดลำดับความสำคัญสำหรับแต่ละไฟร์วอลล์ได้ ตามที่ผู้ใช้จะเลือกไฟร์วอลล์ที่จะเชื่อมต่อด้วย
ในส่วน อุปกรณ์ -> ไคลเอนต์ GlobalProtect คุณต้องดาวน์โหลดการกระจายไคลเอนต์ VPN จากเซิร์ฟเวอร์ Palo Alto Networks และเปิดใช้งาน ในการเชื่อมต่อ ผู้ใช้จะต้องไปที่หน้าเว็บพอร์ทัล ซึ่งระบบจะขอให้ดาวน์โหลด ลูกค้า GlobalProtect. เมื่อดาวน์โหลดและติดตั้งแล้ว คุณสามารถป้อนข้อมูลประจำตัวของคุณและเชื่อมต่อกับเครือข่ายองค์กรของคุณผ่าน SSL VPN
ข้อสรุป
การดำเนินการนี้จะทำให้ส่วนหนึ่งของการตั้งค่า Palo Alto Networks เสร็จสมบูรณ์ เราหวังว่าข้อมูลนี้จะเป็นประโยชน์และผู้อ่านได้รับความเข้าใจเกี่ยวกับเทคโนโลยีที่ใช้ใน Palo Alto Networks หากคุณมีคำถามเกี่ยวกับการตั้งค่าและข้อเสนอแนะในหัวข้อสำหรับบทความในอนาคต โปรดเขียนไว้ในความคิดเห็น เรายินดีที่จะตอบ
ที่มา: will.com