儘管帕洛阿爾托網路防火牆具有所有優點,但 RuNet 上沒有太多關於設定這些設備的材料,以及描述其實施經驗的文字。 我們決定總結我們在使用該供應商設備期間累積的材料,並討論我們在實施各個專案期間遇到的功能。
為了向您介紹 Palo Alto Networks,本文將介紹解決最常見的防火牆問題之一 - 用於遠端存取的 SSL VPN 所需的設定。 我們還將討論一般防火牆配置、使用者識別、應用程式和安全性策略的實用功能。 如果讀者對該主題感興趣,未來我們將發布分析 Site-to-Site VPN、動態路由和使用 Panorama 進行集中管理的資料。
Palo Alto Networks 防火牆使用多種創新技術,包括 App-ID、User-ID、Content-ID。 使用此功能可以確保高水準的安全性。 例如,利用 App-ID,可以根據簽章、解碼和啟發法來識別應用程式流量,無論使用什麼連接埠和協議,包括在 SSL 隧道內。 使用者 ID 可讓您透過 LDAP 整合來識別網路使用者。 Content-ID 可以掃描流量並識別傳輸的檔案及其內容。 其他防火牆功能包括入侵防護、漏洞和 DoS 攻擊防護、內建反間諜軟體、URL 過濾、叢集和集中管理。
為了進行演示,我們將使用一個獨立的支架,除了裝置名稱、AD網域名稱和IP位址外,配置與真實支架完全相同。 事實上,一切都更複雜——可能有很多分支。 在這種情況下,將在中心站點的邊界安裝叢集而不是單一防火牆,也可能需要動態路由。
在支架上使用 泛作業系統 7.1.9。 作為典型配置,請考慮在邊緣具有帕洛阿爾托網路防火牆的網路。 防火牆提供對總部的遠端 SSL VPN 存取。 Active Directory 網域將用作使用者資料庫(圖 1)。
圖 1 – 網路框圖
設定步驟:
- 設備預配置。 設定名稱、管理IP位址、靜態路由、管理員帳戶、管理設定檔
- 安裝許可證、配置和安裝更新
- 設定安全區域、網路介面、流量策略、位址轉換
- 設定 LDAP 身份驗證設定檔和使用者識別功能
- 設定 SSL VPN
1. 預設
設定帕洛阿爾托網路防火牆的主要工具是 Web 介面;也可以透過 CLI 進行管理。 預設情況下,管理介面設定為 IP 位址 192.168.1.1/24,登入名稱:admin,密碼:admin。
您可以透過從相同網路連線到 Web 介面或使用指令來變更位址 設定 deviceconfig 系統 IP 位址 <> 網路遮罩 <>。 它是在配置模式下執行的。 若要切換到設定模式,請使用命令 配置。 防火牆上的所有變更只有在命令確認設定後才會發生 承諾,無論是在命令列模式還是在 Web 介面中。
若要變更 Web 介面中的設置,請使用下列部分 設備 -> 常規設定和設備 -> 管理介面設定。 名稱、橫幅、時區和其他設定可以在「常規設定」部分進行設定(圖 2)。
圖 2 – 管理介面參數
如果您在ESXi 環境中使用虛擬防火牆,則需要在「常規設定」部分中啟用使用虛擬機器管理程式指派的MAC 位址,或設定虛擬機器管理程式上的防火牆介面上指定的MAC 位址,或變更下列設定:虛擬交換器允許 MAC 更改位址。 否則,交通將無法通過。
管理介面單獨配置,不會顯示在網路介面清單中。 在章節中 管理介面設定 指定管理介面的預設網關。 其他靜態路由在虛擬路由器部分中配置;這將在稍後討論。
若要允許透過其他介面存取設備,您必須建立管理設定檔 管理層簡介 部分 網路 -> 網路設定檔 -> 介面管理 並將其分配給適當的介面。
接下來,您需要在部分中設定 DNS 和 NTP 設備 -> 服務 接收更新並正確顯示時間(圖 3)。 預設情況下,防火牆產生的所有流量都使用管理介面 IP 位址作為其來源 IP 位址。 您可以為該部分中的每個特定服務分配不同的介面 業務路由配置.
圖 3 – DNS、NTP 和系統路由服務參數
2. 安裝許可證、設定和安裝更新
若要完全運作所有防火牆功能,您必須安裝許可證。 您可以透過向 Palo Alto Networks 合作夥伴要求來使用試用授權。 其有效期限為30天。 許可證可以透過文件或使用授權碼啟動。 許可證在部分中配置 設備 -> 許可證 (圖4)。
安裝許可證後,您需要在 部分中設定更新的安裝 裝置 -> 動態更新.
在第 設備->軟體 您可以下載並安裝新版本的 PAN-OS。
圖 4 – 許可證控制面板
3. 設定安全區域、網路介面、流量策略、位址轉換
帕洛阿爾托網路防火牆在設定網路規則時使用區域邏輯。 網路介面被指派到特定區域,並且該區域在流量規則中使用。 這種方法允許將來在更改介面設定時,不更改流量規則,而是將必要的介面重新分配到適當的區域。 預設情況下,允許區域內的流量,禁止區域之間的流量,預先定義的規則負責此操作 區域內預設值 и 域間預設值.
圖 5 – 安全區域
在此範例中,內部網路上的介面被指派到區域 內部,面向Internet的介面被分配到區域 外部。 對於 SSL VPN,已建立隧道介面並將其指派給區域 VPN (圖5)。
帕洛阿爾托網路防火牆網路介面可以在五種不同的模式下運作:
- 敲打 – 用於收集流量以進行監控和分析
- HA – 用於叢集操作
- 虛擬線路 – 在此模式下,Palo Alto Networks 組合兩個介面並在它們之間透明地傳遞流量,而無需更改 MAC 和 IP 位址
- Layer2 – 切換模式
- Layer3 – 路由器模式
圖 6 – 設定介面操作模式
在本例中,將使用Layer3模式(圖6)。 網路介面參數表示IP位址、工作模式以及對應的安全區域。 除了介面的操作模式之外,您還必須將其指派給 Virtual Router 虛擬路由器,這類似於帕洛阿爾托網路中的 VRF 實例。 虛擬路由器相互隔離,有自己的路由表和網路協定設定。
虛擬路由器設定指定靜態路由和路由協定設定。 本例中僅建立了一條預設路由用於存取外部網路(圖7)。
圖 7 – 設定虛擬路由器
下一個配置階段是流量策略,部分 政策 -> 安全。 設定範例如圖 8 所示。規則的邏輯與所有防火牆相同。 規則從上到下檢查,一直到第一場比賽。 規則簡要說明:
1. SSL VPN 存取Web Portal。 允許存取 Web 入口網站以驗證遠端連接
2. VPN 流量 – 允許遠端連線和總部之間的流量
3. 基本互聯網 – 允許 dns、ping、traceroute、ntp 應用程式。 防火牆允許基於簽名、解碼和啟發式的應用程序,而不是連接埠號碼和協議,這就是「服務」部分顯示「應用程式預設」的原因。 此應用程式的預設連接埠/協議
4. Web 存取 – 允許透過 HTTP 和 HTTPS 協定存取互聯網,無需應用程式控制
5,6. 其他流量的預設規則。
圖 8 — 設定網路規則的範例
若要設定 NAT,請使用下列部分 策略 -> NAT。 NAT 設定範例如圖 9 所示。
圖 9 – NAT 設定範例
對於從內部到外部的任何流量,您可以將來源位址變更為防火牆的外部 IP 位址並使用動態連接埠位址 (PAT)。
4. 設定LDAP認證設定檔和使用者識別功能
在透過SSL-VPN連接用戶之前,需要設定身份驗證機制。 在此範例中,將透過帕洛阿爾托網路 Web 介面對 Active Directory 網域控制站進行驗證。
圖 10 – LDAP 設定文件
為了使身份驗證工作,您需要配置 LDAP 設定檔 и 身份驗證設定檔。 在該部分 設備 -> 伺服器設定檔 -> LDAP (圖10)您需要指定網域控制器的IP位址和連接埠、LDAP類型和群組中包含的使用者帳戶 服務器運營商, 事件日誌讀取器, 分散式COM用戶。 然後在該部分 設備 -> 身份驗證設定文件 建立一個身份驗證設定檔(圖 11),標記先前建立的設定文件 LDAP 設定檔 在「進階」標籤中,我們指出了允許遠端存取的使用者群組(圖 12)。 請務必注意您的個人資料中的參數 使用者網域,否則基於群組的授權將不起作用。 該欄位必須指示 NetBIOS 網域。
圖 11 – 身份驗證設定檔
圖 12 – AD 組選擇
下一階段已設置 設備->用戶識別。 這裡您需要指定網域控制器的 IP 位址、連線憑證,並設定 啟用安全日誌, 啟用會話, 啟用探測 (圖13)。 在章節中 組映射 (圖 14)您需要記下用於識別 LDAP 中物件的參數以及將用於授權的群組清單。 就像在身份驗證設定檔中一樣,這裡您需要設定使用者網域參數。
圖 13 – 使用者映射參數
圖 14 – 群組映射參數
此階段的最後一步是建立 VPN 區域以及該區域的介面。 您需要在介面上啟用該選項 啟用使用者識別 (圖15)。
圖 15 – 設定 VPN 區域
5. 設定 SSL VPN
在連接到 SSL VPN 之前,遠端使用者必須存取 Web 入口網站、進行驗證並下載 Global Protect 用戶端。 接下來,該客戶端將請求憑證並連接到公司網路。 Web 入口網站以 https 模式運行,因此您需要為其安裝憑證。 如果可能,請使用公共憑證。 這樣使用者就不會在網站上收到有關憑證無效的警告。 如果無法使用公共證書,則需要頒發自己的證書,該證書將在網頁上用於 https。 它可以自簽名或透過本地證書頒發機構頒發。 遠端電腦必須在受信任的根頒發機構清單中具有根證書或自簽名證書,以便使用者在連接到 Web 入口網站時不會收到錯誤。 此範例將使用透過 Active Directory 憑證服務頒發的憑證。
要頒發證書,您需要在 部分建立證書請求 裝置 -> 憑證管理 -> 憑證 -> 生成。 在請求中,我們指明憑證名稱以及入口網站的 IP 位址或 FQDN(圖 16)。 產生請求後,下載 .csr 檔案並將其內容複製到 AD CS Web 註冊 Web 表單中的憑證要求欄位中。 根據憑證授權單位的配置方式,憑證請求必須獲得批准,並且頒發的憑證必須以以下格式下載 Base64 編碼證書。 此外,您還需要下載憑證授權單位的根憑證。 然後您需要將兩個憑證匯入防火牆。 為 Web 入口網站匯入憑證時,必須選擇處於待處理狀態的請求,然後按一下匯入。 證書名稱必須與先前在請求中指定的名稱相符。 根證書的名稱可以任意指定。 導入證書後,需要建立 SSL/TLS 服務設定檔 部分 設備->證書管理。 在設定檔中,我們指示先前匯入的憑證。
圖 16 – 憑證請求
下一步是設定對象 全球保護網關 и 全球保護門戶 部分 網路 -> 全域保護。 在設定中 全球保護網關 表示防火牆的外部IP位址,以及先前建立的 SSL 設定檔, 身份驗證設定檔、隧道介面和客戶端 IP 設定。 您需要指定一個 IP 位址池(將從中將位址指派給用戶端)和存取路由 - 這些是用戶端將有路由到達的子網路。 如果任務是透過防火牆包裝所有使用者流量,則需要指定子網路 0.0.0.0/0(圖 17)。
圖 17 – 設定 IP 位址和路由池
然後你需要配置 全球保護門戶。 指定防火牆的IP位址, SSL 設定檔 и 身份驗證設定檔 以及用戶端將連接到的防火牆的外部 IP 位址清單。 如果有多個防火牆,可以為每個防火牆設定優先級,使用者將根據優先順序選擇連接的防火牆。
在第 設備 -> GlobalProtect 用戶端 您需要從帕洛阿爾托網路伺服器下載 VPN 用戶端分發版並啟動它。 要連接,用戶必須轉到門戶網頁,並要求他下載 GlobalProtect 用戶端。 下載並安裝後,您可以輸入憑證並透過 SSL VPN 連接到您的公司網路。
結論
這樣就完成了 Palo Alto Networks 的設定部分。 我們希望這些資訊有用,並且讀者能夠了解 Palo Alto Networks 使用的技術。 如果您對設定有疑問以及對未來文章的主題有建議,請在評論中寫下,我們將很樂意回答。
來源: www.habr.com