Tường lửa Palo Alto : Hướng dẫn các cấu hình cơ bản

1.Giới thiệu bài viết

Bài viết nhằm hướng dẫn người dùng mới bắt đầu sử dụng tường lửa Palo Alto về các cấu hình cơ bản.

Bài viết này sẽ hướng dẫn các cấu hình cơ bản như sau :

  • Tạo một administrator role.
  • Tạo một administrator mới và gán administrator vào administrator vừa tạo.
  • Quan sát các quyền quản trị viên vừa tạo thông qua command line và giao diện web quản trị
  • Tạo và kiểm tra khóa cam kết (Commit Lock).
  • Cấu hình máy chủ DNS cho tường lửa.
  • Lên lịch cập nhật tự động.

2. Hướng dẫn cấu hình

Chúng ta có sơ đồ mạng cấu hình như sau

2.1 Thêm Admin Role Profile

Admin Role Profile là các vai trò tùy chỉnh xác định các đặc quyền và trách nhiệm truy cập của người dùng quản trị.

Để tạo Admin Role Profile vào Device > Admin Roles > click Add.

Nhập tên cho Admin Role Profile là policy-admins-role.

Ở tab WebUi, tích vào các icon vòng tròng có tích màu xanh để disable các tính năng sau :

  • Monitor.
  • Network
  • Device
  • Privacy

Chuyển đến tab XML API và đảm bảo rằng tất cả các item đã bị disable.

Chuyển qua tab Comman Line và chắc chắn rằng lựa chọn đang là None.

Click OK để lưu.

2.2 Thêm một tài khoản Administrator

Duyệt đến Device > Administrators > click Add để thêm.

Điền vào các thông số như sau :

  • Name : policy-admin
  • Authentication Profile : None
  • password : paloalto
  • Administrator Type : Role-Based
  • Profile : policy-admins-role
  • Password Profile : None

Click OK để lưu.

Click icon Commit ở phía trên bên phải của giao diện web quản trị và đợi cho đến khi tiến trình commit hoàn thành. Click Close để tiếp tục.

Mở phần mềm PuTTy và kết nối với firewall thông qua địa chỉ IP.

Đăng nhập bằng tài khoản admin mặc định của tường lửa với :

  • Username : admin
  • Password : admin

Đăng nhập thành công vì vai trò được gán cho tài khoản admin này cho phép truy cập vào tường lửa bằng CLI, vì vậy kết nối sẽ thành công.

Tiếp theo tắt phần mềm PuTTy, mở lại và thực hiện truy cập vào CLI của tường lửa bằng tài khoản admin vừa tạo :

  • username : policy-admin
  • password : paloalto

Lúc này cửa sổ PuTTy sẽ đóng lại bởi vì vài trò admin mà chúng ta đã gán cho tài khoản này không cho phép truy cập vào tường lửa bằng CLI.

Mở một trình duyệt khác ở chế độ ẩn danh và truy cập đến địa chỉ của tường với liên kết https://192.168.1.254. Một cảnh báo chứng chỉ sẽ xuất hiện

Nhấp để bỏ qua các cảnh báo về chứng chỉ và trang đăng nhập tường lửa Palo Alto Networks xuất hiện.

Đăng nhập bằng tài khoản với thông tin sau : (Hành độn đăng nhập này chắc chắn phải thành công)

username : policy-admin

password : paloalto

Đóng cửa số Welcome nếu nó xuất hiện.

Khám phá các chức năng có sẵn của giao diện web. Lưu ý rằng một số tab và chức năng được loại trừ khỏi giao diện do Vai trò quản trị viên được gán cho tài khoản người dùng này:

2.3 Tạo một Commit Lock và kiểm tra nó

Giao diện web hỗ trợ nhiều phiên quản trị viên đồng thời bằng cách cho phép quản trị viên khóa ứng viên hoặc chạy cấu hình để các quản trị viên khác không thể thay đổi cấu hình cho đến khi khóa được xóa.

Từ giao diện web nơi bạn đăng nhập với tư cách quản trị viên chính sách, nhấp vào biểu tượng khóa giao dịch ở bên phải của liên kết Commit. Cửa sổ Locks sẽ xuất hiện.

Nhấp vào Take Lock ở góc dưới bên trái của bảng điều khiển. Cửa sổ Take Lock mở ra.

Đặt Commit ở trường Typr và bấm OK. Khóa policy-admin được liệt kê trong cửa sổ Locks.

Click Close để đóng của số Locks.

Nhấp vào nút Đăng xuất ở góc dưới bên trái của giao diện web.

Đóng cửa sổ trình duyệt policy-admin.

Quay trở lại giao diện web nơi bạn đăng nhập với tài khoản admin.

Nhấp vào liên kết Devices > Administrators. Giao diện web làm mới. Lưu ý biểu tượng khóa ở góc trên bên phải của giao diện web.

Bấm Add để thêm 1 tài khoản quản trị khác và điền các cấu hình như sau :

  • Name : test-lock
  • Authentication Profile : None
  • Password : Paloalto
  • Administrator Type : Role-Based
  • Profile : policy-admins-role
  • Password Profile : None

Bấm OK để lưu.

Bấm cam kết (Commit) tất cả các thay đổi, mặc dù bạn có thể thêm tài khoản quản trị viên mới, bạn không được phép thực hiện các thay đổi do khóa Cam kết được đặt bởi người dùng policy-admin.

Bấm Close để đóng.

Nhấp vào biểu tượng transaction lock ở góc trên bên phải.

Chọn policy-admin lock và bấm Remove Lock.

Lưu ý: Người dùng đã thực hiện khóa hoặc bất kỳ superuser nào cũng có thể xóa khóa.

Bấm OK và khóa đã được xóa khỏi danh sách.

Bấm Close để đóng cửa sổ.

Bây giờ khóa được gỡ bỏ, thay đổi có thể được cam kết.

Chọn test-lock user và sau đó nhấp Delete để xóa test-lock user.

Click Yes để xác nhận.

Click Commit để cam kết tất cả các thay đổi.

2.4 Cấu hình Update và DNS Server

Cài đặt cấu hình máy chủ DNS được sử dụng cho tất cả các truy vấn DNS mà tường lửa khởi tạo để hỗ trợ các đối tượng địa chỉ FQDN, ghi nhật ký và quản lý tường lửa.

Để cấu hình DNS Server vào Device > Setup > Services.

Mở cửa sổ Services bằng cách nhấp vào biểu tượng bánh răng ở góc trên bên phải của bảng Services.

Xác minh rằng 4.2.2.2 là Priamry DNS Server chính và 8.8.8.8 là Secondary DNS Server.

Xác minh rằng Updates.paloaltonetworks.com là Update Server.

Click OK để lưu.

2.5 Thiết lập Schedule Dynamic Update

Palo Alto Networks thường xuyên đăng các bản cập nhật để phát hiện ứng dụng, bảo vệ mối đe dọa và các tệp dữ liệu GlobalProtect thông qua các bản cập nhật động.

Để thiết bị lập vào Device > Dynamic Updates.

Xác định vị trí và nhấp vào liên kết Schedule ở phía bên phải của Antivirus.

Cửa sổ lập lịch mở ra. Chữ ký chống vi-rút được phát hành hàng ngày.

Cấu hình theo các thông số như hình sau.

Click OK.

Xác định vị trí và nhấp vào liên kết Schedule ở phía bên phải của Applications and Threats. Cửa sổ lập lịch mở ra. Chữ ký Applications and Threats được phát hành hàng tuần.

Cấu hình theo các thông số như hình sau.

Click OK để lưu.

Xác định vị trí và nhấp vào liên kết Schedule ở phía bên phải của WildFire. Cửa sổ lập lịch mở ra. Chữ ký WildFire® có thể có sẵn trong vòng năm phút.

Cấu hình theo các thông số như hình sau.

Click OK để lưu.

Như vậy chúng ta đã hoàn thành bài hướng dẫn về các cấu hình cơ bản trên tường lửa Palo Alto.

Cảm ơn các bạn đã xem bài hướng dẫn này nếu có thắc mắc các bạn vui lòng comment bên dưới bài viết và nhớ theo dõi trang web để xem thêm nhiều bài viết hữu ít khác.

5 1 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận