• Thương hiệuView All
    Show More Brands
Home / Hướng dẫn cấu hình Firewall Palo Alto / Tường lửa Palo Alto : Hướng dẫn cấu hình interface và zone

Tường lửa Palo Alto : Hướng dẫn cấu hình interface và zone

1.Giới thiệu

Bài viết tiếp theo về tường lửa Palo Alto sẽ hướng dẫn người dùng cấu hình các interface và các zone.

Bài viết này sẽ hướng dẫn các cấu hình sau :

  • Tạo vùng bảo mật (Security zone) theo hai cách khác nhau và quan sát thời gian tạo.
  • Tạo hồ sơ quản lý interface (Interface Management Profile) để cho phép ping và reponse pages.
  • Cấu hình Ethernet interface với các tùy chọn cấu hình là DHCP client và Static.
  • Tạo một bộ định tuyến ảo (Virtual Router) và đính kèm các Ethernet interface đã được cấu hình.
  • Kiểm tra kết nối internet với cấu hình dynamic default route và static.

2. Hướng dẫn cấu hình

Chúng ta có sơ đồ mạng như sau

2.1 Tạo Security Zone mới

Các vùng bảo mật (Security Zone) là một cách hợp lý để nhóm các interface vật lý và ảo trên tường lửa để kiểm soát và ghi nhật ký lưu lượng truy cập qua mạng của bạn thông qua tường lửa. Một interface trên tường lửa phải được gán cho Vùng bảo mật trước khi interface có thể xử lý lưu lượng. Một vùng có thể có nhiều interface cùng loại (ví dụ: interface Tap, Lớp 2 hoặc Lớp 3) được gán cho nó, nhưng một interface chỉ có thể thuộc về một vùng.

Để cấu hình vào Network > Zones > click Add để tạo 1 zone mới.

Cửa sổ cấu hình Zone hiện ra, cấu hình theo các thông số như hình sau.

Nhấn OK để đóng cửa sổ cấu hình Zone. Zone outside là zone duy nhất được tạo trong phần này. Bạn sẽ thêm Ethernet interface vào zone này trong bước thí nghiệm sau.

2.2 Tạo Interface Managment Profile

Interface Management Profile (Hồ sơ quản lý giao diện) bảo vệ tường lửa khỏi sự truy cập trái phép bằng cách xác định các dịch vụ và địa chỉ IP mà interface tường lửa cho phép. Bạn có thể gán Interface Management cho các Ethernet interface của Lớp 3 (bao gồm các subinterface) và cho các interface logic (interface Aggregate, Vlan, Loopback và Tunnel).

Để tạo vào Network > Network Profiles > Interface Mgmt > Click Add.

Cửa sổ cấu hình Interface Management Profile hiện ra, cấu hình các thông số như sau :

  • Name : ping-reponse-pages
  • Permitted Services : Ping và Reponse Pages.

Click OK để lưu và đóng cửa số cấu hình Interface Management Profile.

Bấm Add để tạo 1 Interface Management Profile khác với các thông số như sau :

  • Name : ping
  • Permitted Services : Ping

Bấm OK để lưu và đóng cửa sổ cấu hình.

2.3 Cấu hình Ethernet Interface

Để cấu hình duyết đến Network > Interfaces > Ethernet.

Click vào tên ethernet1/2 để mở cửa số cấu hình.

Cấu hình theo các thông số sau :

  • Comment : interface inside
  • Interface Type : Layer 3
  • Virtual Router : None

Click vào danh sách thả xuống ở Security Zone và chọn New Zone.

Cửa sổ cấu hình Zone hiện, cấu hình zone theo thông số sau :

  • Name : inside
  • Type : Đảm bảo rằng kiểu zone đang được đặt là Layer3.

Click OK để lưu và đóng cừa sổ cấu hình.

Quay trở lại với cửa sổ cấu hình Ethernet interface, ở tab IPv4 chúng ta sẽ cấu hình theo thông số sau :

  • Type : Static
  • Bấm Add và nhập vào 192.168.1.1/24

Chuyển đến Advanced tab, bấm vào danh sách thả xuống ở Management Profile và chọn ping-reponse-pages.

Click OK để lưu và đóng cửa sổ cấu hình.

Bấm vào tên ethernet1/3 để mở cửa sổ cấu hình cho cổng ethernet1/3.

Ở tab config cấu hình các thông số sau :

  • Comment : dmz interface
  • Interface Type : Layer3
  • Virtual Router : None

Click vào danh sách thả xuống ở Security Zone và chọn New Zone.

Cửa sổ cấu hình Zone hiện, cấu hình zone theo thông số sau :

  • Name : inside
  • Type : Đảm bảo rằng kiểu zone đang được đặt là Layer3.

Click OK để lưu và đóng cừa sổ cấu hình.

Quay lại với cửa số Ethernet interface, ở tab IPv4 cấu hình IP như sau :

  • Type : Static
  • IP : Bấm Add và nhập 192.168.50.1/24

Chuyển đến Advanced tab, bấm vào danh sách thả xuống của Management Profile và chọn ping.

Click OK để lưu đóng cửa sổ cấu hình

Bấm vào tên ethernet1/1 và ở tab Config cấu hình cổng này với các thông số sau :

  • Comment : outside interface
  • Interface Type : Layer3
  • Virtual Router : None
  • Security Zone : outside

Ở tab IPv4 cấu hình IP như sau

  • Type : DHCP Client

Lưu ý về tùy chọn Automatically create default route pointing to default gateway rovide by server.

Tùy chọn này sẽ tự động cài đặt định tuyến mặc định dựa trên tùy chọn DHCP 3.

Click OK để lưu và đóng cửa sổ cấu hình.

Bấm vào tên ethernet1/4 để cấu hình cổng này với các thông số như sau :

  • Comment : vWire zone named danger
  • Interface Type : Virtual Wire
  • Virtual Wire : None

Click vào danh sách thả xuống ở Security Zone và chọn New Zone.

Cấu hình các thông số như sau :

  • Name : danger
  • Type Chắc chắn rằng kiểu zone đang được chọn là Virtual Wire.

Bấm OK 2 lần để lưu và đóng cửa sổ cấu hình.

Bấm vào tên ethernet15 để cấu hình cổng này với các thông số sau

  • Comment : vWire zone named danger
  • Interface Type : Virtual Wire
  • Virtual Wire : None
  • Security Zone : danger

Click OK để lưu và đóng cừa sổ cấu hình.

2.4 Tạo 1 Virtual Wire

Một interface dây ảo liên kết hai cổng Ethernet với nhau. Giao diện dây ảo cho phép tất cả lưu lượng truy cập hoặc chỉ lưu lượng Vlan được chọn đi qua giữa các cổng. Không có dịch vụ chuyển mạch hoặc định tuyến có sẵn.

Để cấu hình chọn Network > Virtual Wires > Click Add.

Cấu hình theo các thông số sau

  • Name : danger
  • Interface 1 : ethernet 1/4
  • Interface 2 : ethernet 1/5

Click OK để lưu và đóng cửa sổ cấu hình.

2.5 Tạo một Virtual Router

Tường lửa yêu cầu bộ định tuyến ảo để có được các định tuyến đến các mạng con khác bằng cách sử dụng các định tuyến tĩnh mà bạn xác định thủ công hoặc thông qua việc tham gia vào các giao thức định tuyến Lớp 3 cung cấp các định tuyến động.

Để cấu hình vào Network > Virtual Routers.

Bấm vào default virtual router.

Đổi tên default router thành lab-vr.

Add các interface ethernet 1/1, ethernet 1/2, ethernet 1/3.

Lưu ý: Bước này cũng có thể được hoàn thành qua mỗi cửa sổ cấu hình Ethernet interface.

Click OK để lưu và đóng cửa sổ cấu hình.

Click Commit để cam kết về tất cả các thay đổi cấu hình.

2.6 Kiểm tra kết nối

Mở ứng dụng PuTTy và đăng nhập bằng user admin.

Nhập vào lệnh ping source 203.0.113.21 host 8.8.8.8.

Vì một default route đã được cài đặt tự động, bạn sẽ nhận được phản hồi từ 8.8.8.8.

Nhấn Ctrl để ngừng ping.

Open command-prompt, nhập lệnh ping 192.168.1.1.

Đảm bảo rằng bạn nhận được phản hồi.

2.6 Sửa đổi cấu hình Outside interface

Để sửa đổi vào Network > Interface > Ethernet.

Chọn nhưng không bấm vào tên ethernet 1/1.

Click Delete và bấm Yes để xóa cấu hình.

Bấm Commit để cam kết thay đổi cấu hình.

Bấm vào tên ethernet 1/1 để cấu hình cổng này với các thông số sau :

  • Comment outside interface
  • Interface Type : Layer3
  • Virtual Router : lab-vr
  • Security Zone : outside

Ở tab IPv4 cấu hình các thông số như sau :

  • Type : Static
  • IP : 203.0.113.20/24

Bấm OK để lưu và đóng cửa sổ cấu hình.

Duyệt đến Network > Virtual Routers.

Bấm vào ten lab-vr.

Ở Static Routes tab, cấu hình các thông số như sau :

  • Name : default-route
  • Destination : 0.0.0.0/0
  • Interface : ethernet 1/1
  • Next Hop : IP Address
  • Next Hop IP Address : 203.0.113.1

Click để add Static Route và click OK lần nữa để lưu và đóng cửa sổ cấu hình.

Bấm Commit để cam kết tất cả các thay đổi.

Mở ứng dụng PuTTy và truy cập vào firewall bằng tài khoản admin.

Nhập lệnh ping source 203.0.113.20 host 8.8.8.8.

Bạn chắc chắn sẽ ping thành công đến 8.8.8.8.

5 1 đánh giá
Đánh giá bài viết
Posted on by TrungNghia in Hướng dẫn cấu hình Firewall Palo Alto, Hướng dẫn chung0 comments
Tagged as
Theo dõi
Thông báo của
guest
0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận
0
Rất thích suy nghĩ của bạn, hãy bình luận.x