پالو آلٹو نیٹ ورکس فائر والز کے تمام فوائد کے باوجود، ان آلات کو ترتیب دینے کے ساتھ ساتھ ان کے نفاذ کے تجربے کو بیان کرنے والے متن میں RuNet پر زیادہ مواد موجود نہیں ہے۔ ہم نے اس وینڈر کے سامان کے ساتھ اپنے کام کے دوران جمع کیے گئے مواد کا خلاصہ کرنے کا فیصلہ کیا اور مختلف منصوبوں کے نفاذ کے دوران ہمیں جن خصوصیات کا سامنا کرنا پڑا ان کے بارے میں بات کرنے کا فیصلہ کیا۔
آپ کو پالو آلٹو نیٹ ورکس سے متعارف کرانے کے لیے، یہ مضمون فائر وال کے سب سے عام مسائل میں سے ایک کو حل کرنے کے لیے درکار کنفیگریشن کو دیکھے گا - دور دراز تک رسائی کے لیے SSL VPN۔ ہم عام فائر وال کنفیگریشن، صارف کی شناخت، ایپلی کیشنز، اور سیکیورٹی پالیسیوں کے لیے یوٹیلیٹی فنکشنز کے بارے میں بھی بات کریں گے۔ اگر موضوع قارئین کے لیے دلچسپی کا حامل ہے، تو مستقبل میں ہم پینوراما کا استعمال کرتے ہوئے سائٹ ٹو سائٹ وی پی این، ڈائنامک روٹنگ اور سنٹرلائزڈ مینجمنٹ کا تجزیہ کرنے والے مواد جاری کریں گے۔
پالو آلٹو نیٹ ورکس فائر والز متعدد جدید ٹیکنالوجیز استعمال کرتے ہیں، بشمول App-ID، User-ID، Content-ID۔ اس فعالیت کا استعمال آپ کو اعلی سطح کی حفاظت کو یقینی بنانے کی اجازت دیتا ہے۔ مثال کے طور پر، App-ID کے ذریعے SSL سرنگ کے اندر سمیت استعمال شدہ پورٹ اور پروٹوکول سے قطع نظر، دستخطوں، ضابطہ کشائی اور ہیورسٹکس کی بنیاد پر ایپلیکیشن ٹریفک کی شناخت ممکن ہے۔ User-ID آپ کو LDAP انضمام کے ذریعے نیٹ ورک صارفین کی شناخت کرنے کی اجازت دیتا ہے۔ Content-ID ٹریفک کو اسکین کرنا اور منتقل شدہ فائلوں اور ان کے مواد کی شناخت کو ممکن بناتا ہے۔ دیگر فائر وال فنکشنز میں دخل اندازی سے تحفظ، کمزوریوں اور DoS حملوں سے تحفظ، بلٹ ان اینٹی اسپائی ویئر، یو آر ایل فلٹرنگ، کلسٹرنگ، اور مرکزی انتظام شامل ہیں۔
مظاہرے کے لیے، ہم آلہ کے ناموں، AD ڈومین نام اور IP پتوں کو چھوڑ کر، ایک الگ تھلگ اسٹینڈ کا استعمال کریں گے، جس کی ترتیب اصلی سے ملتی جلتی ہو گی۔ حقیقت میں، سب کچھ زیادہ پیچیدہ ہے - بہت سی شاخیں ہوسکتی ہیں. اس صورت میں، ایک فائر وال کے بجائے، مرکزی سائٹس کی سرحدوں پر ایک کلسٹر نصب کیا جائے گا، اور متحرک روٹنگ کی بھی ضرورت پڑسکتی ہے۔
اسٹینڈ پر استعمال کیا جاتا ہے۔ PAN-OS 7.1.9. ایک عام ترتیب کے طور پر، کنارے پر پالو آلٹو نیٹ ورکس فائر وال والے نیٹ ورک پر غور کریں۔ فائر وال ہیڈ آفس تک ریموٹ SSL VPN تک رسائی فراہم کرتا ہے۔ ایکٹو ڈائریکٹری ڈومین کو بطور صارف ڈیٹا بیس استعمال کیا جائے گا (شکل 1)۔
شکل 1 - نیٹ ورک بلاک ڈایاگرام
سیٹ اپ کے مراحل:
- ڈیوائس پری کنفیگریشن۔ نام، مینجمنٹ IP ایڈریس، جامد راستے، منتظم اکاؤنٹس، انتظامی پروفائلز کی ترتیب
- لائسنس انسٹال کرنا، اپ ڈیٹس کو ترتیب دینا اور انسٹال کرنا
- سیکیورٹی زونز، نیٹ ورک انٹرفیس، ٹریفک پالیسیاں، ایڈریس کا ترجمہ ترتیب دینا
- LDAP تصدیقی پروفائل اور صارف کی شناخت کی خصوصیت کو ترتیب دینا
- ایک SSL VPN ترتیب دینا
1. پیشگی ترتیب
پالو آلٹو نیٹ ورکس فائر وال کو ترتیب دینے کا اہم ٹول ویب انٹرفیس ہے؛ CLI کے ذریعے انتظام بھی ممکن ہے۔ بطور ڈیفالٹ، مینجمنٹ انٹرفیس IP ایڈریس 192.168.1.1/24، لاگ ان: ایڈمن، پاس ورڈ: ایڈمن پر سیٹ ہے۔
آپ ایڈریس کو یا تو اسی نیٹ ورک سے ویب انٹرفیس سے منسلک کرکے، یا کمانڈ استعمال کرکے تبدیل کرسکتے ہیں۔ ڈیوائس کنفگ سسٹم کا آئی پی ایڈریس <> نیٹ ماسک <> سیٹ کریں۔. یہ کنفیگریشن موڈ میں انجام دیا جاتا ہے۔ کنفیگریشن موڈ پر جانے کے لیے، کمانڈ استعمال کریں۔ ترتیب دیں. فائر وال میں تمام تبدیلیاں کمانڈ کے ذریعے سیٹنگز کی تصدیق کے بعد ہی ہوتی ہیں۔ وعدہ کرناکمانڈ لائن موڈ اور ویب انٹرفیس دونوں میں۔
ویب انٹرفیس میں سیٹنگز کو تبدیل کرنے کے لیے سیکشن کا استعمال کریں۔ ڈیوائس -> جنرل سیٹنگز اور ڈیوائس -> مینجمنٹ انٹرفیس سیٹنگز۔ نام، بینرز، ٹائم زون اور دیگر سیٹنگز کو جنرل سیٹنگز سیکشن (تصویر 2) میں سیٹ کیا جا سکتا ہے۔
شکل 2 - مینجمنٹ انٹرفیس کے پیرامیٹرز
اگر آپ ESXi ماحول میں ورچوئل فائر وال استعمال کرتے ہیں، تو جنرل سیٹنگز سیکشن میں آپ کو ہائپر وائزر کے ذریعے تفویض کردہ MAC ایڈریس کے استعمال کو فعال کرنے کی ضرورت ہے، یا ہائپر وائزر پر فائر وال انٹرفیس پر مخصوص کردہ MAC ایڈریس کو کنفیگر کرنے کی ضرورت ہے، یا کی ترتیبات کو تبدیل کرنا ہوگا۔ مجازی سوئچز MAC کو ایڈریس تبدیل کرنے کی اجازت دیتا ہے۔ بصورت دیگر وہاں سے ٹریفک نہیں گزرے گی۔
مینجمنٹ انٹرفیس الگ سے ترتیب دیا گیا ہے اور نیٹ ورک انٹرفیس کی فہرست میں ظاہر نہیں ہوتا ہے۔ باب میں مینجمنٹ انٹرفیس کی ترتیبات مینجمنٹ انٹرفیس کے لیے پہلے سے طے شدہ گیٹ وے کی وضاحت کرتا ہے۔ دیگر جامد راستوں کو ورچوئل راؤٹرز سیکشن میں ترتیب دیا گیا ہے؛ اس پر بعد میں بات کی جائے گی۔
دوسرے انٹرفیس کے ذریعے آلہ تک رسائی کی اجازت دینے کے لیے، آپ کو ایک انتظامی پروفائل بنانا چاہیے۔ مینجمنٹ پروفائل حصے نیٹ ورک -> نیٹ ورک پروفائلز -> انٹرفیس Mgmt اور اسے مناسب انٹرفیس پر تفویض کریں۔
اگلا، آپ کو سیکشن میں DNS اور NTP کو ترتیب دینے کی ضرورت ہے۔ ڈیوائس -> سروسز اپ ڈیٹس حاصل کرنے اور وقت کو صحیح طریقے سے ظاہر کرنے کے لیے (تصویر 3)۔ پہلے سے طے شدہ طور پر، فائر وال کے ذریعہ تیار کردہ تمام ٹریفک مینجمنٹ انٹرفیس IP ایڈریس کو اپنے ماخذ IP ایڈریس کے طور پر استعمال کرتی ہے۔ آپ سیکشن میں ہر مخصوص سروس کے لیے ایک مختلف انٹرفیس تفویض کر سکتے ہیں۔ سروس روٹ کنفیگریشن.
شکل 3 - DNS، NTP اور سسٹم روٹس سروس پیرامیٹرز
2. لائسنس انسٹال کرنا، اپ ڈیٹس کو ترتیب دینا اور انسٹال کرنا
فائر وال کے تمام افعال کے مکمل آپریشن کے لیے، آپ کو ایک لائسنس انسٹال کرنا ہوگا۔ آپ پالو آلٹو نیٹ ورکس پارٹنرز سے درخواست کر کے آزمائشی لائسنس استعمال کر سکتے ہیں۔ اس کی میعاد 30 دن ہے۔ لائسنس یا تو فائل کے ذریعے یا Auth-Code کا استعمال کرتے ہوئے چالو کیا جاتا ہے۔ لائسنس کو سیکشن میں ترتیب دیا گیا ہے۔ ڈیوائس -> لائسنس (اندراج 4).
لائسنس انسٹال کرنے کے بعد، آپ کو سیکشن میں اپ ڈیٹس کی انسٹالیشن کو کنفیگر کرنے کی ضرورت ہے۔ ڈیوائس -> متحرک اپ ڈیٹس.
کے حصے میں ڈیوائس -> سافٹ ویئر آپ PAN-OS کے نئے ورژن ڈاؤن لوڈ اور انسٹال کر سکتے ہیں۔
شکل 4 - لائسنس کنٹرول پینل
3. سیکیورٹی زونز، نیٹ ورک انٹرفیس، ٹریفک پالیسیاں، ایڈریس کا ترجمہ ترتیب دینا
پالو آلٹو نیٹ ورکس فائر والز نیٹ ورک کے قوانین کو ترتیب دیتے وقت زون منطق کا استعمال کرتے ہیں۔ نیٹ ورک انٹرفیس کو ایک مخصوص زون میں تفویض کیا جاتا ہے، اور یہ زون ٹریفک قوانین میں استعمال ہوتا ہے۔ یہ نقطہ نظر مستقبل میں، انٹرفیس کی ترتیبات کو تبدیل کرنے کی اجازت دیتا ہے، ٹریفک کے قوانین کو تبدیل کرنے کی نہیں، بلکہ اس کے بجائے ضروری انٹرفیس کو مناسب زون میں دوبارہ تفویض کرنے کی اجازت دیتا ہے۔ پہلے سے طے شدہ طور پر، ایک زون کے اندر ٹریفک کی اجازت ہے، زون کے درمیان ٹریفک ممنوع ہے، پہلے سے طے شدہ قوانین اس کے ذمہ دار ہیں انٹرا زون ڈیفالٹ и انٹر زون ڈیفالٹ.
شکل 5 – حفاظتی زون
اس مثال میں، اندرونی نیٹ ورک پر ایک انٹرفیس زون کو تفویض کیا گیا ہے۔ اندرونی، اور انٹرنیٹ کا سامنا کرنے والا انٹرفیس زون کو تفویض کیا گیا ہے۔ بیرونی. SSL VPN کے لیے، ایک ٹنل انٹرفیس بنایا گیا ہے اور زون کو تفویض کیا گیا ہے۔ ویپیین (اندراج 5).
پالو آلٹو نیٹ ورکس فائر وال نیٹ ورک انٹرفیس پانچ مختلف طریقوں میں کام کر سکتے ہیں:
- ٹیپ - نگرانی اور تجزیہ کے مقاصد کے لیے ٹریفک جمع کرنے کے لیے استعمال کیا جاتا ہے۔
- HA - کلسٹر آپریشن کے لیے استعمال کیا جاتا ہے۔
- ورچوئل وائر - اس موڈ میں، پالو آلٹو نیٹ ورکس دو انٹرفیس کو جوڑتا ہے اور MAC اور IP ایڈریس کو تبدیل کیے بغیر شفاف طریقے سے ٹریفک کو ان کے درمیان منتقل کرتا ہے۔
- لیئر ایکس اینوم ایکس۔ - سوئچ موڈ
- لیئر ایکس اینوم ایکس۔ - راؤٹر موڈ
شکل 6 - انٹرفیس آپریٹنگ موڈ سیٹ کرنا
اس مثال میں، Layer3 موڈ استعمال کیا جائے گا (تصویر 6)۔ نیٹ ورک انٹرفیس کے پیرامیٹرز IP ایڈریس، آپریٹنگ موڈ اور متعلقہ سیکیورٹی زون کی نشاندہی کرتے ہیں۔ انٹرفیس کے آپریٹنگ موڈ کے علاوہ، آپ کو اسے ورچوئل راؤٹر ورچوئل راؤٹر کو تفویض کرنا ہوگا، یہ پالو آلٹو نیٹ ورکس میں VRF مثال کا ایک اینالاگ ہے۔ ورچوئل راؤٹرز ایک دوسرے سے الگ تھلگ ہیں اور ان کی اپنی روٹنگ ٹیبلز اور نیٹ ورک پروٹوکول سیٹنگز ہیں۔
ورچوئل راؤٹر کی ترتیبات جامد راستوں اور روٹنگ پروٹوکول کی ترتیبات کی وضاحت کرتی ہیں۔ اس مثال میں، بیرونی نیٹ ورکس تک رسائی کے لیے صرف ایک طے شدہ راستہ بنایا گیا ہے (تصویر 7)۔
شکل 7 - ورچوئل راؤٹر سیٹ اپ کرنا
ترتیب کا اگلا مرحلہ ٹریفک پالیسیاں، سیکشن ہے۔ پالیسیاں -> سیکیورٹی. ترتیب کی ایک مثال شکل 8 میں دکھائی گئی ہے۔ قواعد کی منطق تمام فائر والز کی طرح ہی ہے۔ قواعد کو اوپر سے نیچے تک، پہلے میچ تک چیک کیا جاتا ہے۔ قواعد کی مختصر وضاحت:
1. SSL VPN ویب پورٹل تک رسائی۔ ریموٹ کنکشن کی توثیق کرنے کے لیے ویب پورٹل تک رسائی کی اجازت دیتا ہے۔
2. VPN ٹریفک - ریموٹ کنکشن اور ہیڈ آفس کے درمیان ٹریفک کی اجازت دیتا ہے۔
3. بنیادی انٹرنیٹ - ڈی این ایس، پنگ، ٹریسروٹ، این ٹی پی ایپلی کیشنز کی اجازت دیتا ہے۔ فائر وال پورٹ نمبرز اور پروٹوکول کی بجائے دستخطوں، ضابطہ کشائی اور ہیورسٹکس پر مبنی ایپلی کیشنز کی اجازت دیتا ہے، یہی وجہ ہے کہ سروس سیکشن ایپلی کیشن ڈیفالٹ کہتا ہے۔ اس ایپلیکیشن کے لیے ڈیفالٹ پورٹ/پروٹوکول
4. ویب رسائی - ایپلیکیشن کنٹرول کے بغیر HTTP اور HTTPS پروٹوکول کے ذریعے انٹرنیٹ تک رسائی کی اجازت دینا
5,6 دیگر ٹریفک کے لیے پہلے سے طے شدہ اصول۔
شکل 8 — نیٹ ورک کے قوانین ترتیب دینے کی مثال
NAT کو ترتیب دینے کے لیے، سیکشن کا استعمال کریں۔ پالیسیاں -> NAT. NAT ترتیب کی ایک مثال تصویر 9 میں دکھائی گئی ہے۔
شکل 9 - NAT کنفیگریشن کی مثال
اندرونی سے بیرونی تک کسی بھی ٹریفک کے لیے، آپ سورس ایڈریس کو فائر وال کے بیرونی IP ایڈریس میں تبدیل کر سکتے ہیں اور ڈائنامک پورٹ ایڈریس (PAT) استعمال کر سکتے ہیں۔
4. LDAP تصدیقی پروفائل اور صارف کی شناخت کے فنکشن کو ترتیب دینا
صارفین کو SSL-VPN کے ذریعے مربوط کرنے سے پہلے، آپ کو ایک تصدیقی طریقہ کار ترتیب دینے کی ضرورت ہے۔ اس مثال میں، توثیق ایکٹو ڈائرکٹری ڈومین کنٹرولر کو پالو آلٹو نیٹ ورکس ویب انٹرفیس کے ذریعے ہو گی۔
شکل 10 – LDAP پروفائل
تصدیق کے کام کرنے کے لیے، آپ کو کنفیگر کرنے کی ضرورت ہے۔ LDAP پروفائل и تصدیقی پروفائل. سیکشن میں ڈیوائس -> سرور پروفائلز -> LDAP (تصویر 10) آپ کو گروپوں میں شامل ڈومین کنٹرولر کا IP ایڈریس اور پورٹ، LDAP کی قسم اور صارف اکاؤنٹ بتانے کی ضرورت ہے۔ سرور آپریٹرز, ایونٹ لاگ ریڈرز, تقسیم شدہ COM صارفین. پھر سیکشن میں ڈیوائس -> تصدیقی پروفائل ایک تصدیقی پروفائل بنائیں (تصویر 11)، پہلے بنائے گئے کو نشان زد کریں۔ LDAP پروفائل اور ایڈوانسڈ ٹیب میں ہم صارفین کے گروپ کی نشاندہی کرتے ہیں (تصویر 12) جنہیں ریموٹ رسائی کی اجازت ہے۔ اپنے پروفائل میں پیرامیٹر کو نوٹ کرنا ضروری ہے۔ صارف ڈومینبصورت دیگر گروپ کی بنیاد پر اجازت کام نہیں کرے گی۔ فیلڈ میں NetBIOS ڈومین نام کی نشاندہی کرنا ضروری ہے۔
تصویر 11 - تصدیقی پروفائل
شکل 12 - AD گروپ کا انتخاب
اگلا مرحلہ سیٹ اپ ہے۔ ڈیوائس -> صارف کی شناخت. یہاں آپ کو ڈومین کنٹرولر کا IP ایڈریس، کنکشن کی اسناد، اور ترتیبات کو بھی ترتیب دینے کی ضرورت ہے۔ سیکیورٹی لاگ کو فعال کریں۔, سیشن کو فعال کریں۔, پروبنگ کو فعال کریں۔ (تصویر 13)۔ باب میں گروپ میپنگ (تصویر 14) آپ کو ایل ڈی اے پی میں اشیاء کی شناخت کے لیے پیرامیٹرز اور ان گروپس کی فہرست کو نوٹ کرنے کی ضرورت ہے جو اجازت کے لیے استعمال کیے جائیں گے۔ بالکل اسی طرح جیسے تصدیقی پروفائل میں، یہاں آپ کو یوزر ڈومین پیرامیٹر سیٹ کرنے کی ضرورت ہے۔
شکل 13 - صارف کی نقشہ سازی کے پیرامیٹرز
شکل 14 - گروپ میپنگ کے پیرامیٹرز
اس مرحلے کا آخری مرحلہ ایک VPN زون اور اس زون کے لیے ایک انٹرفیس بنانا ہے۔ آپ کو انٹرفیس پر آپشن کو فعال کرنے کی ضرورت ہے۔ صارف کی شناخت کو فعال کریں۔ (اندراج 15).
شکل 15 - VPN زون قائم کرنا
5. SSL VPN ترتیب دینا
SSL VPN سے منسلک ہونے سے پہلے، ریموٹ صارف کو ویب پورٹل پر جانا چاہیے، گلوبل پروٹیکٹ کلائنٹ کی تصدیق اور ڈاؤن لوڈ کرنا چاہیے۔ اگلا، یہ کلائنٹ اسناد کی درخواست کرے گا اور کارپوریٹ نیٹ ورک سے جڑ جائے گا۔ ویب پورٹل https موڈ میں کام کرتا ہے اور اس کے مطابق، آپ کو اس کے لیے سرٹیفکیٹ انسٹال کرنے کی ضرورت ہے۔ اگر ممکن ہو تو عوامی سرٹیفکیٹ استعمال کریں۔ تب صارف کو سائٹ پر سرٹیفکیٹ کے غلط ہونے کے بارے میں انتباہ نہیں ملے گا۔ اگر عوامی سرٹیفکیٹ استعمال کرنا ممکن نہیں ہے، تو آپ کو اپنا جاری کرنا ہوگا، جو https کے لیے ویب صفحہ پر استعمال ہوگا۔ اسے مقامی سرٹیفکیٹ اتھارٹی کے ذریعے خود دستخط یا جاری کیا جاسکتا ہے۔ ریموٹ کمپیوٹر کے پاس قابل اعتماد روٹ اتھارٹیز کی فہرست میں روٹ یا خود دستخط شدہ سرٹیفکیٹ ہونا ضروری ہے تاکہ صارف کو ویب پورٹل سے منسلک ہونے پر کوئی غلطی نہ ہو۔ یہ مثال ایکٹیو ڈائرکٹری سرٹیفکیٹ سروسز کے ذریعے جاری کردہ سرٹیفکیٹ کا استعمال کرے گی۔
سرٹیفکیٹ جاری کرنے کے لیے، آپ کو سیکشن میں سرٹیفکیٹ کی درخواست بنانے کی ضرورت ہے۔ ڈیوائس -> سرٹیفکیٹ مینجمنٹ -> سرٹیفکیٹ -> تیار کریں۔. درخواست میں ہم سرٹیفکیٹ کا نام اور ویب پورٹل کا IP ایڈریس یا FQDN بتاتے ہیں (تصویر 16)۔ درخواست تیار کرنے کے بعد، ڈاؤن لوڈ کریں۔ .csr فائل کریں اور اس کے مواد کو AD CS ویب انرولمنٹ ویب فارم میں سرٹیفکیٹ کی درخواست کے خانے میں کاپی کریں۔ سرٹیفکیٹ اتھارٹی کی تشکیل کے طریقہ پر منحصر ہے، سرٹیفکیٹ کی درخواست کو منظور کیا جانا چاہیے اور جاری کردہ سرٹیفکیٹ کو فارمیٹ میں ڈاؤن لوڈ کیا جانا چاہیے۔ Base64 انکوڈ شدہ سرٹیفکیٹ. مزید برآں، آپ کو سرٹیفیکیشن اتھارٹی کا روٹ سرٹیفکیٹ ڈاؤن لوڈ کرنے کی ضرورت ہے۔ پھر آپ کو فائر وال میں دونوں سرٹیفکیٹ درآمد کرنے کی ضرورت ہے۔ ویب پورٹل کے لیے سرٹیفکیٹ درآمد کرتے وقت، آپ کو زیر التواء حالت میں درخواست کو منتخب کرنا چاہیے اور درآمد پر کلک کرنا چاہیے۔ سرٹیفکیٹ کا نام درخواست میں پہلے بیان کردہ نام سے مماثل ہونا چاہیے۔ روٹ سرٹیفکیٹ کا نام من مانی طور پر بیان کیا جا سکتا ہے۔ سرٹیفکیٹ درآمد کرنے کے بعد، آپ کو بنانے کی ضرورت ہے۔ SSL/TLS سروس پروفائل حصے ڈیوائس -> سرٹیفکیٹ مینجمنٹ. پروفائل میں ہم پہلے سے درآمد شدہ سرٹیفکیٹ کی نشاندہی کرتے ہیں۔
شکل 16 - سرٹیفکیٹ کی درخواست
اگلا مرحلہ اشیاء کو ترتیب دے رہا ہے۔ گلوبل پروٹیکٹ گیٹ وے и گلوبل پروٹیکٹ پورٹل حصے نیٹ ورک -> گلوبل پروٹیکٹ. ترتیبات میں گلوبل پروٹیکٹ گیٹ وے فائر وال کے بیرونی آئی پی ایڈریس کی نشاندہی کریں، اور ساتھ ہی پہلے بنایا گیا تھا۔ SSL پروفائل, تصدیقی پروفائل، ٹنل انٹرفیس اور کلائنٹ آئی پی کی ترتیبات۔ آپ کو IP پتوں کے ایک پول کی وضاحت کرنے کی ضرورت ہے جہاں سے ایڈریس کلائنٹ کو تفویض کیا جائے گا، اور رسائی کا راستہ - یہ سب نیٹس ہیں جن پر کلائنٹ کا راستہ ہوگا۔ اگر کام تمام صارف ٹریفک کو فائر وال کے ذریعے سمیٹنا ہے، تو آپ کو ذیلی نیٹ 0.0.0.0/0 (تصویر 17) کی وضاحت کرنے کی ضرورت ہے۔
شکل 17 - IP پتوں اور راستوں کا ایک تالاب ترتیب دینا
پھر آپ کو ترتیب دینے کی ضرورت ہے۔ گلوبل پروٹیکٹ پورٹل. فائر وال کے آئی پی ایڈریس کی وضاحت کریں، SSL پروفائل и تصدیقی پروفائل اور فائر والز کے بیرونی IP پتوں کی فہرست جس سے کلائنٹ جڑے گا۔ اگر متعدد فائر والز ہیں، تو آپ ہر ایک کے لیے ایک ترجیح مقرر کر سکتے ہیں، جس کے مطابق صارف منسلک ہونے کے لیے فائر وال کا انتخاب کریں گے۔
کے حصے میں ڈیوائس -> گلوبل پروٹیکٹ کلائنٹ آپ کو Palo Alto نیٹ ورکس سرورز سے VPN کلائنٹ ڈسٹری بیوشن ڈاؤن لوڈ کرنے اور اسے فعال کرنے کی ضرورت ہے۔ کنیکٹ کرنے کے لیے، صارف کو پورٹل کے ویب پیج پر جانا چاہیے، جہاں سے اسے ڈاؤن لوڈ کرنے کے لیے کہا جائے گا۔ گلوبل پروٹیکٹ کلائنٹ. ڈاؤن لوڈ اور انسٹال ہونے کے بعد، آپ اپنی اسناد درج کر سکتے ہیں اور SSL VPN کے ذریعے اپنے کارپوریٹ نیٹ ورک سے جڑ سکتے ہیں۔
حاصل يہ ہوا
یہ سیٹ اپ کا پالو آلٹو نیٹ ورکس حصہ مکمل کرتا ہے۔ ہمیں امید ہے کہ معلومات کارآمد تھیں اور قاری نے پالو آلٹو نیٹ ورکس میں استعمال کی جانے والی ٹیکنالوجیز کی سمجھ حاصل کر لی۔ اگر آپ کے پاس مستقبل کے مضامین کے موضوعات پر سیٹ اپ اور تجاویز کے بارے میں سوالات ہیں، تو انہیں تبصروں میں لکھیں، ہمیں جواب دینے میں خوشی ہوگی۔
ماخذ: www.habr.com