Tác giả Chủ đề: Cài đặt và cấu hình thiết bị bảo mật tường lửa Palo Alto PA 220  (Đã xem 27 lần)

0 Thành viên và 1 Khách đang xem chủ đề.

Ngủ rồi CCNACCNP

  • Hero Member
  • *****
  • Bài viết: 3980
  • Số Lần: +73/-0
Tôi đã chạy Palo Alto PA-220 mới trên Interface TAP phản ánh lưu lượng mạng WAN của tôi đến phòng thí nghiệm gia đình và yêu thích khả năng hiển thị các ứng dụng mà tôi đã làm với tường lửa trước đây. Palo chắc chắn cung cấp cho bạn điều đó khi bạn giới thiệu nó vào một môi trường. Tuy nhiên, đã đến lúc tôi giới thiệu tường lửa vào sản xuất trực tuyến, thay thế tường lửa hiện tại của tôi bằng Palo để định tuyến và kiểm soát lưu lượng. Việc cấu hình bất kỳ tường lửa nào chắc chắn là tẻ nhạt vì nhìn chung tất cả chúng đều có những mánh khóe để khởi động và chạy với những khác biệt nhỏ về cách thức thực hiện các công nghệ và cách xử lý lưu lượng. Trong bài đăng này, chúng tôi sẽ xem xét Cài đặt và Cấu hình Tường lửa phòng thí nghiệm tại nhà của Palo Alto PA220 và bước qua một số điểm chính của cấu hình trong việc truyền lưu lượng.


Cài đặt và cấu hình Tường lửa phòng thí nghiệm gia đình Palo Alto PA220

Ở mức cao, những gì liên quan đến Cài đặt và Cấu hình Tường lửa phòng thí nghiệm gia đình Palo Alto PA220? Vâng, có một số điều bạn muốn thực hiện trong quá trình cài đặt và cấu hình để đảm bảo lưu lượng truy cập mạng chính xác. Điều này giả định rằng bạn đã có kết nối thông qua giao diện quản lý cho phép quản lý ngoài tường lửa của tường lửa.

Trích dẫn
Cài đặt giấy phép
    Cấu hình cập nhật động
    Cấu hình giao diện, Vlan, gắn thẻ chuyển đổi phù hợp
    Thiết lập máy chủ DHCP
    Cấu hình các khu
    Cấu hình các đối tượng địa chỉ mạng
    Tạo chính sách bảo mật
    Tạo chính sách NAT
    Lối vào và ra

Danh sách trên hoàn toàn không bao gồm tất cả, đặc biệt là với các nhu cầu khác nhau của các môi trường mạng khác nhau, tuy nhiên, nó đại diện cho một số khu vực cấu hình chính mà bạn cần phải che để lưu lượng truy cập chính xác.

Cài đặt giấy phép Palo Alto

Trước tiên, bạn muốn có giấy phép của mình để cấp phép được cài đặt mở ra các chức năng khác nhau cho chính tường lửa, bao gồm Ngăn chặn mối đe dọa, Lọc URL PAN-DB và Wildfire để đặt tên cho một số. Để làm điều này, bạn nên nhận được mã ủy quyền từ nhà cung cấp mà bạn đã mua tường lửa của mình từ đó cho phép bạn khớp mã nối tiếp và mã ủy quyền để nhận giấy phép của bạn. Truy cập https://support.paloaltonetworks.com, tạo tài khoản nếu bạn chưa có tài khoản và sau đó chỉ cần thực hiện quy trình Đăng ký thiết bị mới.





Cấu hình cập nhật động

Khi bạn đã cài đặt giấy phép của mình, bạn có thể định cấu hình các bản cập nhật động trên Palo Alto phù hợp với các tính năng và chức năng được cài đặt thông qua giấy phép. Điều này cho phép bạn lên lịch tải xuống các bản cập nhật như Antivirus definitions, Applications and threats, GlobalProtect Clientless VPN and Wildfire updates. Với các tùy chọn Lịch biểu, bạn có thể lên lịch kiểm tra các tải xuống mới và tùy chọn cài đặt cho từng thành phần khác nhau.



Cấu hình Interfaces, VLANs, Appropriate Switch Tagging

Thiết lập Interfaces trên Palo Alto là một phần thiết yếu của quy trình cấu hình cho tường lửa. Bạn phải thiết lập Interfaces của mình cho các mạng con khác nhau mà Palo Alto sẽ định tuyến lưu lượng. Điều này bao gồm bất kỳ gắn thẻ Vlan nào cần được thực hiện. Đối với hầu hết, thiết lập các Interfaces là Loại Interfaces Lớp 3 là thích hợp hơn. Để thiết lập Vlan, bạn có thể sử dụng các Interfaces con cho phép thiết lập thẻ Vlan.

Một điều thú vị cần lưu ý về Palo là bạn có thể tạo các vùng và đối tượng bảo mật mới từ hầu hết các menu cấu hình.



Điều này phù hợp với bất kỳ gắn thẻ Vlan nào, tuy nhiên, một phần trong cấu hình của switch vật lý mà bạn đang sử dụng để vượt qua các khung được gắn thẻ là để các Vlan được cấu hình trên (các) cổng được định cấu hình cho các uplinks. Với PA-220, có rất nhiều cổng có thể được cấu hình làm đường dẫn vật lý tới switch  của bạn có thể phù hợp với cấu hình và vùng Interface logic của bạn.

Ngoài ra, bạn có thể thiết lập các máy chủ DHCP nếu bạn cần chúng trên các Interface khác nhau để phục vụ các mạng con được cấu hình của bạn. Các máy chủ DHCP hoàn toàn tự động với nhau và có thể có các giá trị và cài đặt cấu hình hoàn toàn riêng biệt.



Cấu hình vùng Palo Alto

Hầu hết các tường lửa hiện đại có khái niệm về khu vực. Khu vực là gì? Theo tài liệu chính thức của Palo Alto:

Một vùng là một nhóm các Interface (vật lý hoặc ảo) đại diện cho một phân đoạn mạng của bạn được kết nối và kiểm soát bởi tường lửa. Bởi vì lưu lượng truy cập chỉ có thể lưu chuyển giữa các khu vực nếu có quy tắc chính sách bảo mật để cho phép nó, đây là tuyến phòng thủ đầu tiên của bạn. Các khu vực bạn tạo càng chi tiết, bạn càng có nhiều quyền kiểm soát đối với quyền truy cập vào các ứng dụng và dữ liệu nhạy cảm và bạn càng có nhiều sự bảo vệ hơn đối với phần mềm độc hại di chuyển ngang qua mạng của bạn. Ví dụ: bạn có thể muốn phân đoạn quyền truy cập vào các máy chủ cơ sở dữ liệu lưu trữ dữ liệu khách hàng của bạn vào một vùng được gọi là Dữ liệu khách hàng. Sau đó, bạn có thể xác định các chính sách bảo mật chỉ cho phép một số người dùng hoặc nhóm người dùng nhất định truy cập vào Vùng dữ liệu khách hàng, từ đó ngăn chặn truy cập bên trong hoặc bên ngoài trái phép vào dữ liệu được lưu trữ trong phân khúc đó.


Các khu là một phần cực kỳ quan trọng trong thiết kế bảo mật tổng thể và xây dựng các chính sách của bạn để đưa lưu lượng truy cập vào các phân đoạn mạng khác nhau của bạn. Trong nhiều doanh nghiệp có quy mô SMB, rất nhiều lần các khu vực bảo mật chỉ đơn giản là phù hợp với các Interface vật lý được liên kết uplinked khác nhau và mục đích của chúng, tuy nhiên, có nhiều cách sáng tạo mà các khu vực có thể được thực hiện để kiểm soát lưu lượng.

Bạn có thể tạo các vùng trước thời hạn hoặc bạn có thể định cấu hình Interface và tạo vùng tại thời điểm đó. Các lĩnh vực chính của cấu hình ở đây là Tên, Loại và Interface.



Cấu hình các đối tượng địa chỉ mạng Palo Alto


Đối tượng địa chỉ là gì? Điều này cho phép tạo các thực thể đại diện cho các địa chỉ mạng có thể được sử dụng bên trong các chính sách. Một lợi thế rất lớn khi sử dụng các đối tượng địa chỉ là chúng cho phép bạn thay đổi đối tượng địa chỉ ở một nơi và thay đổi được thể hiện trên tất cả các chính sách bảo mật hoặc NAT mà đối tượng địa chỉ được tham chiếu. Cách tiếp cận này hiệu quả hơn so với thay đổi địa chỉ IP trong 100 chính sách khác nhau, nơi nó có thể được tham chiếu.

Điều này cũng tuyệt vời từ quan điểm đưa tường lửa sống vào môi trường sản xuất của tôi. Tôi chỉ đơn giản thay đổi các đối tượng địa chỉ mạng mà tôi đã gán cho từng Interface trên Palo và sau khi cam kết hoàn thành, do thay đổi các đối tượng, tất cả các giao diện và chính sách bảo mật đã được định cấu hình như tôi muốn.

Các nhóm địa chỉ cho phép bạn nhóm nhiều đối tượng địa chỉ lại với nhau. Điều này cho phép bạn tham chiếu một đối tượng và một đối tượng chứa nhiều đối tượng địa chỉ. Tạo Đối tượng Địa chỉ của bạn trước khi đi sâu vào các chính sách bảo mật của bạn cho phép bạn đặt các đối tượng địa chỉ của mình để bạn có thể bắt đầu làm việc với chúng trong các chính sách hoặc bảo mật hoặc NAT. Tuy nhiên, như trường hợp của hầu hết GUI PAN-OS, bạn thực sự có thể tạo đối tượng địa chỉ từ bên trong cấu hình chính sách bảo mật hoặc chính sách NAT khi đưa quy tắc xuống một đối tượng nhất định. Bạn có thể chọn để tạo một đối tượng địa chỉ mới.

Tạo chính sách bảo mật

Khi bạn đã có cấu hình trên, bạn thực sự có thể bắt đầu tạo ra các chính sách bảo mật của mình. Chính sách bảo mật về cơ bản là các quy tắc tường lửa của bạn cho phép hoặc không cho phép lưu lượng truy cập từ một nguồn đến đích. Tuy nhiên, một trong những khả năng tuyệt vời của tường lửa Palo Alto là có thể lọc lưu lượng dựa trên ID ứng dụng. Điều này cho phép bạn lọc lưu lượng dựa trên ID của ứng dụng và không dựa trên quy tắc IP và cổng. Vì vậy, ví dụ, bạn chỉ cần cho phép facebook và không phải lo lắng về việc IP và cổng nào cần được cho phép. Palo có thể xem ID ứng dụng và chặn hoặc cho phép lưu lượng truy cập ở lớp ứng dụng. Đây là một cách tiếp cận mạnh mẽ hơn nhiều so với lưu lượng truy cập lớp 3 hoặc 4 nghiêm ngặt.

Một vài quy tắc đặc biệt cần lưu ý - Palo theo mặc định tạo ra hai quy tắc bên dưới, mặc định nội bộ và mặc định liên vùng là các quy tắc mặc định kiểm soát lưu lượng trong một khu vực và giữa các khu vực. Theo mặc định PAN-OS chặn lưu lượng giữa các vùng. Một điểm cần lưu ý có thể gây nhầm lẫn - PAN-OS không ghi nhật ký việc chặn theo mặc định là kết quả của quy tắc mặc định liên vùng. Để bật ghi nhật ký theo các quy tắc mặc định này, hãy nhấp vào quy tắc, sau đó chọn nút Ghi đè cho phép bạn thay đổi các quy tắc mặc định này (ghi nhật ký, v.v.).



Cấu hình chính sách NAT


Chính sách NAT là thứ cho phép tường lửa hiển thị lưu lượng nguồn dưới dạng một địa chỉ IP nhất định như kết nối Internet (bạn muốn toàn bộ mạng con hiển thị với Internet ở IP bên ngoài của tường lửa.) Ngoài ra, nó cho phép thiết lập NAT đích lưu lượng truy cập vào tường lửa trên IP công cộng có thể được chuyển tiếp đến địa chỉ IP bên trong hoặc địa chỉ DMZ của máy chủ web.

Bên dưới, trên địa chỉ IP được chỉ định DHCP của tôi, tôi đang dịch Địa chỉ nguồn sang Địa chỉ Interface của tường lửa.



Kết luận

Cho đến nay quá trình chuyển đổi của tôi sang tường lửa Palo Alto PA-220 trong phòng thí nghiệm gia đình đã khá suôn sẻ. Tôi đã gặp phải các nếp nhăn thông thường trong việc đưa các chính sách bảo mật vào vị trí cần được thực hiện từ tường lửa khác của tôi đã bị bỏ qua ngay từ đầu. Tuy nhiên, tất cả trong tất cả, Cài đặt và Cấu hình Tường lửa phòng thí nghiệm gia đình Palo Alto PA220 đã trực quan và khá khó hiểu. Nhìn về phía trước để lặn sâu vào Palo hơn nữa và thực hiện một số kỹ thuật networking và lọc nâng cao hơn trong phòng thí nghiệm gia đình.

Chúc các bạn thành công.   Tom_and_Jerry 1.gif


Ngủ rồi CCIEInternetworkExpert

  • Sr. Member
  • ****
  • Bài viết: 444
  • Số Lần: +1/-0
Cài đặt và cấu hình thiết bị bảo mật tường lửa Palo Alto PA 220
« Trả lời #1 vào: Tháng Tư 22, 2019, 06:56:14 PM »
 Tom_and_Jerry 1.gif


 

Related Topics

  Tiêu đề / Tác giả Trả lời Bài mới
0 Trả lời
383 Lượt xem
Bài mới Tháng Tư 07, 2018, 05:43:40 PM
gửi bởi CCNACCNP
0 Trả lời
335 Lượt xem
Bài mới Tháng Tư 09, 2018, 02:06:31 PM
gửi bởi CCNACCNP
1 Trả lời
542 Lượt xem
Bài mới Tháng Tư 21, 2018, 03:16:24 PM
gửi bởi tra0995497882
1 Trả lời
2589 Lượt xem
Bài mới Tháng Mười Hai 31, 2018, 04:23:50 PM
gửi bởi Admin
1 Trả lời
1337 Lượt xem
Bài mới Tháng Tư 04, 2019, 06:51:57 PM
gửi bởi CCIEInternetworkExpert