Quality of Service (QoS) là một khía cạnh quan trọng trong việc quản lý mạng và điều chỉnh việc sử dụng tài nguyên mạng để đảm bảo chất lượng dịch vụ cho các ứng dụng và dịch vụ mạng.

QoS cho phép phân bổ và quản lý băng thông mạng một cách hiệu quả, giúp ngăn chặn quá trình kẹt mạng và đảm bảo rằng các dịch vụ quan trọng có đủ băng thông để hoạt động một cách mượt mà.

II. Mục lục

1. Cấu hình policy QoS

2. Cấu hình giới hạn băng thông

3. Test kết quả

III. Nội dung bài lab

1. Cấu hình policy QoS

Đầu tiên truy cập Policies >> QoS

General : điền tên tho mong muốn

Tab Source

Source Zone : LAN

Source User : abc\hr-browsing

Tab Destination

Tab Application : web-browsing, ssl, mega-base (mình sẽ test download link mega)

Tab Other Settings

Class : 1

2. Cấu hình giới hạn băng thông

Tiếp theo qua tab Network >>Network Profile>> QoS Profile >> Add

Mình đã add thêm Class1 với thông số giới hạng như ảnh

Các bạn truy cập vào Network >> QoS

Egress Max (Mbps): điền băng thông của đường truyền

3. Test kết quả

Dung lượng download link mega khi chưa commit cấu hình QoS

Kết quả áp dụng QoS băng thông download bị giảm xuống

Trong Palo Alto Networks, ECMP (Equal Cost Multi-Path) được sử dụng để cân bằng tải traffic giữa nhiều đường đi có chi phí bằng nhau đến một đích. Tính năng ECMP có thể được sử dụng không chỉ để cân bằng tải mà còn để đảm bảo sự dự phòng (redundancy) và sẵn sàng (resilience) cho đường WAN.

Diagram :

Mục lục :

1. Cấu hình ECMP

2. Cấu hình rule cho mạng Local ra internet

3. Kết quả

Nội dung cấu hình :

1. Cấu hình ECMP

Đầu tiên các bạn vào Network >> Virtual Routers >> Add

Tab Router Settings

General : những interface được tham gia router settings

Chuyển qua tab ECMP

Các bạn nhấn vào Enable

Method : chọn balanced round robin

Tại Tab Static Route

Mạng WAN FPT

Các bạn tiến hành điền thông tin tương thích của mình để mạng LAN có thể qua WAN ra internet

Tương tự mạng WAN Viettel

2. Cấu hình rule cho mạng Local ra internet

General : điền tên theo ý muốn

Source : cho source zone mà mình muốn cho ra internet

Destination : chọn WAN

3. Kết quả

Mình tiến hành lấy PC thuộc mạng LAN ping 8.8.8.8 >> ngắt kết nối 1 đầu WAN >> thì lập tức sẽ chạy ra internet theo đường WAN còn lại (như ảnh)

Trong Palo Alto Networks, tính năng NAT (Network Address Translation) Web đóng một vai trò quan trọng trong việc cung cấp an ninh mạng và kiểm soát truy cập Internet. NAT Web được sử dụng để ẩn địa chỉ IP thực sự của các máy tính trong mạng nội bộ và thay thế nó bằng một địa chỉ IP công cộng, giúp bảo vệ sự riêng tư và tăng cường an ninh mạng.

Diagram :

Mục lục :

1. Cấu hình NAS IP máy chủ Web

2. Cấu hình rule cho web

3. Kiểm tra kết quả

Nội dung cấu hình :

1. Cấu hình NAS IP máy chủ Web

Các bạn vào Policies >> NAT >> Nhấn Add 

Name : điền tên bất kỳ

Tab Original Packet

Destination Zone : chọn WAN

Destination Interface : cổng WAN interface

Service : chọn https

Source Address : tích chọn Any

Destination Address : đây là cổng WAN để web ra vào

Tab Translated Packet

Translation Type : chọn Dynamic IP

Translated Address : IP máy chủ web

Translated Port : 443

2. Cấu hình rule cho web

General : tên bất kỳ

Source Zone : WAN

Destination Zone : chọn DMZ

Destination : IP WAN

Service : chọn HTTPS

3. Kiểm tra kết quả

Trong Palo Alto Networks, ECMP (Equal Cost Multi-Path) được sử dụng để cân bằng tải traffic giữa nhiều đường đi có chi phí bằng nhau đến một đích. Tính năng ECMP có thể được sử dụng không chỉ để cân bằng tải mà còn để đảm bảo sự dự phòng (redundancy) và sẵn sàng (resilience) cho đường WAN.

Diagram :

Mục lục :

1. Cấu hình ECMP

2. Cấu hình rule cho mạng Local ra internet

3. Kết quả

Nội dung cấu hình :

1. Cấu hình ECMP

Đầu tiên các bạn vào Network >> Virtual Routers >> Add

Tab Router Settings

General : những interface được tham gia router settings

Chuyển qua tab ECMP

Các bạn nhấn vào Enable

Method : chọn balanced round robin

Tại Tab Static Route

Mạng WAN FPT

Các bạn tiến hành điền thông tin tương thích của mình để mạng LAN có thể qua WAN ra internet

Tương tự mạng WAN Viettel

2. Cấu hình rule cho mạng Local ra internet

General : điền tên theo ý muốn

Source : cho source zone mà mình muốn cho ra internet

Destination : chọn WAN

3. Kết quả

Mình tiến hành lấy PC thuộc mạng LAN ping 8.8.8.8 >> ngắt kết nối 1 đầu WAN >> thì lập tức sẽ chạy ra internet theo đường WAN còn lại (như ảnh)

VPN Client-to-Site là một loại kết nối mạng ảo (Virtual Private Network – VPN) trong đó người dùng cá nhân hoặc nhóm người dùng có thể kết nối an toàn đến mạng nội bộ của một tổ chức từ xa thông qua Internet.

Sơ đồ :

Mục lục :

• B1. Tạo certificate cho VPN
• B2. Tạo SSL/TLS Service Profile
• B3. Tạo user dùng đăng nhập VPN
• B4. Tạo Authentication Profile
• B5. Tạo Portal
• B6. Tạo tunnel VPN
• B7. Tạo GlobalProtect Gateway
• B8. Tiến hành đăng nhập GlobalProtect Portal
• B9. Kiểm tra kết quả

Nội dung bài viết :

B1. Tạo certificate cho VPN

Đầu tiên các bạn vào Device >> Certificate management >> Generate

Các bạn tiến hành điền thông tin như sau ( danh mục name có thể điền tùy ý )

Nhấn Generate để tạo

Tương tự, tạo thêm Certificate với Common Name là IP WAN

B2. Tạo SSL/TLS Service Profile

Theo đường dẫn Device > Certificate Management > SSL/TLS Service Profile

Các bạn nhấn Add và điền thông tin như ảnh

Riêng ở mục Certificate : chọn Certificate đã tạo ở bước 1

B3. Tạo user dùng đăng nhập VPN

Các bạn theo đường dẫn sau : Device > Local User Database > Users

Nhấn Add để tạo

Các bạn tiến hành nhập Name và Password >> nhấn OK để tạo

B4. Tạo Authentication Profile

Device > Authentication Profile > nhấn Add

Tại Tab Authentication

Name : nhập tùy ý

Type : Local Database

Username Modifier : chọn %USERINPUT%

Tab Advanced :

Tại Allow List tiến hành Add những User mà bạn đã tạo để được cấp quyền VPN

B5. Tạo Portal

Theo đường dẫn Network > GlobalProtect > Portals > Add

Tab General:

Name: gp-portal
Interface: ethernet1/2 (WAN)
IP Address Type: IPv4 Only

Trong bảng Cient Authentication nhấn Add và cấu hình theo các thông số sau:

Name: AU
OS: Any
Authentication Profile: Local_User
Nhấn OK để tạo

Tại SSL/TLS Service Profile : chọn GW_Portal

Tại Tab Agent:

Các bạn làm các bước như trong ảnh

Tab con External

Nhấn Add

Name: tùy chọn
Address: tùy chọn IP hoặc FQDN
IPv4: IP WAN
Source Region > Add và điền thông tin như ảnh
Nhấn OK để lưu

Tiếp theo tại Trusted Root CA > Add CA_Global và đánh dấu tích vào mục kế bên

Nhấn OK để hoàn tất

B6. Tạo tunnel

Các bạn vào Network > Interfaces > Tunnel > nhấn Add

B7. Tạo GlobalProtect Gateway

Theo đường dẫn sau Network > GlobalProtect > Gateways > nhấn Add

Tại Tab General:

Name: GW_GlobalProtect
Interface: cổng WAN
IP Address Type: IPv4 Only
IPv4 Address: None

Tab Authentication

SSL/TLS Service Profile : chọn SSL/TLS mà ta đã tạo ở bước trên

Nhấn Add

Điền thông tin sau

Name: điền tên bất kỳ
OS: Any
Authentication Profile: chọn Local_User đã tạo
Nhấn OK để lưu

Tại Tab Agent

Tab con Tunnel Settings

Đánh dấu tích vào Tunnel Mode

Tunnel Interface : chọn tunnel đã tạo

Trong tab con Client Settings > nhấn Add

Name : điền tên bất kỳ

Tab con IP Pools

Nhập dãy IP mà bạn muốn cấp cho người dùng khi VPN

INCLUDE : Nhập nhóm IP mà bạn muốn connect tới khi VPN

Nhấn OK để tạo ra bảng tổng

B8. Tiến hành đăng nhập GlobalProtect Portal

Nhập IP WAN để vào giao diện

Tiến hành nhập tài khoản user đã tạo

Chọn tải phiên bản thích hợp với máy tính của bạn

Tiến hành cài phần mềm mới download về

Sau khi cài hoàn tất > sẽ xuất hiện giao diện bên dưới góc phải

Các bạn tiến hành nhập IP WAN vào > nhấn Connect

Nhấn Show Certificate

Tiến hành Install

Sau khi cài thành công Certificate

Các bạn tiến hành nhập tài khoảng users vào

Đã kết nối thành công

B9. Kiểm tra kết quả

Ping IP server đã được cấu hình cho phép kết nối thành công

Trong nội dung này, chúng ta sẽ khám phá cách thêm Firewall của Palo Alto Networks vào Panorama. Panorama của Palo Alto Networks mang lại khả năng quản lý tập trung cho các sản phẩm như Firewall, Prisma, và nhiều hơn nữa. Điều này đồng nghĩa rằng, ngay cả khi các firewall của bạn được cấu hình ở các vị trí địa lý khác nhau, bạn vẫn có thể tích hợp chúng với Panorama để quản lý chúng một cách hiệu quả. Palo Alto Networks khuyến nghị sử dụng cùng phiên bản PAN-OS trên cả Panorama và firewall. Tuy nhiên, nếu phiên bản PAN-OS trên Panorama cao hơn so với firewall, điều này cũng được chấp nhận. Bây giờ, hãy bắt đầu quá trình tích hợp firewall với Panorama.

Mục lục :

I. Cách Add Firewall của Palo Alto Networks vào Panorama

1. Add firewall Palo Alto Networks vào Panorama

2. Thêm thông tin Panorama vào Palo Alto Networks

3. Kiểm tra kết nối Firewall Palo Alto và Panorama

4. Import thiết bị vào Panorama

5.  Export cấu hình Palo ALto trong Panorama vào lại Firewall

Nội dung bài lab :

I. Cách thêm Firewall của Palo Alto Networks vào Panorama

Mặc dù có kết nối hai chiều thông qua TCP/3389 giữa Palo Alto Networks Panorama và Firewalls, ở đây tôi có cả Firewall và Panorama đều nằm trong cùng một subnet.

Nếu bạn đang sử dụng firewall VM Series của Palo Alto Networks, hãy đảm bảo rằng bạn có số sê-ri hợp lệ trên Firewall để bắt đầu quá trình tích hợp.

Trong trường hợp của tôi, tôi đang sử dụng PA-VM với địa chỉ IP quản lý là 192.168.31.205 và Panorama với địa chỉ IP quản lý là 192.168.31.250.

1. Add firewall Palo Alto Networks vào Panorama

Đầu tiên các bạn cần vào giao diện Palo Alto lấy số S/N

Tại giao diện Panorama > Panorama > Managed Devices > Summary > click vào Add.

Nhập số S/N của firewall vào

Click vào Generate Auth Key để tạo key > nhấn vào Copy Auth Key

2. Thêm thông tin Panorama vào Palo Alto Networks

Đăng nhập vào Palo Alto Networks Firewall

Ta vào Device > Setup > Management > Panorama Settings

Tiến hành điền thông tin IP của Panorama và key ở bước trên

3. Kiểm tra kết nối Firewall Palo Alto và Panorama

Login vào Panorama

Chúng ta vào Panorama > Managed Devices > Summary

Kiểm tra trạng thái kết nối.

4. Import thiết bị vào Panorama

Truy cập giao diện Panarama

Panorama > Setup > Operations và click vào Import device configuration trong phần configuration management.

Device : chọn thiết bị Firewall Palo Alto mà bạn cần thiết lập

Templade Name : tên

Device Group Name : tên Group

5.  Export cấu hình Palo ALto trong Panorama vào lại Firewall

Tại giao diện Panarama

Các bạn vào Panorama > Setup > Operations và click vào Export or push device config bundle

Chọn thiết bị và xác minh số sê-ri của thiết bị

Tiếp theo chọn Push & Commit under Export hoặc Push Config Bundle 

Lúc này cấu hình sẽ được đẩy xuống Palo Alto

Các bạn có thể vào giao diện Palo Alto để xem

Màu hiển thị

Cuối cùng cần vào giao diện Panorama

click vào commit và chọn Push to devices

Inter-VLAN là phương pháp được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.

Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Chúng ta sẽ có các thiết bị như sau:

• Palo Alto Firewall là thiết bị dùng để thiết lập chính sách ra vào, cấp phát DHCP, VLAN.
• Switch Core là thiết bị dùng để phân phối các IP và VLAN xuống cho các máy tính.
• 3 thiết bị có tên là PC1, PC2, PC3 chạy Windows 7.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình Subinterface, DHCP, Virutal Router, chính sách cho phép giao tiếp giữa các VLAN trên thiết bị Palo Alto Firewall và Switch để khi các máy tính kết nối vào sẽ nhận được đúng IP từ VLAN theo như sơ đồ mạng.

4.Các bước thực hiện

Palo Alto Firewall:

• Tạo Address Object.
• Cấu hình Subinterface.
• Tạo DHCP ứng với từng Subinterface.
• Tạo Virtual Router
• Tạo chính sách cho phép lớp mạng của các Subinterface giao tiếp với nhau.

Switch:

• Tạo các VLAN và assign port vào VLAN.
• Thực hiện trunk port.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình

5.1.Palo Alto Firewall

5.1.1.Tạo Address Objects

Chúng ta sẽ thực hiện định nghĩa các subnet của từng VLAN bằng cách tạo Address Object.

Để tạo vào Object > Addresses > nhấn Add.

Tạo Address Object cho subnet 10.145.41.0/24 của VLAN 10 với các thông số sau:

• Name: VLAN10
• Type: IP Netmask – 10.145.41.0/24
• Nhấn OK.

Tương tự chúng ta tạo Address Object cho subnet 10.145.42.0/24 của VLAN 20 với các thông số sau:

• Name: VLAN20
• Type: IP Netmask – 10.145.42.0/24
• Nhấn OK.

Tương tự chúng ta tạo Address Object cho subnet 10.145.43.0/24 của VLAN 30 với các thông số sau:

• Name: VLAN30
• Type: IP Netmask – 10.145.43.0/24
• Nhấn OK.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.1.2.Cấu hình Subinterface.

Như sơ đồ mạng chúng ta có 3 VLAN là 10,20,30 nên chúng ta sẽ cần tạo 3 Subinterface và đặt IP cho nó theo như sơ đồ mạng.

Trên thiết bị tường lửa Palo Alto, để tạo được các Subinterface trên một cổng vật lý chúng ta cần phải thiết lập IP cho cổng vật lý đó trước tiên.

Vì vậy theo như sơ đồ chúng ta sẽ thực hiện đặt IP 10.145.40.254/24 cho cổng ethernet1/2.

Để thiết lập vào Network > Interfaces > Ethernet > nhấn chuột trái vào tên của interface ethernet1/2 và cấu hình như sau.

Tab Config:

• Interface type: Layer3
• Security Zone: LAN

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.40.254/24 theo như sơ đồ mạng.
• Nhấn OK.

Để tạo Subinterface cho VLAN 10 trên port ethernet1/2 chúng ta vào Network > Interfaces > Ethernet > nhấn chuột trái vào dòng có chứa cổng ethernet1/2 và nhấn Add Subinterface:

Tab Config:

• Interface Name: ethernet1/2.10
• Tag: 10
• Security Zone: LAN
• Nhấn OK

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.41.254/24 theo như sơ đồ mạng.
• Nhấn OK

Tương tự chúng ta cũng tạo Subinterface cho VLAN 20 với các thông số sau:

Tab Config:

• Interface Name: ethernet1/2.20
• Tag: 20
• Security Zone: LAN
• Nhấn OK

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.42.254/24 theo như sơ đồ mạng.
• Nhấn OK

Tương tự chúng ta cũng tạo Subinterface cho VLAN 30 với các thông số sau:

Tab Config:

• Interface Name: ethernet1/2.30
• Tag: 30
• Security Zone: LAN
• Nhấn OK

Tab IPv4:

• Type: Static
• Click Add và nhập IP 10.145.43.254/24 theo như sơ đồ mạng.
• Nhấn OK

Nhấn Commit và OK để lưu những thay đổi cấu hình.

5.1.3.Tạo DHCP ứng với từng Subinterface

Tiếp theo chúng ta cần tạo DHCP để khi các máy tính kết nối vào sẽ tự động nhận được IP.

Để tạo DHCP vào Network > DHCP > DHCP Server > Add.

Tạo DHCP cho Subinterface ethernet1/2.10 với các thông số sau:

Tab Lease:

• Interface: ethernet1/2.10
• Mode: enabled
• IP POOLS: Click Add và nhập vào dãy IP sẽ cấp phát 10.145.41.1 – 10.145.41.10

Tab Options:

• Gateway: nhập vào IP của cổng Subinterface ethernet1/2.10 là 10.145.41.254/24.
• Subnet Mask: 255.255.255.0.
• Nhấn OK.

Tương tự chúng ta tạo DHCP cho Subinterface ethernet1/2.20 theo các thông số sau:

Tab Lease:

• Interface: ethernet1/2.20
• Mode: enabled
• IP POOLS: Click Add và nhập vào dãy IP sẽ cấp phát 10.145.42.1 – 10.145.42.10

Tab Options:

• Gateway: nhập vào IP của cổng Subinterface ethernet1/2.20 là 10.145.42.254/24.
• Subnet Mask: 255.255.255.0.
• Nhấn OK.

Tương tự chúng ta tạo DHCP cho Subinterface ethernet1/2.30 theo các thông số sau:

Tab Lease:

• Interface: ethernet1/2.30
• Mode: enabled
• IP POOLS: Click Add và nhập vào dãy IP sẽ cấp phát 10.145.43.1 – 10.145.43.10

Tab Options:

• Gateway: nhập vào IP của cổng Subinterface ethernet1/2.30 là 10.145.43.254/24.
• Subnet Mask: 255.255.255.0.
• Nhấn OK.

Nhấn Commit và OK để lưu những thay đổi cấu hình.

5.1.4.Tạo Virtual Router

Để tạo Virutal Router chúng ta vào Network > Virtual Routers > nhấn Add.

Tạo Virtual Router với các thông số sau:

• Name: VR1
• Tại bảng INTERFACES nhấn Add và thêm 3 Subinterface là ethernet1/2.10, ethernet1/2.20 và ethenet1/2.30.
• Nhấn OK.

5.1.5.Tạo chính sách cho phép lớp mạng của các Subinterface giao tiếp với nhau

Để các máy tính thuộc các Suinterface khác nhau có thể giao tiếp với nhau, chúng ta cần tạo 1 policy cho phép điều này xảy ra.

Để tạo vào Policies > Secuirty > nhấn Add và tạo với các thông số như hình sau.

5.2.Switch

5.2.1.Tạo các VLAN và assign port vào VLAN

Chúng ta sẽ thực hiện tạo VLAN 10,20,30 và assign các port vào đúng VLAN theo như sơ đồ mạng.

Tạo VLAN 10 và assign port Gi0/1 vào bằng câu lệnh sau.

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 10 và assign port Gi0/2 vào bằng câu lệnh sau.

Switch(config)#vlan 20

Switch(config-vlan)#interface gigabitEthernet 0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no shutdown

Tượng tự tạo VLAN 30 và assign port Gi0/3 vào bằng câu lệnh sau.

Switch(config)#vlan 30

Switch(config-vlan)#exit

Switch(config)#interface gigabitEthernet 0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 30

Switch(config-if)#no shutdown

5.2.2.Thực hiện trunk port

Chúng ta sẽ cấu hình trunk cho port Gi0/0 bằng câu hình sau.

Switch(config)#interface gigabitEthernet 0/0

Switch(config-if)#switchport trunk encapsulation dot1Q

Switch(config-if)#switchport mode trunk

Switch(config-if)#no shutdown

5.3.Kiểm tra kết quả.

PC 1 đã nhận được IP từ DHCP Pool của VLAN 10.

Tương tự PC 2 và PC 3 cũng nhận được IP từ DHCP Pool của VLAN 20 và VLAN 30.

Chúng ta sẽ kiểm tra khả năng giao tiếp giữa các VLAN bằng cách ping giữa các máy tính PC 1, PC 2 và PC 3.

Kết quả ping từ PC 3 sang PC 2.

Kết quả ping từ PC 1 sang PC 2.

Kết quả ping từ PC 1 sang PC 3.

Kết quả cho thấy các máy tính tại các vlan khác nhau đều có thể giao tiếp với nhau.

Bạn đang cần một tính năng để ngăn chặn người dùng truy cập vào trang quản trị của tường lửa Palo Alto bằng web nhưng vẫn cho phép truy cập vào nó bằng giao thức SSH.

Tính năng Interface Management Profile sẽ đáp ứng được các nhu cầu đó cho bạn.

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình Interface Management Profile.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

• Đường truyền internet sẽ được kết nối tại Port ethernet1/1 với IP 192.168.2.115/24.
• Mạng LAN sẽ được cấu hình tại port ethernet1/2 với IP 10.145.41.1/24 và được cấu hình DHCP.
• Cuối cùng là máy tính PC A được kết nối vào port ethernet1/2 và nhận IP cấp phát từ DHCP Server là 10.145.41.3/24.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình Interface Management Profile để PC 1 có thể truy cập và cấu hình tường lửa Palo Alto thông qua SSH trên port ethernet1/2 và khóa dịch vụ https trên port ethernet1/2 để PC 1 không thể truy cập vào trang quản trị bằng web.

4.Các bước cấu hình

• Tạo Interface Management Profile
• Gán Interface Management Profile vào port ethernet1/2
• Kiểm tra kết quả

5.Hướng dẫn cấu hình

5.1.Tạo Interface Management Profile

Mặc định khi một port mạng được cấu hình trên Palo Alto là nó sẽ chặn truy cập tất cả các dịch vụ.

Vì vậy để mở dịch vụ trên một cổng chúng ta cần tạo Interface Management Profile.

Để tạo vào Network > Interface Mgmt > nhấn Add và tạo theo các thông tin sau.

• Name: Allow SSH
• Administrative Management Services: Chọn SSH
• Network Services: không chọn
• Permitted IP Addresses: ở bảng này bạn có thể thêm IP của máy tính vào, khi thêm vào thì chỉ có IP này mới có thể truy cập vào các dịch vụ được cho phép mà chúng ta đã chọn ở phía trên. Trong bài viết này phần này sẽ bỏ trống.
• Nhấn OK để lưu

Nhấn Commit và OK để lưu thay đổi cấu hình.

5.2. Gán Interface Management Profile vào port ethernet1/2

Để gán vào Network > Interfaces > Nhấn vào tên ethernet1/2 > Advanced.

Tại Management Profile chọn Allow_SSH vừa tạo từ danh sách và nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3. Kiểm tra kết quả

Chúng ta sẽ vào máy tính PC 1 và thử truy cập trang quản trị của tường lửa bằng web.

Kết quả là chúng ta không thể truy cập do dịch vụ https đã bị tắt trên cổng này.

Tiếp theo chúng ta sẽ thử truy cập tường lửa bằng SSH và kiểm tra kết quả.

Như hình PC 1 có thể truy cập tường lửa bằng SSH do dịch vụ này được mở trên cổng ethernet1/2.

Trong bài viết này thegioifirewall sẽ giải thích cho các bạn biết Admin Roles là gì, tác dụng của nó cũng như cách cấu hình nó trên thiết bị tường lửa Palo Alto.

2.Admin Roles là gì và công dụng của nó ?

Admin Roles là một profile dùng để xác định chi tiết các quyền truy cập quản trị đối với tài khoản quản trị mà nó được áp dụng.

Nó sẽ giúp cho người quản trị có thể phân quyền một cách hợp lý cho các tài khoản quản trị cấp thấp hơn để bảo vệ các thông số cấu hình, logs của thiết bị, các thông tin nhạy cảm của công ty và người dùng.

3.Hướng dẫn cấu hình

Mặc định trên thiết bị Palo Alto đã tạo sẵn 3 Admin Roles cho chúng ta đó là auditadmin, cryptoadmin, securityadmin.

Chúng ta sẽ cùng tìm hiểu 3 Admin Roles này gồm những quyền truy cập nào.

3.1. Audit Admin

Auditadmin được áp dụng cho các quản trị viên chuyên thu thập và phân tích các logs được ghi lại từ các hoạt động trong hệ thống mạng.

Chúng ta có thể vào Device > Admin Roles > nhấn vào auditadmin.

Lúc này chúng ta sẽ thấy auditadmin chỉ có quyền truy cập vào các phần như Monitor để xem logs, cài đặt log, xem các cảnh báo của hệ thống,…

Còn lại các phần cấu hình khác thì auditadmin không thể xem được.

3.2. Crypto Admin

Admin Roles cryptoadmin sẽ bao gồm các quyền mà auditadmin có kèm theo một số quyền như có thể cấu hình các tính năng IPSec VPN Site-to-Site, SSL VPN Global Protect, SSL/TLS Service Profile, Certificate,..

3.3.Security Admin

Admin Roles securityadmin sẽ có gần như tất cả các quyền truy cập trong tab Web UI như cấu hình Policy, NAT, Interface, Zone, xem logs, tạo các Security Profile,… và nó sẽ không có các quyền như cấu hình VPN, certificate, Gre.

Ngoài ra các bạn cũng có thể tự custom cho mình một Admin Roles theo như ý muốn của bạn.

3.4. Tạo Admin Roles

Để tạo Admin Roles các bạn vào Device > Admin Roles > nhấn Add và chúng ta sẽ có các thông số sau:

• Name: Đặt tên cho Admin Roles
• Desscription: thêm mô tả
• Web UI: đây là tab liệt kê danh sách các quyền có trên trang quản trị của thiết bị Palo Alto, các bạn có thể tùy chỉnh theo ý muốn của mình bằng cách nhấn vào biểu tượng chấm tròn bên trái của quyền, nếu nó là dấu tích xanh là cho phép còn dấu x màu đỏ là không cho phép và biểu tượng móc khóa là quyền Read only.
• XML/REST API: Đây là các quyền về sử dụng các XML hoặc REST API để tích hợp các giải pháp của bên thứ 3.
• Command Line: đây là quyền cho phép người quản trị có thể truy cập cấu hình thiết bị firewall bằng giao diện dòng lệnh.

3.5. Gán Admin Roles vào tài khoản quản trị

Sau khi tạo Admin Roles chúng ta có thể gán nó vào cho một tài khoản quản trị.

Để gán vào Device > Administrators.

Nhấn vào tên tài khoản quản trị.

Tại mục Administrator Type chọn Role Based và chọn Admin Roles từ danh sách.

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình Password Profile giúp cho các bạn có thể thiết lập các hạn chế về mật khẩu dành cho tài khoản của quản trị viên.

2.Hướng dẫn cấu hình

Chúng ta sẽ có 2 bước cấu hình là tạo Password Profile và gán Password Profile này vào tài khoản admin mà chúng ta muốn áp dụng.

2.1. Tạo Password Profile

Để tạo Password Profile chúng ta vào Device > Password Profile nhấn Add và chúng ta sẽ có các thông số như sau:

• Name: đặt tên cho Password Profile để phân biệt
• Required Password Change Period (days): Yêu cầu quản trị viên thay đổi mật khẩu của họ thường xuyên được chỉ định trước một số ngày (phạm vi từ 0 đến 365). Ví dụ, nếu giá trị được đặt thành 90, quản trị viên sẽ được nhắc thay đổi mật khẩu của họ sau mỗi 90 ngày. Bạn cũng có thể đặt cảnh báo hết hạn từ 0 đến 30 ngày và chỉ định thời gian gia hạn.
• Expiration Warning Period (days): Nếu thời hạn thay đổi mật khẩu bắt buộc được đặt, cài đặt này có thể được sử dụng để nhắc người dùng thay đổi mật khẩu của họ tại mỗi lần đăng nhập khi ngày bắt buộc thay đổi mật khẩu sắp đến (phạm vi từ 0 đến 30).
• Post Expiration Admin Login Count: Cho phép quản trị viên đăng nhập một số lần nhất định sau khi tài khoản của họ hết hạn. Ví dụ: nếu giá trị được đặt thành 3 và tài khoản của họ đã hết hạn, họ có thể đăng nhập thêm 3 lần nữa trước khi tài khoản của họ bị khóa (phạm vi từ 0 đến 3).
• Post Expiration Grace Period (days): Cho phép quản trị viên đăng nhập vào số ngày được chỉ định sau khi tài khoản của họ hết hạn (phạm vi từ 0 đến 30).
• Sau khi cấu hình các thông số nhấn OK để lưu.

Nhấn Commit và OK để lưu thay đổi cấu hình.

2.2. Gán Password Profile vào tài khoản admin

Lưu ý Password Profile này chỉ được gán cho các tài khoản admin được tạo sau, đối với tài khoản admin mặc định thì không thể gán được.

Để gán chúng ta vào Device > Administrators.

Nhấn vào tên user admin mà chúng ta muốn gán.

Ở Password Profile chúng ta sẽ chọn Password Profile đã tạo từ danh sách.

Nhấn OK để lưu.

Nhấn Commit và OK để lưu thay đổi cấu hình.