Cấu hình Network Firewall Palo Alto

Tác giả server360, T.M.Hai 26, 2018, 03:26:42 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Cấu hình Network Firewall Palo Alto


1. Giới thiệu.

Như bài trước mình cũng đã hướng dẫn cách cấu hình Management cho Firewall Palo Alto. Bài này tiếp tục thực hiện cấu hình cơ bản để kết nối mạng Internet bên ngoài thông qua thiết bị Palo Alto Firewall.

Ở bài này mình sẽ sử dụng một thiết bị Palo Alto 220, một Non-Intelligent Switch, do phải sử dụng luân phiên cổng LAN trên máy tính làm cổng kết nối MGT của Palo Alto 220 và làm cổng kết nối Internet, một dây kết nối Console thông qua COM 4 như bài Lab 1.0 mình làm để cấu hình địa chỉ IP Management .

2. Sơ đồ mạng trong bài Lab 2.0.



3. Thực hiện cấu hình.

  • Đặt địa chỉ IP cho cổng LAN và cấu hình địa chỉ IP để quản lí qua giao diện Web -> Sau đó vào giao diện Web -> Network để thực hiện cấu hình.






  • Vào Network -> Zones, tạo ra 2 vùng là trust untrust, mặc định là sẵn có.


  • Vào Network Profiles -> Interface Mgmt, tạo ra 2 Profilesallow-mgtallow-ping, để có thể ping tới những cổng có thể ping hoặc là sử dụng dịch vụ SSH, giao thức httpsS quản lý.


4. Cấu hình 2 Interface là eth1 và eth2.


  • Bước tiếp theo là tạo Route ảo cho Palo Alto 220, đưa Interface eth1 eth2 vào bộ định tuyến ảo -> Sau đó tạo Route.


5. Tạo Default Route.

  • Tạo DHCP Server cho cổng eth2 để nó có thể cấp DHCP cho các cổng kết nối với nó với dãy địa chỉ IP có thể cấp từ 192.168.2.1-192.168.2.98 với Default Gateway 192.168.2.99Subnet Mask 255.255.255.0. Thêm DNS chính là 8.8.8.8 và phụ là 8.8.4.4.




  • Đến bước này xem như chúng ta đã cấu hình xong cơ bản để có thể các thiết bị trong nội bộ kết nối được với nhau nhưng chưa thể ra ngoài Internet được bởi còn một vấn đề nữa đó là NAT.
  • Vào Policies -> NAT. Tạo NAT như hình bên dưới.


  • Tiếp theo là ta tạo vùng allow all out để mọi địa chỉ trong Zones Trust có thể ra ngoài được thông qua Zones Untrust




  • Sau khi đã lưu cấu hình thành công, bây giờ chúng ta vào phần cài đặt Network, Tắt chế Wifi và xóa đi địa chỉ IP của LAN để thiết bị tự cấp DHCP.




  • Bây giờ chúng ta có thể kết nối tới Internet thông qua thiết bị Palo Alto 220.


  • Truy cập phần Monitor để xem thông tin các lưu lượng mạng chạy thông qua Firewall Palo Alto.


Như vậy là chúng ta đã hoàn thành xong phần cấu hình xong thiết bị bảo mật mạng Security Network Palo Alto.