Cài đặt và cấu hình firewall palo alto v9 (2021)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.15 MB, 65 trang )
HaiNguyen-IT
CÀI ĐẶT VÀ CẤU HÌNH TƯỜNG LỬA PALO ALTO 9.0
Author: Hải Nguyễn IT
HaiNguyen-IT
Mục lục
1. Truy cập vào webgui
2. Đặt IP cho interface của firewall
3. Truy cập internet cho các PC trong LAN
4. Kết nối với LDAP trên Windows Server 2012
5. VPN từ ngồi internet vào LAN cơng ty cho nhân viên làm online
6. Tạo VPN site-to-site với cơng ty khác
7. Cấu hình Dự phịng 2 firewall (Active-Passive)
8. Backup & Restore cấu hình
9. Bắt gói tin
10. Tạo sub-interface (dot1q) trên firewall
11. Biến port firewall thành switchport
12. Cấu hình DHCP
13. Cấu hình chống các loại tấn công scan, ping, flood (Zone protection)
14. Đưa dịch vụ ra mạng internet (Destination NAT)
15. Link down full các image EVE(Bonus)
HaiNguyen-IT
1. Truy cập webgui của firewall
Mơ hình:
Vào qua console(pass admin/admin), show như bên dưới để xem IP MGMT là bao nhiêu
admin@PA-VM> show interface management
------------------------------------------------------------------------------Name: Management Interface
Link status:
Runtime link speed/duplex/state: 1000/full/up
Configured link speed/duplex/state: auto/auto/auto
MAC address:
Port MAC address 50:00:00:01:00:00
Ip address: 192.168.177.131
Netmask: 255.255.255.0
Default gateway: 192.168.177.2
Để xem IP này là DHCP hay cố định
admin@PA-VM> show system info
hostname: PA-VM
ip-address: 192.168.177.131
public-ip-address: unknown
netmask: 255.255.255.0
default-gateway: 192.168.177.2
ip-assignment: dhcp
HaiNguyen-IT
Để ổn định IP, ta nên xóa IP chế độ DHCP và đặt IP cố định , ví dụ 192.168.177.100
> configure
#delete deviceconfig system type dhcp-client
#set deviceconfig system ip-address 192.168.177.100 netmask 255.255.255.0
default-gateway 192.168.177.2 dns-setting servers primary 8.8.8.8 secondary 8.8.4.4
#commit
#show interface management (để kiểm tra lại)
Truy cập qua web https://192.168.177.100 được như dưới
2. Đặt IP cho interface của firewall
Trong palo alto; ta phải tạo từng object IP, Tạo zone, tạo virtual router, enable ping rồi mới gán vào port
vật lí (nhiều bước hơn so với các thiết bị router thông thường : cho thẳng IP vào port)
Step 1: Tạo object IP cho eth1/1:192.168.100.1, eth1/2: 10.2.3.150
Vào Object > Address > Add để tạo address mới
HaiNguyen-IT
Tạo address:
Làm tương tự cho eth1/2, và ta được:
Step 2: Tạo Zone(vùng)
Vào tab Network > Zone > Add
HaiNguyen-IT
Ta sẽ tạo 2 vùng như mơ hình là LAN (các máy trong LAN) và WAN (ứng với đi ra internet)
LAN:
WAN:
HaiNguyen-IT
Sẽ được như bên dưới:
Step 3: Tạo virtual router: Vào network > virtual router > Add
HaiNguyen-IT
Step 4: Enable ping trên các interface
Vào Network > Interface mgmt
> Add
HaiNguyen-IT
Step 5: Tạo interface và gán các thông số ở trên vào
Vào Network > Interface > Ethernet > Ethernet1/1
HaiNguyen-IT
Làm tương tự cho ethernet1/2 ta được:
Step 6: Nhấn vào commit
để hoàn thành, đợi 30s-1 phút là xong
HaiNguyen-IT
3. Truy cập internet cho PC
Ta cần làm các bước :
Tạo static route ra internet
Cấu hình NAT overload cho dải LAN ra IP WAN
Tạo rule cho phép dải LAN ra internet vì mặc định firewall chặn ALL
Step 1: Tạo static route
Vào tab Network > Virtual Router > HAINM-ROUTER > Static Route > Add và điền như dưới
Ta được
Bấm Commit
Kết quả: ping thử 8.8.8.8 (Lưu ý cần chỉ ra source ping là IP nào, nếu ko fw sẽ lấy source là IP mgmt)
HaiNguyen-IT
admin@PA-VM> ping source 10.2.3.150 host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 10.2.3.150 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=116 time=40.3 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=116 time=32.5 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=116 time=32.9 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=116 time=30.2 ms
Step 2: Tạo object LAN network 192.168.100.0/24
Vào tab Object > Add
Step 3: Tạo NAT
Vào Policy > NAT > Add
HaiNguyen-IT
Step 4: Tạo policy cho phép đi internet
Vào Policy > Security > Add
Điền các mục
HaiNguyen-IT
Step 5: Thử từ PC truy cập internet
HaiNguyen-IT
4. Kết nối với LDAP trên Windows Server 2012
Mơ hình: Firewall ping thông với Active Directory Server qua port mgmt
Trên AD install dịch vụ Active Directory (xem trên youtube cách cài)
Step 1: Tạo LDAP Profile
Trên giao diện web firewall, vào Device > Server Profile > LDAP > Add và điền như dưới
HaiNguyen-IT
Để test xem thông LDAP chưa:
Vào Device > User Identification > Group Mapping Settings > Add
HaiNguyen-IT
5. VPN từ ngồi internet vào LAN cơng ty cho nhân viên
Step 1: Tạo user
Vào Device > Local User Database > User > Add
HaiNguyen-IT
Step 2: Gán user vào user group
Vào mục User Groups > Add
Step 3: Tạo profile để xác thực user
Vào tab Device > Authencation Profile > Add
HaiNguyen-IT
Step 4: Tạo certificate local
Vào Device > Certificates > Generate
HaiNguyen-IT
Bấm lại vào cert vừa tạo
, chọn 2 cái như dưới
HaiNguyen-IT
Chọn export certificate
Step 5: Tạo SSL profile
Vào Device > SSL/TLS Service Profile > Add
Step 6: Tạo Zone VPN và tunnel interface
- Tạo Zone VPN
Vào Network > Zone > Add
và lưu lại trong máy tính cá nhân.
HaiNguyen-IT
-
Tạo tunnel interface
Vào Network > Interface > Tunnel > Add
Step 7: Cấu hình GateWays
Vào Network > Gateways > Add
HaiNguyen-IT
HaiNguyen-IT
Vào Client Settings
HaiNguyen-IT
Step 8: Cấu hình portal
Vào Network > Portal > Add
