Tường lửa Palo Alto : Hướng dẫn cấu hình về App-ID

1.Giới thiệu

Bài viết này sẽ hướng dẫn người dùng tường lửa Palo Alto về các cấu hình cơ bản với App-ID.

Bài viết này sẽ hướng dẫn các cấu hình sau :

  • Tạo một Security policy rule để nhận biết ứng dụng.
  • Cho phép ghi log cho liên khu vực (interzone).
  • Kích hoạt trang chặn ứng dụng cho các ứng dụng bị chặn.
  • Kiểm tra hiệu quả cấu hình.

2. Hướng dẫn cấu hình

Chúng ta có sơ đồ mạng như sau

2.1 Tạo một App-ID Security Policy Rule

Chọn Policies > Security.

Bấm chọn egress-outside Security policy rule mà không mở nó.

Bấm Clone và cửa sổ cấu hình Clone hiện ra.

Chắn chắc rằng Move Top đã được chọn trong danh sách thả xuống của Rule order.

Bấm OK để lưu và đóng cửa sổ cấu hình.

Với egress-outside Security policy rule gốc vẫn đang được chọn, bấm Disable.

Lưu ý rằng egress-outside rule hiện có màu xám và in nghiêng.

Bấm vào tên Security policy rule vừa được clone có tên là egress-outside-1 để cấu hình nó với các thông số sau :

  • Name : egress-outside-app-id

Ở tab Application cấu hình như sau :

  • Application : dns, facebook-base, ssl, web-browsing.

Click OK để lưu và đóng cửa số cấu hình.

2.2 Cho phép ghi log cho liên kết khu vực

Mặc định các quy tắc chính sách bảo mật mặc định nội bộ và liên vùng mặc định chỉ có thể đọc …

Bấm vào interzone-default Security policy rule để bật nó.

Bấm vào Action tab, lưu ý rằng Log at Session Start và Log at Session End được bỏ chọn và không thể chỉnh sửa.

Bấm Cancel.

Bấm chọn interzone-default policy rule mà không mở, bấm Override. Cửa sổ Security Policy Rule – predefined xuất hiện.

Bấm vào Action tab và chọn Log at Session End, bấm OK để lưu.

2.3 Kích hoạt trang chặn ứng dụng.

Chọn Device > Reponse Pages.

Bấm Disable ở phía bên phải của Application Block Page.

Chọn Enable Application Block Page bằng cách tích vào ô.

Bấm OK, hiện tại Application Block Page đã được kích hoạt.

Bấm Commit để cam kết tất cả các thay đổi.

2.4 Kiểm tra Application Blocking

Mở trình duyệt web Internet Explorer ở mode ẩn danh và chắc chắn rằng bạn sẽ truy cập thành công 2 trang web là facebook.com và msn.com.

Tiếp tục truy cập vào trang suhtterfly.com.

1 trang Application Blocked xuất hiện chỉ ra rằng ứng dụng shutterfly đã bị chặn.

Tại sao bạn có thể truy cập đến Facebook và MSN nhưng lại không truy cập Shutterfly được bởi vì MSN hiện không có chữ ký ứng dụng cụ thể và duy nhất. Do đó, App-ID xác định nó bằng trình duyệt web chữ ký ứng dụng. Tuy nhiên, chữ ký ứng dụng tồn tại cho Shutterfly và hiện tại nó không được phép trong bất kỳ Security policy rule tường lửa nào.

Truy cập đến www.google.com bằng Internet Explorer và xác minh rằng google-base cũng đang bị chặn.

2.5 Kiểm tra Logs.

Quay trở lại với web admin và chọn Monitor > Logs > Traffic.

Nhập ( app eq shutterfly) ở filter box và nhấn Enter.

Chỉ các mục nhật ký có tên ứng dụng là Shutterfly được hiển thị.

2.6 Sửa đổi App-ID Security Policy Rule

Vào Policies > Security để chỉnh sửa.

Thêm shutterfly và google-base vào Security policy rule egress-outside-app-id.

Xóa facebook-base khỏi Security policy rule egress-outside-app-id.

Bấm Commit để cam kết các thay đổi.

2.7 Kiểm tra thay đổi App-ID

Mở trình duyệt web với chế độ ẩn danh và truy cập shutterfly.com and google.com. Trang Application Blocked không xuất hiện nữa.

Tiếp tục truy cập vào facebook.com.

Lưu ý: Không sử dụng bất kỳ cửa sổ trình duyệt đã sử dụng trước đây vì
bộ nhớ đệm trình duyệt có thể gây ra kết quả không chính xác.

Trang Application Blocked xuất hiện cho facebook-base.

Lưu ý: Chữ ký ứng dụng duyệt web chỉ áp dụng cho trình duyệt không khớp với bất kỳ chữ ký ứng dụng nào khác.

5 1 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận