CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Bài viết này sẽ hướng dẫn cách cấu hình cho phép người truy cặp internet và chặn người dùng download các tệp tin EXE bằng File Blocking Profile.
Như sơ đồ, thiết bị tường lửa Palo Alto sẽ được kết nối internet ở port 1 với IP tĩnh là 192.168.1.202/24 và trỏ về gateway là địa chỉ của nhà mạng 192.168.1.1/24.
Phía bên trong của Palo Alto là lớp mạng nội bộ với IP 192.168.10.1/24 được đặt cho port 2. Trên port 2 được cấu hình DHCP server để cấp phát IP cho các thiết bị truy cập đến nó.
Cuối cùng là 1 thiết bị Laptop được kết nối với port 2 thông qua cáp mạng và nhận được IP 192.168.10.201 được cấp từ DHCP server trên port 2.
Chúng ta sẽ cấu hình cho phép người dùng truy cập internet và chặn người dùng download tệp tin EXE.
Chúng ta sẽ kết nối đến trang quản trị của tường lửa bằng cách dùng cáp mạng kết nối máy tính với cổng MGMT của tường lửa Palo Alto.
Mở trình duyệt và truy cập vào bằng đường dẫn https://192.168.1.1 . Tài khoản và mật khẩu mặc định của tường lửa Palo Alto là admin – admin.
Chúng ta sẽ tạo 2 zone là WAN và LAN.
Để tạo zone WAN vào Network > Zones > click Add và nhập các thông tin sau :
Name : WAN
Type : Layer 3
Click OK để lưu.
Tương tự click Add để tạo zone LAN với các thông số sau :
Name : LAN
Type : Layer 3
Click OK để lưu.
Mục đích tạo Interface Mgmt profile là để mở một số dịch vụ thiết yếu cho 1 cổng mạng bất kì như HTTPS, Ping…
Ở đây chúng ta sẽ tạo 1 Interface Mgmt Profile cho phép các dịch vụ HTTPS, Ping, SSH, Reponse Pages cho cổng LAN ethernet 1/2 để chúng ta có thể ping, truy cập trang web quản trị trên cổng này mà không cần kết nối bằng cổng Mgmt.
Để tạo Interface Mgmt Profile vào Network > Interface Mgmt > click Add và nhập các thông số sau :
Name : ping-reponse-pages
Administrative Management Services : tích chọn HTTPS, SSH.
Network Services : tích chọn ping và reponse pages.
Click OK để lưu
Để cấu hình cổng mạng ethernet1/1 vào Network > Interfaces > click vào tên cổng mạng
Ở tab Config cấu hình các thông số như sau :
Interface type : chọn Layer 3
Security Zone : chọn WAN
Ở tab IPv4 cấu hình theo thông số sau :
Type : chọn Static
Click Add và nhập địa chỉ IP là 192.168.1.202/24.
Click OK để lưu.
Tương tự cổng ethernet1/1, để cấu hình cổng ethernet1/2 click vào tên của cổng.
Ở tab Config cấu hình theo các thông số sau :
Interface Type : Layer 3
Security Zone : LAN
Ở tab IPv4 chúng ta cấu hình theo thông số sau :
Type : Static
Click Add và nhập địa chỉ IP là 192.168.10.1/24
Ở tab Advanced cấu hình như sau :
Tại Other Info > Management Profile chọn ping-reponse-pages mà chúng ta vừa tạo ở phần trước.
Để tạo Virtual Router vào Network > Virtual Router > Click Add.
Ở tab Router Settings cấu hình theo các thông số sau :
Name : VR1
Ở bảng General click Add và thêm 2 cổng ethernet1/1 và Ethernet1/2.
Ở tab Static Routes click Add và cấu hình theo các thông số sau :
Name : default-route
Destination : 0.0.0.0/0
Interface : ethernet1/1
Next Hop : IP Address và nhập 192.168.1.1 ở ô phía dưới.
Click OK 2 lần để lưu.
Để cấu hình DHCP Server vào Network > DHCP > click Add.
Ở tab Lease cấu hình với các thông số sau :
Interface : chọn ethernet1/2
Mode : enable
Ở bảng IP Pools click Add và điền vào dãy IP sẽ được cấp phát là 192.168.10.200-192.168.10.230.
Ở tab Options cấu hình với các thông số như sau :
Gateway : 192.168.10.1
Subnet Mask : 255.255.255.0
Primary DNS : 8.8.8.8
Secondary DNS : 8.8.4.4
Click OK để lưu.
Để tạo antivirus profile vào Objects > Security Profiles > File Blocking.
Click Add và cấu hình theo thông số sau :
Name : test-file-blocking
Click Add và thêm các thông số như sau :
Name : block-exe.
Applications : any.
File Types : exe.
Direction : both
Action : block.
Để tạo NAT Policy vào Policies > NAT > Click Add.
Ở tab General cấu hình theo các thông số sau :
Name : LAN_TO_WAN
NAT Type : ipv4
Ở tab Original Packet cấu hình theo các thông số sau :
Source Zone : LAN
Destination Zone : WAN
Destination Interface : ethernet 1/1
Ở tab Translated Packet > Source Address Translation cấu hình theo các thông số sau :
Translation Type : Dynamic IP and Port
Address Type : Interface Address
Interface : ethernet1/1
IP Address : 192.168.1.202/24 (Lưu ý địa chị này phải được chọn từ danh sách thả xuống chứ không phải nhập bằng tay)
Để tạo vào Policies > Security > Click Add.
Ở tab General cấu hình theo thông số sau :
Name : Access_Internet
Rule Type : universal (default)
Ở tab Source chọn LAN ở Source Zone.
Ở tab Destination chọn WAN ở Destinatoin Zone
Ở tab Application chọn Any
Ở tab Service/URL Category chọn any.
Ở tab Action cấu hình như sau :
Action Setting : Allow
Log Setting : Log at Session End.
Profile Type : chọn Profiles và chọn test-file-blocking ở mục File Blocking.
Click OK để lưu.
Mặc định interzone-default và intrazone-default Security policy được thiết lập là Read-Only.
Policies > Security > click vào tên interzone-default để mở trang cấu hình của nó.
Chuyển qua tab Action chúng ta thấy Log at Session Start và Log at Session End không được chọn và cũng không thể chỉnh sửa.
Nhấn Cancel để thoát.
Với interzone-default policy rule đang được chọn (được to xám), nhấn Override. Cửa sổ Security Policy Rule – predefine hiện ra.
Ở Action tab tích chọn Log at Session End và nhấn OK để lưu.
Mục đích của việc bật Application Block Page là để khi bạn bạn truy cập vào một trang web bị cấm thì trình duyệt sẽ hiện thị ra 1 trang thông báo.
Để bật Application Block Page vào Device > Reponse Pages.
Nhấn vào chữ Disable bên phải Application Block Page.
Tích vào ô Enable Application Block Page và nhấn OK.
Mục đích cấu hình Decryption là để cho thiết bị tường lửa Palo Alto có thể giải mã được những traffic sử dụng giao thức HTTPS bảo mật.
Để cấu hình Decryption vào Device > Certificates Management > Certificates.
Click Generate để tạo certificate mới với thông số sau :
Certificate Name : trusted-ca
Common Name : 192.168.10.1 (địa chỉ IP cổng LAN)
Certificate Authority : tích chọn Certificate Authority.
Nhấn Generate để tạo.
Click Generate để tạo 1 certificate mới khác với thông số sau :
Common Name : untrusted-ca
Common Name : untrusted
Certificate Authority : tích chọn Certificate Authority.
Nhấn Generate để tạo.
Nhấn vào tên trusted-ca để chỉnh sửa như sau :
Tích chọn vào ô Forward Trust Certificate.
Nhấn OK để lưu.
Tương tự với nhấn vào tên untrusted-ca để chỉnh sửa như sau :
Tích chọn Forward Untrust Certificate.
Nhấn OK để lưu
Tiếp theo tích chọn trusted-ca certificate và nhấn Export Certificate để tải xuống certificate này về máy tính.
Tiếp theo chúng ta sẽ tạo Decryption Policy, để tạo vào Policies > Decryption > Click Add và cấu hình với các thông số sau :
Name : Test_Decryption
Source : LAN
Destination : WAN
Service/URL Category : Any
Options : Chọn Decrypt ở Action và chọn SSL Forward Proxy ở Type
Nhấn OK để lưu.
Trên khung tìm kiếm của Windows gõ mmc và nhấn phím Enter để mở Microsoft Management Console.
Chọn Console Root > Click File > Click Add/Remove Snap-in…
Bảng Add or Remove Snap-ins hiện ra, tích chọn Certificate và nhấn Add.
Bảng Certificates snap-in hiện ra, chọn Computer account > Next > chọn Local computer > nhấn Finish > Nhấn OK.
Vào Certificates (Local Computer) > click chuột phải vào Trusted Root Certification Authorities > chọn All Task < Import.
Cửa sổ Certificate Import Wizard hiện ra, nhấn Next > ở mục File name nhấn Browse và tìm đến nơi bạn đã lưu certificate lúc export.
Nhấn Next > Finish để hoàn thành việc import.
Sau khi hoàn thành cấu hình sử dụng cáp mạng kết nối máy tính với cổng ethernet1/2 trên tường lửa Palo Alto.
Bật ứng dụng Command Line lên và gõ lệnh ipconfig để kiểm tra xem máy có nhận IP từ DHCP Server được cấu hình trên cổng ethernet1/2 hay không.
Mở trình duyệt web bất kì và truy cập vào trang youtube và google để kiểm tra, kết quả là chúng ta đã có thể truy cập internet.
Mở 1 tab mới trên trình duyệt và nhập vào đường dẫn https://192.168.10.1 để truy cập vào trang quản trị của tường lửa Palo Alto.
Chúng ta sẽ thử download 1 file exe bất kì và xem kết quả.
Kết quả là chúng ta nhận được thông báo như hình sau.
Lưu ý : Nếu chúng ta không cấu hình Decryption thì tường lửa Palo Alto sẽ chỉ ngăn chặn các hành vi tải xuống tệp exe thông qua giao thức http và sẽ không ngăn chặn được nếu chúng được tải xuống qua giao thức https do các tệp exe khi được tải xuống bằng giao thức https sẽ bị mã hóa và tệp sẽ bị ẩn nếu không cấu hình Decryption để giải mã thì sẽ không phát hiện được
Chúng ta sẽ kiểm tra trên log của tường lửa Palo Alto, để xem log vào Monitor > Traffic > Data Filtering, log sẽ hiển thi cho chúng ta thấy tường lửa đã chặn việc download tệp tin exe vừa rồi