Bạn đang cần một tính năng để ngăn chặn người dùng truy cập vào trang quản trị của tường lửa Palo Alto bằng web nhưng vẫn cho phép truy cập vào nó bằng giao thức SSH.

Tính năng Interface Management Profile sẽ đáp ứng được các nhu cầu đó cho bạn.

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình Interface Management Profile.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

• Đường truyền internet sẽ được kết nối tại Port ethernet1/1 với IP 192.168.2.115/24.
• Mạng LAN sẽ được cấu hình tại port ethernet1/2 với IP 10.145.41.1/24 và được cấu hình DHCP.
• Cuối cùng là máy tính PC A được kết nối vào port ethernet1/2 và nhận IP cấp phát từ DHCP Server là 10.145.41.3/24.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình Interface Management Profile để PC 1 có thể truy cập và cấu hình tường lửa Palo Alto thông qua SSH trên port ethernet1/2 và khóa dịch vụ https trên port ethernet1/2 để PC 1 không thể truy cập vào trang quản trị bằng web.

4.Các bước cấu hình

• Tạo Interface Management Profile
• Gán Interface Management Profile vào port ethernet1/2
• Kiểm tra kết quả

5.Hướng dẫn cấu hình

5.1.Tạo Interface Management Profile

Mặc định khi một port mạng được cấu hình trên Palo Alto là nó sẽ chặn truy cập tất cả các dịch vụ.

Vì vậy để mở dịch vụ trên một cổng chúng ta cần tạo Interface Management Profile.

Để tạo vào Network > Interface Mgmt > nhấn Add và tạo theo các thông tin sau.

• Name: Allow SSH
• Administrative Management Services: Chọn SSH
• Network Services: không chọn
• Permitted IP Addresses: ở bảng này bạn có thể thêm IP của máy tính vào, khi thêm vào thì chỉ có IP này mới có thể truy cập vào các dịch vụ được cho phép mà chúng ta đã chọn ở phía trên. Trong bài viết này phần này sẽ bỏ trống.
• Nhấn OK để lưu

Nhấn Commit và OK để lưu thay đổi cấu hình.

5.2. Gán Interface Management Profile vào port ethernet1/2

Để gán vào Network > Interfaces > Nhấn vào tên ethernet1/2 > Advanced.

Tại Management Profile chọn Allow_SSH vừa tạo từ danh sách và nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.3. Kiểm tra kết quả

Chúng ta sẽ vào máy tính PC 1 và thử truy cập trang quản trị của tường lửa bằng web.

Kết quả là chúng ta không thể truy cập do dịch vụ https đã bị tắt trên cổng này.

Tiếp theo chúng ta sẽ thử truy cập tường lửa bằng SSH và kiểm tra kết quả.

Như hình PC 1 có thể truy cập tường lửa bằng SSH do dịch vụ này được mở trên cổng ethernet1/2.