Tìm kiếm

Cài đặt và cấu hình Firewall Palo Alto

Cài đặt và cấu hình Firewall Palo Alto

Tác giả CCNACCNP, T.Tư 04, 2019, 06:51:56 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Tư 04, 2019, 06:51:56 CHIỀU
Cài đặt và cấu hình Firewall Palo Alto


I. Giới thiệu tường lửa Palo Alto.

1. Tổng quan thiết bị tường lửa.

Ngày nay, khi kết nối Internetđã trở thành một phần không thể thiếu của mỗi doanh nghiệp, thì vấn đề an ninh mạng đã trở thành yếu tố không thể thiếu được của một hệ thống mạng. Cùng với sự đa dạng hoá của các ứng dụng mạng hiện nay, sự mở rộng quy mô mạng của các doanh nghiệp qua các hệ thống mở như kết nối Internet, kết nối VPN, kết nối wireless, các lỗ hổng mạng cũng đa dạng hơn, khó kiểm soát hơn. Vì vậy các tấn công mạng cũng trở lên phức tạp, nguy hiểm và khó kiểm soát hơn rất nhiều. Các tấn công có thể diễn ra với nhiều mục đích khác nhau như: lấy cắp dữ liệu, làm hỏng dữ liệu, chiếm quyền kiểm soát, chiếm dụng băng thông, làm ngừng dịch vụ....

Với các cách tấn công mạng trước đây, một Firewall chỉ cần tính năng NAT và lọc gói tin dựa trên thông tin phần tiêu đề gói tin lớp 3 (IP), lớp 4 (TCP/IP) là đủ. Nhưng hiện nay, các tấn công mạng có thể núp bóng dưới rất nhiều ứng dụng khác nhau như: IM, email... Tuy nhiên với nhu cầu hiện nay, đối với nhiều doanh nghiệp các ứng dụng như Email, sky, yahoo... lại được sử dụng như là phương tiện truyền thông chính của doanh nghiệp, vì vậy việc chặn các cổng giao thức như firewall truyền thống là không thể. Do vậy, đòi hỏi hệ thống bảo mật của doanh nghiệp phải có khả năng nhận biết các ứng dụng, lọc bỏ các gói tin chứa mã độc được núp bóng bởi các ứng dụng sạch. Các gói tin này thường được coi là thuộc các lưu lượng không xác định (Unidentified traffice) như SaaS, Web 2.0, IM, P2P....

Ngoài ra khi hệ thống công nghệ thông tin đã trở thành một trong nhưng công cụ cần thiết của một doanh nghiệp, các yêu cầu về bảo mật gia tăng, yêu cầu về phân quyền, thiết lập quy chế cho các người dùng cũng phức tạp hơn. Do vậy các hệ thống mạng thế hệ mới cần phải hỗ trợ các yêu cầu sau:

  • Khả năng phân cấp, phân quyền truy cập đến các tài nguyên khác nhau trong hệ thống chi tiết hơn, chặt chẽ hơn để hỗ trợ các quy chế bảo mật của công ty.
  • Băng thông mạng phải được đảm bảo trong cả tình huống mạng đang chịu các sự tấn công từ bên ngoài.
  • Sự quản trị dễ dàng để phù hợp với những quản trị mạng ít kinh nghiệm của các doanh nghiệp nhỏ, hoặc khả năng quản trị linh hoạt, tập trung cho những doanh nghiệp lớn với đội ngũ IT tập trung.
  • Thông thường để làm được điều này, trong hệ thống mạng của mỗi doanh nghiệp chúng ta phải sử dụng đồng thời hệ thống bảo mật gồm:
  • Firewall để ngăn chặn các truy cập trái phép, lọc gói tin dựa trên phần tiêu đề, ngăn chặn các tấn công lớp mạng, lớp giao vận.
  • Sử dụng IPS/IDS để phát hiện và ngăn chặn Worms, ngăn chặn tấn công qua các lỗ hổng bảo mật của các phần mềm thông thường (windows, office, explorer...), ngăn chặn các tấn công khác lớp ứng dụng.
  • Sử dụng Proxy để để phân quyền truy cập ứng dụng theo quy chế của công ty, ngăn chặn các tấn công đến từ lớp ứng dụng.

2. Tổng quan tường lửa Palo Alto.

2.1. Sự khác biệt trong công nghệ và kiến trúc của Palo Alto.

2.1.1.  Kiến trúc Single-Pass Parallel Processing™ (SP).




2.1.2. Sự khác biệt.

Hỗ trợ cùng lúc nhiều mô hình triển khai trên cùng một thiết bị: Tap Mode  (monitoring), Virtual Wire Mode (in-line), L2 Mode, L3 Mode, hỗ trợ IPv6.


  • Kiến trúc xử lý song song một  giai đoạn - Single-Pass Parallel Processing™  (SP3) Architecture – hỗ trợ đồng thời trên cả phần cứng và phần mềm: thực thi song song một giai đoạn tất cả các tính năng:
  • App-ID: phân loại thông lượng và nhận diện ứng dụng ngay từ ban đầu, bất kể giao thức (protocol), cổng dịch vụ (port), các kỹ thuật đánh lừa nhận diện, mã hoá SSL.


  • User-ID: nhận diện và quản lý người dùng, tạo sơ đồ người dùng/nhóm người dùng bất kể địa chỉ IP, vị trí hay thiết bị của người dùng.


  • Content-ID: quét nội dung, kiểm tra các nguồn đe doạ, bảo vệ toàn diện trước các mã độc đã  biết  (known malware, virus, spyware), ngăn chặn tấn công xâm  nhập với  tính năng Threat Prevention (IPS, antivirus, antispyware) và mã độc thế hệ mới (unknown malware hay APT) với công nghệ WildFire. Kiểm tra và lọc web với tính năng URL Filtering. Phát hiện thất thoát dữ liệu tối mật và giám sát việc gửi thông tin / file  đính kèm ra ngoài hệ thống thông qua tính năng Data Filtering và File Blocking.


  • Các ứng dụng luôn được cập nhật thường xuyên và định kỳ.
  • Kiến trúc phần cứng: có chip xử lý chuyên dụng (FPGA) cho từng tác vụ riêng biệt App-ID, User-ID và Content-ID.
  • Tách biệt khối điều khiển (control plane) / xử lý dữ liệu (data plane) trên kiến trúc phần cứng.


  • Chỉ cần một thiết lập an ninh (one security policy) đồng nhất bao gồm toàn bộ các tác vụ App-ID, User-ID và Content-ID cho cả một giai đoạn thực thi song song.
  • Khả năng phân loại băng thông (QoS) đến từng người dùng và ứng dụng cũng như giám sát băng thông theo thời gian thực.
  • Tích hợp hỗ trợ chống tấn công từ chối dịch vụ (DDoS) và chống mất cắp dữ liệu (DLP).
  • Việc bảo vệ truy cập từ xa thông qua GlobalProtect hỗ trợ cả IPSec và SSL VPN và được tích hợp sẵn trên thiết bị, hỗ trợ kiểm tra truy nhập NAC (Network Access Control) với việc kiểm tra thông tin host (HIP – Host Information Profile), hỗ trợ cho nhiều môi trường thiết bị & hệ điều hành khác nhau (Windows, Mac, Linux, iOS, Android..).
  • Tích hợp khả năng nhận diện URL, lọc web và bảo vệ an toàn khi duyệt web.
  • Bảo vệ toàn diện và nhất quán cho cả môi trường vật lý và môi trường ảo hoá, khả năng quản trị và giám sát tập trung đồng nhất cho cả hai môi trường.


  • Hỗ trợ khả năng ảo hoá phần cứng của một thiết bị an ninh mạng thành nhiều hệ thống an ninh mạng ảo (virtual systems).
  • Hỗ  trợ vận hành liên tục không gián đoạn (High Availability –  Active/Active, Active/Passive).
  • Khả năng tạo báo cáo nâng cao (advanced reporting) được tích hợp sẵn trên thiết bị. Người quản trị an ninh thông tin có thể tuỳ biến báo cáo theo ý của mình một cách linh hoạt.

II. Hướng dẫn cấu hình.

1. Cấu hình các thông số cơ bản.

Thiết bị sau khi khởi động nguồn, admin đăng nhập vào giao diện quản trị của Palo Alto bằng port Management và truy cập vào IP mặc định của thiết bị là 192.168.1.1 với user/pass mặc định là admin/admin.


Đầu tiên, admin cần thay đổi các thông số cơ bản như Hostname, IP management,... bằng cách vào tab Device > Setup > Management và chọn kí tự tại dấu mũi tên.


Trong cửa sổ Management Interface Settings, admin nhập các thông số IP dùng để manage hệ thống.
Chú ý: IP management có thể dùng trong zone DMZ hoặc 1 zone khác với lớp IP khác và được kết nối vào 1 port trên FW dễ dàng tạo rule truy cập và kết nối Internet để update software. Ngoài ra, admin cần giới hạn các Services truy cập vào Port management.


Admin cần cấu hình DNS của thiết bị để có thể update License, Software và đồng bộ user của hệ thống. Để cấu hình DNS, admin vào Device Setup  Services và chọn ký tự Setting


Trong cửa sổ Services, admin cần add các IP dùng để phân giải DNS. VD: trước hết dung IP 8.8.8.8 để đăng ký License và update software, sau đó dung DNS local để đồng bộ user từ AD.


2. Đăng ký License và Update software.

Để đăng ký License và update software, cũng như OS thiết bị, admin cần phải đấu nối để Port management của FW có thể truy cập Internet.
Để đăng ký License, admin vào tab Device > License để đăng ký bằng Authentication Code hoặc đăng ký trực tiếp trên trang support   Đăng nhập để xem liên kết


Để update OS cho thiết bị FW, admin vào Device > Softwares và chọn các version cần update để Download và Install.


Để update các gói software dành cho Antivirus, Application và Threat thì admin vào tab Device > Dynamic Update và chọn Install các gói cần update (phụ thuộc vào License)


3. Cấu hình Interface

Cấu hình Interface vlan.1, vlan.2, vlan.3 tương ứng với các lớp LAN, DMZ và WAN cho phép kết nối ra bên ngoài, kết nối với các vùng dữ liệu khác. Để cấu hình cho các Interface Vlan, admin vào tab Network > Interfaces > VLAN và tạo mới các Interface vlan tương ứng.


Đối với Interface vlan.1 sẽ được sử dụng cho lớp mạng Local, do đó cần cấu hình các thông số trong tab Config như sau:

  • VLAN ID: 1
  • VLAN: VLAN1_LAN (có thể tạo và add sau)
  • Virtual Router: default (đây là group Route chung dành cho các Interface)
  • Security Zone: L3-Trust (đây là Zone định nghĩa cho lớp mạng Local)


  • Tại tab IPv4, admin add IP dùng để giao tiếp với Coreswitch cho lớp mạng Local.
  • Đối với lớp mạng LAN thì IP cần add để giao tiếp với Coreswitch là 10.0.1.1


Tương tự cho Interface vlan.2 dành cho DMZ với IP là 172.16.1.254
Đối với Interface vlan.3 sẽ được sử dụng cho lớp mạng Local, do đó cần cấu hình các thông số trong tab Config như sau:

  • VLAN ID: 3
  • VLAN: VLAN3_WAN (có thể tạo và add sau)
  • Virtual Router: default (đây là group Route chung dành cho các Interface)
  • Security Zone: L3-Untrust (đây là Zone định nghĩa cho lớp mạng WAN)


Tại tab IPv4, admin add IP dùng để giao tiếp với thiết bị Load Balance (hoặc Modem) cho lớp mạng WAN và Internet.
Đối với lớp mạng WAN thì IP cần add để giao tiếp với thiết bị Load Balance là 3 IP tương ứng với 3 đường truyền Internet 192.168.200.48 - 192.168.200.49 - 192.168.200.50


Tiếp theo bước cấu hình Interface Vlan, admin cần tạo VLAN và map các Interface Vlan và các Interface với nhau. Để cấu hình VLAN, admin vào tab Network VLAN và tạo các VLAN tương ứng.


Các thông số Interface cần map như sau:

  • VLAN1_LAN: map interface vlan.1 vào 4 port ethernet1/1-4
  • VLAN2_DMZ: map interface vlan.2 vào 2 port ethernet1/5-6
  • VLAN3_WAN: map interface vlan.3 vào 4 port ethernet1/7-10


Bước cuối cùng trong phần cấu hình Interface, admin cần kiểm tra lại các port đã map vào Interface vlan đã đúng hay chưa.


Ví dụ: Port 1 sử dụng Type Layer 2 và map cho VLAN1_LAN


4. Cấu hình Routing.

Trong quá trình cấu hình thiết bị tường lửa Palo Alto thì Routing là một bước quan trọng để các lớp mạng có thể thông suốt.
Sau khi cấu hình các Interface tương ứng cho các lớp mạng thì admin cần cấu hình Routing để định tuyến các lớp mạng trong Local, cũng như lớp DMZ hoặc lớp WAN. Để cấu hình Routing thì admin vào tab Network > Virtual Router và tạo các thông số routing.
Note: để các Interface có thể định tuyến với nhau thì cần add các Interface vào trong 1 nhóm Virtual Router. VD: trong quá trình triển khai thì các Interface đều được add vào cùng 1  nhóm Virtual Router là default


Trong cửa sổ Virtual Router, tại tab Router Settings, admin cần add các Interface sẽ cấu hình Routing với nhau.


Tại tab Static Routes, admin cần add các lớp mạng trong Local và WAN tương ứng với Gateway dành cho các lớp mạng này.


Ví dụ: tạo Route dành cho lớp 192.168.50.0/24 với Interface vlan.3 (vì đây là lớp giao tiếp giữa Modem và thiết bị Load Balance) và trõ về Gateway là 192.168.200.200 (đây là IP giao tiếp giữa thiết bị FW và Load Balance)

5. Tạo Object và Object Group.

Việc tạo các Object và Object group giúp cho việc tạo Policy trở nên tập trung, đơn gian và nhanh gọn. Ngoài ra, còn giúp cho việc quản lý dễ dàng hơn và hạn chế việc trùng lắp Policy.
Để tạo các Object dành cho IP, admin vào Objects > Addresses


Để tạo các Object group dành cho IP, admin vào Objects Addresses Groups
Trong các Object Group IP cần add các Object IP tương ứng.


Tương tự việc tạo các Object Group dành cho IP, việc tạo các Object Group dành cho các Application là cần thiết. Để tạo các Object Group này, admin vào Objects Application Groups


Việc tạo các group application giúp việc tạo policy trở nên đơn gian và dễ quản lý hơn.


Tương tự việc tạo các Object và Object Group dành cho IP, việc tạo các Object và Object Group dành cho các Service là cần thiết. Để tạo các Object Group này, admin vào Objects Services và Objects Service Groups


Việc tạo các Group service tập trung giúp dễ dàng hơn trong việc quản lý các Policy dành cho Service và NAT các dịch vụ trong hệ thống


6. Cấu hình Security Profiles.

6.1 Antivirus.

Việc cấu hình Antivirus Profile giúp hạn chế việc lây lan Virus từ Internet vào hệ thống mạng nội bộ.
Để cấu hình Antivirus Profile, admin vào Objects Security Profiles Antivirus và tạo các Profile với các Action tương ứng.


6.2 Anti-spyware.

Việc cấu hình Anti-spyware Profile giúp hạn chế việc lây nhiễm Spyware từ Internet vào hệ thống mạng nội bộ.
Để cấu hình Anti-spyware Profile, admin vào Objects Security Profiles Anti-spyware và tạo các Profile với các Action tương ứng.


6.3 Vulnerability Protection.

Việc cấu hình Vulnerability Protection Profile giúp hạn chế các lỗ hỏng của hệ thống mạng nội bộ.
Để cấu hình Vulnerability Protection Profile, admin vào Objects > Security Profiles > Vulnerability Protection và tạo các Profile với các Action tương ứng.


6.4 URL Filtering.

Việc cấu hình URL Filtering Profile giúp hạn chế việc truy cập các trang web cấm và không phù hợp với môi trường làm việc.
Để cấu hình URL Filtering Profile, admin vào Objects Security Profiles URL Filtering và tạo các Profile tương ứng với các chính sách dành cho các nhóm người dùng.


Ví dụ:

  • Profile SEP dành cho nhóm người dùng quản lý như: BGD, Trưởng phòng,...Profile NV dành cho nhóm người dùng còn lại.

Trong mỗi Profile sẽ bao gồm 1 list các Category tương ứng với các nội dung các trang web. Admin dựa trên các chính sách của công ty để đưa ra các Action tương ứng cho các Category này. Ngoài ra, admin có thể thêm vào các đường dẫn vào danh sách Block list hoặc Allow list.


6.5 File Blocking.

Việc cấu hình File Blocking Profile giúp hạn chế việc đăng tải các tập tin trái phép ảnh hưởng đến hệ thống và dễ lây nhiễm virus, malware.
Để cấu hình File Blocking Profile, admin vào Objects > Security Profiles > File Blocking và tạo các Profile tương ứng với các chính sách dành cho các nhóm người dùng.


Trong mỗi Profile sẽ bao gồm các định dạng tập tin tương ứng có sẵn hoặc tự định nghĩa thêm. Admin dựa trên các chính sách của công ty để đưa ra các Action tương ứng cho các tập tin này.


7. Cấu hình Security Policy.

Phần cấu hình quan trọng nhất của một thiết bị Firewall là thực hiện cấu hình các Policy truy cập giữa các lớp mạng, giữa các Interface. Việc cấu hình các Policy này giúp cho sự liên kết giữa các lớp mạng và các Interface trở nên thông suốt, đồng thời ngăn chặn, giới hạn các truy cập trái phép từ bên ngoài vào hệ thống và từ giữa các Interface.
Để cấu hình các Policy, admin vào Policies Security và tạo các Policy tương ứng với các lớp mạng và các Interface.


Ví dụ về một Policy được tạo nhằm mục đích cho phép các VLAN thuộc nhóm SEP được phép truy cập vào Internet, nhưng bị giới hạn bởi các Profile SEP đã tạo sẵn.

  • Tại cửa sổ Security Policy Rule > General, admin cần nhập các thông số như hình dưới:
  • Name: tên của Policy
  • Rule Type: universal (default)
  • Tag: định nghĩa màu và hashtag để dễ dàng trong việc searching.


Tại cửa sổ Security Policy Rule > Source, admin cần nhập các thông số như hình dưới:

  • Source Zone: chọn Zone nguồn cần tạo Policy, ở đây là L3-Trust (tức Zone LAN)
  • Source Address: các lớp mạng cần tạo Policy, ở đây là Group SEP gồm các VLAN đã tạo từ trước.


Tại cửa sổ Security Policy Rule > Destination, admin cần nhập các thông số như hình dưới:

  • Destination Zone: chọn Zone đích được truy cập, ở đây là L3-Untrust (tức Zone WAN)
  • Destination Address: các lớp mạng cần tạo Policy, ở đây là Any vì cần đi Internet.


Tại cửa sổ Security Policy Rule Application, admin cần nhập các ứng dụng được phép (hoặc không cho phép) sử dụng. Ở đây chọn Any vì không giới hạn ứng dụng cho phép truy cập.


Tại cửa sổ Security Policy Rule > Service/URL Category, admin cần nhập các thông số như hình dưới:

  • Service: chọn các dịch vụ được phép (hoặc cấm), ở đây là Any vì không giới hạn.
  • URL Category: chọn các Category giới hạn, ở đây là Any vì vì không giới hạn.


Tại cửa sổ Security Policy Rule > Actions, admin cần nhập các thông số như hình dưới:

  • Action: chọn hành động cho phép (Allow) hoặc chặn (Deny/Drop).
  • Profile Setting: chọn các Profile giới hạn truy cập tương ứng đã tạo từ trước.


Ví dụ về một Policy được tạo nhằm mục đích chặn các VLAN thuộc nhóm SEP truy cập một nhóm ứng dụng đã tạo sẵn.

  • Tại cửa sổ Security Policy Rule General, admin cần nhập các thông số như hình dưới:
  • Name: tên của Policy
  • Rule Type: universal (default)
  • Tag: định nghĩa màu và hashtag để dễ dàng trong việc searching.


Tại cửa sổ Security Policy Rule > Source, admin cần nhập các thông số như hình dưới:

  • Source Zone: chọn Zone nguồn cần tạo Policy, ở đây là L3-Trust (tức Zone LAN)
  • Source Address: các lớp mạng cần tạo Policy, ở đây là Group SEP gồm các VLAN đã tạo từ trước


Tại cửa sổ Security Policy Rule > Destination, admin cần nhập các thông số như hình dưới:

  • Destination Zone: chọn Zone đích được truy cập, ở đây là L3-Untrust (tức Zone WAN)
  • Destination Address: các lớp mạng cần tạo Policy, ở đây là Any vì các ứng dụng thuộc Internet.


Tại cửa sổ Security Policy Rule > Application, admin cần nhập nhóm ứng dụng bị cấm đã được tạo từ trước trong phần Application Group.


Tại cửa sổ Security Policy Rule > Service/URL Category, admin cần nhập các thông số như hình dưới:

  • Service: chọn các dịch vụ bị cấm, ở đây là Any vì không giới hạn dịch vụ của ứng dụng bị cấm.


Tại cửa sổ Security Policy Rule > Actions, admin cần nhập các thông số như hình dưới:

  • Action: chọn hành động là chặn (Deny/Drop) vì đây là policy cần chặn.
  • Profile Setting: các Profile này không cần chọn vì không cần giới hạn theo Profile.


8. Cấu hình NAT.

Ngoài việc việc cấu hình các Policy truy cập giữa các lớp mạng, giữa các Interface, thì việc cấu hình public các dịch vụ bên trong hệ thống ra bên ngoài Internet cũng quan trọng không kém. Việc cấu hình các Policy này giúp cho người dung bên ngoài Internet có thể sử dụng các dịch vụ của công ty.
Để tạo các Policy NAT, admin vào Policies > NAT và tạo các Policy NAT tương ứng với các dịch vụ cần public.


Ví dụ về một Policy NAT được tạo nhằm mục đích điều hướng cho các luồng dữ liệu từ nội bộ ra bên ngoài Internet.

  • Tại cửa sổ NAT Policy Rule General, admin cần nhập các thông số như hình dưới:
  • Name: tên của Policy NAT
  • Tag: định nghĩa màu và hashtag để dễ dàng trong việc searching.


Tại cửa sổ NAT Policy Rule Original Packet, admin cần nhập các thông số như sau:
  Source Zone: chọn Zone nguồn cần tạo Policy, ở đây là L3-Trust và L3-DMZ.
  Source Address: ở đây chọn Any vì để chọn hết các lớp mạng trong nội bộ.
  Destination Zone: chọn Zone đích cần đi tới, ở đây là L3-Untrust (tức zone WAN)
  Destination Interface: chọn interface tương ứng với Zone, ở đây là interface vlan.3
  Destination Address: chọn Any vì lớp LAN cần đi Internet bằng cả 3 địa chỉ WAN
  Service: chọn Any vì không giới hạn dịch vụ cần đi ra Internet.


Tại cửa sổ NAT Policy Rule > Translated Packet, admin cần nhập các thông số như sau:
  Source Address Translation: điền các thông tin nguồn cần NAT khi đi Internet.
  Destination Address Translation: ở đây không chọn vì không translate cho IP đích


Ví dụ về một Policy NAT được tạo nhằm mục đích Public dịch vụ Rosy trong hệ thống ra Internet bằng địa chỉ WAN của lớp 49 (đã được map vào IP 192.168.200.49).
  Tại cửa sổ NAT Policy Rule General, admin cần nhập các thông số như hình dưới:
  Name: tên của Policy NAT
  Tag: định nghĩa màu và hashtag để dễ dàng trong việc searching.


Tại cửa sổ NAT Policy Rule > Original Packet, admin cần nhập các thông số như sau:
  Source Zone: chọn Zone nguồn là zone đi từ ngoài vào, ở đây là L3-Untrust.
  Source Address: ở đây chọn Any vì để chọn hết các địa chỉ từ Internet.
  Destination Zone: chọn Zone đích cần đi tới, ở đây là L3-Untrust.
  Destination Interface: chọn interface tương ứng với Zone, ở đây là interface vlan.3
  Destination Address: chọn địa chỉ WAN cần public dịch vụ, chọn 192.168.200.49
  Service: chọn dịch vụ của ứng dụng cần public, ở đầy là port 99 với giao thức TCP.


Tại cửa sổ NAT Policy Rule Translated Packet, admin cần nhập các thông số như sau:
  Source Address Translation: ở đây không chọn vì không translate cho IP nguồn.
  Destination Address Translation: chọn địa chỉ server và port của ứng dụng cần public, ở đây là 192.168.0.68 và port 1433


  Bước cuối cùng sau khi tạo các Policy NAT là cần phải tạo 1 Policy Security tương ứng với Policy NAT đó nhằm mục đích cho phép truy cập từ Internet vào dịch vụ đó thông qua các IP WAN và group dịch vụ đã tạo sẵn.


  Do đã tạo 1 Policy NAT cho dịch vụ Rosy được public ra Internet thì admin cần phải tạo 1 Policy Security để cho phép người dung từ Internet truy cập vào ứng dụng Rosy trong hệ thống


Tại cửa sổ Security Policy Rule General, admin cần nhập các thông số như hình dưới:
  Name: tên của Policy
  Rule Type: universal (default)
  Tag: định nghĩa màu và hashtag để dễ dàng trong việc searching.


Tại cửa sổ Security Policy Rule Source, admin cần nhập các thông số như hình dưới:
  Source Zone: chọn Zone nguồn cần tạo Policy, ở đây là L3-Untrust (tức WAN)
  Source Address: chọn Any để không giới hạn địa chỉ Internet được phép truy cập.


Tại cửa sổ Security Policy Rule Destination, admin cần nhập các thông số như hình dưới:
  Destination Zone: chọn Zone đích được truy cập, ở đây là L3-Trust (tức Zone LAN) và L3-DMZ (tức Zone DMZ)
  Destination Address: các địa chỉ IP WAN được map để public các dịch vụ.


Tại cửa sổ Security Policy Rule Application, chọn Any để không giới hạn ứng dụng được phép truy cập.


Tại cửa sổ Security Policy Rule Service/URL Category, admin cần nhập các thông số như hình dưới:
  Service: chọn các dịch vụ được phép public (đã tạo group từ trước).
  URL Category: chọn các Category giới hạn, ở đây là Any vì vì không giới hạn.


Tại cửa sổ Security Policy Rule Actions, admin cần nhập các thông số như hình dưới:
  Action: chọn hành động là cho phép (Allow) vì đây là policy cho phép truy cập.
  Profile Setting: các Profile này không cần chọn vì không cần giới hạn theo Profile.


9. Cấu hình SSL VPN

Tính năng SSL VPN dùng để tạo các kết nối riêng từ bên ngoài vào hệ thống dành cho người dùng cá nhân. Việc cấu hình VPN này mang đến khả năng kết nối nhanh, tiện lợi và bảo mật dành cho những người dùng đang ở bên ngoài nhưng muốn kết nối vào hệ thống để phục vụ công việc.

Để tạo một kết nối VPN, bước đầu tiên admin vào Device > Certificate Management > Certificates và tạo 1 certificate self-sign mới.


  Click chọn Generate và điền các thông tin Certificate Attributes cho certificate.


  Bước thứ 2, admin vào Device Certificate Management SSL/TLS Service Profile để tạo Profile SSL và add certificate vừa tạo ở bước 1.


Bước thứ 3, admin vào Network Interface Tunnel để tạo một tunnel mới dành cho VPN. VD: tunnel.1


Bước thứ 4, admin vào Network Zones để tạo một Zone mới dành cho VPN và add tunnel.1 vừa tạo ở bước 3. VD: L3-VPN


Bước 5, admin vào Network GlobalProtect Gateways và tạo một Gateway mới dành cho kết nối VPN. Tại tab General, admin cần điền các thông tin sau:
  Name: điền tên của VPN Gateway.
  Interface: chọn Interface tương ứng với đường kết nối Internet.
  IP Address: chọn IP WAN ứng với đường Internet dùng để kết nối VPN.
  SSL/TLS Service Profile: chọn Profile vừa tạo ở bước 2.
  Authentication Profile: chọn Profile xác thực đã tạo trước (Local hoặc xác thực AD)


Tại tab Client Configuration Tunnel Settings, admin click chọn Tunnel mode và điền các thông tin sau:
  Tunnel Interface: chọn tunnel.1 là interface được tạo cho kết nối VPN này.
  Max User: điền số lượng user được phép sử dụng, mặc định là không giới hạn.


Tại tab Client Configuration Timeout Settings, admin điền các thông tin để giới hạn thời gian hoạt động của kết nối VPN.


Tại tab Client Configuration Network Settings, admin tạo các thông tin về range IP sẽ sử dụng cho kết nối VPN.


Tại cửa sổ Configs, tab Network Settings, admin điền các thông tin sau:
  IP Pool: định nghĩa range IP dành cho VPN.
  Access Route: điền các lớp mạng được phép VPN vào


Tại tab Client Configuration Network Services, admin điền các thông số DNS và domain của hệ thống.


Bước 6, admin vào Network GlobalProtect Portals và tạo một Portal mới dành cho kết nối VPN. Tại tab Portal Configuration, admin cần điền các thông tin sau:
  Name: điền tên của VPN Gateway.
  Interface: chọn Interface tương ứng với đường kết nối Internet.
  IP Address: chọn IP WAN ứng với đường Internet dùng để kết nối VPN.
  SSL/TLS Service Profile: chọn Profile vừa tạo ở bước 2.
  Authentication Profile: chọn Profile xác thực đã tạo trước (Local hoặc xác thực AD)


Tại tab Agent Configuration, admin cần tạo External Gateway và Group User được phép VPN.


Tại cửa sổ Configs, tab General, admin điền các thông tin sau:
  Name: định nghĩa tên của Agent.
  Connect Method: chọn phuong thức kết nối.


Tại cửa sổ Configs, tab Gateways, admin điền các thông tin sau:
  External Gateways: điền IP WAN cần dùng để kết nối VPN.


Bước 7, admin vào Policies > NAT và add thêm Zone L3-VPN vào group NAT outbound đã tạo từ trước để người dùng kết nối VPN có thể truy cập Internet.


Bước 8, admin vào Policies > Security và tạo một policy cho phép lớp mạng VPN có thể truy cập vào một (hoặc nhiều) lớp mạng bên trong hệ thống.

  Sau khi hoàn tất quá trình tạo policy thì quá trình cấu hình VPN cũng đã hoàn tất. Người dung có thể truy cập vào đỉa chỉ WAN của firewall (   Đăng nhập để xem liên kết) để đăng nhập và download phần mềm VPN Global Protect về sử dụng.

10. Monitor dữ liệu

Để theo dõi các luồng traffic dữ liệu, cũng như các thông tin về URL Filtering, Threat,... thì admin vào tab Monitor để xem. Ngoài ra, admin có thể vào tab ACC để xem các thống kê, report,...

Tạo trang in
Lên đầu trang Trang1
User actions

Cài đặt và cấu hình Firewall Palo Alto