Найти в Дзене
Николай Калюжный
331 подписчик

Брандмауэр в Пало-Альто для абсолютных новичков

77
12 мин
Всем привет, если вы здесь, я полагаю, вы хотите узнать о брандмауэрах Пало-Альто, и вы попали в нужное место. В этой статье блога мы рассмотрим самые основы брандмауэров Пало-Альто и то, с чего начать. В этой записи блога предполагается, что вы обладаете базовым пониманием концепций сети, таких как маршрутизация, интерфейсы уровня 3, поток трафика, подсети и необходимость брандмауэра. Если вы ранее использовали межсетевые экраны от разных поставщиков, это еще лучше, и вам должно быть легче понять концепции. Когда я только начинал работать с межсетевыми экранами в Пало-Альто, я уже работал сетевым инженером в прошлом и имел опыт работы с межсетевыми экранами Cisco ASA. Тем не менее, мне все же понадобилось некоторое время, чтобы полностью разобраться в нюансах. Поэтому здесь я сосредоточусь на том, чтобы объяснить нюансы работы межсетевых экранов Пало-Альто на простых примерах. В этом посте мы затронем несколько ключевых тем, связанных с межсетевыми экранами Пало-Альто, предоставив обз
Оглавление

Всем привет, если вы здесь, я полагаю, вы хотите узнать о брандмауэрах Пало-Альто, и вы попали в нужное место. В этой статье блога мы рассмотрим самые основы брандмауэров Пало-Альто и то, с чего начать.

Необходимые условия

В этой записи блога предполагается, что вы обладаете базовым пониманием концепций сети, таких как маршрутизация, интерфейсы уровня 3, поток трафика, подсети и необходимость брандмауэра. Если вы ранее использовали межсетевые экраны от разных поставщиков, это еще лучше, и вам должно быть легче понять концепции. Когда я только начинал работать с межсетевыми экранами в Пало-Альто, я уже работал сетевым инженером в прошлом и имел опыт работы с межсетевыми экранами Cisco ASA. Тем не менее, мне все же понадобилось некоторое время, чтобы полностью разобраться в нюансах. Поэтому здесь я сосредоточусь на том, чтобы объяснить нюансы работы межсетевых экранов Пало-Альто на простых примерах.

О чем мы расскажем?

В этом посте мы затронем несколько ключевых тем, связанных с межсетевыми экранами Пало-Альто, предоставив обзор, не углубляясь в какую-либо одну область. Я написал множество постов о брандмауэрах Пало-Альто, и я приведу ссылки на них для более глубокого изучения. Вот что мы рассмотрим.

  1. Основы межсетевого экрана и зачем он нужен?
  2. Основы межсетевого экрана в Пало-Альто
  3. Понятия зон безопасности
  4. Примеры конфигураций
  5. Идентификатор приложения
  6. Фиксация - Сравнение конфигурации кандидата и выполнения
  7. Просмотр журналов трафика
  8. Настройка лаборатории
Пример конфигурации Cisco Private VLAN (PVLAN)Но бывают случаи, когда вы можете захотеть сохранить устройства в одной и той же VLAN, не позволяя им взаимодействовать друг с другом. Именно здесь в игру вступают частные VLAN, предлагающие контроль над тем, кто может общаться друг с другом в рамках «одной VLAN».
Пример конфигурации Cisco Private VLAN (PVLAN)Но бывают случаи, когда вы можете захотеть сохранить устройства в одной и той же VLAN, не позволяя им взаимодействовать друг с другом. Именно здесь в игру вступают частные VLAN, предлагающие контроль над тем, кто может общаться друг с другом в рамках «одной VLAN».

Основы межсетевого экрана и зачем он нужен?

Если у вас есть опыт работы с межсетевыми экранами, вы можете пропустить этот раздел. Это в первую очередь для тех, кто работал сетевым инженером, но не имеет большого опыта работы с межсетевыми экранами.

В отличие от маршрутизаторов, основной целью которых является пересылка пакетов между различными подсетями, межсетевые экраны выполняют гораздо больше функций. Хотя маршрутизаторы могут фильтровать трафик с помощью списков управления доступом, они не предназначены для использования в качестве основных устройств фильтрации пакетов.

Для правильной проверки трафика вам понадобится межсетевой экран. Рассмотрим компанию «Bakery & Co» с головным офисом и несколькими сотнями сотрудников. Скорее всего, в этом офисе есть разные отделы, и пользователям из этих отделов нужен доступ к различным ресурсам. Мы же не хотим, чтобы продавцы читали конфиденциальные документы отдела кадров, верно? Брандмауэр может разрешать или запрещать трафик между устройствами в разных подсетях. Он также может блокировать доступ пользователей к вредоносным сайтам или социальным сетям, в зависимости от вашей политики безопасности. Кроме того, если у вас есть пользователи, работающие удаленно, брандмауэр может защитить их доступ к внутренним ресурсам через VPN. Брандмауэр может справиться со всем этим и многим другим.

Таким образом, любой трафик, пересекающий брандмауэр, будет проверяться на соответствие любым настроенным правилам. Например, если пользователь из офисной VLAN попытается получить доступ к Facebook, трафик пройдет через брандмауэр. У вас может быть политика, которая говорит: «Хорошо, разрешите этот трафик». Если один и тот же пользователь попытается получить доступ к серверу через порт 22 (SSH), у вас может быть политика, которая говорит: «О, заблокируйте весь трафик SSH». Это всего лишь простое введение в то, что могут делать межсетевые экраны.

Основы межсетевого экрана в Пало-Альто

Как и любой другой межсетевой экран нового поколения (NGFW), межсетевые экраны Пало-Альто имеют интерфейсы и позволяют настраивать такие маршруты, как статические, OSPF и BGP. Они также позволяют создавать политики безопасности, политики NAT и адресовать объекты, а также многие другие функции. Как минимум, вы должны знать, как настраивать интерфейсы, NAT и политики безопасности.

Знакомство с графическим интерфейсом пользователя Palo Alto Firewall

При использовании брандмауэра в Пало-Альто вы будете в основном взаимодействовать с графическим интерфейсом, который я в основном использовал, сохраняя интерфейс командной строки для устранения неполадок или выполнения определенных команд show. Войдя в графический интерфейс, вы заметите семь основных вкладок в верхней части, но вы обнаружите, что используете в основном последние пять для повседневных задач.

  1. Монитор — эта вкладка используется для просмотра журналов трафика или системных журналов, захвата пакетов и проверки аудита конфигурации.
  2. Политики — здесь настраиваются правила брандмауэра, правила NAT, правила расшифровки и переадресация на основе политик.
  3. Объекты — в этом разделе можно настроить различные элементы, такие как объекты адресов, группы адресов, объекты служб, категории URL-адресов и профили безопасности. Как правило, здесь создаются объекты и ссылки на них в политиках.
  4. Сеть - Как следует из названия, эта вкладка предназначена для настройки интерфейсов, создания зон, настройки статической или динамической маршрутизации, а также управления VPN.
  5. Устройство — эта вкладка предназначена для конфигураций устройства, таких как параметры высокой доступности, администраторы, профили сервера для таких служб, как RADIUS или TACACS, а также обновления программного обеспечения.
-2

Интерфейсы, зоны и политики

Возьмем в качестве примера компанию «Bakery & Co» с ее головным офисом и несколькими сотнями сотрудников, допустим, мы приобрели межсетевой экран в Пало-Альто и хотим настроить его основные функции.

  1. Как минимум, нам нужно два интерфейса, один для пользователей, а другой для Интернета/интернет-провайдера. Как и при настройке любого сетевого устройства, вы должны перейти в раздел «Интерфейсы», выбрать интерфейс и начать настройку IP-адреса на нем.
  2. Тем не менее, есть важное различие: межсетевые экраны Пало-Альто используют концепцию под названием «зоны безопасности». Это позволяет добавить один или несколько интерфейсов в «зону», а затем ссылаться на эту зону в политиках, а не на самих интерфейсах.
  3. Например, если у вас есть отдельные интерфейсы для пользователей Windows и Mac, возможно, потому, что вы не хотите, чтобы пользователи Windows и Mac взаимодействовали, но вы хотите применять одни и те же политики безопасности для доступа в Интернет, вы должны добавить оба интерфейса в одну и ту же зону безопасности. Затем используйте эту зону во всех политиках безопасности. То же самое относится и к политикам NAT, где вы можете ссылаться на «зону» для исходного трафика.

Это явное отличие от межсетевых экранов, таких как Cisco ASA или FortiGate, где списки управления доступом обычно применяются непосредственно к интерфейсу или ссылаются на интерфейс в политиках безопасности.

Пример конфигурации Palo Alto Global Protect VPNВ этой статье блога мы расскажем, как настроить Palo Alto Global Protect VPN. Мы рассмотрим настройку портала, шлюза, профиля аутентификации, пулов IP, split-tunnel, политики безопасности, политики NAT и других необходимых компонентов.
Пример конфигурации Palo Alto Global Protect VPNВ этой статье блога мы расскажем, как настроить Palo Alto Global Protect VPN. Мы рассмотрим настройку портала, шлюза, профиля аутентификации, пулов IP, split-tunnel, политики безопасности, политики NAT и других необходимых компонентов.

Примеры конфигураций

Давайте рассмотрим простой пример, основанный на нашем сценарии, в котором мы собираемся настроить два интерфейса, один для внутренних пользователей, а другой для WAN-стороны. Для пользовательской подсети я собираюсь использовать подсеть 10.1.1.1/24, а для WAN я собираюсь использовать 10.10.0.6/16, просто представьте, что это публичный IP-адрес на мгновение 🥲

Мы также создадим статический маршрут по умолчанию, две зоны с именами «Пользователи» и «WAN». Наконец, политика NAT и политика безопасности для разрешения доступа в Интернет.

Пользовательский интерфейс и зона

Чтобы настроить интерфейс, перейдите в раздел Интерфейсы > сети > выберите интерфейс. Здесь вы можете назначить IP, добавить интерфейс в зону или любую конфигурацию, связанную с интерфейсом.

-4

Чтобы настроить зону, перейдите в раздел Зоны сети > и добавьте новую зону. Здесь вам нужно выбрать «Тип» как «Layer3» и добавить интерфейс, который мы создали ранее для «пользователей»

-5

Интерфейс и зона WAN

-6
-7

Статический маршрут

Чтобы настроить статический маршрут, перейдите в раздел «Сеть > виртуальных маршрутизаторов» > «По умолчанию» > «Статический маршрут» и создайте его с помощью следующего прыжка, как показано ниже.

-8

Политика NAT

В политике NAT я просто говорю:

  1. Если трафик идет из зоны "Пользователи"
  2. Переход в зону 'WAN'
  3. Измените 'Source IP' пакета на IP-адрес интерфейса 'ethernet1/3' (10.10.0.6)
-9

Если вам нужно, вы можете тонко настроить политику, добавив конкретные исходные подсети, но для простоты я выбрал «любой»

Политика безопасности

Давайте рассмотрим настройку политик безопасности. Аналогично нашей конфигурации NAT, нам нужно указать зоны источника/назначения, а также IP-адреса источника/назначения. Однако существенное различие возникает при указании номеров портов, где в игру вступает понятие «App-ID».

«App-ID» — это термин, используемый для идентификации приложений, а не только на жестко заданные номера портов TCP/UDP. На дворе 2024 год, и мы используем межсетевой экран нового поколения (NGFW), поэтому мы стремимся проверять не только уровень 4, но и прикладной уровень. Вот как я настроил три первоначальные политики.

  1. Политика, разрешающая DNS-запросы к версии 1.1.1.1 (CloudFlare).
  2. Политика, разрешающая Ping в любое место назначения.
  3. Политика, разрешающая 'ssl' и 'просмотр веб-страниц'.
-10

Вы заметите, что в этих политиках мы не указали традиционные номера портов (которые в Пало-Альто называют «службой»). Вместо этого мы указали «приложение», такое как DNS. Palo Alto интеллектуально проверяет каждый DNS-запрос, чтобы убедиться, что он действительно относится к DNS и использует порты приложений по умолчанию, т. е. UDP/53. Если кто-то попытается туннелировать несанкционированный трафик через UDP/53, брандмауэр заблокирует его.

Этот подход иллюстрирует преимущества использования «приложений», а не просто разрешения трафика на «UDP/53».

Третья политика распространяется на «просмотр веб-страниц» и «ssl», которые, как вы можете предположить, включают в себя весь интернет-трафик, но это не так уж и широко. Он обеспечивает доступ к общим интернет-сайтам, таким как блоги, новостные сайты и электронная коммерция, такие как booking.com, но не ко всему.

Например, доступ к YouTube, Gmail или даже Google не будет работать в соответствии с этим правилом, потому что Palo Alto присваивает этим сервисам более конкретные идентификаторы приложений. Чтобы разрешить YouTube, вам нужно будет разрешить конкретно идентификатор приложения «youtube». Управление этими отдельными идентификаторами приложений может быть обременительным, учитывая тысячи доступных приложений, но есть стратегии для упрощения этой задачи, например, разрешение такой категории, как «видеоконференции», вместо отдельных приложений.

В качестве альтернативы вы можете разрешить «сервисы», такие как TCP/80 и TCP/443, хотя такой подход подрывает преимущества наличия NGFW. Таким образом, если вам нужно разрешить трафик по номерам портов, вам нужно установить для параметра «приложение» значение «любой» и использовать номера портов, как показано ниже. Брандмауэр Пало-Альто имеет некоторые предопределенные «сервисы», такие как «http» или «https» (которые я использовал в примере ниже), но вы также можете создать свои собственные пользовательские сервисы, перейдя в раздел «Объекты > сервисы».

-11

Я постараюсь рассказать о 'App-ID' в одном из следующих постов в блоге, так что не забудьте подписаться на мой блог.

Фиксация - Сравнение конфигурации кандидата и выполнения

Еще одно четкое различие между Palo Alto и другими межсетевыми экранами, такими как Cisco ASA или FortiGate, заключается в способе управления конфигурациями. В ASA или FortiGate изменения немедленно применяются к running-config, то есть они вступают в силу немедленно. Тем не менее, Palo Alto работает с двумя наборами конфигураций.

  • Запуск конфигурации
  • candidate-config

Любые изменения, которые вы вносите с помощью графического интерфейса пользователя или интерфейса командной строки, применяются к файлу candidate-config, оставляя ваш running-config нетронутым. Это позволяет вносить изменения, не влияя на вашу сеть. Как только вы будете уверены в своих изменениях, вы можете «зафиксировать» их, что объединит изменения в running-config.

Чтобы продемонстрировать это, я переименовал объект адреса 'cloud_flare' в 'cloud_flare_dns'. Эти изменения не вступят в силу, пока я их не зафиксирую.

-12

Чтобы сделать коммит, просто перейдите к опции «Зафиксировать» в правом верхнем углу графического интерфейса. У вас также есть возможность предварительного просмотра изменений. Если над конфигурацией работают или редактируют несколько человек, вы можете зафиксировать только свои изменения.

-13

Журналы трафика

Если вы работаете с межсетевыми экранами, вы знаете, насколько важна возможность просмотра журналов трафика, особенно во время устранения неполадок. Давайте рассмотрим, где просматривать логи и как их настроить. Вы можете просмотреть журналы трафика, перейдя в раздел Мониторинг > Журналы > Трафик.

Однако журналы не будут там до тех пор, пока вы явно не укажете брандмауэру регистрировать их. Итак, как мы это делаем? Когда вы создаете политику безопасности, в разделе «Действие» вы должны включить ведение журнала в разделе «Настройки журнала».

Здесь у вас есть два варианта - "Войти в систему в начале сессии" или "Войти в систему в конце сессии". Я обычно предпочитаю использовать последний, чтобы избежать быстрого заполнения места для хранения бревнами. С помощью функции «Log at Session End» брандмауэр регистрирует детали сеанса при его завершении, например, когда пользователь посещает веб-сайт, а затем закрывает его. Это завершение удаляет сеанс из таблицы сеансов и запускает брандмауэр для регистрации трафика, что позволяет вам просмотреть его впоследствии.

-14
-15

Фильтровать журналы трафика так же просто, как выбрать значение из выходных данных журнала трафика. Например, если вы хотите увидеть весь разрешенный трафик из «10.1.1.15», все, что вам нужно сделать, это выбрать значение из столбца «Действие», а также выбрать значение из столбца «Источник», как показано ниже. Этот выбор позволяет быстро и легко изолировать определенные события трафика, упрощая анализ действий пользователей или устранение неполадок в сети.

-16

Настройка лаборатории

Лучший способ учиться – это делать и практиковаться. Я настоятельно рекомендую создать собственную лабораторию, чтобы попробовать все на себе. Доступно несколько вариантов, таких как EVE-NG, GNS3 или даже запуск непосредственно на VMware Workstation или ESXi. Я написал статью в блоге о том, как настроить это на VMware Workstation, так что не стесняйтесь ознакомиться с ним ниже.

Настройка брандмауэра Palo Alto в VMWare WorkstationВ этой статье мы рассмотрим, как добавить межсетевой экран серии VM в рабочую станцию VMWare, настроить интерфейсы и выполнить первоначальные настройки.
Настройка брандмауэра Palo Alto в VMWare WorkstationВ этой статье мы рассмотрим, как добавить межсетевой экран серии VM в рабочую станцию VMWare, настроить интерфейсы и выполнить первоначальные настройки.

После того, как вы настроили свою лабораторию, создайте гипотетическую компанию и попытайтесь создать небольшую сеть, похожую на офис. Создайте подсеть для пользователей и другую для серверов, затем попытайтесь обеспечить ограничение доступа в Интернет, например, заблокируйте Facebook и т.д. Это поможет вам визуализировать происходящее и улучшить ваше обучение.

Как только у вас будет прочная основа, попытайтесь узнать, как настроить Site-to-Site VPN и GlobalProtect Remote Access VPN, а также понять, как работают 'User-ID' или 'App-ID' и какие проблемы они призваны решать. Но опять же, ключ к прогрессу – это наличие прочного фундамента.

Гаджеты и электроника
5,73 млн интересуются