尽管 Palo Alto Networks 防火墙具有所有优点,但 RuNet 上没有太多有关设置这些设备的材料以及描述其实施经验的文本。 我们决定总结一下我们在使用该供应商的设备期间积累的材料,并讨论我们在实施各个项目期间遇到的功能。
为了向您介绍 Palo Alto Networks,本文将介绍解决最常见的防火墙问题之一 - 用于远程访问的 SSL VPN 所需的配置。 我们还将讨论一般防火墙配置、用户识别、应用程序和安全策略的实用功能。 如果读者对该主题感兴趣,将来我们将发布分析 Site-to-Site VPN、动态路由和使用 Panorama 进行集中管理的材料。
Palo Alto Networks 防火墙使用多种创新技术,包括 App-ID、User-ID、Content-ID。 使用此功能可以确保高水平的安全性。 例如,利用 App-ID,可以根据签名、解码和启发法来识别应用程序流量,无论使用什么端口和协议,包括在 SSL 隧道内。 用户 ID 允许您通过 LDAP 集成来识别网络用户。 Content-ID 可以扫描流量并识别传输的文件及其内容。 其他防火墙功能包括入侵防护、漏洞和 DoS 攻击防护、内置反间谍软件、URL 过滤、集群和集中管理。
为了进行演示,我们将使用一个独立的支架,除了设备名称、AD域名和IP地址外,配置与真实支架完全相同。 事实上,一切都更复杂——可能有很多分支。 在这种情况下,将在中心站点的边界安装集群,而不是单个防火墙,并且还可能需要动态路由。
在支架上使用 泛操作系统 7.1.9。 作为典型配置,请考虑在边缘具有帕洛阿尔托网络防火墙的网络。 防火墙提供对总部的远程 SSL VPN 访问。 Active Directory 域将用作用户数据库(图 1)。
图 1 – 网络框图
设置步骤:
- 设备预配置。 设置名称、管理IP地址、静态路由、管理员帐户、管理配置文件
- 安装许可证、配置和安装更新
- 配置安全区域、网络接口、流量策略、地址转换
- 配置 LDAP 身份验证配置文件和用户识别功能
- 设置 SSL VPN
1. 预设
配置帕洛阿尔托网络防火墙的主要工具是 Web 界面;也可以通过 CLI 进行管理。 默认情况下,管理界面设置为 IP 地址 192.168.1.1/24,登录名:admin,密码:admin。
您可以通过从同一网络连接到 Web 界面或使用命令来更改地址 设置 deviceconfig 系统 IP 地址 <> 网络掩码 <>。 它是在配置模式下执行的。 要切换到配置模式,请使用命令 配置。 防火墙上的所有更改只有在命令确认设置后才会发生 承诺,无论是在命令行模式还是在 Web 界面中。
要更改 Web 界面中的设置,请使用以下部分 设备 -> 常规设置和设备 -> 管理界面设置。 名称、横幅、时区和其他设置可以在“常规设置”部分进行设置(图 2)。
图 2 – 管理界面参数
如果您在 ESXi 环境中使用虚拟防火墙,则需要在“常规设置”部分中启用使用虚拟机管理程序分配的 MAC 地址,或者配置虚拟机管理程序上的防火墙接口上指定的 MAC 地址,或者更改以下设置:虚拟交换机允许 MAC 更改地址。 否则,交通将无法通过。
管理接口单独配置,不会显示在网络接口列表中。 在章节中 管理界面设置 指定管理接口的默认网关。 其他静态路由在虚拟路由器部分中配置;这将在稍后讨论。
要允许通过其他接口访问设备,您必须创建管理配置文件 管理层简介 部分 网络 -> 网络配置文件 -> 接口管理 并将其分配给适当的接口。
接下来,您需要在部分中配置 DNS 和 NTP 设备 -> 服务 接收更新并正确显示时间(图 3)。 默认情况下,防火墙生成的所有流量都使用管理接口 IP 地址作为其源 IP 地址。 您可以为该部分中的每个特定服务分配不同的接口 业务路由配置.
图 3 – DNS、NTP 和系统路由服务参数
2. 安装许可证、设置和安装更新
要完全运行所有防火墙功能,您必须安装许可证。 您可以通过向 Palo Alto Networks 合作伙伴请求来使用试用许可证。 其有效期为30天。 许可证可以通过文件或使用授权码激活。 许可证在部分中配置 设备 -> 许可证 (图4)。
安装许可证后,您需要在 部分中配置更新的安装 设备 -> 动态更新.
在第 设备->软件 您可以下载并安装新版本的 PAN-OS。
图 4 – 许可证控制面板
3. 配置安全区域、网络接口、流量策略、地址转换
帕洛阿尔托网络防火墙在配置网络规则时使用区域逻辑。 网络接口被分配到特定区域,并且该区域在流量规则中使用。 这种方法允许将来在更改接口设置时,不更改流量规则,而是将必要的接口重新分配到适当的区域。 默认情况下,允许区域内的流量,禁止区域之间的流量,预定义的规则负责此操作 区域内默认值 и 域间默认值.
图 5 – 安全区域
在此示例中,内部网络上的接口被分配到区域 内部,面向Internet的接口被分配到区域 外部。 对于 SSL VPN,已创建隧道接口并将其分配给区域 VPN (图5)。
帕洛阿尔托网络防火墙网络接口可以在五种不同的模式下运行:
- 敲打 – 用于收集流量以进行监控和分析
- HA – 用于集群操作
- 虚拟线路 – 在此模式下,Palo Alto Networks 组合两个接口并在它们之间透明地传递流量,而无需更改 MAC 和 IP 地址
- Layer2 – 切换模式
- Layer3 – 路由器模式
图 6 – 设置界面操作模式
在本例中,将使用Layer3模式(图6)。 网络接口参数表示IP地址、工作模式以及对应的安全区域。 除了接口的操作模式之外,您还必须将其分配给 Virtual Router 虚拟路由器,这类似于帕洛阿尔托网络中的 VRF 实例。 虚拟路由器相互隔离,有自己的路由表和网络协议设置。
虚拟路由器设置指定静态路由和路由协议设置。 本例中仅创建了一条默认路由用于访问外部网络(图7)。
图 7 – 设置虚拟路由器
下一个配置阶段是流量策略,部分 政策 -> 安全。 配置示例如图 8 所示。规则的逻辑与所有防火墙相同。 规则从上到下检查,一直到第一场比赛。 规则简要说明:
1. SSL VPN 访问Web Portal。 允许访问 Web 门户以验证远程连接
2. VPN 流量 – 允许远程连接和总部之间的流量
3. 基本互联网 – 允许 dns、ping、traceroute、ntp 应用程序。 防火墙允许基于签名、解码和启发式的应用程序,而不是端口号和协议,这就是“服务”部分显示“应用程序默认”的原因。 此应用程序的默认端口/协议
4. Web 访问 – 允许通过 HTTP 和 HTTPS 协议访问互联网,无需应用程序控制
5,6. 其他流量的默认规则。
图 8 — 设置网络规则的示例
要配置 NAT,请使用以下部分 策略 -> NAT。 NAT 配置示例如图 9 所示。
图 9 – NAT 配置示例
对于从内部到外部的任何流量,您可以将源地址更改为防火墙的外部 IP 地址并使用动态端口地址 (PAT)。
4. 配置LDAP认证配置文件和用户识别功能
在通过SSL-VPN连接用户之前,需要配置身份验证机制。 在此示例中,将通过帕洛阿尔托网络 Web 界面对 Active Directory 域控制器进行身份验证。
图 10 – LDAP 配置文件
为了使身份验证工作,您需要配置 LDAP 配置文件 и 身份验证配置文件... 在本章 设备 -> 服务器配置文件 -> LDAP (图10)您需要指定域控制器的IP地址和端口、LDAP类型和组中包含的用户帐户 服务器运营商, 事件日志读取器, 分布式COM用户。 然后在该部分 设备 -> 身份验证配置文件 创建一个身份验证配置文件(图 11),标记之前创建的配置文件 LDAP 配置文件 在“高级”选项卡中,我们指出了允许远程访问的用户组(图 12)。 请务必注意您的个人资料中的参数 用户域,否则基于组的授权将不起作用。 该字段必须指示 NetBIOS 域名。
图 11 – 身份验证配置文件
图 12 – AD 组选择
下一阶段已设置 设备->用户识别。 此处您需要指定域控制器的 IP 地址、连接凭据,并配置设置 启用安全日志, 启用会话, 启用探测 (图13)。 在章节中 组映射 (图 14)您需要记下用于识别 LDAP 中对象的参数以及将用于授权的组列表。 就像在身份验证配置文件中一样,这里您需要设置用户域参数。
图 13 – 用户映射参数
图 14 – 组映射参数
此阶段的最后一步是创建 VPN 区域以及该区域的接口。 您需要在界面上启用该选项 启用用户识别 (图15)。
图 15 – 设置 VPN 区域
5. 设置 SSL VPN
在连接到 SSL VPN 之前,远程用户必须访问 Web 门户、进行身份验证并下载 Global Protect 客户端。 接下来,该客户端将请求凭据并连接到公司网络。 Web 门户以 https 模式运行,因此您需要为其安装证书。 如果可能,请使用公共证书。 这样用户就不会在网站上收到有关证书无效的警告。 如果无法使用公共证书,则需要颁发自己的证书,该证书将在网页上用于 https。 它可以自签名或通过本地证书颁发机构颁发。 远程计算机必须在受信任的根颁发机构列表中具有根证书或自签名证书,以便用户在连接到 Web 门户时不会收到错误。 此示例将使用通过 Active Directory 证书服务颁发的证书。
要颁发证书,您需要在 部分创建证书请求 设备 -> 证书管理 -> 证书 -> 生成。 在请求中,我们指明证书名称以及门户网站的 IP 地址或 FQDN(图 16)。 生成请求后,下载 .csr 文件并将其内容复制到 AD CS Web 注册 Web 表单中的证书请求字段中。 根据证书颁发机构的配置方式,证书请求必须获得批准,并且颁发的证书必须以以下格式下载 Base64 编码证书。 此外,您还需要下载证书颁发机构的根证书。 然后您需要将两个证书导入防火墙。 为 Web 门户导入证书时,必须选择处于待处理状态的请求,然后单击导入。 证书名称必须与之前在请求中指定的名称匹配。 根证书的名称可以任意指定。 导入证书后,需要创建 SSL/TLS 服务配置文件 部分 设备->证书管理。 在配置文件中,我们指示之前导入的证书。
图 16 – 证书请求
下一步是设置对象 全球保护网关 и 全球保护门户 部分 网络 -> 全局保护... 在设置中 全球保护网关 表示防火墙的外部IP地址,以及之前创建的 SSL 配置文件, 身份验证配置文件、隧道接口和客户端 IP 设置。 您需要指定一个 IP 地址池(将从中将地址分配给客户端)和访问路由 - 这些是客户端将有路由到达的子网。 如果任务是通过防火墙包装所有用户流量,则需要指定子网 0.0.0.0/0(图 17)。
图 17 – 配置 IP 地址和路由池
然后你需要配置 全球保护门户。 指定防火墙的IP地址, SSL 配置文件 и 身份验证配置文件 以及客户端将连接到的防火墙的外部 IP 地址列表。 如果有多个防火墙,可以为每个防火墙设置优先级,用户将根据优先级选择连接的防火墙。
在第 设备 -> GlobalProtect 客户端 您需要从帕洛阿尔托网络服务器下载 VPN 客户端分发版并激活它。 要连接,用户必须转到门户网页,并要求他下载 GlobalProtect 客户端。 下载并安装后,您可以输入凭据并通过 SSL VPN 连接到您的公司网络。
结论
这样就完成了 Palo Alto Networks 的设置部分。 我们希望这些信息有用,并且读者能够了解 Palo Alto Networks 使用的技术。 如果您对设置有疑问以及对未来文章的主题有建议,请在评论中写下,我们将很乐意回答。
来源: habr.com