Настройка Palo Alto

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз. Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений: 1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS): Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX); Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI). 2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств: VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint; Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam; WAF: Barracuda WAF; DLP: IPS, SearchInform DLP, Cisco ISE (профилирование). 3. Контроль доступности данных: Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager); Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx); Реализация любых других решений: AlienVault (SIEM). Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца! Почта для вопросов и заявок - info@lincas.ru, sales@lincas.ru Горячая линия - Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39

Главное преимущество в настройке оборудования Palo Alto заключается в удобном GUI-интерфейсе. При входе в настройки вводятся стандартные логин и пароль admin/admin.



Чтобы воспользоваться GUI, первым делом настраивается конфигурация управления управленческого интерфейса:

MGT interface IP: 192.168.192.200
MGT interface mask: 255.255.255.0
MGT interface gateway:192.168.192.100
MGT interface DNS server: 8.8.8.8

Теперь, поскольку данное устройство использует для Firewall’а зоны, необходимо произвести правильные настройки. То есть, сети на разных интерфейсах не могут находиться в одной сети. Сам процесс настройки достаточно прост:

#configure  
∟ set deviceconfig system ip-address 192.168.11.11 netmask 255.255.255.0 default-gateway 192.168.11.254 dns-setting servers primary 8.8.8.8
#commit

Здесь по стандарту указывается IP-адрес, маска, шлюз по умолчанию и DNS (напомним, что DNS используется для трансляции имени сайта в его IP-адрес).

Чтобы связать между собой интерфейс и хост, находящийся в той же сети, необходимо провести следующие этапы.

1. Указать IP-адрес интерфейса.
2. Добавить данный интерфейс к виртуальному роутеру. Это обеспечит маршрутизацию внутри самого роутера.
3. Также необходимо добавить интерфейс к определенной зоне FireWall’а.
4. И напоследок – добавить профиль управления (managment profile).

Итак, приступим.

#configure
∟edit network interface
 ∟ set ethernet ethernet1/3 layer3 ip 200.1.1.1/30
   set ethernet ethernet1/4 layer3 ip 10.0.0.1/24

Создание новой зоны безопасности пока что без политик и привязка интерфейсов

# configure
∟ set zone trust network layer3 ethernet1/4 
  set zone untrust network layer3 ethernet1/3

Теперь – создание виртуального роутера, указание статического маршрута, и потом – привязка к нему интерфейса.

#configure
∟ set network virtual-router static-route routing-table ip static-route default-route destination 0.0.0.0/0 nexthop ip-address 200.1.1.2 
∟ set network virtual-router static-route interface ethernet1/3

Создание профиля и привязка к нему интерфейса:

#Configure
 ∟ set network profiles interface-management-profile man ssh yes https yes 
ping yes telnet yes
#configure
∟ edit network interface
 ∟ set ethernet ethernet1/1 layer3 interface-management-profile man

Если все настройки выполнены верно, но внешняя сеть недоступна, то дополнительно требуется указание статического маршрута для интерфейса управления.

#set deviceconfig system route destination 10.66.22.245 source address 10.66.22.88/24