1.Giới Thiệu
Bài viết này sẽ hướng dẫn người dùng tường lửa Palo Alto về các cấu hình cơ bản với User-ID.
Bài viết này sẽ hướng dẫn các cấu hình sau :
- Kích hoạt công nghệ User-ID ở inside zone.
- Định cấu hình LLAP Server Profile sẽ được sử dụng trong ánh xạ nhóm.
- Định cấu hình ánh xạ nhóm cho User-ID.
- Định cấu hình và kiểm tra tích hợp User-ID agent.
- Tận dụng thông tin User-ID trong quy tắc chính sách bảo mật.
2. Hướng dẫn cấu hình
Chúng ta có sơ đồ mạng như sau
2.1 Kích hoạt User-ID trên inside zone
Để kích hoạt vào Network > Zones.
Click để mở trang cấu hình của inside zone.
Bật User-ID bằng cách chọn hộp kiểm Enable User Identification.
Bấm OK để lưu.
2.2 Cấu hình LDAP Server Profile
Tạo một Server Profile để tường lửa có thể lấy thông tin nhóm và người dùng từ Active Directory.
Vào Device > Server Profiles > LDAP.
Bấm Add và cấu hình theo thông số sau :
- Profile Name : lab-active-directory.
Xác định danh sách máy chủ ở phía bên trái của cửa sổ và bấm Add.
Cấu hình các thông số sau :
- Name : lab-client
- LDAP Server : 192.168.1.20
- Port 389
Xác định vị trí Server Setting ở bên phải cửa sổ và định cấu hình như sau :
- Require SSL/TLS secured connection : Deselect the check box.
- Type : active-directory
- Base DN : DC=lab, DC=local
- Bind DN : lab-user-id@lab.local
- Password : Pal0Alt0
Click OK để lưu.
2.3 Cấu hình User-ID Gourp Mapping
Xác định người dùng và nhóm nào sẽ khả dụng khi policy rule được tạo.
Vào Device > User Identification > Group Mapping Settings.
Bấm Add để mở cửa sổ cấu hình Group Mapping.
Trong tab Server Profile cấu hình như sau :
- Name : lab-group-mapping
- Server Profile : lab-active-directory
Trong tab Group Include List cấu hình như sau :
- Search box : lab users
Bấm OK.
2.4 Cấu hình tích hợp Firewall Agent
Vào Device > User Identification > User Mapping.
Nhấp vào biểu tượng bánh xeở góc trên bên phải của ngăn Palo Alto Networks User-ID Agent Setup.
Trong Server Monitor Account tab cấu hình như sau :
- Username : lab.local\lab-user-id
- Password : Pal0Alt0
Trong Server Monitor tab cấu hình như sau :
- Windows Server Monitoring : tích chọn Enable Security Log.
Ở Client Probling tab chắc chắn rằng Enable Probling check box đã được bỏ chọn.
Ở Cache tab cấu hình như hình sau.
Lưu ý: Đảm bảo rằng tùy chọn timeout không được bật. Bạn không cần hết thời gian địa chỉ IP được liên kết với lab-user-id vì IP không bao giờ thay đổi. Trong môi trường sản xuất, thời gian chờ được khuyến nghị là một nửa thời gian thuê DHCP.
Ở tab Ignore User List bấm Add và cấu hình như hình sau.
Ngăn chặn tường lửa giả định rằng Quản trị viên là liên kết với 192.168.1.20.
Bấm OK để lưu.
Chuyển xuống bản Server Monitoring và bấm Add.
Cấu hình với các thông số sau :
- Name : lab-client
- Enable : tích chọn Enable
- Type : Microsoft Active Directory
- Network Address : 192.168.1.20
Bấm OK để lưu.
Bấm Commit để cam kết các thay đổi.
2.5 Verify User-ID Configuration
Trong phần Server Monitoring, status sẽ hiển thị là Connected.
Trên màn hình nền Windows, bấm đúp vào thư mục lab và sau đó bấm đúp vào thư mục bat files.
Bấm đúp vào tệp user-id.bat.
Lưu ý: Hành động này sẽ buộc một sự kiện đăng nhập để tường lửa phân tích cú pháp.
Mở ứng dụng PuTTy và truy cập vào tường lửa bằng tài khoản admin.
Nhập lệnh show user group-mapping state all và enter.
Kết quả sẽ hiển thị như hình sau.
Nhập lệnh show user ip-user-mapping all
Kết quả như hình sau.
Lưu ý: lab \ lab-user phải có địa chỉ IP là 192.168.1.20.
Mở trình duyệt web và truy cập vào 2 trang shutterfly và google.com để tạo môt vài traffic.
2.6 Review Logs
Vào Monitor > Logs > Traffic.
Nhập bộ lọc (addr.src trong 192.168.1.20) vào hộp filter text.
Lưu ý rằng cột Source user hiện tại hiển thị lab-user. Lưu ý: Tham chiếu ID người dùng này có thể mất tối đa ba phút để hiển thị trên log.
2.7 Tạo một Security Policy Rule
Vào Policies > Security > bấm Add để mở trang cấu hình Security Policy Rule.
Cấu hình theo các thông số sau :
- Name : egress-outside-user-id
Trong Source tab chọn inside ở Source Zone.
Trong User tab cấu hình như sau :
- Source User : tích chọn lab\lab-user.
Trong Destination tab chọn outside ở Destination Zone.
Trong Application tab thêm facebook-base tại Applications.
Trong Action tab chọn Deny ở phần Action,
Bấm OK để lưu.
Bấm Commit để cam kết các thay đổi.
2.8 Review Logs
Mở cửa sổ trình duyệt Internet Explorer mới ở chế độ riêng tư / ẩn danh và duyệt đến www.facebook.com.
Kết nối bị từ chối dựa trên Security policy rule egress-outside-user-id.
Vào Monitor > Logs > Traffic.
Nhập bộ lọc ( rule eq ‘egress-outside-user-id’) trong hộp văn bản bộ lọc.
Lưu ý rằng cột Source user hiển thị lab-user và Action là reset-both.