VietNetwork.Vn

1. Giới thiệu.

Mình đã chạy thử một tưởng lửa mới với Palo Alto PA-220 để giám sát lưu lượng mạng WAN của mình trong phòng thử nghiệm và rất yêu thích với khả năng hiển thị các ứng dụng mà mình đã không có được với các tường lửa trước đây. Palo Alto chắc chắn sẽ cung cấp cho bạn một điều đó khi bạn ứng dụng nó vào môi trường thực tế.

Việc cấu hình với bất kỳ tường lửa nào chắc chắn cũng sẽ tẻ nhạt vì nhìn chung tất cả chúng đều có những cách để khởi động và chạy với những khác biệt nhỏ về cách thức thực hiện các công nghệ và cách xử lý lưu lượng. Trong bài này chúng ta sẽ xem xét cách cài đặt và cấu hình tường lửa trong phòng thử nghiệm của Palo Alto PA220 và bước qua một số điểm chính của cấu hình trong việc truyền tải lưu lượng.


2. Cài đặt và cấu hình Palo Alto PA 220 Firewall.

Có một số thứ bạn muốn thực hiện trong quá trình cài đặt và cấu hình để đảm bảo lưu lượng truy cập mạng chính xác. Giả sử các bạn đã có kết nối thông qua giao diện quản lý của tường lửa và sau đây là các bước thức hiện.

   
• Cài đặt giấy phép.
• Cấu hình cập nhật tự động.
• Cấu hình giao diện, VLAN, switch tagging.
• Thiết lập máy chủ DHCP.
• Cấu hình Zones.
• Cấu hình Network Address Objects.
• Tạo Security Policies.
• Tạo NAT Policies.
• Lối vào và ra

Danh sách trên hoàn toàn không phải là tất cả, đặc biệt là với các nhu cầu khác nhau của các môi trường mạng khác nhau, tuy nhiên, nó đại diện cho một số cấu hình chính mà bạn cần phải thiết lập để lưu lượng truy cập một cách chính xác.

2.1. Cài đặt giấy phép Palo Alto PA 220 Firewall.

Trước tiên các bạn cần có giấy phép để cài đặt để có thể thấy được hết các chức năng khác nhau tường lửa, bao gồm Threat Prevention, PAN-DB URL Filtering và Wildfire. Để làm được điều này, các bạn phải có được mã ủy quyền từ nhà cung cấp mà bạn đã mua tường lửa của mình, từ đó cho phép bạn nhận được giấy phép.

Các bạn hãy truy cập vào đây   Đăng nhập để xem liên kết và tạo tài khoản nếu bạn chưa có tài khoản, sau đó chỉ cần thực hiện quy trình Register New Device.



2.2. Cấu hình cập nhật tự động.

Khi các bạn đã cài đặt xong giấy phép của mình thì có thể cấu hình các bản cập nhật tự động trên Palo Alto phù hợp với các tính năng và chức năng đã được cài đặt thông qua giấy phép. Điều này cho phép bạn lên lịch tải xuống các bản cập nhật như Antivirus definitions, Applications and threats, GlobalProtect Clientless VPN và Wildfire updates. Với các tùy chọn lên lịch, bạn có thể lên lịch kiểm tra các bản cập nhật mới và tùy chọn cài đặt cho từng thành phần khác nhau.


2.3. Cấu hình Interfaces, VLANs và Switch Tagging.

Thiết lập Interfaces trên Palo Alto là một phần thiết yếu của quy trình cấu hình tường lửa. Bạn phải thiết lập Interfaces của mình cho các mạng con khác nhau mà Palo Alto sẽ định tuyến lưu lượng. Bao gồm bất kỳ VLAN tagging nào cần được thực hiện. Đối với hầu hết, thiết lập các Interfaces thường là loại Interfaces Layer 3 là thích hợp hơn. Để thiết lập VLAN, các bạn có thể sử dụng các Interfaces con cho phép thiết lập VLAN tag.

Một điều thú vị cần lưu ý về Palo Alto là các bạn có thể tạo các zones và đối tượng bảo mật mới từ hầu hết các menu cấu hình.


Điều này phù hợp với bất kỳ VLAN tagging, tuy nhiên, một phần trong cấu hình của switch vật lý mà bạn đang sử dụng để truyền tải các khung được gắn thẻ là các VLANs được cấu hình trên các cổng uplinks. Với PA 220 Firewall có rất nhiều cổng có thể được cấu hình làm đường dẫn vật lý uplinks tới switch của bạn có thể phù hợp với cấu hình và vùng Interface logic của bạn.

Ngoài ra các bạn có thể thiết lập các máy chủ DHCP nếu bạn cần chúng trên các Interface khác nhau để phục vụ các mạng con khác nhau. Các máy chủ DHCP hoàn toàn tự động với nhau và có thể có các giá trị và cài đặt cấu hình hoàn toàn riêng biệt.


2.4. Cấu hình Zones.

Hầu hết các tường lửa hiện đại đều có khái niệm về Zones. Zone là gì? Theo tài liệu chính thức của Palo Alto là:

Zone là một nhóm các Interface (vật lý hoặc ảo) đại diện cho một phân đoạn mạng của bạn được kết nối và kiểm soát bởi tường lửa. Bởi vì lưu lượng truy cập chỉ có thể lưu chuyển giữa các Zone  nếu có quy tắc chính sách bảo mật để cho phép nó, đây là tuyến phòng thủ đầu tiên của bạn. Các Zone  bạn tạo càng chi tiết, bạn càng có nhiều quyền kiểm soát đối với quyền truy cập vào các ứng dụng và dữ liệu nhạy cảm và bạn càng có nhiều sự bảo vệ hơn đối với phần mềm độc hại di chuyển ngang qua mạng của bạn. Ví dụ: bạn có thể muốn phân đoạn quyền truy cập vào các máy chủ cơ sở dữ liệu lưu trữ dữ liệu khách hàng của bạn vào một vùng được gọi là dữ liệu khách hàng. Sau đó, bạn có thể xác định các chính sách bảo mật chỉ cho phép một số người dùng hoặc nhóm người dùng nhất định truy cập vào vùng dữ liệu khách hàng, từ đó ngăn chặn truy cập bên trong hoặc bên ngoài trái phép vào dữ liệu được lưu trữ trong phân khúc đó.

Các Zone là một phần cực kỳ quan trọng trong thiết kế bảo mật tổng thể và xây dựng các chính sách của bạn để đưa lưu lượng truy cập vào các phân đoạn mạng khác nhau của bạn. Trong nhiều doanh nghiệp có quy mô SMB, rất nhiều lần các khu vực bảo mật chỉ đơn giản là phù hợp với các Interface vật lý được liên kết uplinked khác nhau và mục đích của chúng, tuy nhiên, có nhiều cách sáng tạo mà các khu vực có thể được thực hiện để kiểm soát lưu lượng.

Bạn có thể tạo các Zone trước hoặc bạn có thể cấu hình Interface và tạo Zone tại thời điểm đó. Các lĩnh vực chính của cấu hình ở đây là Tên, Loại và Interface.


2.5. Cấu hình Network Address Objects.

Network Address Objects? Nó cho phép tạo các thực thể đại diện cho các địa chỉ mạng có thể được sử dụng bên trong các chính sách. Một lợi thế rất lớn khi sử dụng các Network Address Objects là chúng cho phép bạn thay Network Address Objects ở một nơi và thay đổi được thể hiện trên tất cả các chính sách bảo mật hoặc NAT mà Network Address Objects được tham chiếu. Cách tiếp cận này hiệu quả hơn so với thay đổi địa chỉ IP trong 100 chính sách khác nhau, nơi nó có thể được tham chiếu.

Điều này cũng tuyệt vời từ quan điểm đưa tường lửa đang hoạt động vào môi trường sản phẩm. Chúng ta chỉ đơn giản thay đổi các Network Address Objects mà đã gán cho từng Interface trên Palo Alto và sau khi cam kết hoàn thành, do thay đổi các đối tượng, tất cả các giao diện và chính sách bảo mật đã được cấu hình như mong muốn.

Các nhóm địa chỉ cho phép bạn nhóm nhiều đối tượng địa chỉ lại với nhau. Điều này cho phép bạn tham chiếu một đối tượng và một đối tượng chứa nhiều đối tượng địa chỉ. Tạo Address Objects bạn trước khi đi sâu vào các chính sách bảo mật của bạn cho phép bạn đặt các đối tượng địa chỉ của mình để bạn có thể bắt đầu làm việc với chúng trong các chính sách hoặc bảo mật hoặc NAT. Tuy nhiên, như trường hợp của hầu hết GUI PAN-OS, bạn thực sự có thể tạo Address Objects từ bên trong cấu hình chính sách bảo mật hoặc chính sách NAT khi đưa quy tắc xuống một đối tượng nhất định. Bạn có thể chọn để tạo một Address Objects mới.

2.6. Tạo chính sách bảo mật.

Khi bạn đã có cấu hình trên, bạn thực sự có thể bắt đầu tạo ra các chính sách bảo mật của mình. Chính sách bảo mật về cơ bản là các quy tắc tường lửa của bạn cho phép hoặc không cho phép lưu lượng truy cập từ một nguồn đến đích. Tuy nhiên, một trong những khả năng tuyệt vời của tường lửa Palo Alto là có thể lọc lưu lượng dựa trên ID ứng dụng. Điều này cho phép bạn lọc lưu lượng dựa trên ID của ứng dụng và không dựa trên quy tắc IP và cổng. Vì vậy, ví dụ, bạn chỉ cần cho phép facebook và không phải lo lắng về việc IP và cổng nào cần được cho phép. Palo Alto  có thể xem ID ứng dụng và chặn hoặc cho phép lưu lượng truy cập ở lớp ứng dụng. Đây là một cách tiếp cận mạnh mẽ hơn nhiều so với lưu lượng truy cập Layer 3 hoặc Layer 4 nghiêm ngặt.

Một vài quy tắc đặc biệt cần lưu ý - Palo Alto  theo mặc định tạo ra hai quy tắc bên dưới, mặc định nội bộ và mặc định liên vùng là các quy tắc mặc định kiểm soát lưu lượng trong một khu vực và giữa các khu vực. Theo mặc định PAN-OS chặn lưu lượng giữa các vùng. Một điểm cần lưu ý có thể gây nhầm lẫn - PAN-OS không ghi nhật ký việc chặn theo mặc định là kết quả của quy tắc mặc định liên vùng. Để bật ghi nhật ký theo các quy tắc mặc định này, hãy nhấp vào quy tắc, sau đó chọn nút Ghi đè cho phép bạn thay đổi các quy tắc mặc định này (ghi nhật ký, v.v.).


2.7. Cấu hình chính sách NAT.

Chính sách NAT là thứ cho phép tường lửa hiển thị lưu lượng nguồn dưới dạng một địa chỉ IP nhất định như kết nối Internet (bạn muốn toàn bộ mạng con hiển thị với Internet ở IP bên ngoài của tường lửa.) Ngoài ra, nó cho phép thiết lập NAT đích lưu lượng truy cập vào tường lửa trên IP công cộng có thể được chuyển tiếp đến địa chỉ IP bên trong hoặc địa chỉ DMZ của máy chủ web.

Bên dưới, trên địa chỉ IP được chỉ định DHCP của tôi, tôi đang dịch Địa chỉ nguồn sang Địa chỉ Interface của tường lửa.


3. Tóm lại.

Cho đến nay quá trình chuyển đổi của mình sang tường lửa Palo Alto PA-220 trong phòng thử nghiệm đã khá suôn sẻ. Mình đã gặp phải các vấn đề thông thường trong việc đưa các chính sách bảo mật vào vị trí cần được thực hiện từ tường lửa khác của mình đã bị bỏ qua ngay từ đầu. Tuy nhiên, tất cả trong tất cả, cài đặt và cấu hình tường lửa Palo Alto PA220 thật trực quan và khá dễ hiểu. Các bạn có thể đi sâu vào Palo Alto hơn nữa và thực hiện một số kỹ thuật networking và lọc nâng cao hơn trong các tài liệu của hãng.