Pelu gbogbo awọn anfani ti Palo Alto Networks firewalls, ko si ohun elo pupọ lori RuNet lori eto awọn ẹrọ wọnyi, ati awọn ọrọ ti o ṣe apejuwe iriri ti imuse wọn. A pinnu lati ṣe akopọ awọn ohun elo ti a ti ṣajọpọ lakoko iṣẹ wa pẹlu awọn ohun elo ataja yii ati sọrọ nipa awọn ẹya ti a pade lakoko imuse ti awọn iṣẹ akanṣe oriṣiriṣi.
Lati ṣafihan ọ si Awọn Nẹtiwọọki Palo Alto, nkan yii yoo wo iṣeto ti o nilo lati yanju ọkan ninu awọn iṣoro ogiriina ti o wọpọ julọ - SSL VPN fun iraye si latọna jijin. A yoo tun sọrọ nipa awọn iṣẹ ṣiṣe fun iṣeto ogiriina gbogbogbo, idanimọ olumulo, awọn ohun elo, ati awọn ilana aabo. Ti koko-ọrọ ba jẹ iwulo si awọn oluka, ni ọjọ iwaju a yoo tu awọn ohun elo ti n ṣatupalẹ Aye-si-Aye VPN, ipa-ọna agbara ati iṣakoso aarin nipa lilo Panorama.
Palo Alto Networks ogiriina lo nọmba awọn imọ-ẹrọ imotuntun, pẹlu App-ID, ID olumulo, ID akoonu. Lilo iṣẹ yii n gba ọ laaye lati rii daju ipele giga ti aabo. Fun apẹẹrẹ, pẹlu App-ID o ṣee ṣe lati ṣe idanimọ ijabọ ohun elo ti o da lori awọn ibuwọlu, yiyan koodu ati heuristics, laibikita ibudo ati ilana ti a lo, pẹlu inu eefin SSL kan. Olumulo-ID gba ọ laaye lati ṣe idanimọ awọn olumulo nẹtiwọọki nipasẹ iṣọpọ LDAP. Akoonu-ID jẹ ki o ṣee ṣe lati ọlọjẹ ijabọ ati ṣe idanimọ awọn faili ti o tan kaakiri ati akoonu wọn. Awọn iṣẹ ogiriina miiran pẹlu aabo ifọle, aabo lodi si awọn ailagbara ati awọn ikọlu DoS, egboogi-spyware ti a ṣe sinu, sisẹ URL, iṣupọ, ati iṣakoso aarin.
Fun ifihan naa, a yoo lo iduro ti o ya sọtọ, pẹlu iṣeto ni aami si ọkan gidi, laisi awọn orukọ ẹrọ, orukọ ašẹ AD ati awọn adirẹsi IP. Ni otitọ, ohun gbogbo jẹ idiju diẹ sii - ọpọlọpọ awọn ẹka le wa. Ni ọran yii, dipo ogiriina ẹyọkan, iṣupọ kan yoo fi sori ẹrọ ni awọn aala ti awọn aaye aarin, ati ipa-ọna agbara tun le nilo.
Lo lori imurasilẹ PAN-OS 7.1.9. Gẹgẹbi iṣeto aṣoju, ronu nẹtiwọọki kan pẹlu ogiriina Palo Alto Networks ni eti. Ogiriina n pese iraye si SSL VPN latọna jijin si ọfiisi ori. Ibugbe Itọsọna Active yoo ṣee lo bi ibi ipamọ data olumulo (Aworan 1).
olusin 1 - Network Àkọsílẹ aworan atọka
Awọn igbesẹ iṣeto:
- Iṣeto-tẹlẹ ẹrọ. Ṣiṣeto orukọ, adiresi IP iṣakoso, awọn ipa ọna aimi, awọn akọọlẹ alakoso, awọn profaili iṣakoso
- Awọn iwe-aṣẹ fifi sori ẹrọ, tunto ati fifi awọn imudojuiwọn sori ẹrọ
- Ṣiṣeto awọn agbegbe aabo, awọn atọkun nẹtiwọọki, awọn ilana ijabọ, itumọ adirẹsi
- Ṣiṣeto Profaili Ijeri LDAP kan ati Ẹya Idanimọ olumulo
- Ṣiṣeto SSL VPN kan
1. Tito tẹlẹ
Ọpa akọkọ fun atunto Palo Alto Networks ogiriina ni wiwo wẹẹbu; iṣakoso nipasẹ CLI tun ṣee ṣe. Nipa aiyipada, wiwo iṣakoso ti ṣeto si adiresi IP 192.168.1.1/24, buwolu wọle: abojuto, ọrọ igbaniwọle: abojuto.
O le yi adirẹsi pada boya nipa sisopọ si wiwo wẹẹbu lati nẹtiwọki kanna, tabi lilo aṣẹ naa ṣeto ẹrọconfig eto ip-adirẹsi <> netmask <>. O ṣe ni ipo iṣeto. Lati yipada si ipo atunto, lo aṣẹ naa tunto. Gbogbo awọn ayipada lori ogiriina waye nikan lẹhin awọn eto ti jẹrisi nipasẹ aṣẹ dá, mejeeji ni ipo laini aṣẹ ati ni wiwo wẹẹbu.
Lati yi eto pada ni wiwo oju opo wẹẹbu, lo apakan naa Ẹrọ -> Eto Gbogbogbo ati Ẹrọ -> Awọn Eto Atọka Atọka Iṣakoso. Orukọ, awọn asia, agbegbe aago ati awọn eto miiran ni a le ṣeto ni apakan Eto Gbogbogbo (Fig. 2).
olusin 2 - Management ni wiwo paramita
Ti o ba lo ogiriina foju kan ni agbegbe ESXi, ni apakan Awọn eto Gbogbogbo o nilo lati mu lilo adiresi MAC ti a yàn nipasẹ hypervisor, tabi tunto awọn adirẹsi MAC ti o ṣalaye lori awọn atọkun ogiriina lori hypervisor, tabi yi awọn eto ti awọn foju yipada lati gba MAC ayipada adirẹsi. Bibẹẹkọ, ijabọ kii yoo kọja.
Ni wiwo isakoso ti wa ni tunto lọtọ ati ki o ti wa ni ko han ni awọn akojọ ti awọn nẹtiwọki atọkun. Ni ipin Management Interface Eto pato ẹnu-ọna aiyipada fun wiwo iṣakoso. Awọn ipa-ọna aimi miiran jẹ tunto ni apakan awọn olulana foju; eyi ni yoo jiroro nigbamii.
Lati gba iraye si ẹrọ nipasẹ awọn atọkun miiran, o gbọdọ ṣẹda profaili iṣakoso kan Profaili isakoso ni apakan Nẹtiwọọki -> Awọn profaili Nẹtiwọọki -> Ni wiwo Mgmt ki o si fi si awọn ti o yẹ ni wiwo.
Nigbamii, o nilo lati tunto DNS ati NTP ni apakan Ẹrọ -> Awọn iṣẹ lati gba awọn imudojuiwọn ati fi akoko han ni deede (Fig. 3). Nipa aiyipada, gbogbo awọn ijabọ ti ipilẹṣẹ nipasẹ ogiriina nlo adiresi IP ni wiwo iṣakoso bi adiresi IP orisun rẹ. O le fi kan ti o yatọ ni wiwo fun kọọkan pato iṣẹ ni apakan Iṣeto ni Route Service.
Ṣe nọmba 3 - DNS, NTP ati awọn aye ipa ọna eto
2. Awọn iwe-aṣẹ fifi sori ẹrọ, ṣeto ati fifi awọn imudojuiwọn sori ẹrọ
Fun iṣẹ kikun ti gbogbo awọn iṣẹ ogiriina, o gbọdọ fi iwe-aṣẹ sori ẹrọ. O le lo iwe-aṣẹ idanwo kan nipa bibere lati ọdọ awọn alabaṣiṣẹpọ Palo Alto Networks. Akoko ipari rẹ jẹ ọjọ 30. Iwe-aṣẹ naa ti muu ṣiṣẹ boya nipasẹ faili kan tabi lilo koodu Auth-Code. Awọn iwe-aṣẹ ti wa ni tunto ni apakan Ẹrọ -> Awọn iwe-aṣẹ (eeya. 4).
Lẹhin fifi iwe-aṣẹ sii, o nilo lati tunto fifi sori ẹrọ awọn imudojuiwọn ni apakan Ẹrọ -> Awọn imudojuiwọn Yiyi.
Ninu ori iwe Ẹrọ -> Software o le ṣe igbasilẹ ati fi awọn ẹya tuntun ti PAN-OS sori ẹrọ.
olusin 4 - License Iṣakoso nronu
3. Ṣiṣeto awọn agbegbe aabo, awọn atọkun nẹtiwọki, awọn ilana ijabọ, itumọ adirẹsi
Palo Alto Networks ogiriina lo ọgbọn agbegbe nigbati atunto awọn ofin nẹtiwọọki. Awọn atọkun nẹtiwọki ni a yàn si agbegbe kan pato, ati agbegbe yii ni a lo ninu awọn ofin ijabọ. Ọna yii ngbanilaaye ni ọjọ iwaju, nigbati o ba yipada awọn eto wiwo, kii ṣe lati yi awọn ofin ijabọ pada, ṣugbọn dipo lati tun awọn atọkun pataki si awọn agbegbe ti o yẹ. Nipa aiyipada, ijabọ laarin agbegbe kan gba laaye, ijabọ laarin awọn agbegbe jẹ eewọ, awọn ofin ti a ti pinnu tẹlẹ jẹ iduro fun eyi intrazone-aiyipada и interzone-aiyipada.
Nọmba 5 - Awọn agbegbe aabo
Ni apẹẹrẹ yii, wiwo lori nẹtiwọọki inu ni a yàn si agbegbe naa ti abẹnu, ati ni wiwo ti nkọju si awọn ayelujara ti wa ni sọtọ si agbegbe aago ita. Fun SSL VPN, wiwo oju eefin kan ti ṣẹda ati sọtọ si agbegbe naa VPN (eeya. 5).
Awọn atọkun nẹtiwọki ogiriina Palo Alto Awọn nẹtiwọki le ṣiṣẹ ni awọn ipo oriṣiriṣi marun:
- tẹ ni kia kia - ti a lo lati gba ijabọ fun ibojuwo ati awọn idi itupalẹ
- HA – lo fun iṣẹ iṣupọ
- Foju Waya - ni ipo yii, Awọn Nẹtiwọọki Palo Alto darapọ awọn atọkun meji ati ni gbangba kọja ijabọ laarin wọn laisi iyipada MAC ati awọn adirẹsi IP
- Ikun2 – yipada mode
- Ikun3 – olulana mode
Nọmba 6 - Ṣiṣeto ipo iṣẹ wiwo
Ni apẹẹrẹ yii, ipo Layer3 yoo ṣee lo (Fig. 6). Awọn paramita wiwo nẹtiwọọki tọka adirẹsi IP, ipo iṣẹ ati agbegbe aabo ti o baamu. Ni afikun si ipo iṣẹ ti wiwo, o gbọdọ fi si olulana foju olulana, eyi jẹ afọwọṣe ti apẹẹrẹ VRF ni Awọn Nẹtiwọọki Palo Alto. Awọn onimọ ipa-ọna foju ti ya sọtọ si ara wọn ati ni awọn tabili ipa-ọna tiwọn ati awọn eto ilana nẹtiwọọki.
Awọn eto olulana foju pato awọn ipa ọna aimi ati awọn eto ilana ipa-ọna. Ni apẹẹrẹ yii, ọna aiyipada nikan ni a ti ṣẹda fun iwọle si awọn nẹtiwọki ita (Fig. 7).
Ṣe nọmba 7 - Ṣiṣeto olulana foju kan
Ipele iṣeto ni atẹle jẹ awọn eto imulo ijabọ, apakan Awọn imulo -> Aabo. Ohun apẹẹrẹ ti iṣeto ni han ni Figure 8. Awọn kannaa ti awọn ofin jẹ kanna bi fun gbogbo awọn firewalls. Awọn ofin ti wa ni ẹnikeji lati oke si isalẹ, si isalẹ lati akọkọ baramu. Apejuwe kukuru ti awọn ofin:
1. SSL VPN Wiwọle si oju opo wẹẹbu Portal. Gba iraye si ọna abawọle wẹẹbu lati jẹri awọn asopọ latọna jijin
2. VPN ijabọ - gbigba ijabọ laarin awọn asopọ latọna jijin ati ọfiisi ori
3. Intanẹẹti ipilẹ - gbigba awọn dns, ping, traceroute, awọn ohun elo ntp. Ogiriina ngbanilaaye awọn ohun elo ti o da lori awọn ibuwọlu, iyipada, ati awọn heuristics dipo awọn nọmba ibudo ati awọn ilana, eyiti o jẹ idi ti apakan Iṣẹ sọ ohun elo-aiyipada. Ibudo / Ilana aiyipada fun ohun elo yii
4. Wiwọle Ayelujara - gbigba wiwọle Ayelujara nipasẹ HTTP ati HTTPS awọn ilana laisi iṣakoso ohun elo
5,6. Awọn ofin aiyipada fun ijabọ miiran.
olusin 8 - Apeere ti eto soke nẹtiwọki ofin
Lati tunto NAT, lo apakan naa Awọn imulo -> NAT. Apẹẹrẹ ti iṣeto NAT jẹ afihan ni Nọmba 9.
olusin 9 - Apeere ti NAT iṣeto ni
Fun eyikeyi ijabọ lati inu si ita, o le yi adirẹsi orisun pada si adiresi IP ita ti ogiriina ati lo adirẹsi ibudo ti o ni agbara (PAT).
4. Tito leto Profaili Ijeri LDAP ati Iṣẹ Idanimọ olumulo
Ṣaaju ki o to so awọn olumulo pọ nipasẹ SSL-VPN, o nilo lati tunto ẹrọ ìfàṣẹsí kan. Ni apẹẹrẹ yii, ijẹrisi yoo waye si oludari ašẹ Active Directory nipasẹ oju opo wẹẹbu Palo Alto Networks.
olusin 10 - LDAP profaili
Fun ijẹrisi lati ṣiṣẹ, o nilo lati tunto LDAP Profaili и Profaili Ijeri... Ni ipin Ẹrọ -> Awọn profaili olupin -> LDAP (Fig. 10) o nilo lati pato adiresi IP ati ibudo ti oludari agbegbe, iru LDAP ati akọọlẹ olumulo ti o wa ninu awọn ẹgbẹ Awọn oniṣẹ olupin, Iṣẹlẹ Wọle Onkawe, Pinpin COM Awọn olumulo. Lẹhinna ni apakan Ẹrọ -> Profaili Ijeri ṣẹda profaili ìfàṣẹsí (Fig. 11), samisi ọkan ti a ṣẹda tẹlẹ LDAP Profaili ati ni To ti ni ilọsiwaju taabu a tọkasi awọn ẹgbẹ ti awọn olumulo (Fig. 12) ti o ti wa ni laaye latọna jijin wiwọle. O ṣe pataki lati ṣe akiyesi paramita ninu profaili rẹ Olumulo aseBibẹẹkọ, aṣẹ-orisun ẹgbẹ kii yoo ṣiṣẹ. Aaye naa gbọdọ tọkasi orukọ ìkápá NetBIOS.
olusin 11 - Ijeri profaili
olusin 12 - AD ẹgbẹ aṣayan
Ipele ti o tẹle jẹ iṣeto Ẹrọ -> Idanimọ olumulo. Nibi o nilo lati pato adiresi IP ti oludari agbegbe, awọn ijẹrisi asopọ, ati tunto awọn eto. Jeki Aabo Wọle, Jeki Igba, Mu Ṣiṣayẹwo ṣiṣẹ (Eya. 13). Ni ipin Iyaworan Ẹgbẹ (Fig. 14) o nilo lati ṣe akiyesi awọn ayeraye fun idamo awọn nkan ni LDAP ati atokọ ti awọn ẹgbẹ ti yoo ṣee lo fun aṣẹ. Gẹgẹ bi ninu Profaili Ijeri, nibi o nilo lati ṣeto paramita Aṣẹ Olumulo.
olusin 13 - User Mapping paramita
olusin 14 - Group Mapping paramita
Igbesẹ ikẹhin ni ipele yii ni lati ṣẹda agbegbe VPN ati wiwo fun agbegbe yẹn. O nilo lati mu aṣayan ṣiṣẹ lori wiwo Mu idanimọ olumulo ṣiṣẹ (eeya. 15).
Nọmba 15 - Ṣiṣeto agbegbe VPN kan
5. Eto soke SSL VPN
Ṣaaju ki o to sopọ si SSL VPN, olumulo latọna jijin gbọdọ lọ si oju opo wẹẹbu, jẹri ati ṣe igbasilẹ alabara Idaabobo Agbaye. Nigbamii ti, alabara yii yoo beere awọn iwe-ẹri ati sopọ si nẹtiwọọki ajọ. Oju opo wẹẹbu n ṣiṣẹ ni ipo https ati pe, ni ibamu, o nilo lati fi ijẹrisi kan sori ẹrọ fun rẹ. Lo ijẹrisi ti gbogbo eniyan ti o ba ṣeeṣe. Lẹhinna olumulo kii yoo gba ikilọ nipa aiṣedeede ijẹrisi lori aaye naa. Ti ko ba ṣee ṣe lati lo ijẹrisi ti gbogbo eniyan, lẹhinna o nilo lati fun tirẹ, eyiti yoo ṣee lo lori oju-iwe wẹẹbu fun https. O le jẹ ti ara ẹni tabi ti gbejade nipasẹ aṣẹ ijẹrisi agbegbe. Kọmputa latọna jijin gbọdọ ni gbongbo tabi ijẹrisi ti ara ẹni ninu atokọ ti awọn alaṣẹ gbongbo ti o ni igbẹkẹle ki olumulo ko ni gba aṣiṣe nigbati o ba sopọ si oju opo wẹẹbu. Apeere yii yoo lo ijẹrisi ti a fun nipasẹ Awọn iṣẹ ijẹrisi Itọsọna Active.
Lati fun iwe-ẹri kan, o nilo lati ṣẹda ibeere ijẹrisi ni apakan Ẹrọ -> Isakoso ijẹrisi -> Awọn iwe-ẹri -> Ṣe ipilẹṣẹ. Ninu ibeere naa a tọka orukọ ijẹrisi naa ati adiresi IP tabi FQDN ti oju opo wẹẹbu (Fig. 16). Lẹhin ti ipilẹṣẹ ibeere, ṣe igbasilẹ .csr faili ati daakọ awọn akoonu rẹ sinu aaye ibeere ijẹrisi ni fọọmu wẹẹbu Iforukọsilẹ Wẹẹbu AD CS. Ti o da lori bawo ni a ṣe tunto aṣẹ ijẹrisi, ibeere ijẹrisi gbọdọ jẹ ifọwọsi ati pe ijẹrisi ti a fun ni gbọdọ ṣe igbasilẹ ni ọna kika Base64 Ijẹrisi koodu. Ni afikun, o nilo lati ṣe igbasilẹ ijẹrisi root ti aṣẹ iwe-ẹri. Lẹhinna o nilo lati gbe awọn iwe-ẹri mejeeji wọle sinu ogiriina. Nigbati o ba n gbe ijẹrisi wọle fun ọna abawọle wẹẹbu kan, o gbọdọ yan ibeere ni ipo isunmọ ki o tẹ agbewọle wọle. Orukọ ijẹrisi naa gbọdọ baramu orukọ ti a sọ tẹlẹ ninu ibeere naa. Orukọ ijẹrisi root le jẹ pato lainidii. Lẹhin gbigbe iwe-ẹri wọle, o nilo lati ṣẹda Profaili Iṣẹ SSL/TLS ni apakan Ẹrọ -> Isakoso ijẹrisi. Ninu profaili a tọkasi ijẹrisi ti a ko wọle tẹlẹ.
Nọmba 16 - Ibere ijẹrisi
Igbesẹ ti o tẹle ni siseto awọn nkan Agbaye Idaabobo Gateway и Agbaye Idaabobo Portal ni apakan Nẹtiwọọki -> Idaabobo Agbaye... Ninu awọn eto Agbaye Idaabobo Gateway tọkasi adiresi IP ita ti ogiriina, bakanna bi a ti ṣẹda tẹlẹ Profaili SSL, Profaili Ijeri, wiwo oju eefin ati awọn eto IP alabara. O nilo lati pato adagun ti awọn adirẹsi IP lati eyiti a yoo fi adirẹsi naa ranṣẹ si alabara, ati Ọna Wiwọle - iwọnyi ni awọn subnets eyiti alabara yoo ni ipa-ọna. Ti iṣẹ-ṣiṣe ba ni lati fi ipari si gbogbo ijabọ olumulo nipasẹ ogiriina, lẹhinna o nilo lati pato subnet 0.0.0.0/0 (Fig. 17).
Ṣe nọmba 17 - Ṣiṣeto adagun-odo ti awọn adirẹsi IP ati awọn ipa-ọna
Lẹhinna o nilo lati tunto Agbaye Idaabobo Portal. Pato adiresi IP ti ogiriina naa, Profaili SSL и Profaili Ijeri ati atokọ ti awọn adirẹsi IP ita ti awọn ogiriina si eyiti alabara yoo sopọ. Ti awọn ogiriina pupọ ba wa, o le ṣeto pataki fun ọkọọkan, ni ibamu si eyiti awọn olumulo yoo yan ogiriina lati sopọ si.
Ninu ori iwe Ẹrọ -> GlobalProtect Client o nilo lati ṣe igbasilẹ pinpin alabara VPN lati awọn olupin Palo Alto Networks ati muu ṣiṣẹ. Lati sopọ, olumulo gbọdọ lọ si oju-iwe ayelujara portal, nibiti a yoo beere lọwọ rẹ lati ṣe igbasilẹ GlobalProtect ose. Ni kete ti o ti gbasilẹ ati fi sii, o le tẹ awọn iwe-ẹri rẹ sii ki o sopọ si nẹtiwọọki ajọ rẹ nipasẹ SSL VPN.
ipari
Eyi pari apakan Awọn nẹtiwọki Palo Alto ti iṣeto. A nireti pe alaye naa wulo ati pe oluka naa ni oye ti awọn imọ-ẹrọ ti a lo ni Awọn Nẹtiwọọki Palo Alto. Ti o ba ni awọn ibeere nipa iṣeto ati awọn imọran lori awọn akọle fun awọn nkan iwaju, kọ wọn sinu awọn asọye, a yoo dun lati dahun.
orisun: www.habr.com