Tường lửa Palo Alto : Cấu hình cho phép người dùng truy cập internet

1. Mục đích bài viết

  • Bài viết này sẽ hướng dẫn chi tiết cấu hình thiết bị tường lửa Palo Alto Networks cho phép các người dùng bên trong mạng LAN có thể truy cập ra ngoài internet.

2. Sơ đồ mạng, tình huống cấu hình và các bước cần thực hiện.

 2.1 Sơ đồ mạng :

 2.2 Giải thích sơ đồ mạng :

  • Như sơ đồ, thiết bị tường lửa Palo Alto sẽ được kết nối internet ở port 1 với IP tĩnh là 192.168.1.202/24 và trỏ về gateway là địa chỉ của nhà mạng 192.168.1.1/24.
  • Phía bên trong của Palo Alto là lớp mạng nội bộ với IP 192.168.10.1/24 được đặt cho port 2. Trên port 2 được cấu hình DHCP server để cấp phát IP cho các thiết bị truy cập đến nó.
  • Cuối cùng là 1 thiết bị Laptop được kết nối với port 2 thông qua cáp mạng và nhận được IP 192.168.10.201 được cấp từ DHCP server trên port 2.

 2.3 Các bước cấu hình :

  • Kết nối đến trang web quản trị của thiết bị tường lửa.
  • Tạo zone.
  • Tạo Interface Mgmt Profile.
  • Cấu hình cổng mạng.
  • Tạo Virtual Router.
  • Cấu hình DHCP Server.
  • Tạo NAT policy.
  • Tạo Security Policy Rule.
  • Kiểm tra kết quả

3. Hướng dẫn cấu hình.

 3.1 Kết nối đến trang quản trị của tường lửa.

  • Chúng ta sẽ kết nối đến trang quản trị của tường lửa bằng cách dùng cáp mạng kết nối máy tính với cổng MGMT của tường lửa Palo Alto.
  • Mở trình duyệt và truy cập vào bằng đường dẫn https://192.168.1.1 . Tài khoản và mật khẩu mặc định của tường lửa Palo Alto là admin – admin.

 3.2 Tạo zone

  • Chúng ta sẽ tạo 2 zone là WAN và LAN.
  • Để tạo zone WAN vào Network > Zones > click Add , nhập các thông tin như sau :
    • Name : WAN
    • Type : Layer 3
  • Click OK để lưu.
  • Tương tự click Add để tạo zone LAN với các thông số sau :
    • Name : LAN
    • Type : Layer 3
  • Click OK để lưu.

3.3 Tạo Interface Mgmt File

  • Mục đích tạo Interface Mgmt profile là để mở một số dịch vụ thiết yếu cho 1 cổng mạng bất kì như HTTPS, Ping…
  • Ở đây chúng ta sẽ tạo 1 Interface Mgmt Profile cho phép các dịch vụ HTTPS, Ping, SSH, Reponse Pages cho cổng LAN ethernet 1/2 để chúng ta có thể ping, truy cập trang web quản trị trên cổng này mà không cần kết nối bằng cổng Mgmt.
  • Để tạo Interface Mgmt Profile vào Network > Interface Mgmt > click Add và nhập các thông số sau :
    • Name : ping-reponse-pages
    • Administrative Management Services : tích chọn HTTPS, SSH.
    • Network Services : tích chọn ping và reponse pages.
  • Click OK để lưu

3.4 Cấu hình cổng mạng

  • Để cấu hình cổng mạng ethernet1/1 vào Network > Interfaces > click vào tên cổng mạng
  • Ở tab Config cấu hình các thông số như sau :
    • Interface type : chọn Layer 3
    • Security Zone : chọn WAN
  • Ở tab IPv4 cấu hình theo thông số sau :
    • Type : chọn Static
    • Click Add và nhập địa chỉ IP là 192.168.1.202/24.
  • Click OK để lưu.
  • Tương tự cổng ethernet1/1, để cấu hình cổng ethernet1/2 click vào tên của cổng.
  • Ở tab Config cấu hình theo các thông số sau :
    • Interface Type : Layer 3
    • Security Zone : LAN
  • Ở tab IPv4 chúng ta cấu hình theo thông số sau :
    • Type : Static
    • Click Add và nhập địa chỉ IP là 192.168.10.1/24
  • Ở tab Advanced cấu hình như sau :
    • Tại Other Info > Management Profile chọn ping-reponse-pages mà chúng ta vừa tạo ở phần trước.

3.5 Tạo Virtual Router

  • Để tạo Virtual Router vào Network > Virtual Router > Click Add.
  • Ở tab Router Settings cấu hình theo các thông số sau :
    • Name : VR1
    • Ở bảng General click Add và thêm 2 cổng ethernet1/1 và Ethernet1/2.
  • Ở tab Static Routes click Add và cấu hình theo các thông số sau :
    • Name : default-route
    • Destination : 0.0.0.0/0
    • Interface : ethernet1/1
    • Next Hop : IP Address và nhập 192.168.1.1 ở ô phía dưới.
  • Click OK 2 lần để lưu.

3.6 Cấu hình DHCP Server

  • Để cấu hình DHCP Server vào Network > DHCP > click Add.
  • Ở tab Lease cấu hình với các thông số sau :
    • Interface : chọn ethernet1/2
    • Mode : enable
    • Ở bảng IP Pools click Add và điền vào dãy IP sẽ được cấp phát là 192.168.10.200-192.168.10.230.
  • Ở tab Options cấu hình với các thông số như sau :
    • Gateway : 192.168.10.1
    • Subnet Mask : 255.255.255.0
    • Primary DNS : 8.8.8.8
    • Secondary DNS : 8.8.4.4
  • Click OK để lưu.

3.7 Tạo NAT Policy

  • Để tạo NAT Policy vào Policies > NAT > Click Add.
  • Ở tab General cấu hình theo các thông số sau :
    • Name : LAN_TO_WAN
    • NAT Type : ipv4
  • Ở tab Original Packet cấu hình theo các thông số sau :
    • Source Zone : LAN
    • Destination Zone : WAN
    • Destination Interface : ethernet 1/1
  • Ở tab Translated Packet > Source Address Translation cấu hình theo các thông số sau :
    • Translation Type : Dynamic IP and Port
    • Address Type : Interface Address
    • Interface : ethernet1/1
    • IP Address : 192.168.1.202/24 (Lưu ý địa chị này phải được chọn từ danh sách thả xuống chứ không phải nhập bằng tay)

3.8 Tạo Security Policy Rule

  • Để tạo vào Policies > Security > Click Add.
  • Ở tab General cấu hình theo thông số sau :
    • Name : Access_Internet
    • Rule Type : universal (default)
  • Ở tab Source chọn LAN ở Source Zone.
  • Ở tab Destination chọn WAN ở Destinatoin Zone
  • Ở tab Application chọn Any.
  • Ở tab Service/URL Category chọn any.
  • Ở tab Action cấu hình như sau :
    • Action Setting : Allow
    • Log Setting : Log at Session End.
  • Click OK để lưu.

3.9 Kiểm tra kết quả

  • Sau khi hoàn thành cấu hình sử dụng cáp mạng kết nối máy tính với cổng ethernet1/2 trên tường lửa Palo Alto.
  • Bật ứng dụng Command Line lên và gõ lệnh ipconfig để kiểm tra xem máy có nhận IP từ DHCP Server được cấu hình trên cổng ethernet1/2 hay không.
  • Mở trình duyệt và thử truy cập vào trang google.
  • Mở 1 tab mới trên trình duyệt và nhập vào đường dẫn https://192.168.10.1 để truy cập vào trang quản trị của tường lửa Palo Alto.
0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận