- Bài hướng dẫn cấm truy cập vào trang Web Youtube.com bằng tính năng AppID trên Firewall Palo Alto . - Các bước thực hiện: Tạo thêm Security Policy cho bộ lọc web mới. Bật Interzone Logging Bật Application Block Page. Cấu hình Decryption Kiểm tra kết quả. - Bài viết này sẽ tiếp tục cho bài viết: [Palo Alto]Hướng dẫn cấu hình cơ bản Firewall Palo Alto I/. Tạo thêm Security Policy cho bộ lọc web mới: - Vào Policies > Security > Click Add để tạo policy cấm truy cập web. - Trong General tab: Name : Block_Web Rule type : universal (default) - Trong trang Source tab: Source zone > LAN - Trong trang Destination: Destination zone > WAN -Bảng Application: Click Add và chọn youtube-base - Bảng Service/URL Category: Chọn Any > Service và URL Category. - Bảng Action : Action Setting > Action > đặt Reset both client and server Log Setting : click Log at Session End II/. Bật Interzone Logging: - Mặc định interzone-default và intrazone-default Security policy được thiết lập là Read-Only. - Policies > Security > click vào tên interzone-default để mở trang cấu hình của nó. - Chuyển qua bảng Action chúng ta thấy Log at Session Start và Log at Session End không được chọn và cũng không thể chỉnh sửa. - Click Cancel để thoát. - Với interzone-default policy rule đang được chọn (được to xám), nhấn Override. Cửa sổ Security Policy Rule – predefine hiện ra. - Trong mục Action tích chọn Log at Session End và nhấn OK để lưu. III/. Bật Application Block Page :- Mục đích của việc bật Application Block Page là để khi bạn bạn truy cập vào một trang web bị cấm thì trình duyệt sẽ hiện thị ra 1 trang thông báo. - Vào đường dãn sau để bật Application Block Page: Device > Reponse Pages. - Nhấn vào chữ Disable bên phải Application Block Page. - Tích vào ô Enable Application Block Page và nhấn OK. IV/. Cấu hình Decryption : cho phép thiết bị Firewall Palo Alto giải mã những traffic sử dụng giao thức HTTPS - Vào đường dẫn: Device > Certificates Management > Certificates > click Generate (tạo certificate mới với thông số): Certificate Name : trusted-ca Common Name : 192.168.10.1 (địa chỉ IP cổng LAN) Certificate Authority : tích chọn Certificate Authority. Click Generate để tạo - Click Generate để tạo 1 certificate mới và cài đặt thêm các thông tin : Common Name : untrusted-ca Common Name : untrusted Certificate Authority : tích chọn Certificate Authority. - Click Generate để tạo hoàn tất bước này. - Click vào tên trusted-ca để chỉnh sửa . Tích chọn vào ô Forward Trust Certificate. - Click OK để lưu. - Nhấn tiếp vào tên untrusted-ca để chỉnh sửa. Tích chọn Forward Untrust Certificate. - Click OK để lưu. - Tiếp theo tick chọn trusted-ca certificate và click Export Certificate để download certificate này về máy tính. - Tiếp theo chúng ta sẽ tạo Decryption Policy, để tạo vào Policies > Decryption > click Add và cấu hình thêm: Name : Test_Decryption - Source : LAN - Destination : WAN - Service/URL Category : Any - Trong phần Options: Action : Decrypt Type : SSL Forward Proxy - Click OK - Trên bàn phím gõ Windows > R > gõ mmc > Enter để mở Microsoft Management Console. - Chọn Console Root > Click File > Click Add/Remove Snap-in… - Bảng Add or Remove Snap-ins hiện ra, chọn Certificate và click Add. - Bảng Certificates snap-in hiện ra, chọn Computer account > Next > click Local computer > Finish > OK. - Trong Certificates (Local Computer) > right-click Trusted Root Certification Authorities > All Task > Import. - Cửa sổ Certificate Import Wizard hiện ra, click Next > ở mục File name nhấn Browse và chọncertificate đã download ở bước trên. - Click Next > Finish. V/. Cấu hình Decryption : - Mở trình duyệt web và truy cập vào trang youtube.com để kiểm tra: - Truy cập vào Google sẽ đều được. - Truy cập vào trang GUI của Firwall để kiểm tra log, Monitor > Traffic, tìm kiếm với key (app eq youtube-base) và Enter để lọc kết quả. - Như hình dưới youtube đã bị cấm truy cập bằng rule Block-Web.
