โปรโฮสต์ > บล็อก > การบริหาร > คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN

แม้จะมีข้อดีทั้งหมดของไฟร์วอลล์ Palo Alto Networks แต่ก็มีข้อมูลไม่มากนักในการตั้งค่าอุปกรณ์เหล่านี้ใน RuNet รวมถึงข้อความที่อธิบายประสบการณ์การใช้งาน เราตัดสินใจสรุปวัสดุที่เราสะสมระหว่างการทำงานกับอุปกรณ์ของผู้จำหน่ายรายนี้ และพูดคุยเกี่ยวกับคุณสมบัติที่เราพบระหว่างการดำเนินโครงการต่างๆ

เพื่อแนะนำให้คุณรู้จักกับ Palo Alto Networks บทความนี้จะพิจารณาการกำหนดค่าที่จำเป็นในการแก้ปัญหาไฟร์วอลล์ที่พบบ่อยที่สุดข้อหนึ่ง - SSL VPN สำหรับการเข้าถึงระยะไกล นอกจากนี้เรายังจะพูดถึงฟังก์ชันยูทิลิตี้สำหรับการกำหนดค่าไฟร์วอลล์ทั่วไป การระบุตัวตนผู้ใช้ แอปพลิเคชัน และนโยบายความปลอดภัย หากหัวข้อนี้เป็นที่สนใจของผู้อ่าน ในอนาคตเราจะเผยแพร่เนื้อหาเกี่ยวกับการวิเคราะห์ Site-to-Site VPN การกำหนดเส้นทางแบบไดนามิก และการจัดการแบบรวมศูนย์โดยใช้พาโนรามา

ไฟร์วอลล์ของ Palo Alto Networks ใช้เทคโนโลยีที่เป็นนวัตกรรมจำนวนหนึ่ง รวมถึง App-ID, User-ID, Content-ID การใช้ฟังก์ชันนี้ช่วยให้คุณมั่นใจในความปลอดภัยระดับสูง ตัวอย่างเช่น ด้วย App-ID คุณสามารถระบุการรับส่งข้อมูลแอปพลิเคชันตามลายเซ็น การถอดรหัส และการศึกษาพฤติกรรม โดยไม่คำนึงถึงพอร์ตและโปรโตคอลที่ใช้ รวมถึงภายในอุโมงค์ SSL User-ID ช่วยให้คุณระบุผู้ใช้เครือข่ายผ่านการผสานรวม LDAP Content-ID ช่วยให้สามารถสแกนการรับส่งข้อมูลและระบุไฟล์ที่ส่งและเนื้อหาได้ ฟังก์ชันไฟร์วอลล์อื่นๆ ได้แก่ การป้องกันการบุกรุก การป้องกันช่องโหว่และการโจมตี DoS โปรแกรมป้องกันสปายแวร์ในตัว การกรอง URL การแบ่งกลุ่ม และการจัดการแบบรวมศูนย์

สำหรับการสาธิต เราจะใช้ขาตั้งแบบแยกส่วน โดยมีการกำหนดค่าเหมือนกับของจริง ยกเว้นชื่ออุปกรณ์ ชื่อโดเมน AD และที่อยู่ IP ในความเป็นจริงทุกอย่างซับซ้อนกว่า - สามารถมีได้หลายสาขา ในกรณีนี้ แทนที่จะติดตั้งไฟร์วอลล์ตัวเดียว คลัสเตอร์จะถูกติดตั้งที่ขอบของไซต์ส่วนกลาง และอาจจำเป็นต้องมีการกำหนดเส้นทางแบบไดนามิกด้วย

ใช้งานบนขาตั้ง แพน-โอเอส 7.1.9. ตามการกำหนดค่าทั่วไป ให้พิจารณาเครือข่ายที่มีไฟร์วอลล์ Palo Alto Networks ที่ Edge ไฟร์วอลล์ให้การเข้าถึง SSL VPN ระยะไกลไปยังสำนักงานใหญ่ โดเมน Active Directory จะถูกใช้เป็นฐานข้อมูลผู้ใช้ (รูปที่ 1)

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 1 - แผนภาพบล็อกเครือข่าย

ขั้นตอนการตั้งค่า:

  1. การกำหนดค่าอุปกรณ์ล่วงหน้า การตั้งชื่อ, ที่อยู่ IP การจัดการ, เส้นทางแบบคงที่, บัญชีผู้ดูแลระบบ, โปรไฟล์การจัดการ
  2. การติดตั้งใบอนุญาต การกำหนดค่า และการติดตั้งการอัปเดต
  3. การกำหนดค่าโซนความปลอดภัย อินเทอร์เฟซเครือข่าย นโยบายการรับส่งข้อมูล การแปลที่อยู่
  4. การกำหนดค่าโปรไฟล์การตรวจสอบสิทธิ์ LDAP และคุณสมบัติการระบุผู้ใช้
  5. การตั้งค่า SSL VPN

1. ตั้งค่าล่วงหน้า

เครื่องมือหลักในการกำหนดค่าไฟร์วอลล์ Palo Alto Networks คือเว็บอินเตอร์เฟส การจัดการผ่าน CLI ก็สามารถทำได้เช่นกัน ตามค่าเริ่มต้น อินเทอร์เฟซการจัดการจะถูกตั้งค่าเป็นที่อยู่ IP 192.168.1.1/24 เข้าสู่ระบบ: ผู้ดูแลระบบ รหัสผ่าน: ผู้ดูแลระบบ

คุณสามารถเปลี่ยนที่อยู่ได้โดยเชื่อมต่อกับเว็บอินเตอร์เฟสจากเครือข่ายเดียวกันหรือใช้คำสั่ง ตั้งค่าที่อยู่ IP ของระบบ Deviceconfig <> netmask <>. จะดำเนินการในโหมดการกำหนดค่า หากต้องการเปลี่ยนเป็นโหมดการกำหนดค่าให้ใช้คำสั่ง กำหนดค่า. การเปลี่ยนแปลงทั้งหมดในไฟร์วอลล์จะเกิดขึ้นหลังจากคำสั่งยืนยันการตั้งค่าแล้วเท่านั้น ผูกมัดทั้งในโหมดบรรทัดคำสั่งและในเว็บอินเตอร์เฟส

หากต้องการเปลี่ยนการตั้งค่าในเว็บอินเตอร์เฟส ให้ใช้ส่วนนี้ อุปกรณ์ -> การตั้งค่าทั่วไป และอุปกรณ์ -> การตั้งค่าอินเทอร์เฟซการจัดการ ชื่อ แบนเนอร์ โซนเวลา และการตั้งค่าอื่นๆ สามารถตั้งค่าได้ในส่วนการตั้งค่าทั่วไป (รูปที่ 2)

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 2 – พารามิเตอร์อินเทอร์เฟซการจัดการ

หากคุณใช้ไฟร์วอลล์เสมือนในสภาพแวดล้อม ESXi ในส่วนการตั้งค่าทั่วไป คุณจะต้องเปิดใช้งานการใช้ที่อยู่ MAC ที่กำหนดโดยไฮเปอร์ไวเซอร์ หรือกำหนดค่าที่อยู่ MAC ที่ระบุบนอินเทอร์เฟซไฟร์วอลล์บนไฮเปอร์ไวเซอร์ หรือเปลี่ยนการตั้งค่าของ สวิตช์เสมือนเพื่ออนุญาตให้เปลี่ยนที่อยู่ MAC มิฉะนั้นการจราจรจะไม่ผ่าน

อินเทอร์เฟซการจัดการได้รับการกำหนดค่าแยกต่างหากและจะไม่แสดงอยู่ในรายการอินเทอร์เฟซเครือข่าย ในบทที่ การตั้งค่าอินเทอร์เฟซการจัดการ ระบุเกตเวย์เริ่มต้นสำหรับอินเทอร์เฟซการจัดการ เส้นทางคงที่อื่นๆ ได้รับการกำหนดค่าในส่วนเราเตอร์เสมือน ซึ่งจะกล่าวถึงในภายหลัง

หากต้องการอนุญาตการเข้าถึงอุปกรณ์ผ่านอินเทอร์เฟซอื่น คุณต้องสร้างโปรไฟล์การจัดการ โปรไฟล์การจัดการ ส่วน เครือข่าย -> โปรไฟล์เครือข่าย -> การจัดการอินเทอร์เฟซ และกำหนดให้กับอินเทอร์เฟซที่เหมาะสม

ถัดไปคุณต้องกำหนดค่า DNS และ NTP ในส่วนนี้ อุปกรณ์ -> บริการ เพื่อรับการอัพเดตและแสดงเวลาได้อย่างถูกต้อง (รูปที่ 3) ตามค่าเริ่มต้น การรับส่งข้อมูลทั้งหมดที่สร้างโดยไฟร์วอลล์จะใช้ที่อยู่ IP ของอินเทอร์เฟซการจัดการเป็นที่อยู่ IP ต้นทาง คุณสามารถกำหนดอินเทอร์เฟซที่แตกต่างกันสำหรับแต่ละบริการเฉพาะได้ในส่วนนี้ การกำหนดค่าเส้นทางบริการ.

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 3 – พารามิเตอร์บริการเส้นทาง DNS, NTP และระบบ

2. การติดตั้งใบอนุญาต การตั้งค่า และติดตั้งการอัปเดต

เพื่อให้ฟังก์ชันไฟร์วอลล์ทั้งหมดทำงานได้อย่างสมบูรณ์ คุณต้องติดตั้งใบอนุญาต คุณสามารถใช้ใบอนุญาตรุ่นทดลองใช้ได้โดยขอจากพันธมิตรของ Palo Alto Networks ระยะเวลาที่ถูกต้องคือ 30 วัน ใบอนุญาตเปิดใช้งานผ่านไฟล์หรือใช้รหัสรับรองความถูกต้อง ใบอนุญาตได้รับการกำหนดค่าในส่วนนี้ อุปกรณ์ -> ใบอนุญาต (รูปที่ 4)
หลังจากติดตั้งใบอนุญาตแล้ว คุณจะต้องกำหนดค่าการติดตั้งการอัปเดตในส่วนนี้ อุปกรณ์ -> การอัปเดตแบบไดนามิก.
ในส่วน อุปกรณ์ -> ซอฟต์แวร์ คุณสามารถดาวน์โหลดและติดตั้ง PAN-OS เวอร์ชันใหม่ได้

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 4 – แผงควบคุมใบอนุญาต

3. การกำหนดค่าโซนความปลอดภัย อินเทอร์เฟซเครือข่าย นโยบายการรับส่งข้อมูล การแปลที่อยู่

ไฟร์วอลล์ Palo Alto Networks ใช้ตรรกะโซนเมื่อกำหนดค่ากฎเครือข่าย อินเทอร์เฟซเครือข่ายถูกกำหนดให้กับโซนเฉพาะและโซนนี้ใช้ในกฎจราจร วิธีการนี้ช่วยให้ในอนาคตเมื่อเปลี่ยนการตั้งค่าอินเทอร์เฟซไม่ต้องเปลี่ยนกฎจราจร แต่ให้กำหนดอินเทอร์เฟซที่จำเป็นให้กับโซนที่เหมาะสมแทน ตามค่าเริ่มต้น อนุญาตให้มีการรับส่งข้อมูลภายในโซน ห้ามรับส่งข้อมูลระหว่างโซน กฎที่กำหนดไว้ล่วงหน้าจะต้องรับผิดชอบในเรื่องนี้ ภายในโซน-ค่าเริ่มต้น и อินเตอร์โซน-ค่าเริ่มต้น.

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 5 – โซนความปลอดภัย

ในตัวอย่างนี้ อินเทอร์เฟซบนเครือข่ายภายในถูกกำหนดให้กับโซน ภายในและอินเทอร์เฟซที่หันเข้าหาอินเทอร์เน็ตถูกกำหนดให้กับโซน ภายนอก. สำหรับ SSL VPN มีการสร้างอินเทอร์เฟซทันเนลและกำหนดให้กับโซน VPN (รูปที่ 5)

อินเทอร์เฟซเครือข่ายไฟร์วอลล์ของ Palo Alto Networks สามารถทำงานได้ในห้าโหมดที่แตกต่างกัน:

  • แตะเบา ๆ – ใช้เพื่อรวบรวมปริมาณข้อมูลเพื่อวัตถุประสงค์ในการติดตามและวิเคราะห์
  • HA – ใช้สำหรับการดำเนินการคลัสเตอร์
  • ลวดเสมือน – ในโหมดนี้ Palo Alto Networks จะรวมสองอินเทอร์เฟซและส่งผ่านการรับส่งข้อมูลระหว่างกันอย่างโปร่งใสโดยไม่ต้องเปลี่ยน MAC และที่อยู่ IP
  • Layer2 – สลับโหมด
  • Layer3 – โหมดเราเตอร์

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 6 - การตั้งค่าโหมดการทำงานของอินเทอร์เฟซ

ในตัวอย่างนี้ จะใช้โหมด Layer3 (รูปที่ 6) พารามิเตอร์อินเทอร์เฟซเครือข่ายระบุที่อยู่ IP โหมดการทำงาน และโซนความปลอดภัยที่เกี่ยวข้อง นอกเหนือจากโหมดการทำงานของอินเทอร์เฟซแล้ว คุณต้องกำหนดอินเทอร์เฟซให้กับเราเตอร์เสมือน Virtual Router ซึ่งเป็นอะนาล็อกของอินสแตนซ์ VRF ใน Palo Alto Networks เราเตอร์เสมือนจะถูกแยกออกจากกันและมีตารางเส้นทางและการตั้งค่าโปรโตคอลเครือข่ายของตัวเอง

การตั้งค่าเราเตอร์เสมือนระบุเส้นทางแบบคงที่และการตั้งค่าโปรโตคอลการกำหนดเส้นทาง ในตัวอย่างนี้ เฉพาะเส้นทางเริ่มต้นเท่านั้นที่ถูกสร้างขึ้นสำหรับการเข้าถึงเครือข่ายภายนอก (รูปที่ 7)

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 7 – การตั้งค่าเราเตอร์เสมือน

ขั้นตอนการกำหนดค่าถัดไปคือนโยบายการรับส่งข้อมูลส่วน นโยบาย -> ความปลอดภัย. ตัวอย่างของการกำหนดค่าแสดงในรูปที่ 8 ตรรกะของกฎจะเหมือนกับไฟร์วอลล์ทั้งหมด กฎจะถูกตรวจสอบจากบนลงล่างจนถึงนัดแรก คำอธิบายกฎโดยย่อ:

1. การเข้าถึง SSL VPN ไปยังเว็บพอร์ทัล อนุญาตให้เข้าถึงเว็บพอร์ทัลเพื่อตรวจสอบการเชื่อมต่อระยะไกล
2. การรับส่งข้อมูล VPN – อนุญาตการรับส่งข้อมูลระหว่างการเชื่อมต่อระยะไกลและสำนักงานใหญ่
3. อินเทอร์เน็ตขั้นพื้นฐาน - อนุญาตให้ใช้แอปพลิเคชัน DNS, ping, Traceroute, ntp ไฟร์วอลล์อนุญาตให้แอปพลิเคชันใช้ลายเซ็น การถอดรหัส และการศึกษาพฤติกรรมมากกว่าหมายเลขพอร์ตและโปรโตคอล ซึ่งเป็นสาเหตุที่ส่วนบริการระบุว่าเป็นค่าเริ่มต้นของแอปพลิเคชัน พอร์ต/โปรโตคอลเริ่มต้นสำหรับแอปพลิเคชันนี้
4. การเข้าถึงเว็บ – อนุญาตให้เข้าถึงอินเทอร์เน็ตผ่านโปรโตคอล HTTP และ HTTPS โดยไม่ต้องมีการควบคุมแอปพลิเคชัน
5,6. กฎเริ่มต้นสำหรับการรับส่งข้อมูลอื่น

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 8 — ตัวอย่างการตั้งค่ากฎเครือข่าย

หากต้องการกำหนดค่า NAT ให้ใช้ส่วนนี้ นโยบาย -> NAT. ตัวอย่างการกำหนดค่า NAT แสดงในรูปที่ 9

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 9 – ตัวอย่างการกำหนดค่า NAT

สำหรับการรับส่งข้อมูลจากภายในสู่ภายนอก คุณสามารถเปลี่ยนที่อยู่ต้นทางเป็นที่อยู่ IP ภายนอกของไฟร์วอลล์ และใช้ที่อยู่พอร์ตแบบไดนามิก (PAT)

4. การกำหนดค่าโปรไฟล์การตรวจสอบสิทธิ์ LDAP และฟังก์ชันการระบุผู้ใช้
ก่อนที่จะเชื่อมต่อผู้ใช้ผ่าน SSL-VPN คุณต้องกำหนดค่ากลไกการตรวจสอบสิทธิ์ ในตัวอย่างนี้ การรับรองความถูกต้องจะเกิดขึ้นกับตัวควบคุมโดเมน Active Directory ผ่านทางเว็บอินเทอร์เฟซของ Palo Alto Networks

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 10 – โปรไฟล์ LDAP

เพื่อให้การรับรองความถูกต้องทำงานได้ คุณต้องกำหนดค่า โปรไฟล์ LDAP и โปรไฟล์การรับรองความถูกต้อง. ในส่วน อุปกรณ์ -> โปรไฟล์เซิร์ฟเวอร์ -> LDAP (รูปที่ 10) คุณต้องระบุที่อยู่ IP และพอร์ตของตัวควบคุมโดเมนประเภท LDAP และบัญชีผู้ใช้ที่รวมอยู่ในกลุ่ม ผู้ดำเนินการเซิร์ฟเวอร์, ผู้อ่านบันทึกเหตุการณ์, ผู้ใช้ COM แบบกระจาย. แล้วในส่วนของ อุปกรณ์ -> โปรไฟล์การรับรองความถูกต้อง สร้างโปรไฟล์การรับรองความถูกต้อง (รูปที่ 11) ทำเครื่องหมายโปรไฟล์ที่สร้างไว้ก่อนหน้านี้ โปรไฟล์ LDAP และในแท็บขั้นสูงเราจะระบุกลุ่มผู้ใช้ (รูปที่ 12) ที่ได้รับอนุญาตให้เข้าถึงจากระยะไกล สิ่งสำคัญคือต้องจดบันทึกพารามิเตอร์ในโปรไฟล์ของคุณ โดเมนผู้ใช้มิฉะนั้น การอนุญาตแบบกลุ่มจะไม่ทำงาน ฟิลด์จะต้องระบุชื่อโดเมน NetBIOS

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 11 – โปรไฟล์การรับรองความถูกต้อง

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 12 – การเลือกกลุ่มโฆษณา

ขั้นตอนต่อไปคือการตั้งค่า อุปกรณ์ -> การระบุผู้ใช้. ที่นี่คุณจะต้องระบุที่อยู่ IP ของตัวควบคุมโดเมน ข้อมูลรับรองการเชื่อมต่อ และกำหนดการตั้งค่าด้วย เปิดใช้งานบันทึกความปลอดภัย, เปิดใช้งานเซสชัน, เปิดใช้งานการตรวจสอบ (รูปที่ 13) ในบทที่ การทำแผนที่กลุ่ม (รูปที่ 14) คุณต้องสังเกตพารามิเตอร์สำหรับระบุวัตถุใน LDAP และรายชื่อกลุ่มที่จะใช้สำหรับการอนุญาต เช่นเดียวกับในโปรไฟล์การตรวจสอบสิทธิ์ คุณต้องตั้งค่าพารามิเตอร์โดเมนผู้ใช้ที่นี่

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 13 – พารามิเตอร์การแมปผู้ใช้

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 14 – พารามิเตอร์การแมปกลุ่ม

ขั้นตอนสุดท้ายในระยะนี้คือการสร้างโซน VPN และอินเทอร์เฟซสำหรับโซนนั้น คุณต้องเปิดใช้งานตัวเลือกบนอินเทอร์เฟซ เปิดใช้งานการระบุผู้ใช้ (รูปที่ 15)

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 15 – การตั้งค่าโซน VPN

5. การตั้งค่า SSL VPN

ก่อนที่จะเชื่อมต่อกับ SSL VPN ผู้ใช้ระยะไกลจะต้องไปที่เว็บพอร์ทัล ตรวจสอบสิทธิ์ และดาวน์โหลดไคลเอนต์ Global Protect ถัดไป ไคลเอนต์นี้จะขอข้อมูลรับรองและเชื่อมต่อกับเครือข่ายองค์กร เว็บพอร์ทัลทำงานในโหมด https ดังนั้นคุณต้องติดตั้งใบรับรอง ใช้ใบรับรองสาธารณะถ้าเป็นไปได้ จากนั้นผู้ใช้จะไม่ได้รับคำเตือนเกี่ยวกับความไม่ถูกต้องของใบรับรองบนไซต์ หากไม่สามารถใช้ใบรับรองสาธารณะได้ คุณจะต้องออกใบรับรองของคุณเองซึ่งจะถูกใช้บนหน้าเว็บสำหรับ https สามารถลงนามด้วยตนเองหรือออกผ่านหน่วยงานออกใบรับรองในพื้นที่ คอมพิวเตอร์ระยะไกลต้องมีใบรับรองรูทหรือใบรับรองที่ลงนามด้วยตนเองในรายการหน่วยงานรูทที่เชื่อถือได้ เพื่อให้ผู้ใช้ไม่ได้รับข้อผิดพลาดเมื่อเชื่อมต่อกับเว็บพอร์ทัล ตัวอย่างนี้จะใช้ใบรับรองที่ออกผ่าน Active Directory Certificate Services

หากต้องการออกใบรับรอง คุณต้องสร้างคำขอใบรับรองในส่วนนี้ อุปกรณ์ -> การจัดการใบรับรอง -> ใบรับรอง -> สร้าง. ในคำขอเราระบุชื่อของใบรับรองและที่อยู่ IP หรือ FQDN ของเว็บพอร์ทัล (รูปที่ 16) หลังจากสร้างคำขอแล้ว ให้ดาวน์โหลด .ซีเอสอาร์ และคัดลอกเนื้อหาลงในฟิลด์คำขอใบรับรองในเว็บฟอร์มการลงทะเบียนเว็บ AD CS ขึ้นอยู่กับวิธีการกำหนดค่าผู้ออกใบรับรอง คำขอใบรับรองจะต้องได้รับการอนุมัติและต้องดาวน์โหลดใบรับรองที่ออกให้ในรูปแบบ ใบรับรองที่เข้ารหัส Base64. นอกจากนี้ คุณต้องดาวน์โหลดใบรับรองหลักของผู้ออกใบรับรอง จากนั้นคุณจะต้องนำเข้าใบรับรองทั้งสองรายการลงในไฟร์วอลล์ เมื่อนำเข้าใบรับรองสำหรับเว็บพอร์ทัล คุณต้องเลือกคำขอในสถานะรอดำเนินการแล้วคลิกนำเข้า ชื่อใบรับรองจะต้องตรงกับชื่อที่ระบุไว้ก่อนหน้าในคำขอ สามารถระบุชื่อของใบรับรองหลักได้ตามต้องการ หลังจากนำเข้าใบรับรองแล้ว คุณจะต้องสร้าง โปรไฟล์บริการ SSL/TLS ส่วน อุปกรณ์ -> การจัดการใบรับรอง. ในโปรไฟล์เราระบุใบรับรองที่นำเข้าก่อนหน้านี้

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 16 – คำขอใบรับรอง

ขั้นตอนต่อไปคือการตั้งค่าวัตถุ เกตเวย์ปกป้องระดับโลก и พอร์ทัลปกป้องระดับโลก ส่วน เครือข่าย -> การป้องกันทั่วโลก. ในการตั้งค่า เกตเวย์ปกป้องระดับโลก ระบุที่อยู่ IP ภายนอกของไฟร์วอลล์เช่นเดียวกับที่สร้างขึ้นก่อนหน้านี้ โปรไฟล์ SSL, โปรไฟล์การรับรองความถูกต้อง, อินเตอร์เฟสทันเนล และการตั้งค่า IP ไคลเอนต์ คุณต้องระบุกลุ่มที่อยู่ IP ที่จะกำหนดที่อยู่ให้กับไคลเอนต์และเส้นทางการเข้าถึง - นี่คือเครือข่ายย่อยที่ไคลเอนต์จะมีเส้นทาง หากงานคือการรวมการรับส่งข้อมูลของผู้ใช้ทั้งหมดผ่านไฟร์วอลล์คุณจะต้องระบุเครือข่ายย่อย 0.0.0.0/0 (รูปที่ 17)

คุณสมบัติการตั้งค่า Palo Alto Networks: SSL VPN
รูปที่ 17 – การกำหนดค่ากลุ่มที่อยู่ IP และเส้นทาง

จากนั้นคุณจะต้องกำหนดค่า พอร์ทัลปกป้องระดับโลก. ระบุที่อยู่ IP ของไฟร์วอลล์ โปรไฟล์ SSL и โปรไฟล์การรับรองความถูกต้อง และรายการที่อยู่ IP ภายนอกของไฟร์วอลล์ที่ไคลเอ็นต์จะเชื่อมต่อ หากมีไฟร์วอลล์หลายตัว คุณสามารถกำหนดลำดับความสำคัญสำหรับแต่ละไฟร์วอลล์ได้ ตามที่ผู้ใช้จะเลือกไฟร์วอลล์ที่จะเชื่อมต่อด้วย

ในส่วน อุปกรณ์ -> ไคลเอนต์ GlobalProtect คุณต้องดาวน์โหลดการกระจายไคลเอนต์ VPN จากเซิร์ฟเวอร์ Palo Alto Networks และเปิดใช้งาน ในการเชื่อมต่อ ผู้ใช้จะต้องไปที่หน้าเว็บพอร์ทัล ซึ่งระบบจะขอให้ดาวน์โหลด ลูกค้า GlobalProtect. เมื่อดาวน์โหลดและติดตั้งแล้ว คุณสามารถป้อนข้อมูลประจำตัวของคุณและเชื่อมต่อกับเครือข่ายองค์กรของคุณผ่าน SSL VPN

ข้อสรุป

การดำเนินการนี้จะทำให้ส่วนหนึ่งของการตั้งค่า Palo Alto Networks เสร็จสมบูรณ์ เราหวังว่าข้อมูลนี้จะเป็นประโยชน์และผู้อ่านได้รับความเข้าใจเกี่ยวกับเทคโนโลยีที่ใช้ใน Palo Alto Networks หากคุณมีคำถามเกี่ยวกับการตั้งค่าและข้อเสนอแนะในหัวข้อสำหรับบทความในอนาคต โปรดเขียนไว้ในความคิดเห็น เรายินดีที่จะตอบ

ที่มา: will.com

เพิ่มความคิดเห็น