[Palo Alto]Hướng dẫn cấu hình cơ bản Firewall Palo Alto

Thảo luận trong 'Firewall Khác' bắt đầu bởi ptminh, 7/10/20.

Tags:
  1. ptminh

    ptminh Member

    - Bài viết hướng dẫn cấu hình thiết bị Firewall Palo Alto Networks cho phép các người dùng bên trong mạng LAN có thể truy cập ra ngoài Internet.
    [​IMG]
    - Thông tin trong mô hình mạng:
    • Port-1 (WAN): 192.168.1.202/24
    • LAN: 192.168.10.0/24
    - Các bước cấu hình:
    • Kết nối đến trang web quản trị của thiết bị tường lửa.
    • Tạo Zone.
    • Tạo Interface Mgmt Profile.
    • Cấu hình Interfaces.
    • Tạo Virtual Router.
    • Cấu hình DHCP Server.
    • Tạo NAT policy.
    • Tạo Security Policy Rule.
    • Kiểm tra kết quả
    I/. Kết nối đến GUI của Firewall:
    - Sử dụng cáp mạng RJ-45 kết nối PC với cổng MGMT của Firewall.
    - Mở trình duyệt và nhập địa chỉ của FW https://192.168.1.1 . Mặc định User/password là: admin – admin.

    II/. Tạo Zone:
    - Chúng ta sẽ tạo 2 zone là WAN và LAN:
    - Vào zone WAN vào Network > Zones > click Add , nhập các thông tin như sau:
    • Name : WAN
    • Type: Layer 3
    - Click OK để lưu.
    [​IMG]
    - Tương tự click Add để tạo zone LAN với các thông số sau:
    • Name : LAN
    • Type: Layer 3
    - Click OK để lưu
    [​IMG]
    III/. Tạo Interface Mgmt File:
    - Chúng ta sẽ tạo 1 Interface Mgmt Profile cho phép các dịch vụ: HTTPS, Ping, SSH, Reponse Pages cho cổng LAN ethernet 1/2:
    - Vào Interface Mgmt Profile > Network > Interface Mgmt > click Add và nhập các thông các thông tin sau :
    • Name : ping-reponse-pages
    • Administrative Management Services : tích chọn HTTPS, SSH.
    • Network Services : tích chọn ping và reponse pages.
    - Click OK để lưu
    [​IMG]
    IV/. Cấu hình các Interfaces:
    - Vào Network > Interfaces > click vào interface ethernet1/1
    - Mục Config cấu hình:
    • Interface type : chọn Layer 3
    • Security Zone : chọn WAN
    [​IMG]
    - Ở mục IPv4 :
    • Type : chọn Static
    • Click Add và nhập địa chỉ IP: 192.168.1.202/24.
    • Click OK
    [​IMG]
    - Cấu hình cổng ethernet1/2 click vào cổng này trong trang Interfaces.
    - Ở mục Config cấu hình theo các thông số sau :
    • Interface Type : Layer 3
    • Security Zone : LAN
    [​IMG]
    - Ở mục IPv4 chúng ta cấu hình :
    • Type: Static
    • Click Add và nhập địa chỉ IP: 192.168.10.1/24
    [​IMG]
    - Và trong phần Advanced cấu hình thêm: Other Info > Management Profile chọn ping-reponse-pages được tạo ở phần III.
    [​IMG]
    V/. Tạo Virtual Router:
    - Vào trang Network > Virtual Router > Click Add.
    - Tab Router Settings cấu hình:
    • Name : VR1
    • General > click Add > chọn thêm vào 2 cổng Ethernet1/1Ethernet1/2.
    [​IMG]
    - Static Routes > click Add và cấu hình:
    • Name : default-route
    • Destination : 0.0.0.0/0
    • Interface : ethernet1/1
    • Next Hop : IP Address và nhập IP 192.168.1.1 ở ô phía dưới.
    [​IMG]
    - Click OK 2 lần để lưu.

    VI/. Cấu hình DHCP Server:
    - Cấu hình DHCP Server vào Network > DHCP > click Add.
    - Mục Lease:
    • Interface : chọn ethernet1/2
    • Mode : enable
    • IP Pools : click Add > thêm dải IP DHCP cấp cho client.
    [​IMG]
    - Cấu hình trong Options :
    • Gateway : 192.168.10.1
    • Subnet Mask : 255.255.255.0
    • Primary DNS : 8.8.8.8
    • Secondary DNS : 8.8.4.
    - Click OK để lưu.
    [​IMG]

    VII/. Tạo NAT Policy :
    - Tạo mới NAT Policy vào Policies > NAT > Click Add
    -     General cấu hình :
    • Name : LAN_TO_WAN
    • NAT Type : ipv4
      [​IMG] .
    - Original Packet cấu hình :
    • Source Zone : LAN
    • Destination Zone : WAN
    • Destination Interface : ethernet 1/1
    [​IMG]
    - Translated Packet > Source Address Translation cấu hình :
    • Translation Type : Dynamic IP and Port
    • Address Type : Interface Address
    • Interface : ethernet1/1
    • IP Address : 192.168.1.202/24
    [​IMG]

    VIII/. Tạo Security Policy Rules:
    - Vào Policies > Security > Click Add > General:
    • Name : Access_Internet
    • Rule Type: universal (default)
    [​IMG]
    - Source chọn LAN Source Zone
    [​IMG]
    - Destination chọn WAN ở Destinatoin Zone
    [​IMG]

    - Application chọn Any.
    [​IMG]
    - Service/URL Category chọn Any
    [​IMG]
    - Action cấu hình như sau :
    • Action Setting: Allow
    • Log Setting : Log at Session End
    - Click OK
    [​IMG]
    IX/. Kiểm tra :
    - Sử dụng CMD trên Windows kiểm tra IP được cấp cho PC bẳng lệnh ipconfig
    [​IMG]
    - Truy cập Internet bằng trình duyệt:
    [​IMG]

    - Truy cập vào trang quản lý của Firewall Palo Alto:
    [​IMG]
     
    ptminh, 7/10/20
    #1
  2. 37nguyenson

    37nguyenson Member

    Phân đoạn mạng bằng Interface thành các Vùng (Zone)

    - Lưu lượng mạng (traffic) phải đi qua firewall để tường lửa quản lý và kiểm soát nó. Về mặt vật lý, lưu lượng đi vào và ra thông qua interface. Firewall xác định cách hoạt động trên một gói tin dựa vào Chính sách quy tắc bảo mật (Security policy rule). Ở cấp độ cơ bản nhất, mỗi Security policy rule phải xác định nguồn mà traffic đến và đích của gói tin đang đi đến. Trên một thiết bị Palo Alto Next-gen Firewall, các Security policy rule được áp dụng giữa các Vùng (Zone) với nhau. Zone là một nhóm của các interface (vật lý hay ảo) để đại diện cho một phân đoạn mạng của bạn được kết nối tới và được kiểm soát bởi firewall. Vì traffic chỉ có thể lưu thông giữa các zone nếu có sự cho phép của Security policy rule, nên đây sẽ là tuyến phòng thủ đầu tiên của bạn. Các zone được tạo càng chi tiết, bạn càng có thể kiểm soát sâu hơn hơn đối với quyền truy cập vào các thiết bị và dữ liệu nhạy cảm, và tăng khả năng bảo bảo để chống lại malware di chuyển ngang qua mạng của bạn. Lấy ví dụ, bạn có thể muốn phân đoạn truy cập tới các máy chủ database để lưu trữ dữ liệu khách hàng vào một vùng được gọi là Customer Data. Sau đó, bạn có thể đặt ra các chính sách bảo mật để chỉ cho phép một vài người hoặc nhóm người dùng nhất định có thể truy cập vào vùng Customer Data này, do đó ngăn chặn truy cập trái phép từ nội bộ hoặc bên ngoài vào dữ liệu được lưu trong phân đoạn đó.

    I/. Phân đoạn mạng (Network Segmentation) cho một bề mặt để giảm tấn công:
    - Hình mô tả bên dưới đây cho thấy một ví dụ rất cơ bản của Phân đoạn mạng sử dụng các Zone. Bạn càng tạo zone của mình càng chi tiết (và các chính sách bảo mật tương ứng cho phép traffic giữa các zone), bạn càng giảm bề mặt tấn công (Attach surface) trên mạng của bạn. Điều này vì traffic có thể lưu thông tự do trong một zone (intra-zone traffic), nhưng không thể lưu thông giữa các zone (inter-zone traffic) cho đến khi bạn đặt một Security policy rule cho phép nó. Ngoài ra, một interface không thể xử lý traffic cho đến khi bạn chỉ định nó vào một zone. Do đó, bằng cách phân đoạn mạng thành các zone chi tiết, bạn có nhiều quyền kiểm soát hơn đối với truy cập tới các thiết bị hoặc dữ liệu cảm và bạn có thể chống lại các traffic độc hại thiết lập kênh liên lạc trong mạng của bạn, nhờ đó giảm khả năng tấn công thành công trên toàn mạng.
    [​IMG]

    II/. Cấu hình Interface và Zone:
    - Sau khi bạn xác định cách mà bạn muốn phân đoạn mạng và các zone bạn sẽ cần phải tạo để đạt được phân đoạn (cũng như các interface để gán vào mỗi zone), bạn có thể bắt đầu cấu hình các interface và zone trên firewall. Cấu hình các interface trên firewall hỗ trợ cấu trúc liên kết của mỗi phần của mạng mà bạn đang kết nối đến. Ở bài viết này sẽ hướng dẫn cách để cấu hình Interface Layer 3 và chỉ định nó vào zone, theo các bước chi tiết ở dưới:

    !! Lưu ý:Thiết bị firewall được cấu hình sẵn với một interface ảo giữa hai port Ethernet 1/1 và Ethernet 1/2 (và một Security policy mặc định tương ứng cùng với định tuyến ảo – virtual router). Nếu bạn không có kế hoạch sử dụng liên kết ảo (virtual wire) mặc định này, bạn phải xóa bằng thủ công cấu hình và Commit thay đổi trước khi tiếp tục để tránh nó can thiệp vào các cài đặt khác mà bạn sẽ làm.

    Bước 1: Cấu hình một "Default Route" để định tuyến ra Internet.
    • Chọn Network > Virtual Router và sau đó chọn link mặc định để mở cửa sở Virtual Router.
    • Chọn tab Static Routes > click Add. Đặt tên cho định tuyến này trong Name và nhập định tuyến trong ô Destination (vd: 0.0.0.0/0).
    • Trong danh sách Next Hop chọn IP Address và điền địa chỉ IP và Netmask cho cổng Internet gateway (vd: 203.0.113.1).
    [​IMG]
    • Click OK hai lần để lưu cấu hình Virtual Router.

    Bước 2: Cấu hình External Interface (Interface kết nối tới Internet).
    • Click chọn Network > Interfaces, và chọn interface bạn muốn cấu hình. Trong ví dụ này, chúng ta đang cấu hình cổng Ethernet1/8 làm External interface.
    • Trong ô Interface Type. Thông qua lựa chọn của bạn ở bài viết này cho interface chọn Layer3.
    • Trên tab Config, chọn New Zone trong menu Security Zone. Trong bảng Zone, đặt tên cho zone mới trong Name > chọn Internet > click OK.
    • Trong ô Virtual Router, chọn default.
    • Để đặt địa chỉ IP cho interface, chọn tab IPv4, click Add trong phần IP, và nhập địa chỉ IP và Subnet mask để đặt cho interface (vd: 203.0.113.23/24).
    [​IMG]
    • Để bật tính năng ping (ICMP) cho interface, click Advanced > Other Info, mở rộng danh sách Management Profile, và chọn New Management Profile. Nhập tên cho profile vào ô Name, chọn Ping > click OK.
    • Để lưu lại cấu hình interface, click OK.

    Bước 3: Cấu hình Interface để kết nối tới Mạng nội bộ (Internal network).
    !! Lưu ý: Trong bài viết này, Interface kết nối tới một phân đoạn mạng sử dụng các địa chi IP private. Vì địa chỉ IP private không thể được định tuyến bên ngoài, bạn phải cấu hình NAT.
    • Click vào Network > Interfaces và chọn interface bạn muốn cấu hình. Trong bài viết này, chúng ta đang cấu hình Ethernet1/15 làm cổng Internal interface người dùng chúng ta kết nối đến.
    • Chọn Layer3 trong Interface Type.
    • Trên tab Config, mở rộng menu Security Zone và chọn New Zone. Trong bảng Zone, đặt tên cho zone mới trong Name (vd: Users) và click OK.
    • Click chọn Virtual Router bạn sử dụng trước, mặc định trong bài viết này.
    • Đặt địa chỉ IP cho Interface, chọn tab IPv4 > click Add trong phần IP, và nhập địa chỉ IP và Network mask cho interface (vd: 192.168.1.4/24).
    • Bật chức năng ping cho interface, chọn profile quản lý bạn đã tạo ở trên.
    • Để lưu lại cấu hình interface, click OK.

    Bước 4: Cấu hình Interface để kết nối tới các Thiết bị lưu trữ dữ liệu.
    !! Lưu ý: Để đảm bảo bạn xác định các zone chi tiết để ngăn truy cập trái phép vào các thiết bị hoặc dữ liệu nhạy cảm và loại bỏ khả năng phần malware di chuyển trong trung tâm dữ liệu của bạn.
    • Chọn Interface bạn muốn cấu hình.
    • Trong danh sách Interface Type chọn Layer3. Trong ví dụ này, chúng ta đang cấu hình Ethernet1/1 là interface để cung cấp truy cập vào các thiết bị lưu dữ liệu.
    • Trên tab Config, mở rộng menu Security Zone và chọn New Zone. Trong bảng Zone, đặt tên cho zone mới trong Name (vd: Data Center Applications) và click OK.
    • Click chọn Virtual Router bạn sử dụng trước, mặc định trong bài viết này.
    • Đặt địa chỉ IP cho Interface, chọn tab IPv4, click Add trong phần IP, và nhập địa chỉ IP và Network mask cho interface (vd: 10.1.1.1/24).
    • Bật chức năng ping cho interface, chọn profile quản lý bạn đã tạo ở trên.
    • Để lưu lại cấu hình interface, click OK.

    Bước 5: (Tùy chọn) Tạo các tag cho mỗi zone.
    - Các thẻ Tag cho phép bạn thấy trực quan các quy tắc quét Policy.
    • Click vào Objects > TagsAdd.
    • Chọn một zone trong Name.
    • Chọn một màu tag Color và click OK.
    [​IMG]

    Bước 6: Lưu lại cấu hình Interface.
    - Click Commit.

    Bước 7: Cắm cáp vào Firewall.
    - Gắn thẳng qua cáp từ các interface bạn đã cấu hình đến Switch hoặc Router trên mỗi phân đoạn mạng tương ứng.

    Bước 8: Kiểm tra lại các Interfaces hoạt động.
    - Chọn Dashboard và kiểm tra lại các cổng giao diện mạng có trên tường lửa Palo Alto của bạn đã cấu hình hiển thị màu xanh trong hình Interface widget là đang hoạt động.
    [​IMG]

    ---o0o---
     
    37nguyenson, 4/11/21
    #2

trang này