Sa kabila ng lahat ng mga pakinabang ng mga firewall ng Palo Alto Networks, walang gaanong materyal sa RuNet sa pag-set up ng mga device na ito, pati na rin ang mga tekstong naglalarawan sa karanasan ng kanilang pagpapatupad. Napagpasyahan naming ibuod ang mga materyales na naipon namin sa panahon ng aming trabaho kasama ang kagamitan ng vendor na ito at pag-usapan ang tungkol sa mga tampok na nakatagpo namin sa pagpapatupad ng iba't ibang mga proyekto.
Upang ipakilala sa iyo ang Palo Alto Networks, titingnan ng artikulong ito ang pagsasaayos na kinakailangan upang malutas ang isa sa mga pinakakaraniwang problema sa firewall - SSL VPN para sa malayuang pag-access. Tatalakayin din natin ang tungkol sa mga function ng utility para sa pangkalahatang pagsasaayos ng firewall, pagkakakilanlan ng user, mga application, at mga patakaran sa seguridad. Kung ang paksa ay interesado sa mga mambabasa, sa hinaharap ay maglalabas kami ng mga materyales na nagsusuri sa Site-to-Site VPN, dynamic na pagruruta at sentralisadong pamamahala gamit ang Panorama.
Gumagamit ang mga firewall ng Palo Alto Networks ng ilang makabagong teknolohiya, kabilang ang App-ID, User-ID, Content-ID. Ang paggamit ng functionality na ito ay nagbibigay-daan sa iyo upang matiyak ang isang mataas na antas ng seguridad. Halimbawa, sa App-ID posibleng matukoy ang trapiko ng application batay sa mga lagda, pag-decode at heuristic, anuman ang port at protocol na ginamit, kabilang ang loob ng isang SSL tunnel. Nagbibigay-daan sa iyo ang User-ID na matukoy ang mga user ng network sa pamamagitan ng LDAP integration. Ginagawang posible ng Content-ID na i-scan ang trapiko at tukuyin ang mga nai-transmit na file at ang mga nilalaman ng mga ito. Kasama sa iba pang mga function ng firewall ang intrusion protection, proteksyon laban sa mga kahinaan at pag-atake ng DoS, built-in na anti-spyware, URL filtering, clustering, at sentralisadong pamamahala.
Para sa demonstrasyon, gagamit kami ng nakahiwalay na stand, na may configuration na kapareho ng tunay, maliban sa mga pangalan ng device, AD domain name at IP address. Sa katotohanan, ang lahat ay mas kumplikado - maaaring magkaroon ng maraming sangay. Sa kasong ito, sa halip na isang firewall, isang kumpol ang mai-install sa mga hangganan ng mga sentral na site, at maaaring kailanganin din ang dynamic na pagruruta.
Ginamit sa stand PAN-OS 7.1.9. Bilang isang karaniwang configuration, isaalang-alang ang isang network na may Palo Alto Networks firewall sa gilid. Ang firewall ay nagbibigay ng malayuang SSL VPN access sa punong tanggapan. Gagamitin ang domain ng Active Directory bilang database ng user (Figure 1).
Figure 1 β Network block diagram
Mga Hakbang sa Pag-setup:
- Pre-configuration ng device. Pagtatakda ng pangalan, IP address ng pamamahala, mga static na ruta, mga account ng administrator, mga profile ng pamamahala
- Pag-install ng mga lisensya, pag-configure at pag-install ng mga update
- Pag-configure ng mga security zone, mga interface ng network, mga patakaran sa trapiko, pagsasalin ng address
- Pag-configure ng LDAP Authentication Profile at User Identification Feature
- Pag-set up ng SSL VPN
1. Preset
Ang pangunahing tool para sa pag-configure ng firewall ng Palo Alto Networks ay ang web interface; posible rin ang pamamahala sa pamamagitan ng CLI. Bilang default, ang interface ng pamamahala ay nakatakda sa IP address 192.168.1.1/24, login: admin, password: admin.
Maaari mong baguhin ang address alinman sa pamamagitan ng pagkonekta sa web interface mula sa parehong network, o gamit ang command itakda ang deviceconfig system ip-address <> netmask <>. Ginagawa ito sa mode ng pagsasaayos. Upang lumipat sa configuration mode, gamitin ang command i-configure ang. Ang lahat ng mga pagbabago sa firewall ay nangyayari lamang pagkatapos makumpirma ang mga setting ng command gumawa, parehong sa command line mode at sa web interface.
Upang baguhin ang mga setting sa web interface, gamitin ang seksyon Device -> Mga Pangkalahatang Setting at Device -> Mga Setting ng Interface ng Pamamahala. Ang pangalan, mga banner, time zone at iba pang mga setting ay maaaring itakda sa seksyong Mga Pangkalahatang Setting (Larawan 2).
Figure 2 β Mga parameter ng interface ng pamamahala
Kung gumagamit ka ng virtual na firewall sa isang ESXi na kapaligiran, sa seksyong Pangkalahatang Mga Setting kailangan mong paganahin ang paggamit ng MAC address na itinalaga ng hypervisor, o i-configure ang mga MAC address na tinukoy sa mga interface ng firewall sa hypervisor, o baguhin ang mga setting ng ang virtual switch upang payagan ang MAC na baguhin ang mga address. Kung hindi, hindi dadaan ang trapiko.
Ang interface ng pamamahala ay naka-configure nang hiwalay at hindi ipinapakita sa listahan ng mga interface ng network. Sa kabanata Mga Setting ng Interface ng Pamamahala tumutukoy sa default na gateway para sa interface ng pamamahala. Ang iba pang mga static na ruta ay na-configure sa seksyon ng mga virtual na router; ito ay tatalakayin sa ibang pagkakataon.
Upang payagan ang pag-access sa device sa pamamagitan ng iba pang mga interface, dapat kang lumikha ng profile ng pamamahala Profile ng Pamamahala seksyon Network -> Mga Profile sa Network -> Interface Mgmt at italaga ito sa naaangkop na interface.
Susunod, kailangan mong i-configure ang DNS at NTP sa seksyon Device -> Mga Serbisyo upang makatanggap ng mga update at ipakita ang oras nang tama (Fig. 3). Bilang default, ang lahat ng trapikong nabuo ng firewall ay gumagamit ng interface ng pamamahala na IP address bilang pinagmulan nitong IP address. Maaari kang magtalaga ng ibang interface para sa bawat partikular na serbisyo sa seksyon Configuration ng Ruta ng Serbisyo.
Figure 3 β Mga parameter ng serbisyo ng DNS, NTP at mga ruta ng system
2. Pag-install ng mga lisensya, pag-set up at pag-install ng mga update
Para sa buong operasyon ng lahat ng mga function ng firewall, dapat kang mag-install ng lisensya. Maaari kang gumamit ng lisensya sa pagsubok sa pamamagitan ng paghiling nito mula sa mga kasosyo ng Palo Alto Networks. Ang panahon ng bisa nito ay 30 araw. Ang lisensya ay isinaaktibo alinman sa pamamagitan ng isang file o gamit ang Auth-Code. Ang mga lisensya ay na-configure sa seksyon Device -> Mga Lisensya (Fig. 4).
Pagkatapos i-install ang lisensya, kailangan mong i-configure ang pag-install ng mga update sa seksyon Device -> Mga Dynamic na Update.
Sa seksyon Device -> Software maaari kang mag-download at mag-install ng mga bagong bersyon ng PAN-OS.
Figure 4 β License control panel
3. Pag-configure ng mga security zone, mga interface ng network, mga patakaran sa trapiko, pagsasalin ng address
Gumagamit ang mga firewall ng Palo Alto Networks ng zone logic kapag nag-configure ng mga panuntunan sa network. Ang mga interface ng network ay itinalaga sa isang partikular na zone, at ang zone na ito ay ginagamit sa mga panuntunan sa trapiko. Ang diskarte na ito ay nagbibigay-daan sa hinaharap, kapag binabago ang mga setting ng interface, na hindi baguhin ang mga patakaran sa trapiko, ngunit sa halip ay muling italaga ang mga kinakailangang interface sa naaangkop na mga zone. Bilang default, ang trapiko sa loob ng isang zone ay pinapayagan, ang trapiko sa pagitan ng mga zone ay ipinagbabawal, ang mga paunang natukoy na panuntunan ay responsable para dito intrazone-default ΠΈ interzone-default.
Larawan 5 β Mga sonang pangkaligtasan
Sa halimbawang ito, ang isang interface sa panloob na network ay itinalaga sa zone panloob, at ang interface na nakaharap sa Internet ay itinalaga sa zone panlabas. Para sa SSL VPN, isang tunnel interface ang ginawa at itinalaga sa zone vpn (Fig. 5).
Ang mga interface ng firewall ng Palo Alto Networks ay maaaring gumana sa limang magkakaibang mga mode:
- Tapikin β ginagamit upang mangolekta ng trapiko para sa mga layunin ng pagsubaybay at pagsusuri
- HA β ginagamit para sa pagpapatakbo ng kumpol
- Virtual Wire β sa mode na ito, pinagsasama ng Palo Alto Networks ang dalawang interface at malinaw na ipinapasa ang trapiko sa pagitan ng mga ito nang hindi binabago ang mga MAC at IP address
- Layer2 - lumipat mode
- Layer3 - mode ng router
Figure 6 β Pagtatakda ng interface operating mode
Sa halimbawang ito, gagamitin ang Layer3 mode (Larawan 6). Ang mga parameter ng interface ng network ay nagpapahiwatig ng IP address, operating mode at ang kaukulang security zone. Bilang karagdagan sa operating mode ng interface, dapat mong italaga ito sa Virtual Router virtual router, ito ay isang analogue ng isang VRF instance sa Palo Alto Networks. Ang mga virtual na router ay nakahiwalay sa isa't isa at may sariling mga routing table at network protocol settings.
Ang mga setting ng virtual na router ay tumutukoy sa mga static na ruta at mga setting ng routing protocol. Sa halimbawang ito, isang default na ruta lamang ang ginawa para sa pag-access sa mga panlabas na network (Larawan 7).
Figure 7 β Pag-set up ng isang virtual na router
Ang susunod na yugto ng pagsasaayos ay mga patakaran sa trapiko, seksyon Mga Patakaran -> Seguridad. Ang isang halimbawa ng pagsasaayos ay ipinapakita sa Figure 8. Ang lohika ng mga patakaran ay kapareho ng para sa lahat ng mga firewall. Ang mga panuntunan ay sinusuri mula sa itaas hanggang sa ibaba, pababa sa unang laban. Maikling paglalarawan ng mga patakaran:
1. SSL VPN Access sa Web Portal. Nagbibigay-daan sa pag-access sa web portal upang patotohanan ang mga malalayong koneksyon
2. Trapiko ng VPN β nagpapahintulot sa trapiko sa pagitan ng mga malalayong koneksyon at ng punong tanggapan
3. Pangunahing Internet β nagpapahintulot sa dns, ping, traceroute, ntp applications. Ang firewall ay nagbibigay-daan sa mga application batay sa mga lagda, pag-decode, at heuristics sa halip na mga numero ng port at protocol, kaya naman ang seksyon ng Serbisyo ay nagsasabing application-default. Default na port/protocol para sa application na ito
4. Pag-access sa Web β nagpapahintulot sa pag-access sa Internet sa pamamagitan ng HTTP at HTTPS na mga protocol na walang kontrol sa application
5,6. Mga default na panuntunan para sa iba pang trapiko.
Figure 8 β Halimbawa ng pag-set up ng mga panuntunan sa network
Upang i-configure ang NAT, gamitin ang seksyon Mga Patakaran -> NAT. Ang isang halimbawa ng pagsasaayos ng NAT ay ipinapakita sa Figure 9.
Figure 9 β Halimbawa ng NAT configuration
Para sa anumang trapiko mula sa panloob hanggang panlabas, maaari mong baguhin ang pinagmulang address sa panlabas na IP address ng firewall at gumamit ng dynamic na port address (PAT).
4. Pag-configure ng LDAP Authentication Profile at User Identification Function
Bago ikonekta ang mga user sa pamamagitan ng SSL-VPN, kailangan mong i-configure ang isang mekanismo ng pagpapatunay. Sa halimbawang ito, magaganap ang pagpapatotoo sa controller ng domain ng Active Directory sa pamamagitan ng web interface ng Palo Alto Networks.
Larawan 10 β LDAP profile
Para gumana ang pagpapatotoo, kailangan mong i-configure Profile ng LDAP ΠΈ Profile ng Pagpapatunay. Sa seksyon Device -> Mga Profile ng Server -> LDAP (Larawan 10) kailangan mong tukuyin ang IP address at port ng domain controller, uri ng LDAP at user account na kasama sa mga pangkat Mga Operator ng Server, Mga Mambabasa ng Log ng Kaganapan, Ibinahagi ang mga Gumagamit ng COM. Tapos sa section Device -> Profile ng Pagpapatotoo lumikha ng isang profile sa pagpapatunay (Larawan 11), markahan ang naunang ginawa Profile ng LDAP at sa tab na Advanced ay ipinapahiwatig namin ang pangkat ng mga gumagamit (Larawan 12) na pinapayagan ng malayuang pag-access. Mahalagang tandaan ang parameter sa iyong profile Domain ng User, kung hindi ay hindi gagana ang pagpapahintulot na nakabatay sa pangkat. Dapat ipahiwatig ng field ang pangalan ng domain ng NetBIOS.
Figure 11 β Profile ng pagpapatunay
Larawan 12 β Pagpili ng pangkat ng AD
Ang susunod na yugto ay setup Device -> Pagkakakilanlan ng User. Dito kailangan mong tukuyin ang IP address ng domain controller, mga kredensyal ng koneksyon, at i-configure din ang mga setting Paganahin ang Log ng Seguridad, Paganahin ang Session, Paganahin ang Probing (Larawan 13). Sa kabanata Group Mapping (Larawan 14) kailangan mong tandaan ang mga parameter para sa pagtukoy ng mga bagay sa LDAP at ang listahan ng mga pangkat na gagamitin para sa awtorisasyon. Tulad ng sa Authentication Profile, dito kailangan mong itakda ang parameter ng User Domain.
Figure 13 β Mga parameter ng User Mapping
Figure 14 β Mga parameter ng Group Mapping
Ang huling hakbang sa yugtong ito ay lumikha ng isang VPN zone at isang interface para sa zone na iyon. Kailangan mong paganahin ang opsyon sa interface I-enable ang User Identification (Fig. 15).
Figure 15 β Pag-set up ng VPN zone
5. Pagse-set up ng SSL VPN
Bago kumonekta sa isang SSL VPN, ang malayuang gumagamit ay dapat pumunta sa web portal, patotohanan at i-download ang kliyente ng Global Protect. Susunod, ang kliyenteng ito ay hihiling ng mga kredensyal at kumonekta sa corporate network. Ang web portal ay tumatakbo sa https mode at, nang naaayon, kailangan mong mag-install ng isang sertipiko para dito. Gumamit ng pampublikong sertipiko kung maaari. Pagkatapos ang user ay hindi makakatanggap ng babala tungkol sa kawalang-bisa ng sertipiko sa site. Kung hindi posible na gumamit ng pampublikong sertipiko, kailangan mong mag-isyu ng iyong sarili, na gagamitin sa web page para sa https. Maaari itong pirmahan sa sarili o maibigay sa pamamagitan ng lokal na awtoridad ng sertipiko. Ang remote na computer ay dapat may root o self-signed certificate sa listahan ng mga pinagkakatiwalaang root authority para hindi makatanggap ng error ang user kapag kumokonekta sa web portal. Ang halimbawang ito ay gagamit ng isang certificate na ibinigay sa pamamagitan ng Active Directory Certificate Services.
Upang mag-isyu ng isang sertipiko, kailangan mong lumikha ng isang kahilingan sa sertipiko sa seksyon Device -> Pamamahala ng Sertipiko -> Mga Sertipiko -> Bumuo. Sa kahilingan, ipinapahiwatig namin ang pangalan ng sertipiko at ang IP address o FQDN ng web portal (Larawan 16). Pagkatapos mabuo ang kahilingan, i-download .csr file at kopyahin ang mga nilalaman nito sa field ng kahilingan sa certificate sa AD CS Web Enrollment web form. Depende sa kung paano na-configure ang awtoridad ng sertipiko, dapat maaprubahan ang kahilingan sa sertipiko at dapat ma-download ang ibinigay na sertipiko sa format Base64 Naka-encode na Sertipiko. Bukod pa rito, kailangan mong i-download ang root certificate ng awtoridad sa sertipikasyon. Pagkatapos ay kailangan mong i-import ang parehong mga sertipiko sa firewall. Kapag nag-i-import ng sertipiko para sa isang web portal, dapat mong piliin ang kahilingan sa nakabinbing katayuan at i-click ang pag-import. Dapat tumugma ang pangalan ng certificate sa pangalang tinukoy sa unahan sa kahilingan. Ang pangalan ng root certificate ay maaaring tukuyin nang arbitraryo. Pagkatapos mag-import ng sertipiko, kailangan mong lumikha Profile ng Serbisyo ng SSL/TLS seksyon Device -> Pamamahala ng Sertipiko. Sa profile ipinapahiwatig namin ang dati nang na-import na sertipiko.
Larawan 16 β Kahilingan sa sertipiko
Ang susunod na hakbang ay ang pag-set up ng mga bagay Global Protect Gateway ΠΈ Global Protect Portal seksyon Network -> Global Protect. Sa mga setting Global Protect Gateway ipahiwatig ang panlabas na IP address ng firewall, pati na rin ang naunang ginawa SSL Profile, Profile ng Pagpapatunay, interface ng tunnel at mga setting ng IP ng kliyente. Kailangan mong tukuyin ang isang pool ng mga IP address kung saan itatalaga ang address sa kliyente, at Access Route - ito ang mga subnet kung saan magkakaroon ng ruta ang kliyente. Kung ang gawain ay i-wrap ang lahat ng trapiko ng user sa pamamagitan ng isang firewall, kailangan mong tukuyin ang subnet 0.0.0.0/0 (Fig. 17).
Figure 17 β Pag-configure ng pool ng mga IP address at ruta
Pagkatapos ay kailangan mong i-configure Global Protect Portal. Tukuyin ang IP address ng firewall, SSL Profile ΠΈ Profile ng Pagpapatunay at isang listahan ng mga panlabas na IP address ng mga firewall kung saan kokonekta ang kliyente. Kung mayroong ilang mga firewall, maaari kang magtakda ng priyoridad para sa bawat isa, ayon sa kung aling mga user ang pipili ng isang firewall upang kumonekta.
Sa seksyon Device -> GlobalProtect Client kailangan mong i-download ang pamamahagi ng kliyente ng VPN mula sa mga server ng Palo Alto Networks at i-activate ito. Upang kumonekta, ang user ay dapat pumunta sa portal web page, kung saan hihilingin sa kanya na mag-download Kliyente ng GlobalProtect. Kapag na-download at na-install, maaari mong ilagay ang iyong mga kredensyal at kumonekta sa iyong corporate network sa pamamagitan ng SSL VPN.
Konklusyon
Kinukumpleto nito ang bahagi ng Palo Alto Networks ng setup. Umaasa kami na ang impormasyon ay kapaki-pakinabang at ang mambabasa ay nakakuha ng pag-unawa sa mga teknolohiyang ginagamit sa Palo Alto Networks. Kung mayroon kang mga katanungan tungkol sa pag-setup at mga mungkahi sa mga paksa para sa mga artikulo sa hinaharap, isulat ang mga ito sa mga komento, ikalulugod naming sagutin.
Pinagmulan: www.habr.com