Bất chấp tất cả những ưu điểm của tường lửa Palo Alto Networks, không có nhiều tài liệu trên RuNet về cách thiết lập các thiết bị này cũng như các văn bản mô tả trải nghiệm triển khai chúng. Chúng tôi quyết định tóm tắt những tài liệu chúng tôi đã tích lũy được trong quá trình làm việc với thiết bị của nhà cung cấp này và nói về những tính năng chúng tôi gặp phải trong quá trình thực hiện các dự án khác nhau.
Để giới thiệu với bạn về Palo Alto Networks, bài viết này sẽ xem xét cấu hình cần thiết để giải quyết một trong những vấn đề tường lửa phổ biến nhất - SSL VPN để truy cập từ xa. Chúng ta cũng sẽ nói về các chức năng tiện ích cho cấu hình tường lửa chung, nhận dạng người dùng, ứng dụng và chính sách bảo mật. Nếu chủ đề này được độc giả quan tâm, trong tương lai chúng tôi sẽ phát hành tài liệu phân tích VPN Site-to-Site, định tuyến động và quản lý tập trung bằng Toàn cảnh.
Tường lửa của Palo Alto Networks sử dụng một số công nghệ tiên tiến, bao gồm App-ID, User-ID, Content-ID. Việc sử dụng chức năng này cho phép bạn đảm bảo mức độ bảo mật cao. Ví dụ: với App-ID, có thể xác định lưu lượng truy cập ứng dụng dựa trên chữ ký, giải mã và chẩn đoán, bất kể cổng và giao thức được sử dụng, kể cả bên trong đường hầm SSL. User-ID cho phép bạn xác định người dùng mạng thông qua tích hợp LDAP. Content-ID cho phép quét lưu lượng truy cập và xác định các tệp được truyền cũng như nội dung của chúng. Các chức năng tường lửa khác bao gồm bảo vệ chống xâm nhập, bảo vệ chống lại các lỗ hổng và tấn công DoS, chống phần mềm gián điệp tích hợp, lọc URL, phân cụm và quản lý tập trung.
Để trình diễn, chúng tôi sẽ sử dụng một giá đỡ cách ly, có cấu hình giống hệt giá thật, ngoại trừ tên thiết bị, tên miền AD và địa chỉ IP. Trong thực tế, mọi thứ phức tạp hơn - có thể có nhiều nhánh. Trong trường hợp này, thay vì một tường lửa đơn lẻ, một cụm sẽ được cài đặt ở ranh giới của các trang trung tâm và việc định tuyến động cũng có thể được yêu cầu.
Được sử dụng trên giá đỡ PAN-OS 7.1.9. Là một cấu hình điển hình, hãy xem xét một mạng có tường lửa Palo Alto Networks ở biên. Tường lửa cung cấp quyền truy cập SSL VPN từ xa tới trụ sở chính. Miền Active Directory sẽ được sử dụng làm cơ sở dữ liệu người dùng (Hình 1).
Hình 1 - Sơ đồ khối mạng
Các bước thiết lập:
- Cấu hình trước thiết bị. Đặt tên, địa chỉ IP quản lý, tuyến tĩnh, tài khoản quản trị viên, hồ sơ quản lý
- Cài đặt giấy phép, cấu hình và cài đặt các bản cập nhật
- Cấu hình vùng bảo mật, giao diện mạng, chính sách lưu lượng, dịch địa chỉ
- Định cấu hình Hồ sơ xác thực LDAP và Tính năng nhận dạng người dùng
- Thiết lập SSL VPN
1. Đặt trước
Công cụ chính để cấu hình tường lửa Palo Alto Networks là giao diện web; cũng có thể quản lý thông qua CLI. Mặc định giao diện quản lý thiết lập địa chỉ IP 192.168.1.1/24, đăng nhập: admin, mật khẩu: admin.
Bạn có thể thay đổi địa chỉ bằng cách kết nối với giao diện web từ cùng một mạng hoặc sử dụng lệnh đặt địa chỉ IP hệ thống deviceconfig <> netmask <>. Nó được thực hiện ở chế độ cấu hình. Để chuyển sang chế độ cấu hình, sử dụng lệnh cấu hình. Mọi thay đổi trên tường lửa chỉ xảy ra sau khi cài đặt được xác nhận bằng lệnh cam kết, cả ở chế độ dòng lệnh và trong giao diện web.
Để thay đổi cài đặt trong giao diện web, hãy sử dụng phần Thiết bị -> Cài đặt chung và Thiết bị -> Cài đặt giao diện quản lý. Tên, biểu ngữ, múi giờ và các cài đặt khác có thể được đặt trong phần Cài đặt chung (Hình 2).
Hình 2 – Tham số giao diện quản lý
Nếu bạn sử dụng tường lửa ảo trong môi trường ESXi, trong phần Cài đặt chung, bạn cần cho phép sử dụng địa chỉ MAC do trình ảo hóa chỉ định hoặc định cấu hình địa chỉ MAC được chỉ định trên giao diện tường lửa trên trình ảo hóa hoặc thay đổi cài đặt của các công tắc ảo để cho phép thay đổi địa chỉ MAC. Nếu không, giao thông sẽ không đi qua.
Giao diện quản lý được cấu hình riêng và không hiển thị trong danh sách giao diện mạng. Trong chuong Cài đặt giao diện quản lý chỉ định cổng mặc định cho giao diện quản lý. Các tuyến tĩnh khác được cấu hình trong phần bộ định tuyến ảo; điều này sẽ được thảo luận sau.
Để cho phép truy cập vào thiết bị thông qua các giao diện khác, bạn phải tạo hồ sơ quản lý Hồ sơ quản lý phần Mạng -> Cấu hình mạng -> Quản lý giao diện và gán nó vào giao diện thích hợp.
Tiếp theo bạn cần cấu hình DNS và NTP ở phần Thiết bị -> Dịch vụ để nhận thông tin cập nhật và hiển thị thời gian chính xác (Hình 3). Theo mặc định, tất cả lưu lượng truy cập do tường lửa tạo ra đều sử dụng địa chỉ IP giao diện quản lý làm địa chỉ IP nguồn. Bạn có thể gán giao diện khác nhau cho từng dịch vụ cụ thể trong phần Cấu hình tuyến dịch vụ.
Hình 3 – Tham số dịch vụ DNS, NTP và hệ thống định tuyến
2. Cài đặt giấy phép, thiết lập và cài đặt các bản cập nhật
Để vận hành đầy đủ tất cả các chức năng tường lửa, bạn phải cài đặt giấy phép. Bạn có thể sử dụng giấy phép dùng thử bằng cách yêu cầu giấy phép đó từ các đối tác của Palo Alto Networks. Thời hạn hiệu lực của nó là 30 ngày. Giấy phép được kích hoạt thông qua tệp hoặc sử dụng Mã xác thực. Giấy phép được cấu hình trong phần Thiết bị -> Giấy phép (Hình 4).
Sau khi cài đặt bản quyền, bạn cần cấu hình cài đặt các bản cập nhật trong phần Thiết bị -> Cập nhật động.
Trong phần Thiết bị -> Phần mềm bạn có thể tải xuống và cài đặt các phiên bản PAN-OS mới.
Hình 4 – Bảng điều khiển giấy phép
3. Cấu hình vùng bảo mật, giao diện mạng, chính sách lưu lượng, dịch địa chỉ
Tường lửa Palo Alto Networks sử dụng logic vùng khi định cấu hình quy tắc mạng. Giao diện mạng được gán cho một vùng cụ thể và vùng này được sử dụng trong các quy tắc giao thông. Cách tiếp cận này cho phép trong tương lai, khi thay đổi cài đặt giao diện, không thay đổi quy tắc giao thông mà thay vào đó chỉ định lại các giao diện cần thiết cho các vùng thích hợp. Theo mặc định, giao thông trong một khu vực được phép, giao thông giữa các khu vực bị cấm, các quy tắc được xác định trước chịu trách nhiệm về việc này mặc định nội bộ и mặc định liên vùng.
Hình 5 – Vùng an toàn
Trong ví dụ này, một giao diện trên mạng nội bộ được gán cho vùng nội bộvà giao diện đối diện với Internet được gán cho vùng ngoài. Đối với SSL VPN, giao diện đường hầm đã được tạo và gán cho vùng vpn (Hình 5).
Giao diện mạng tường lửa của Palo Alto Networks có thể hoạt động ở năm chế độ khác nhau:
- Tập – được sử dụng để thu thập lưu lượng truy cập cho mục đích giám sát và phân tích
- HA – được sử dụng cho hoạt động cụm
- Dây ảo – ở chế độ này, Palo Alto Networks kết hợp hai giao diện và truyền lưu lượng giữa chúng một cách minh bạch mà không thay đổi địa chỉ MAC và IP
- Layer2 - chế độ chuyển đổi
- Layer3 – chế độ bộ định tuyến
Hình 6 – Cài đặt chế độ vận hành giao diện
Trong ví dụ này, chế độ Layer3 sẽ được sử dụng (Hình 6). Các thông số giao diện mạng cho biết địa chỉ IP, chế độ hoạt động và vùng bảo mật tương ứng. Ngoài chế độ hoạt động của giao diện, bạn phải gán nó cho bộ định tuyến ảo Bộ định tuyến ảo, đây là một phiên bản tương tự của phiên bản VRF trong Palo Alto Networks. Các bộ định tuyến ảo được tách biệt với nhau và có bảng định tuyến cũng như cài đặt giao thức mạng riêng.
Cài đặt bộ định tuyến ảo chỉ định các tuyến tĩnh và cài đặt giao thức định tuyến. Trong ví dụ này, chỉ có tuyến mặc định được tạo để truy cập mạng bên ngoài (Hình 7).
Hình 7 – Thiết lập bộ định tuyến ảo
Giai đoạn cấu hình tiếp theo là chính sách giao thông, phần Chính sách -> Bảo mật. Một ví dụ về cấu hình được hiển thị trong Hình 8. Logic của các quy tắc giống như đối với tất cả các tường lửa. Luật chơi được kiểm tra từ trên xuống dưới, cho đến trận đấu đầu tiên. Mô tả ngắn gọn về các quy tắc:
1. SSL VPN Truy cập vào Cổng Web. Cho phép truy cập vào cổng web để xác thực các kết nối từ xa
2. Lưu lượng VPN – cho phép lưu lượng truy cập giữa các kết nối từ xa và trụ sở chính
3. Internet cơ bản – cho phép các ứng dụng dns, ping, traceroute, ntp. Tường lửa cho phép các ứng dụng dựa trên chữ ký, giải mã và chẩn đoán thay vì số cổng và giao thức, đó là lý do tại sao phần Dịch vụ cho biết ứng dụng mặc định. Cổng/giao thức mặc định cho ứng dụng này
4. Truy cập web – cho phép truy cập Internet thông qua giao thức HTTP và HTTPS mà không cần kiểm soát ứng dụng
5,6. Quy tắc mặc định cho lưu lượng truy cập khác.
Hình 8 - Ví dụ về thiết lập các quy tắc mạng
Để cấu hình NAT, hãy sử dụng phần Chính sách -> NAT. Một ví dụ về cấu hình NAT được hiển thị trong Hình 9.
Hình 9 – Ví dụ về cấu hình NAT
Đối với bất kỳ lưu lượng truy cập nào từ bên trong ra bên ngoài, bạn có thể thay đổi địa chỉ nguồn thành địa chỉ IP bên ngoài của tường lửa và sử dụng địa chỉ cổng động (PAT).
4. Định cấu hình Hồ sơ xác thực LDAP và Chức năng nhận dạng người dùng
Trước khi kết nối người dùng qua SSL-VPN, bạn cần định cấu hình cơ chế xác thực. Trong ví dụ này, quá trình xác thực sẽ diễn ra với bộ điều khiển miền Active Directory thông qua giao diện web Palo Alto Networks.
Hình 10 – Hồ sơ LDAP
Để xác thực hoạt động, bạn cần định cấu hình Hồ sơ LDAP и Hồ sơ xác thực. Trong phần Thiết bị -> Cấu hình máy chủ -> LDAP (Hình 10) bạn cần chỉ định địa chỉ IP và cổng của bộ điều khiển miền, loại LDAP và tài khoản người dùng có trong các nhóm Nhà khai thác máy chủ, Trình đọc nhật ký sự kiện, Người dùng COM phân tán. Sau đó ở phần Thiết bị -> Hồ sơ xác thực tạo hồ sơ xác thực (Hình 11), đánh dấu hồ sơ đã tạo trước đó Hồ sơ LDAP và trong tab Nâng cao, chúng tôi chỉ ra nhóm người dùng (Hình 12) được phép truy cập từ xa. Điều quan trọng cần lưu ý là tham số trong hồ sơ của bạn Miền người dùng, nếu không ủy quyền dựa trên nhóm sẽ không hoạt động. Trường này phải cho biết tên miền NetBIOS.
Hình 11 – Hồ sơ xác thực
Hình 12 – Lựa chọn nhóm AD
Giai đoạn tiếp theo là thiết lập Thiết bị -> Nhận dạng người dùng. Tại đây, bạn cần chỉ định địa chỉ IP của bộ điều khiển miền, thông tin đăng nhập kết nối và định cấu hình cài đặt Bật nhật ký bảo mật, Bật phiên, Bật thăm dò (Hình 13). Trong chuong Lập bản đồ nhóm (Hình 14) bạn cần lưu ý các tham số nhận dạng đối tượng trong LDAP và danh sách các nhóm sẽ được sử dụng để phân quyền. Giống như trong Hồ sơ xác thực, ở đây bạn cần đặt tham số Miền người dùng.
Hình 13 - Tham số Ánh xạ người dùng
Hình 14 – Tham số ánh xạ nhóm
Bước cuối cùng trong giai đoạn này là tạo vùng VPN và giao diện cho vùng đó. Bạn cần kích hoạt tùy chọn trên giao diện Bật nhận dạng người dùng (Hình 15).
Hình 15 – Thiết lập vùng VPN
5. Thiết lập SSL VPN
Trước khi kết nối với SSL VPN, người dùng từ xa phải truy cập cổng web, xác thực và tải xuống ứng dụng khách Global Protect. Tiếp theo, ứng dụng khách này sẽ yêu cầu thông tin xác thực và kết nối với mạng công ty. Cổng web hoạt động ở chế độ https và theo đó, bạn cần cài đặt chứng chỉ cho nó. Sử dụng chứng chỉ công cộng nếu có thể. Sau đó, người dùng sẽ không nhận được cảnh báo về tính không hợp lệ của chứng chỉ trên trang web. Nếu không thể sử dụng chứng chỉ công khai thì bạn cần phải cấp chứng chỉ của riêng mình, chứng chỉ này sẽ được sử dụng trên trang web cho https. Nó có thể được tự ký hoặc được cấp thông qua cơ quan cấp chứng chỉ địa phương. Máy tính từ xa phải có chứng chỉ gốc hoặc chứng chỉ tự ký trong danh sách cơ quan có thẩm quyền gốc đáng tin cậy để người dùng không gặp lỗi khi kết nối với cổng web. Ví dụ này sẽ sử dụng chứng chỉ được cấp thông qua Dịch vụ chứng chỉ Active Directory.
Để cấp chứng chỉ, bạn cần tạo yêu cầu chứng chỉ trong phần Thiết bị -> Quản lý chứng chỉ -> Chứng chỉ -> Tạo. Trong yêu cầu, chúng tôi cho biết tên chứng chỉ và địa chỉ IP hoặc FQDN của cổng web (Hình 16). Sau khi tạo yêu cầu, hãy tải xuống .csr và sao chép nội dung của nó vào trường yêu cầu chứng chỉ trong biểu mẫu web Đăng ký web AD CS. Tùy thuộc vào cách cấu hình tổ chức phát hành chứng chỉ, yêu cầu chứng chỉ phải được phê duyệt và chứng chỉ đã cấp phải được tải xuống ở định dạng Chứng chỉ được mã hóa Base64. Ngoài ra, bạn cần tải xuống chứng chỉ gốc của cơ quan chứng nhận. Sau đó, bạn cần nhập cả hai chứng chỉ vào tường lửa. Khi nhập chứng chỉ cho cổng web, bạn phải chọn yêu cầu ở trạng thái đang chờ xử lý và nhấp vào nhập. Tên chứng chỉ phải khớp với tên được chỉ định trước đó trong yêu cầu. Tên của chứng chỉ gốc có thể được chỉ định tùy ý. Sau khi nhập chứng chỉ, bạn cần tạo Hồ sơ dịch vụ SSL/TLS phần Thiết bị -> Quản lý chứng chỉ. Trong hồ sơ, chúng tôi chỉ ra chứng chỉ đã nhập trước đó.
Hình 16 – Yêu cầu chứng chỉ
Bước tiếp theo là thiết lập các đối tượng Cổng bảo vệ toàn cầu и Cổng thông tin bảo vệ toàn cầu phần Mạng -> Bảo vệ toàn cầu. Trong phần cài đặt Cổng bảo vệ toàn cầu cho biết địa chỉ IP bên ngoài của tường lửa, cũng như được tạo trước đó Hồ sơ SSL, Hồ sơ xác thực, giao diện đường hầm và cài đặt IP máy khách. Bạn cần chỉ định một nhóm địa chỉ IP mà từ đó địa chỉ sẽ được gán cho máy khách và Tuyến truy cập - đây là các mạng con mà máy khách sẽ có tuyến. Nếu nhiệm vụ là bao bọc tất cả lưu lượng truy cập của người dùng thông qua tường lửa thì bạn cần chỉ định mạng con 0.0.0.0/0 (Hình 17).
Hình 17 – Cấu hình nhóm địa chỉ IP và tuyến đường
Sau đó, bạn cần phải cấu hình Cổng thông tin bảo vệ toàn cầu. Chỉ định địa chỉ IP của tường lửa, Hồ sơ SSL и Hồ sơ xác thực và danh sách các địa chỉ IP bên ngoài của tường lửa mà máy khách sẽ kết nối. Nếu có nhiều tường lửa, bạn có thể đặt mức độ ưu tiên cho từng tường lửa, theo đó người dùng sẽ chọn tường lửa để kết nối.
Trong phần Thiết bị -> Máy khách GlobalProtect bạn cần tải xuống bản phân phối máy khách VPN từ máy chủ Palo Alto Networks và kích hoạt nó. Để kết nối, người dùng phải truy cập trang web cổng thông tin, nơi anh ta sẽ được yêu cầu tải xuống Khách hàng GlobalProtect. Sau khi tải xuống và cài đặt, bạn có thể nhập thông tin đăng nhập của mình và kết nối với mạng công ty thông qua SSL VPN.
Kết luận
Điều này hoàn thành phần thiết lập của Palo Alto Networks. Chúng tôi hy vọng thông tin này hữu ích và người đọc hiểu rõ hơn về các công nghệ được sử dụng tại Palo Alto Networks. Nếu bạn có câu hỏi về cách thiết lập và đề xuất về chủ đề cho các bài viết trong tương lai, hãy viết chúng trong phần bình luận, chúng tôi sẽ sẵn lòng giải đáp.
Nguồn: www.habr.com