Palo Alto Networks xavfsizlik devorlarining barcha afzalliklariga qaramay, RuNet-da ushbu qurilmalarni o'rnatish bo'yicha juda ko'p materiallar, shuningdek ularni amalga oshirish tajribasini tavsiflovchi matnlar mavjud emas. Biz ushbu sotuvchining uskunasi bilan ishlashimiz davomida to'plangan materiallarni umumlashtirishga va turli loyihalarni amalga oshirish jarayonida duch kelgan xususiyatlar haqida gapirishga qaror qildik.
Sizni Palo Alto Networks bilan tanishtirish uchun ushbu maqola xavfsizlik devorining eng keng tarqalgan muammolaridan birini - masofaviy kirish uchun SSL VPNni hal qilish uchun zarur bo'lgan konfiguratsiyani ko'rib chiqadi. Shuningdek, xavfsizlik devorining umumiy konfiguratsiyasi, foydalanuvchi identifikatsiyasi, ilovalar va xavfsizlik siyosatlari uchun yordamchi dasturlar haqida ham gaplashamiz. Agar mavzu o'quvchilarni qiziqtirsa, kelajakda biz saytdan saytga VPN, dinamik marshrutlash va Panorama yordamida markazlashtirilgan boshqaruvni tahlil qiluvchi materiallarni chiqaramiz.
Palo Alto Networks xavfsizlik devorlari bir qator innovatsion texnologiyalardan foydalanadi, jumladan App-ID, User-ID, Content-ID. Ushbu funksiyadan foydalanish yuqori darajadagi xavfsizlikni ta'minlash imkonini beradi. Masalan, App-ID yordamida foydalanilgan port va protokoldan qat'i nazar, imzolar, dekodlash va evristika asosida dastur trafigini, shu jumladan SSL tunnel ichida aniqlash mumkin. User-ID LDAP integratsiyasi orqali tarmoq foydalanuvchilarini aniqlash imkonini beradi. Content-ID trafikni skanerlash va uzatilgan fayllar va ularning mazmunini aniqlash imkonini beradi. Xavfsizlik devorining boshqa funktsiyalariga hujumdan himoya qilish, zaifliklardan va DoS hujumlaridan himoya qilish, o'rnatilgan josuslarga qarshi dastur, URL filtrlash, klasterlash va markazlashtirilgan boshqaruv kiradi.
Namoyish uchun biz qurilma nomlari, AD domen nomi va IP manzillari bundan mustasno, konfiguratsiyasi haqiqiyga o'xshash bo'lgan izolyatsiyalangan stenddan foydalanamiz. Aslida, hamma narsa murakkabroq - ko'plab filiallar bo'lishi mumkin. Bunday holda, bitta xavfsizlik devori o'rniga markaziy saytlar chegaralarida klaster o'rnatiladi va dinamik marshrutlash ham talab qilinishi mumkin.
Stendda ishlatiladi PAN-OS 7.1.9. Oddiy konfiguratsiya sifatida chekkasida Palo Alto Networks xavfsizlik devori bo'lgan tarmoqni ko'rib chiqing. Xavfsizlik devori bosh ofisga masofaviy SSL VPN kirish imkonini beradi. Foydalanuvchilar ma'lumotlar bazasi sifatida Active Directory domenidan foydalaniladi (1-rasm).
1-rasm – Tarmoq blok diagrammasi
O'rnatish bosqichlari:
- Qurilmani oldindan sozlash. Ismni, boshqaruv IP-manzilini, statik marshrutlarni, administrator hisoblarini, boshqaruv profillarini sozlash
- Litsenziyalarni o'rnatish, yangilanishlarni sozlash va o'rnatish
- Xavfsizlik zonalarini, tarmoq interfeyslarini, transport siyosatini, manzillarni tarjima qilishni sozlash
- LDAP autentifikatsiya profili va foydalanuvchini identifikatsiya qilish funksiyasini sozlash
- SSL VPN o'rnatilmoqda
1. Oldindan o'rnatilgan
Palo Alto Networks xavfsizlik devorini sozlash uchun asosiy vosita veb-interfeysdir; CLI orqali boshqarish ham mumkin. Odatiy bo'lib, boshqaruv interfeysi 192.168.1.1/24 IP manziliga o'rnatiladi, login: admin, parol: admin.
Siz manzilni bir xil tarmoqdan veb-interfeysga ulanish orqali yoki buyruq yordamida o'zgartirishingiz mumkin qurilma konfiguratsiyasi tizimining ip-manzilini o'rnating <> tarmoq niqobi <>. U konfiguratsiya rejimida amalga oshiriladi. Konfiguratsiya rejimiga o'tish uchun buyruqdan foydalaning yapılandırır. Xavfsizlik devoridagi barcha o'zgarishlar faqat sozlamalar buyruq bilan tasdiqlanganidan keyin sodir bo'ladi majburiyat, ham buyruq qatori rejimida, ham veb-interfeysda.
Veb-interfeysdagi sozlamalarni o'zgartirish uchun bo'limdan foydalaning Qurilma -> Umumiy sozlamalar va Qurilma -> Boshqaruv interfeysi sozlamalari. Nom, bannerlar, vaqt mintaqasi va boshqa sozlamalar Umumiy sozlamalar bo'limida o'rnatilishi mumkin (2-rasm).
2-rasm - Boshqaruv interfeysi parametrlari
Agar siz ESXi muhitida virtual xavfsizlik devoridan foydalansangiz, “Umumiy sozlamalar” bo‘limida siz gipervisor tomonidan tayinlangan MAC manzilidan foydalanishni yoqishingiz yoki gipervisordagi xavfsizlik devori interfeyslarida ko‘rsatilgan MAC manzillarini sozlashingiz yoki sozlamalarni o‘zgartirishingiz kerak. MAC manzillarni o'zgartirishga ruxsat berish uchun virtual kalitlar. Aks holda, transport o'tmaydi.
Boshqaruv interfeysi alohida sozlangan va tarmoq interfeyslari ro'yxatida ko'rsatilmaydi. Bobda Boshqaruv interfeysi sozlamalari boshqaruv interfeysi uchun standart shlyuzni belgilaydi. Boshqa statik marshrutlar virtual routerlar bo'limida sozlangan; bu haqda keyinroq muhokama qilinadi.
Qurilmaga boshqa interfeyslar orqali kirishga ruxsat berish uchun siz boshqaruv profilini yaratishingiz kerak Boshqaruv profili bo'lim Tarmoq -> Tarmoq profillari -> Interfeys Mgmt va uni tegishli interfeysga tayinlang.
Keyinchalik, bo'limda DNS va NTP ni sozlashingiz kerak Qurilma -> Xizmatlar yangilanishlarni qabul qilish va vaqtni to'g'ri ko'rsatish uchun (3-rasm). Odatiy bo'lib, xavfsizlik devori tomonidan yaratilgan barcha trafik manba IP manzili sifatida boshqaruv interfeysi IP manzilidan foydalanadi. Bo'limdagi har bir maxsus xizmat uchun boshqa interfeysni belgilashingiz mumkin Xizmat marshruti konfiguratsiyasi.
3-rasm - DNS, NTP va tizim marshrutlari xizmat ko'rsatish parametrlari
2. Litsenziyalarni o'rnatish, yangilanishlarni sozlash va o'rnatish
Barcha xavfsizlik devori funktsiyalarining to'liq ishlashi uchun siz litsenziyani o'rnatishingiz kerak. Sinov litsenziyasidan Palo Alto Networks hamkorlaridan talab qilib foydalanishingiz mumkin. Uning amal qilish muddati 30 kun. Litsenziya fayl orqali yoki autentifikatsiya kodi yordamida faollashtiriladi. Litsenziyalar bo'limda sozlangan Qurilma -> Litsenziyalar (Fig. 4).
Litsenziyani o'rnatganingizdan so'ng, bo'limda yangilanishlarni o'rnatishni sozlashingiz kerak Qurilma -> Dinamik yangilanishlar.
bo'lim Qurilma -> Dasturiy ta'minot PAN-OS ning yangi versiyalarini yuklab olishingiz va o'rnatishingiz mumkin.
4-rasm – Litsenziyani boshqarish paneli
3. Xavfsizlik zonalarini, tarmoq interfeyslarini, transport siyosatini, manzillarni tarjima qilishni sozlash
Palo Alto Networks xavfsizlik devorlari tarmoq qoidalarini sozlashda zona mantig'idan foydalanadi. Tarmoq interfeyslari ma'lum bir zonaga tayinlangan va bu zona yo'l harakati qoidalarida qo'llaniladi. Ushbu yondashuv kelajakda interfeys sozlamalarini o'zgartirganda, yo'l harakati qoidalarini o'zgartirishga emas, balki kerakli interfeyslarni tegishli zonalarga qayta belgilashga imkon beradi. Odatiy bo'lib, zona ichidagi transportga ruxsat beriladi, zonalar orasidagi harakat taqiqlanadi, buning uchun oldindan belgilangan qoidalar javobgardir. intrazona - standart и zonalararo - standart.
5-rasm - Xavfsizlik zonalari
Ushbu misolda ichki tarmoqdagi interfeys zonaga tayinlangan ichki, va Internetga qaragan interfeys zonaga tayinlangan tashqi. SSL VPN uchun tunnel interfeysi yaratilgan va zonaga tayinlangan VPN (Fig. 5).
Palo Alto Networks xavfsizlik devori tarmoq interfeyslari besh xil rejimda ishlashi mumkin:
- jo'mrak – monitoring va tahlil qilish maqsadida trafikni yig‘ish uchun foydalaniladi
- HA – klaster ishlashi uchun foydalaniladi
- Virtual sim - bu rejimda Palo Alto Networks ikkita interfeysni birlashtiradi va MAC va IP manzillarini o'zgartirmasdan ular orasidagi trafikni shaffof tarzda o'tkazadi.
- Layer2 - almashtirish rejimi
- Layer3 - router rejimi
6-rasm – Interfeys ish rejimini sozlash
Bu misolda Layer3 rejimidan foydalaniladi (6-rasm). Tarmoq interfeysi parametrlari IP manzilini, ish rejimini va tegishli xavfsizlik zonasini ko'rsatadi. Interfeysning ishlash rejimiga qo'shimcha ravishda, siz uni Virtual Router virtual routeriga belgilashingiz kerak, bu Palo Alto Networks-dagi VRF nusxasining analogidir. Virtual marshrutizatorlar bir-biridan ajratilgan va o'zlarining marshrutlash jadvallari va tarmoq protokoli sozlamalariga ega.
Virtual router sozlamalari statik marshrutlar va marshrutlash protokoli sozlamalarini belgilaydi. Ushbu misolda tashqi tarmoqlarga kirish uchun faqat standart marshrut yaratilgan (7-rasm).
7-rasm – Virtual routerni sozlash
Keyingi konfiguratsiya bosqichi - bu transport siyosati, bo'lim Siyosat -> Xavfsizlik. Konfiguratsiyaga misol 8-rasmda ko'rsatilgan. Qoidalarning mantig'i barcha xavfsizlik devorlari bilan bir xil. Qoidalar yuqoridan pastgacha, birinchi o'yingacha tekshiriladi. Qoidalarning qisqacha tavsifi:
1. Veb-portalga SSL VPN kirish. Masofaviy ulanishlarni autentifikatsiya qilish uchun veb-portalga kirishga ruxsat beradi
2. VPN trafigi - masofaviy ulanishlar va bosh ofis o'rtasidagi trafikni ta'minlash
3. Asosiy Internet - dns, ping, traceroute, ntp ilovalariga ruxsat berish. Xavfsizlik devori port raqamlari va protokollari o'rniga imzo, dekodlash va evristikaga asoslangan ilovalarga ruxsat beradi, shuning uchun Xizmat bo'limida dastur-standart deb aytiladi. Ushbu ilova uchun standart port/protokol
4. Web Access – ilova nazoratisiz HTTP va HTTPS protokollari orqali Internetga kirishga ruxsat berish
5,6. Boshqa trafik uchun standart qoidalar.
8-rasm - Tarmoq qoidalarini sozlash misoli
NAT-ni sozlash uchun bo'limdan foydalaning Qoidalar -> NAT. NAT konfiguratsiyasiga misol 9-rasmda ko'rsatilgan.
9-rasm - NAT konfiguratsiyasiga misol
Ichkidan tashqi tomonga har qanday trafik uchun siz manba manzilini xavfsizlik devorining tashqi IP manziliga o'zgartirishingiz va dinamik port manzilidan (PAT) foydalanishingiz mumkin.
4. LDAP autentifikatsiya profili va foydalanuvchini identifikatsiya qilish funksiyasini sozlash
Foydalanuvchilarni SSL-VPN orqali ulashdan oldin siz autentifikatsiya mexanizmini sozlashingiz kerak. Ushbu misolda, Palo Alto Networks veb-interfeysi orqali Active Directory domen boshqaruvchisida autentifikatsiya amalga oshiriladi.
10-rasm – LDAP profili
Autentifikatsiya ishlashi uchun siz sozlashingiz kerak LDAP profili и Autentifikatsiya profili. Bo'limda Qurilma -> Server profillari -> LDAP (10-rasm) siz guruhlarga kiritilgan domen boshqaruvchisining IP manzili va portini, LDAP turini va foydalanuvchi hisobini ko'rsatishingiz kerak. Server operatorlari, Voqealar jurnalini o'qiydiganlar, Tarqalgan COM foydalanuvchilari. Keyin bo'limda Qurilma -> Autentifikatsiya profili autentifikatsiya profilini yarating (11-rasm), avval yaratilganini belgilang LDAP profili va Kengaytirilgan yorlig'ida biz masofadan kirishga ruxsat berilgan foydalanuvchilar guruhini (12-rasm) ko'rsatamiz. Profilingizdagi parametrga e'tibor berish muhimdir Foydalanuvchi domeni, aks holda guruhga asoslangan avtorizatsiya ishlamaydi. Maydonda NetBIOS domen nomi ko'rsatilishi kerak.
11-rasm – Autentifikatsiya profili
12-rasm - AD guruhini tanlash
Keyingi bosqich - sozlash Qurilma -> Foydalanuvchi identifikatsiyasi. Bu erda siz domen boshqaruvchisining IP manzilini, ulanish hisob ma'lumotlarini ko'rsatishingiz, shuningdek sozlamalarni sozlashingiz kerak Xavfsizlik jurnalini yoqish, Sessiyani yoqish, Tekshirishni yoqish (13-rasm). Bobda Guruh xaritasi (14-rasm) LDAP-dagi ob'ektlarni aniqlash parametrlarini va avtorizatsiya uchun foydalaniladigan guruhlar ro'yxatini qayd etishingiz kerak. Autentifikatsiya profilida bo'lgani kabi, bu erda ham foydalanuvchi domeni parametrini o'rnatishingiz kerak.
13-rasm – Foydalanuvchini xaritalash parametrlari
14-rasm - Guruhlarni xaritalash parametrlari
Ushbu bosqichdagi oxirgi qadam VPN zonasini va ushbu zona uchun interfeysni yaratishdir. Interfeysdagi variantni yoqishingiz kerak Foydalanuvchi identifikatsiyasini yoqish (Fig. 15).
15-rasm – VPN zonasini sozlash
5. SSL VPN ni sozlash
SSL VPN-ga ulanishdan oldin masofaviy foydalanuvchi veb-portalga o'tishi, autentifikatsiya qilish va Global Protect mijozini yuklab olishi kerak. Keyinchalik, ushbu mijoz hisob ma'lumotlarini so'raydi va korporativ tarmoqqa ulanadi. Veb-portal https rejimida ishlaydi va shunga mos ravishda siz buning uchun sertifikat o'rnatishingiz kerak. Iloji bo'lsa, umumiy sertifikatdan foydalaning. Keyin foydalanuvchi saytda sertifikatning yaroqsizligi haqida ogohlantirish olmaydi. Agar umumiy sertifikatdan foydalanish imkoni bo'lmasa, siz https uchun veb-sahifada ishlatiladigan o'zingizning sertifikatingizni berishingiz kerak. U o'z-o'zidan imzolanishi yoki mahalliy sertifikat organi orqali berilishi mumkin. Masofaviy kompyuter ishonchli ildiz organlari ro'yxatida ildiz yoki o'z-o'zidan imzolangan sertifikatga ega bo'lishi kerak, shunda foydalanuvchi veb-portalga ulanishda xatolikka yo'l qo'ymaydi. Ushbu misol Active Directory sertifikat xizmatlari orqali berilgan sertifikatdan foydalanadi.
Sertifikat berish uchun siz bo'limda sertifikat so'rovini yaratishingiz kerak Qurilma -> Sertifikatlarni boshqarish -> Sertifikatlar -> Yaratish. So'rovda biz sertifikat nomini va veb-portalning IP-manzilini yoki FQDN-ni ko'rsatamiz (16-rasm). So'rovni yaratgandan so'ng, yuklab oling .csr faylni oching va uning mazmunini AD CS Web Enrollment veb-shaklidagi sertifikat so'rovi maydoniga ko'chiring. Sertifikat organi qanday sozlanganiga qarab, sertifikat so'rovi tasdiqlanishi va berilgan sertifikat formatda yuklab olinishi kerak. Base64 kodlangan sertifikat. Bundan tashqari, sertifikatlashtirish organining ildiz sertifikatini yuklab olishingiz kerak. Keyin ikkala sertifikatni xavfsizlik devoriga import qilishingiz kerak. Veb-portal uchun sertifikatni import qilishda siz kutilayotgan holatda so'rovni tanlashingiz va import tugmasini bosishingiz kerak. Sertifikat nomi so'rovda ilgari ko'rsatilgan nomga mos kelishi kerak. Ildiz sertifikatining nomi o'zboshimchalik bilan ko'rsatilishi mumkin. Sertifikatni import qilgandan so'ng, siz yaratishingiz kerak SSL/TLS xizmat profili bo'lim Qurilma -> Sertifikatlarni boshqarish. Profilda biz ilgari import qilingan sertifikatni ko'rsatamiz.
16-rasm - Sertifikat so'rovi
Keyingi qadam ob'ektlarni o'rnatishdir Global himoya shlyuzi и Global himoya portali bo'lim Tarmoq -> Global himoya... Sozlamalarda Global himoya shlyuzi xavfsizlik devorining tashqi IP-manzilini, shuningdek avval yaratilganligini ko'rsating SSL profili, Autentifikatsiya profili, tunnel interfeysi va mijoz IP sozlamalari. Siz mijozga manzil tayinlanadigan IP-manzillar havzasini va kirish yo'lini belgilashingiz kerak - bular mijozning marshrutga ega bo'lgan pastki tarmoqlari. Agar vazifa barcha foydalanuvchi trafigini xavfsizlik devori orqali o'rash bo'lsa, u holda siz 0.0.0.0/0 pastki tarmoqni ko'rsatishingiz kerak (17-rasm).
17-rasm – IP manzillar va marshrutlar pulini sozlash
Keyin sozlashingiz kerak Global himoya portali. Xavfsizlik devorining IP manzilini ko'rsating, SSL profili и Autentifikatsiya profili va mijoz ulanadigan xavfsizlik devorlarining tashqi IP manzillari ro'yxati. Agar bir nechta xavfsizlik devori mavjud bo'lsa, siz har biri uchun ustuvorlikni belgilashingiz mumkin, unga ko'ra foydalanuvchilar ulanish uchun xavfsizlik devorini tanlaydi.
bo'lim Qurilma -> GlobalProtect mijozi Palo Alto Networks serverlaridan VPN mijoz tarqatilishini yuklab olishingiz va uni faollashtirishingiz kerak. Ulanish uchun foydalanuvchi portalning veb-sahifasiga o'tishi kerak, u erda undan yuklab olish so'raladi GlobalProtect mijozi. Yuklab olingan va o'rnatilgandan so'ng siz hisob ma'lumotlaringizni kiritishingiz va SSL VPN orqali korporativ tarmog'ingizga ulanishingiz mumkin.
xulosa
Bu sozlashning Palo Alto Networks qismini yakunlaydi. Umid qilamizki, ma'lumot foydali bo'ldi va o'quvchi Palo Alto Networks-da qo'llaniladigan texnologiyalar haqida tushunchaga ega bo'ldi. O'rnatish bo'yicha savollaringiz va kelgusi maqolalar uchun mavzular bo'yicha takliflaringiz bo'lsa, ularni sharhlarda yozing, biz javob berishdan mamnun bo'lamiz.
Manba: www.habr.com