Đang tải... (xem toàn văn)
CÒN HIỆU QUẢ HƠN 1 KHÓA HỌC HÀNG TRĂM GIỜ- Palo Alto là firewall được đánh giá khỏe nhất nhì hiện nay (cùng với checkpoint, Cisco, Juniper) Tài liệu được tôi viết dựa vào các tình huống quản trị firewall trong thực tế. Chỉ với chưa tới 100k, và bỏ ~1 tuần làm lab theo tài liệu này. Bạn đã tự tin bổ sung Skill quản trị firewall Palo Alto vào CV xin việc, và có 1 nền tảng hiểu biết vững chắc về nó. Tăng sức cạnh tranh trong thị trường việc làm IT.
HaiNguyen-IT CÀI ĐẶT VÀ CẤU HÌNH TƯỜNG LỬA PALO ALTO 9.0 Author: Hải Nguyễn IT HaiNguyen-IT Mục lục Truy cập vào webgui Đặt IP cho interface firewall Truy cập internet cho PC LAN Kết nối với LDAP Windows Server 2012 VPN từ ngồi internet vào LAN cơng ty cho nhân viên làm online Tạo VPN site-to-site với công ty khác Cấu hình Dự phịng firewall (Active-Passive) Backup & Restore cấu hình Bắt gói tin 10 Tạo sub-interface (dot1q) firewall 11 Biến port firewall thành switchport 12 Cấu hình DHCP 13 Cấu hình chống loại công scan, ping, flood (Zone protection) 14 Đưa dịch vụ mạng internet (Destination NAT) 15 Link down full image EVE(Bonus) HaiNguyen-IT Truy cập webgui firewall Mơ hình: Vào qua console(pass admin/admin), show bên để xem IP MGMT admin@PA-VM> show interface management Name: Management Interface Link status: Runtime link speed/duplex/state: 1000/full/up Configured link speed/duplex/state: auto/auto/auto MAC address: Port MAC address 50:00:00:01:00:00 Ip address: 192.168.177.131 Netmask: 255.255.255.0 Default gateway: 192.168.177.2 Để xem IP DHCP hay cố định admin@PA-VM> show system info hostname: PA-VM ip-address: 192.168.177.131 public-ip-address: unknown netmask: 255.255.255.0 default-gateway: 192.168.177.2 ip-assignment: dhcp HaiNguyen-IT Để ổn định IP, ta nên xóa IP chế độ DHCP đặt IP cố định , ví dụ 192.168.177.100 > configure #delete deviceconfig system type dhcp-client #set deviceconfig system ip-address 192.168.177.100 netmask 255.255.255.0 default-gateway 192.168.177.2 dns-setting servers primary 8.8.8.8 secondary 8.8.4.4 #commit #show interface management (để kiểm tra lại) Truy cập qua web https://192.168.177.100 Đặt IP cho interface firewall Trong palo alto; ta phải tạo object IP, Tạo zone, tạo virtual router, enable ping gán vào port vật lí (nhiều bước so với thiết bị router thông thường : cho thẳng IP vào port) Step 1: Tạo object IP cho eth1/1:192.168.100.1, eth1/2: 10.2.3.150 Vào Object > Address > Add để tạo address HaiNguyen-IT Tạo address: Làm tương tự cho eth1/2, ta được: Step 2: Tạo Zone(vùng) Vào tab Network > Zone > Add HaiNguyen-IT Ta tạo vùng mơ hình LAN (các máy LAN) WAN (ứng với internet) LAN: WAN: HaiNguyen-IT Sẽ bên dưới: Step 3: Tạo virtual router: Vào network > virtual router > Add HaiNguyen-IT Step 4: Enable ping interface Vào Network > Interface mgmt > Add HaiNguyen-IT Step 5: Tạo interface gán thông số vào Vào Network > Interface > Ethernet > Ethernet1/1 HaiNguyen-IT Làm tương tự cho ethernet1/2 ta được: Step 6: Nhấn vào commit để hoàn thành, đợi 30s-1 phút xong HaiNguyen-IT Chọn tab Advanced; chọn profile Management allow-icmp(cần tạo trc đó) để allow ping HaiNguyen-IT Bấm OK ta Step 3: COMMIT Step 4: Verify: Ping thử từ PC thuộc vlan 50 lên địa sub interface vừa tạo (nhớ mở policy cho phép ping) DONE vlan 50, vlan lại làm tương tự HaiNguyen-IT 11 Biến port firewall thành switchport Mơ hình: Mặc định port firewall mode route (cần đặt IP), mục ta biến cổng e1/1 e1/2 thành mode switching, gom vào chung vlan 50, PC cắm vào firewall dùng chung dải IP (192.168.50.0/24) >> Step 1: Tạo zone cho PC Vào Network > Zone > Add zone điền HaiNguyen-IT >> Step 2: Tạo vlan 50 Vào Network > VLAN > Add điền >> Step 3: Gán port e1/1 e1/2 vào vlan 50 Vào Network > Interfaces > Bấm vào Ethernet1/1 điền Điền tương tự cho Ethernet1/2 ta HaiNguyen-IT >> Step 4: Tạo policy để allow ping từ PC1 sang PC2 SAU ĐÓ BẤM COMMIT >> Step 5: Verify lại Ping từ PC1 sang PC ngược lại Từ PC1 sang PC2: Từ PC2 sang PC1: OK, DONE 12 Cấu hình DHCP >> Cấu hình Firewall làm DHCP client Mục đích: Tiết kiệm thời gian firewall phải cắm vào nhiều mạng khác để test (ví dụ: thiết bị làm PoC) HaiNguyen-IT Step 1: Khai báo DHCP server mức đơn giản (ở chọn router cisco cho đơn giản) ip dhcp pool hainm-pool network 10.2.3.0 255.255.255.0 default-router 10.2.3.1 Step 2: khai báo firewall - Vào Network > Interfaces > interface E1/3 Chọn dưới: Bấm vào IPv4: HaiNguyen-IT Kết quả: OK,DONE >> Cấu hình Firewall làm DHCP server - Trên PC: đặt IP chế độ nhận DHCP động Trên firewall: Vào Network > DHCP, chọn DHCP server Chọn Add điền HaiNguyen-IT Chọn tab Option , điền Gateway DNS Ngoài tùy theo yêu cầu sếp, bạn điền thêm option khác HaiNguyen-IT Bấm COMMIT Step 3: verify Vào PC check thấy nhận IP theo dải cấp 13 Cấu hình chống loại cơng scan, ping, flood (Zone protection) Mục đích: Bảo vệ mạng khỏi cơng, ví dụ TCP flood, ping large packet, scan network Scan host, IP spoofing (giả mạo IP) … Ví dụ hình PC1 công TCP SYN flood sang PC2 mà không bị security policy ngăn chặn => Ta bật tính Zone Protection HaiNguyen-IT Step 1: Tạo Zone protection profile Vào Network > Zone Protecion Sau đó, chọn Add góc dưới, ta tích vào mục bên Để tránh giảm hiệu firewall cần tạo profile chống công phù hợp với hạ tầng mạng công ty, => nên tham khảo guide từ hãng https://docs.paloaltonetworks.com/best-practices/8-1/dos-and-zone-protection-best-practices/dos-andzone-protection-best-practices/deploy-dos-and-zone-protection-using-best-practices.html Ở ví dụ này, ta chọn bảo vệ cấm ping gói >1024 byte (trong tab Packet Based Attack Protection) HaiNguyen-IT Step 2: Áp profile vừa tạo vào Zone muốn bảo vệ Vào Network > Zone > Bấm vào Zone cần bảo vệ, ta thử nghiệm với ZONE-LAN Bấm chọn profile vừa tạo bấm COMMIT để hoàn thành Verify: >> Trước áp profile: Ping từ PC1 sang PC2 với gói thơng thường 32 bytes thấy OK Thử tăng size gói ping lên 1000 (cộng với header 1042 > 1024 bytes) OK HaiNguyen-IT >> Sau áp profile: ping gói to bị fail => DONE 14 Đưa dịch vụ mạng internet (Destination NAT) Mơ hình: Ta public dịch vụ FTP internet Step 1: Cấu hình Security Policy cho phép User internet access FTP đến firewall Vào tab Policies > Security Policy > Add policy Source zone: WAN-ZONE Destination zone: DMZ-ZONE Destination Address: 10.2.3.100 (là địa NAT FTP) HaiNguyen-IT Application, Service&URL: để mặc định Action: ALLOW Step 2: Cấu hình NAT policy Vào tab Policies > NAT > Add policy NAT Điền bên HaiNguyen-IT BẤM COMMIT ĐỂ DONE Step 3: Verify Từ client truy cập FTP server qua địa NAT , thấy OK Nhập User/Password FTP server vào HaiNguyen-IT 15 Link down full image EVE(Bonus) Truy cập vào link sau để tải image làm lab cho EVE-NG https://drive.google.com/drive/folders/1ETvCrn6Y0d-JSYtxggS0PdENDHvF3RgZ Follow youtube để xem video hữu ích https://www.youtube.com/channel/UCqPTVqzyHTGIQUanBWswiyw/videos Cấu hình máy PC dùng để xây dựng lab tài liệu: CPU : 12 vCPU xeon RAM: 32GB DDR4 OS: ESXI, sau deploy EVE-NG ... khác Cấu hình Dự phịng firewall (Active-Passive) Backup & Restore cấu hình Bắt gói tin 10 Tạo sub-interface (dot1q) firewall 11 Biến port firewall thành switchport 12 Cấu hình DHCP 13 Cấu hình. .. (dot1q) firewall Mơ hình >> Step 1: Cấu hình switch: vlan 100 cho port nối với PC dưới, vlan 50 cho port nối với PC trên, cấu hình port trunk nối với firewall >> Step 2: Tạo sub-interface firewall Vào... interface Vào Network > Interface > Tunnel > Add Step 7: Cấu hình GateWays Vào Network > Gateways > Add HaiNguyen-IT HaiNguyen-IT Vào Client Settings HaiNguyen-IT Step 8: Cấu hình portal Vào Network