Embed Size (px)
Citation preview
TÀI LIỆU HƯỚNG DẪN KHÁCH HÀNG
DỊCH VỤ NEXT GENARATION FIREWALL
(NGFW) CỦA PALO ALTO
MỤC LỤC
1 Muc đich.............................................................................................................. 4
2 Phạm vi ............................................................................................................... 4
3 Hướng dẫn cấu hình cơ bản ............................................................................... 4
3.1 Đăng nhập vào hệ thống ........................................................................................... 4
3.2 Cấu hình mạng cho NGFW ...................................................................................... 4
3.2.1 Giao diện cấu hình NIC cho NGFW ....................................................................... 4
3.2.2 Cấu hình Network trong VPC ................................................................................ 5
3.2.3 Cấu hình gán Network vào VM............................................................................ 11
3.3 Các bước cấu hình NGFW cơ bản .......................................................................... 14
3.3.1 Cấu hình khởi tạo ban đầu.................................................................................... 14
3.3.2 Cấu hình cơ bản ................................................................................................... 16
3.4 Nâng cấp PAN-OS ................................................................................................. 24
3.5 Activate, Deactivate License trên NGFW ............................................................... 27
3.5.1 Activate license trên NGFW ................................................................................ 27
3.5.2 Deactivate license trên NGFW ............................................................................. 28
4 Hướng dẫn cấu hình tinh năng nâng cao của NGFW ..................................... 29
4.1 Mô tả các tính năng của NGFW Palo Alto.............................................................. 29
4.1.1 Anti-virus ............................................................................................................ 29
4.1.2 Anti Spyware ....................................................................................................... 30
4.1.3 Vulnerability Protection (IPS) .............................................................................. 31
4.1.4 URL Filtering ...................................................................................................... 32
4.1.5 DNS Security ....................................................................................................... 33
4.1.6 WildFire .............................................................................................................. 34
4.2 Tài liệu tham khảo cấu hình tính năng của NGFW Palo Alto .................................. 35
5 Use-case triển khai NGFW trên Cloud của Viettel IDC ................................. 35
5.1 Mô hình triển khai Standalone ............................................................................... 35
5.1.1 Mô hình triển khai ............................................................................................... 35
5.1.2 Hướng dẫn cấu hình trên Edge Gateway .............................................................. 36
5.1.3 Hướng dẫn cấu hình trên NGFW .......................................................................... 54
5.2 Mô hình triển khai HA Active/Passive ................................................................... 54
5.2.1 Mô hình triển khai ............................................................................................... 54
5.2.2 Hướng dẫn cấu hình HA Activa/Passive trên NGFW ........................................... 55
5.2.3 Hướng dẫn cấu hình trên Edge Gateway .............................................................. 60
5.2.4 Hướng dẫn cấu hình trên NGFW .......................................................................... 60
1 Muc đich
- Mục đích của tài liệu là hướng dẫn khách hàng sử dụng dịch vụ Next Generation Firewall
(NGFW) – Tường lửa thế hệ mới để bảo vệ hệ thống Server/ Dịch vụ của khách hàng đang
triển khai trên Cloud của Viettel IDC khỏi các cuộc tấn công từ bên ngoài Internet hoặc tấn
công leo thang từ chính các cụm server sang nhau.
2 Phạm vi
- Tài liệu này được áp dụng cho dịch vụ vPC và dùng cho khách hàng sử dụng dịch vụ.
3 Hướng dẫn cấu hình cơ bản
3.1 Đăng nhập vào hệ thống
- Sau khi đăng ký sử dụng dịch vụ trên Website: https://viettelidc.com.vn/ hệ thống sẽ tự động
triển khai một thành phần NGFW VM-Series của Palo Alto vào cụm vPC mà khách hàng đã
đăng ký.
- Mỗi thành phần NGFW là một Virtual Machine (VM) trong vPC, với bản PAN-OS được
triển khai mặc định là bản 9.1.0. Khách hàng có thể tiến hành nâng cấp PAN-OS trước khi
cấu hình dịch vụ (được mô tả trong phần 3.4).
- Khách hàng đăng nhập vào vPC đang sử dụng vào mục Data Centers/Compute/Virtual
Machines để kiểm tra NGFW đã được triển khai.
3.2 Cấu hình mạng cho NGFW
3.2.1 Giao diện cấu hình NIC cho NGFW
- Vào Virtual Machine (VM) - NGFW chọn Hardware/NIC để kiểm tra các Interface kết nối
của NGFW.
- Mặc định mỗi VM NGFW đã được tạo 10NIC tương ứng với các Interface MGMT, Ethernet
1/1 tới Ethernet 1/9 của NGFW. Các NIC của VM sẽ ánh xạ với các Interface của NGFW
theo bảng sau:
Virtual Machine NGFW
NIC 0 MGMT
NIC 1 Ethernet 1/1
NIC 2 Ethernet 1/2
NIC 3 Ethernet 1/3
NIC 4 Ethernet 1/4
NIC 5 Ethernet 1/5
NIC 6 Ethernet 1/6
NIC 7 Ethernet 1/7
NIC 8 Ethernet 1/8
NIC 9 Ethernet 1/9
3.2.2 Cấu hình Network trong VPC
- Để kết nối giữa NGFW và các Server hoặc giữa NGFW với Edges Gateway cần tạo các
Networks. Vào Data Centers/Networking/Networks chọn New để tiến hành tạo một
Networks mới.
- Ba loại Network có thể được tạo:
o Isolated: network dùng để kết nối riêng giữa các VM trong các vPC. Loại này phù
hợp cho việc kết nối giữa cổng Internal của NGFW và các VM Server trong một cụm
chức năng.
o Routed: network dùng để kết nối giữa các VM và Edge Gateway. Loại này phù hợp
với việc kết nối giữa cổng External và cổng MGMR của NGFW tới Edge Server.
o Direct: network dùng để kết nối trực tiếp từ Edge Gateway ra Internet hoặc kết nối
Hybrid Connect với hệ thống mạng On-Premise của khách hàng.
- Cấu hình Isolated Network:
o General: đặt tên Isolated Network, địa chỉ IP Gateway CIDR, Description.
o Static IP Pools: Tạo một Pools IP cấp phát động cho các NIC của VM. Nhập IP Pools
và nhấn ADD.
o DNS: điền thông tin DNS Server cung cấp cho các VM.
o Ready to Complete: kiểm tra lại toàn bộ các thông tin cấu hình Isolated Network và
nhấn FINISH để hoàn thành việc cấu hình.
- Cấu hình Routed Network, kết nối giữa External Interface và MGMT Interface của NGFW
và Edge Gateway.
o General: đặt tên Isolated Network, địa chỉ IP Gateway CIDR – đây là địa chỉ IP sẽ
được gán vào một Interface Downlink của Edge Gateway, Description.
o Edge Connection: chọn Edge Gateway sẽ được gán Network này.
o Static IP Pools: Tạo một Pools IP cấp phát động cho các NIC của VM. Nhập IP Pools
và nhấn ADD.
o DNS: điền thông tin DNS Server cung cấp cho các VM.
o Ready to Complete: kiểm tra lại toàn bộ các thông tin cấu hình Isolated Network và
nhấn FINISH để hoàn thành việc cấu hình.
3.2.3 Cấu hình gán Network vào VM
- Vào giao diện cấu hình NIC của VM NGFW như hướng dẫn mục 3.2.1. Chọn Edit để tiến
hành gán Networks vào từng NIC.
- Giao diện chính của EDIT NICs:
- ADD VAPP NETWORK chọn OrgVDC Network và chọn các Networks đã tạo trước đó vào
VAPP.
- Mỗi NIC chọn:
o Primary NIC: chọn tại NIC 0 (MGMT Interface)
o Connected: chọn để mở NIC.
o Adapter Type: mặc định đã chọn VMXNET3.
o Network: chọn Networks đã tạo tại bước 3.2.2
o IP Mode:
Static – IP Pool: tự động gán IP vào từng NIC theo IP Pool đã tạo trong từng
Networks.
Static – Manual: gán bằng tay IP vào từng NIC
o IP (địa chỉ IP gán cho NIC có thể khác với địa chỉ IP cấu hình trong trong diện quản
trị của NGFW, tuy nhiên khuyến nghị nên đặt giống IP để dễ cho việc quản lý và vận
hành):
Với IP Mode là Static – IP Pool: phần IP sẽ được gán tự động một IP.
Với IP Mode là Static – Manual: nhập địa chỉ IP sẽ gán cho NIC
- Trạng thái của các NIC sau khi cấu hình:
3.3 Các bước cấu hình NGFW cơ bản
3.3.1 Cấu hình khởi tạo ban đầu
- Đảm bảo add Networks cho dải mạng quản trị các NGFW và gán networks vào NIC 0 của
VM NGFW theo như hướng dẫn mục 3.2.3.
- Tiến hành Console vào NGFW, đăng nhập với Account/Password mặc định admin/admin.
Cấu hình password mới sau khi đăng nhập.
- Vào Configuration mode bằng lệnh configure. Cấu hình địa chỉ IP quản trị cho NGFW (địa
chỉ IP mặc định là 192.168.1.1/24) với các lệnh sau :
set deviceconfig system type static
set deviceconfig system ip-address <Firewall-IP> netmask <netmask> default-gateway
<gateway-IP> dns-setting servers primary <DNS-IP>
commit
- Kết nối máy tính của người quản trị với dải mạng MGMT của NGFW. Truy cập quản trị
NGFW qua giao diện Web với cú đường dẫn: https://<Firewall-IP>. Username/Password
giống với thông tin đăng nhập bằng giao diện Console.
3.3.2 Cấu hình cơ bản
3.3.2.1 Cấu hình hostname, Profile Interface Mgmt
- Tab Device >> Setup >> Management >> General Settings, đặt tên, múi giờ cho thiết bị.
Commit để hoàn thành việc cấu hình.
- Profile Interface Mgmt : cấu hình một Profile cho phép quản trị thiết bị (Ping, truy cập vào
giao diện Mgmt …) vào Device >> Setup >> Interface >> Management. Bật các dịch vụ
quản trị HTTS, SSH và dịch vụ Mạng Ping, SNMP.
3.3.2.2 Cấu hình Interface
- Vào Network >> Interface để tiến hành cấu hình các interface.
- Giao diện cấu hình Interface. Interface Type: Layer 3.
- Assign Interface To :
o Virtual Router. Mỗi NGFW sẽ có nhiều Virtual Router, mỗi Virtual Router có một
bảng định tuyến khác nhau hỗ trợ các giao thức định tuyến tĩnh, động (RIP, OSPF,
BGP…). Chọn Virtual Router >> New Virtual Router.
o Security Zone. Tạo các Zone cho NGFW : External Zone, Internal Zonre … Chọn
Security Zone >> New Zone.
- Ethernet Interface >> IPv4. Chọn Add để cấu hình địa chỉ IP cho Interface.
- Ethernet Interface >> Advanced. Cấu hình Management Profile để cho phép các service
ping, https, ssh truy cập tới interface thiết bị.
- Nhấn Commit để thực hiện các thông tin đã cấu hình.
- Thông tin các Interface sau khi được cấu hình.
3.3.2.3 Cấu hình Default-Route
- Vào Network >> Virtual Routers. Chọn Virtual Routers NGFW-VR-01.
- Vào Giao diện Static Routes.
- Chọn Add để cấu hình Default-Route. Nhập các thông số về Name, Destination, Interface
(External Interface), Next-Hop.
- Giao diện Static Routes sau khi cấu hình.
- Làm tương tự với các route khác nếu có.
3.3.2.4 Cấu hình Rules Police
- Chọn Policies >> Security >> Add để tạo policy mới. Mặc định có policy deny all trên tất cả
các Zone, Interfaces.
- Commit cấu hình.
3.4 Nâng cấp PAN-OS
- Mặc định Viettel IDC sẽ triển khai NGFW của Palo Alto cho khách hàng với bản Pan-OS
9.1.0. Khách hàng có thể nâng cấp các bản Pan-OS lên các version mới hơn. Đảm bảo
NGFW có kết nối ra Internet để cập nhật các bản Pan-OS mới nhất.
- Chọn Device >> Software, nhấn Check Now để cập nhật các bản Pan-OS mới nhất.
- Lựa chọn PAN-OS dự định để nâng cấp chọn Download ở cột Action.
- Sau khi hoàn thành download PAN-OS. Chọn Install để tiến hành cài đặt PAN-OS mới. Đảm
bảo cài đặt các gói cập nhật mới tại mục Device >> Dynamic Updates
- Sau khi cài đặt, thực hiện reboot lại thiết bị để hoàn tất quá trình nâng cấp PAN-OS.
- Giao diện quản trị NGFW sau khi nâng cấp PAN-OS. Software Version đang là 10.0.0.
3.5 Activate, Deactivate License trên NGFW
3.5.1 Activate license trên NGFW
- Sau các bước cài đặt cơ bản tiến hành đăng ký license trên Website của Viettel IDC và nhập
thông tin về UUID và CPUID của NGFW. Truy cập vào NGFW qua giao diện Web. Chọn
Dashboard/General Information để lấy thông tin về CPU ID và UUID:
- Sau khi nhập thông tin UUID, CPU-ID để đăng ký mua license trên website của Viettel IDC.
Hệ thống của Viettel IDC tự động đăng ký license với Palo Alto cho NGFW theo thông tin
UUID, CPU-ID khách hàng đã cung cấp.
- Sau khi đăng ký license thành công Viettel IDC sẽ gửi thông báo cho khách hàng kèm với
các file .key để khách hàng có thể tiến hành activate trên NGFW.
- Nếu NGFW của khách hàng có kết nối Internet, chọn Device >> Licenses >> License
Management >> Retrieve license keys from license server (click 2 lần), NGFW sẽ tự
động kết nối với Palo Alto để activate License.
- Nếu NGFW của khách hàng không hỗ trợ Internet sử dụng các file .key mà Viettel IDC đã
cung cấp cho khách hàng. Chọn Device >> Licenses >> License Management >>
Manually upload license key, upload từng file .key vào NGFW để activate license.
3.5.2 Deactivate license trên NGFW
- Đăng ký deactivate license trên Website của Viettel IDC.
- Trên NGFW chọn Device >> Licenses >> License Management >> Deactivate VM >>
Complete Manually. Chọn Export license token để download file .tok về máy người quản
trị. Sau đó nhấn Reboot Now để reboot lại NGFW.
- Gửi file .tok lên Website của Viettel IDC để Viettel IDC tiến hành hủy đăng ký license với
Palo Alto.
4 Hướng dẫn cấu hình tinh năng nâng cao của NGFW
4.1 Mô tả các tinh năng của NGFW Palo Alto
4.1.1 Anti-virus
- Tường lửa có khả năng giám sát và ngăn chặn các bản tin, tập tin nguy hại dùng để tấn công
được truyền từ mạng ngoài vào mạng nội bộ, bao gôm cả mã độc đã biết và chưa biết. Tường
lửa có thể thiết lập chính sách đọc và kiểm soát nội dung theo cả chiều từ trong gửi ra cung
như từ ngoài vào. Nội dung này sẽ được xử lý qua engine AV theo stream based và xử lý nội
bộ trên Tường lửa, không cần gửi ra ngoài, không cần lưu lại file hay so sánh mẫu. Bên cạnh
engine AV, nội dung sẽ được kiểm soát qua cả chức năng lọc nội dung. Với mã độc chưa
biết, Tường lửa sẽ tự gửi mẫu lên hệ thống sandbox để phân tích tĩnh, phân tích động và cập
nhật signature cho tường lửa.
- Tính năng anti-virus có thể được bật mặc định trên tất cả các rule. Theo đó, tường lửa cần
chặn virus xâm nhập theo cách stream based, không cần tải toản bộ file cung như không cần
lưu file để phân tích, giúp đảm bảo hiệu năng và hiệu quả hoạt động.
- Cơ chế này sẽ hiệu quả hơn và nhanh hơn so với việc chỉ so sánh hash của file với cloud, do
hash có thể thay đổi nhanh chóng. Và khi hash SHA-256 thay đổi, Tường lửa sẽ phải cho file
đi qua sau đó đợi phân tích rôi đưa ra cảnh báo.
Hình 1 Thiết lập Anti-virus
- Palo Alto Networks sử dụng Engine AntiVirus độc quyền, để đảm bảo hoạt động tích hợp
với hệ điều hành và luông xử lý dữ liệu của tường lửa, cung như cập nhật trực tiếp từ nguôn
của chính hãng. Tính năng AV nếu sử dụng engine của các hãng thứ 3 thì khi tích hợp vào
luông xử lý của tường lửa sẽ giống như một module độc lập trong UTM. Kiến trúc phần
mềm này sẽ giống như xử lý trên hai hệ thống riêng biệt, gói tin cần xử lý nhiều lần. Thiết kế
tối ưu hơn là sử dụng engine AV tích hợp săn trong luông xử lý dữ liệu, và các cập nhật cung
được nhận từ một nguôn duy nhất.
4.1.2 Anti Spyware
- Anti Spyware Là tính năng ngăn chặn các tấn công C&C và lấy cắp dữ liệu. Các cuộc tấn
công mã độc hiện nay thường dùng mã độc thực thi trên máy trạm, sau đó mã độc sẽ mở
kênh kết nối về máy chủ điều khiển Command & Control (C&C) để nhận lệnh thực thi, để tải
thêm mã độc mới, để điều khiển làm các tác vụ phức tạp hơn hoặc để gửi dữ liệu ra bên
ngoài. Hầu hết các tấn công thế hệ mới ngày nay đều có sự tham gia điểu khiển từ C&C để
tăng độ hiệu quả khi thực thi.
- Engine Anti Spyware có bộ signature được cập nhật liên tục với danh sách địa chỉ IP, domain
C&C và các payload điều khiển để Tường lửa ngăn chặn được các tấn công mã độc sử dụng
C&C. Các cuộc tấn công này thường sử dụng giao thức gọi về C&C được kèm trong nội
dung các giao thức phổ biến như HTTP, DNS để đi qua Tường lửa, do đó, Engine Anti
Spyware sẽ giúp ngăn chặn hiệu quả. Đông thời, cơ chế chặn C&C theo domain kèm theo
khả năng dự đoán domain động sẽ nhanh và triệt để hơn là sử dụng hoàn toàn payload như
một số giải pháp truyền thống.
- Trong module Anti Spyware, người quản trị còn có thể định nghĩa cho tường lửa đọc nội
dung bản tin DNS (bản tin mã độc dùng để hỏi IP của máy chủ C&C dựa trên tên miền để
tránh blacklist IP). Khi đọc nội dung DNS, nếu tên miền được hỏi nằm trong danh mục,
Tường lửa sẽ chặn bản tin DNS này, và trả lời lại cho mã độc một địa chỉ IP không có thật,
hoặc trả về địa chỉ IP của máy chủ thu thập dữ liệu phục vụ cho việc điều tra, phân tích hành
vi mã độc. Người quản trị cung có thể tự cập nhật thêm danh sách các tên miền mã độc sử
dụng dựa trên các thông tin từ các tổ chức phân tích sự kiện trên thế giới.
4.1.3 Vulnerability Protection (IPS)
- Một hình thức tấn công phổ biến nhưng rất hiệu quả là tấn công vào các lỗ hổng hệ thống.
Sau khi khai thác thành công lỗ hổng của hệ điều hành và của phần mềm, hacker có thể chạy
các câu lệnh điều khiển từ xa, cung như đẩy mã độc vào hệ thống để thực hiện các tấn công
chuyên sâu hơn.
- Vulnerability protection là tính năng tường lửa sử dụng IPS engine để ngăn chặn các tấn
công khai thác lỗ hổng trên giao thức mạng, hoặc lỗ hổng của hệ điều hành, của phần mềm
để tấn công từ ngoài. Khi hacker thực hiện khai thác lỗ hổng, trong nội dung của bản tin gửi
đến máy nạn nhân sẽ có payload dùng để làm tràn bộ đệm, một chuỗi ký tự để tấn công vào
logic của phần mềm hoặc rất nhiều kỹ thuật tương tự. Tường lửa sẽ bảo vệ khỏi các tấn công
này thông qua vulnerability signature để payload không được gửi qua cung như ngăn chặn
sớm các bất thường trong kết nối mạng.
4.1.4 URL Filtering
Theo dõi và kiểm soát hoạt động lướt web là yếu tố chính để bảo vệ hệ thống mạng của doanh
nghiệp khỏi các nguy cơ về bảo mật và vi phạm các chính sách an ninh thông tin.
Palo Alto Networks cung cấp tính năng URL Filtering hiệu quả cao với cách sử dụng đơn giản
với khả năng:
- Theo dõi hoạt động lướt web mà không ảnh hưởng đến thời gian đáp ứng và trải nghiệm của
người dùng.
- Chính sách cho phép/ từ chối các trang web được thực hiện in-line theo thời gian thực.
- Cho phép tăng số lượng người dùng mà không phải mua thêm license như Proxy
- Cho phép QoS- Quản lý băng thông trên từng trang web. Điều này đặc biệt quan trọng khi
người dùng sử dụng nhiều trang web media như Youtube… để đảm bảo băng thông của hệ
thống.
- Áp dụng việc giải mã SSL để kiểm soát và lọc thông tin khi người dùng sử dụng HTTPS.
- Áp dụng chính sách lọc URL ngay cả khi người dùng sử dụng tính năng dịch tự động của
Google hay xem trang web được lưu trong bộ nhớ cached của các trang tìm kiếm.
- Cơ sở dữ liệu cho phép người quản trị tùy chỉnh linh hoạt.
- Palo Alto Networks tích hợp cơ sở dữ liệu hàng chục triệu triệu URL với trên 76 danh mục
vào trong tường lửa cho phép kiểm soát việc truy cập các website hiệu quả và đơn giản.
4.1.5 DNS Security
- Tính năng DNS Security cho phép tường lửa có khả năng phân tích các lưu lượng truy vấn
DNS để phát hiện và ngăn chặn các truy vấn bất hợp pháp như DNS tunneling, DGA
domain. Ngăn chặn các loại mã độc kết nối đến các máy chủ C&C để trao đổi và gửi dữ liệu
đánh cắp ra ngoài.
- Không cần phải thay đổi mô hình hệ thống như các giải pháp DNS khác, tính năng DNS
Security trên tường lửa thế hệ mới cho phép tổ chức dễ dàng triển khai nhanh chóng, đơn
giản, trong suốt với người dùng, phát hiện và ngăn chặn các truy vấn độ hại theo thời gian
thực với độ chính xác cao.
4.1.6 WildFire
- Hiện nay hầu hết các cuộc tấn công nguy hiểm, được đầu tư và có quy mô phức tạp đều là tấn
công có chủ đích, hay nói cách khác, đều là các cuộc tấn công chưa được biết đến trước đó.
Do vậy cơ chế bảo vệ dựa trên phân tích tĩnh hoặc dùng signature trên tường lửa sẽ không
đầy đủ và chính xác hoàn toàn nếu thiếu trung tâm phân tích động các mẫu file, mẫu URL và
cập nhật thông tin mới tức thì cho tường lửa xử lý, ngăn chặn.
- WildFire được cung cấp dưới dạng Threat Intelligence/Prevention cloud hoặc một thiết bị đặt
trong mạng. Wildfire bên cạnh việc định kỳ, thường xuyên cập nhật thông tin về các mẫu mã
độc, các signature ngăn chặn virus, spyware, C&C, ngăn chặn tấn công lỗ hổng thì chức năng
quan trọng của Wildfire trong hệ thống bảo vệ của Palo Alto Networks là phản ứng tự động
với các hiểm hoạ chưa biết.
Hình 2 Wildfire áp dụng nhiều kĩ thuật để phát hiện các loại mã độc mới
- Bên cạnh các loại file mã độc truyền thống dạng exe, tường lửa có khả năng gửi tự động đến
hệ thống sandbox các loại file của hệ điều hành MacOS, Android và nhiều loại file khác như
pdf, flash. Việc hỗ trợ nhiều chuẩn file sẽ giúp tường lửa và hệ thống sandbox không bỏ sót
những loại mã độc phổ biến khác được viết trên các hệ điều hành này.
- Không chỉ đối với file, để ngăn chặn hiệu quả các cuộc tấn công mã độc, phising qua email,
tường lửa thế hệ mới của Palo Alto Networks có thể tách được URL trong email gửi đến cho
người dùng, gửi URL chạy thử trên WildFire để nhận diện nội dung URL. Nếu URL có chưa
mã độc, WildFire sẽ báo cáo để tường lửa ghi lại sự kiện người dùng nhận được email có
chứa mã độc, đông thời sẽ tạo signature để chặn URL này ngay sau khi phát hiện xong.
4.2 Tài liệu tham khảo cấu hình tinh năng của NGFW Palo Alto
- Để thực hiện cấu hình các tính năng nâng cao của NGFW Palo Alto khách hàng tham khảo
theo đường link tài liệu PAN-OS Administrator’s Guide của Palo Alto:
https://docs.paloaltonetworks.com/pan-os/10-0/pan-os-admin/getting-started.html
5 Use-case triển khai NGFW trên Cloud của Viettel IDC
5.1 Mô hình triển khai Standalone
5.1.1 Mô hình triển khai
- Mô hình triển khai :
- VM-Series sẽ được triển khai ở chế độ hoạt động Standalone (chỉ có 1 tường lửa VM hoạt
động trong một VPC)
- Chế độ hoạt động ở layer 3, đóng vai trò như gateway security, phân chia vùng mạng bên
ngoài và vùng máy chủ, ứng dụng cần bảo vệ ở bên trong với các tính năng của tường lửa thế
hệ mới như Policies, Antivirus, IPS, Anti-Spyware, URL Filtering, DNS Security …
- Edge Gateway (Router/gateway) đóng là thiết bị biên đóng vai trò
o Thực hiện Nat Inbound, Nat Outbound đê kết nối các Server của khách hàng với
Internet.
o Thực hiện cấu hình IPSEC VPN để kết nối với mạng On-Primise của khách hàng.
o Thực hiện cấu hình SSL VPN để người quản trị có thể truy cập vào hệ thống VPC để
quản trị NGFW và các Server trong VPC.
o Thực hiện Load Balancing lưu lượng tới các Server trong VPC.
o Tính năng Firewall Layer 4 sẽ tạm thời không sử dụng bằng việc thêm rules Permit
All để đảm bảo NGFW kiểm soát toàn bộ lưu lượng kết nối vào các Server trong
NGFW.
- Kiến trúc mạng: tường lửa sẽ phân chia mạng VPC thành các vùng mạng riêng theo chức
năng nhiệm vụ. Mô hình tiêu chuẩn thường bao gôm các vùng sau:
o Vùng Outside: kết nối ra router/gateway
o Vùng Web: Chứa các máy ảo ứng dụng, dịch vụ web
o Vùng DB: Chứa các máy chủ ứng dụng
- Ưu và nhược điểm của mô hình standalone
o Ưu điểm:
Triển khai nhanh
Tiết kiệm chi phí, tài nguyên
Cấu hình đơn giản
o Nhược điểm
Độ săn sàng không cao
5.1.2 Hướng dẫn cấu hình trên Edge Gateway
5.1.2.1 Cấu hình Network Address Translation (NAT)
Từ màn hình quản trị trong Org VDC Khách hàng, bấm Data Center >> Networking >>
Edges. Check chọn vFirewall và nhấn Services
Màn hình cấu hình NSX Edge hiện ra, chọn Enable tại tab Firewall
Chuyển sang tab NAT, trong này sẽ hiển thị danh sách tất cả các Rule NAT đã cấu hình. Giải
pháp vFirewall của Viettel IDC hỗ trợ 2 loại NAT chính: NAT theo nguôn (SNAT) và NAT theo
đích (DNAT) cho cả IPv4 và IPv6. Hướng dẫn này tập trung vào IPv4.
Để tạo rule NAT mới, chọn biểu tượng tương ứng với hình thức NAT mà bạn muốn tạo:
SNAT
- Applied On: Chọn vùng mạng thực thi, mặc định là lớp mạng ngoài (External).
- Original Source IP/Range: nhập IP gốc (IP private của server)
- Translated Source IP/Range: IP được chuyển đổi sau NAT (chính là các Public NAT IP đã
lấy được ở trên)
- Description: nhập mô tả
- Enable: chọn mục này để rule có hiệu lực
Nhấn Keep sau khi điền xong thông số.
DNAT
- Applied On: Chọn vùng mạng thực thi, mặc định là lớp mạng ngoài (External).
- Original IP/Range: nhập IP gốc (IP Public, chính là các Public NAT IP đã lấy được ở trên)
- Protocol: chọn loại giao thức (TCP, UDP, ICMP, Any)
- Original Port: port gốc do client gửi tới
- Description: nhập mô tả
- Translated IP/Range: IP Private của server được chuyển đổi sau NAT
- Translated Port: Port chuyển đổi, chuyển đến server sau khi NAT
- Enable: chọn mục này để rule có hiệu lực
Nhấn Keep sau khi điền xong thông số
Thực hiện tương tự cho Web Server 02. Sau khi hoàn thành nhấn nút “Save Changes” để lưu
lại và thực thi cấu hình mới:
Để thực hiện điều chỉnh NAT rule đã khai báo, chọn NAT rule tương ứng và nhấn nút
. Tương tự để xóa rule chọn nút . Chọn “Save Changes” để áp dụng các thay đổi
mới.
5.1.2.2 Khai báo Firewall Rules
Chuyển sang tab Firewall, đảm bảo Firewall phải đang được Enable và tùy chọn “Show only
user-defined rules” được bật
: Tạo rule mới
: Xóa rule đang chọn
: Chuyển thứ tự ưu tiên của rule lên trên 1 bậc
: Hạ thứ tự của rule xuống 1 bậc
Sau khi nhấn chọn tạo rule mới, cửa sổ quản trị sẽ tạo ra 1 dòng mới với các ô thông tin mặc
định (any, any, accept), nhấn chuột vào ô tương ứng để sửa thông tin cần:
- No: Thứ tự ưu tiên của rule
- Name: tên của rule
- Type: kiểu (do hệ thống hay user tạo ra)
- Source: địa chỉ IP nguôn, có thể nhấn để nhập IP hoặc để chọn đối tượng
(internal, external, all..)
- Destination: địa chỉ IP đích.
- Service: chọn giao thức (TCP, UDP, ICMP, Any) và cổng (80, 443, 21..) cho nguôn và đích.
- Action: chọn loại hành động: Accept – cho phép hay Deny – chặn
Sau khi hoàn thành các rule như mong muốn, nhấn nút “Save Changes” để lưu lại và thực thi
cấu hình mới.
Vi du minh họa cho mô hình hệ thống giả lập ban đầu:
Ý nghĩa:
- Rule số 1: cho phép traffic từ mạng internal (192.168.1.x) đến tất cả các hướng (gôm cả
mạng external). Mạng internal lúc này sẽ theo rule NAT đã khai báo ở trên để ra internet.
- Rule số 2 và 3: cho phép client có thể ping (ICMP) và truy cập đến dịch vụ web (http-tcp
port 80) của 2 public IP 171.244.42.111 và 171.244.42.112. Đây chính là NAT IP của 2 Web
server 192.168.1.1 và 192.168.1.2. Kết hợp với rule NAT ở trên, client từ mạng external
(internet) có thể truy cập web đến 2 server này.
Các traffic không khớp với 3 rule trên mặc định bị chặn (deny).
Kiểm tra kết quả:
Từ Web Server 1, ping ra internet:
Check trạng thái dịch vụ:
5.1.2.3 Cấu hình IPsec VPN Site to Site
Trong gói dịch vụ vFirewall của Viettel IDC có hỗ trợ tính năng khai báo kết nối VPN Site to
Site. Từ giao diện quản trị chính, chọn tab VPN -> IPsec VPN -> IPsec VPN Sites. Nhấn chọn
để tạo kết nối VPN mới.
Sau đó điền các thông số để thiết lập phiên VPN như dưới. Lưu ý các thông số này phải khớp với
cấu hình trên router/firewall đầu xa.
- Enabled: cho phép hoặc vô hiệu thực thi phiên VPN.
- Enable perfect forward secrecy (PFS): cho phép chạy mode PFS để tăng tính bảo mật
(khuyến nghị nên dùng).
- Name: tên phiên kết nối VPN
- Local Id và Local Endpoint: điền địa chỉ Public Master IP của vFirewall. Trường hợp mô
hình giả lập là 171.244.42.17
- Local Subnets: dải mạng private của đầu local, trường hợp này là 192.168.1.0/24
- Peer Id và Peer Endpoint: IP Public của router đầu xa.
- Peer Subnets: dải mạng private của đầu xa.
- Encryption Algorithm: thuật toán mã hóa, hỗ trợ các thuật toán: AES, AES256 và 3DES
- Authentication: hình thức chứng thực, thông thường dùng preshare key (PSK)
- Pre-Shared Key: nhập preshare key
- Diffie-Hellman Group: chọn phương thức trao đổi khóa, hỗ trợ các phương thức: DH2,
DH5, DH14, DH15, DH16
Nhấn Keep sau khi điền xong thông số. Cuối cùng chọn “Save Changes” để áp dụng các thay
đổi mới.
Giả sử chúng ta cần thiết lập kênh kết nối VPN theo mô hình sau:
Bước 1: Cấu hình đầu phía Cloud của Viettel IDC như sau:
Lưu ý: các thông số: giao thức mã hóa, phương thức trao đổi khóa và preshare key phải được
thiết lập giống nhau giữa 2 đầu thiết bị thiết lập kênh VPN. Với IKE mặc định sử dụng version 1.
Bước 2: Chuyển sang tab Activation Status, bật tùy chọn “IPsec VPN Service Status” và nhấn
“Save Changes”:
Kiểm tra trạng thái kênh VPN: chọn tab Statistics -> IPsec VPN:
Đến đây chúng ta đã sử dụng được các tính năng cơ bản: NAT, Firewall rule và VPN Site to Site
trên vFirewall của Viettel IDC.
5.1.2.4 Cấu hình SSL VPN Client to Site
Trong gói dịch vụ Virtual Private Cloud và Dedicated Private Cloud của Viettel IDC có hỗ
trợ tính năng khai báo kết nối VPN Client to Site trên vFirewall (với dịch vụ vCloud Server hiện
chưa cung cấp tùy chọn này).
Bước 1: Từ giao diện quản trị chính, chọn tab SSL VPN-Plus -> Server Setting và chọn các
thông số:
- Enable Server
- IP Address: Chọn IP Public VPN (thường là Master IP)
- Port: cổng kết nối và truy cập trang portal download packge cài đặt cho client. Lưu ý:
nếu bạn có sử dụng dịch vụ vLoad Balancer(vLB) thì phải chỉ định port khác với port
sử dụng cho vLB (thường là các port http: tcp/80, https: tcp/443). Trong hình minh họa
dưới sử dụng port 1443.
- Cipher List: Chọn tối thiểu AES256-SHA
Nhấn Save Changes: Lưu lại các thay đổi
Bước 2: Vào tab Private Network. Nhấn chọn để khai báo dải mạng private trên Cloud.
Dải này cần khai báo giống với các dải mạng private mà VM đang dùng.
Chọn Keep để giữ lại các thay đổi.
Chọn Save Changes: Lưu lại các thay đổi
Bước 3: Vào tab IP Pool để tạo dải mạng sử dụng cho người dùng (client) khi kết nối SSL VPN.
Nhấn chọn để tạo dải mạng.
Điền các thông tin dải mạng như hình dưới. Có thể dùng dải mạng bất kỳ nhưng không được
trùng với dải mạng nội bộ đang dùng cho các VM.
Chọn Keep để giữ lại các thay đổi.
Chọn Save Changes: Lưu lại các thay đổi
Bước 4: Vào tab User để tạo người dùng cho phép kết nối SSL VPN.
Nhấn chọn để tạo tài khoản
Sau đó điền và chọn các thông số:
- User ID: tên tài khoản kết nối SSL VPN
- Password: Mật khẩu kết nối SSL VPN
- Retype Password: Gõ lại mật khẩu
- Password never expries (tùy chọn): mật khẩu không thời hạn
- Allow change password (tùy chọn): cho phép người dùng đổi mật khẩu (thông qua trang portal
SSL VPN)
- Change password on next login (tùy chọn): bắt buộc người dùng đổi mật khẩu trong lần đăng
nhập đầu.
Chọn Keep để giữ lại các thay đổi
Bước 5: Vào tab Installation Packets. Nhấn chọn để tạo gói cài đặt từ giao diện web
cho client.
Sau đó điền các thông số sau:
- Profile Name: Tên gói cài đặt.
- Điền thông tin địa chỉ IP và port kết nối đến đã cấu hình ở Bước 1.
- Tích chọn vào hệ điều hành sẽ tạo gói cài đặt cho người dùng
- Check chọn Create destop icon.
- Không tich chọn Hide SSL client network adapter (nếu không sẽ gặp lỗi “Driver
installation failed for reason E000024B” trên một số máy).
Đến đây quá trình cài đặt, cấu hình dịch vụ SSL VPN client to site đã hoàn thành. Người dùng có
thể sử dụng và kết nối VPN đến cụm máy chủ ảo trên Cloud như sau:
Hướng dẫn thiết lập kết nối SSL VPN Client to Site trên máy người dùng
Bước 1: Truy cập https://IP-SSL_VPN_Server:Port với tài khoản đã được tạo ở các bước trên.
Click chọn vào tên gói cài đặt trong list và tải về soft client:
Bước 2: Xả file nén và chạy file cài đặt Installer.exe đã tải về.
Bước 3: Thực thi ứng dụng SSL VPN-Plus Client trên màn hình Desktop. Nhấn nút login trên
giao diện và nhập tài khoản VPN đã tạo ở các bước trên.
Kết nối thành công:
Kiểm tra bằng cách ping thành công đến ip local của máy chủ trên hệ thống Cloud của Viettel
IDC.
Lưu ý: mỗi tài khoản chỉ được đăng nhập sử dụng trên 1 máy, để tạo tài khoản cho người dùng
tham khảo các bước cài đặt ở trên.
5.1.3 Hướng dẫn cấu hình trên NGFW
- Với các bước cấu hình cơ bản khách hàng tham khảo ở mục 3.3 Các bước cấu hình NGFW
cơ bản.
- Các cấu hình tính năng nâng cao 4 Hướng dẫn cấu hình tinh năng nâng cao của NGFW
5.2 Mô hình triển khai HA Active/Passive
5.2.1 Mô hình triển khai
- Mô hình triển khai :
- Kiến trúc mạng: tường lửa sẽ phân chia mạng VPC thành các vùng mạng riêng theo chức
năng nhiệm vụ. Mô hình tiêu chuẩn thường bao gôm các vùng sau:
o Vùng Outside: kết nối ra router/gateway
o Vùng Web: chứa các máy ảo ứng dụng, dịch vụ web
o Vùng DB: Chứa các máy chủ ứng dụng
- Edge Gateway (Router/gateway) đóng là thiết bị biên đóng vai trò
o Thực hiện Nat Inbound, Nat Outbound đê kết nối các Server của khách hàng với
Internet.
o Thực hiện cấu hình IPSEC VPN để kết nối với mạng On-Primise của khách hàng.
o Thực hiện cấu hình SSL VPN để người quản trị có thể truy cập vào hệ thống VPC để
quản trị NGFW và các Server trong VPC.
o Thực hiện Load Balancing lưu lượng tới các Server trong VPC.
o Tính năng Firewall Layer 4 sẽ tạm thời không sử dụng bằng việc thêm rules Permit
All để đảm bảo NGFW kiểm soát toàn bộ lưu lượng kết nối vào các Server trong
NGFW.
- Ưu và nhược điểm:
o Ưu điểm:
Độ săn sàng cao
Dễ triển khai và vận hành
o Nhược điểm:
Chi phí
5.2.2 Hướng dẫn cấu hình HA Activa/Passive trên NGFW
- Để triển khai mô hình HA Active-Passive khách hàng cần phải làm thủ tục để đăng ký mua
hai NGFW của Palo Alto và cần đảm bảo các điều kiện sau :
o Đảm bảo cùng PAN-OS
o Đảm bảo cùng loại License
o Đảm bảo cùng loại Interfaces.
- NGFW cấu hình HA cần sử dụn HA links để đông bộ lưu lượng và duy trì thông tin trạng
thái giữa hai NGFW :
o HA1 là Control Link, thường sử dụng Interface MGMT của NGFW.
o HA2 là Data Link.
o Ngoài ra có thể cấu hình thêm HA1 và HA2 Backup Links để cung cấp tính dự phòng
cho HA1 và HA2 link.
- Truy cập web quản trị NGFW chọn Device >> High Availability >> General >> Setup,
nhấn Edit để:
o Enable HA
o Group ID: 1
o Mode: Activce Passive
o Enable Config Sync
o Peer HA1 IP Address: là địa chỉ IP MGMT của NGFW còn lại.
NGFW Active NGFW Passive
- Cấu hình Control Link (HA1), chọn Device >> High Availability >> General >> Control
Link (HA1), nhấn Edit:
- Cấu hình Data Link (HA2), chọn Device >> High Availability >> General >> Data Link
(HA2), nhấn Edit:
o Enable Session Synchronization: enable
o Port: chọn interface của NGFW để chạy HA2 (cấu hình ở Interface lựa chọn mode
HA).
o IPv4/Ipv6 Address: nhập địa chỉ IP cấu hình cho cổng HA2.
o Netmask: nhập Subnet-mask cho cổng HA2
o Gateway: có thể bỏ qua
o Transport: ethernet
o HA2 Keep-alive: enable
o Action: log only
o Thresshold (ms): 10000
NGFW Active NGFW Passive
- Cấu hình Active/Passive Settings, chọn Device >> High Availability >> General >>
Active/Passive Settings, nhấn Edit:
o Passive Link State: shutdown – tắt tất cả các interface trên NGFW Passive
o Monitor Fail Hold Down Time (min): 1
- Cấu hình Election Settings, chọn Device >> High Availability >> General >> Election
Settings, nhấn Edit:
o Device Priority: giá trị NGFW thấp hơn sẽ được bầu làm Active, NGFW còn lại là
Passive.
o Preemptive: cấu hình trên NGFW Active đảm bảo khi thiết bị Active sau khi gặp sự
cố và khôi phục lại thiết bị đó sẽ chuyển về là Active.
- Commit để tiến hành thực thi các cấu hình HA.
- Trạng thái của 02 NGFW sau khi cấu hình HA:
NGFW Active NGFW Passive
- Để cô lập một NGFW trong HA chọn Device >> High Availability >> Operational
Commands >> Suspend local device
- Để phục hôi NGFW trong HA chọn Device >> High Availability >> Operational
Commands >> Make local device functional
- Để đảm bảo hai NGFW luôn luôn chạy trên hai server vật lý khác nhau. Truy cập vào giao
diện quản trị VPC. Chọn Data Centers >> Compute >> Anti-Aftinity Rule, chọn NEW:
- Đặt tên Rule và chọn hai VM NGFW muốn đảm bảo không cùng trên một máy chủ vật lý.
Nhấn Add để tạo luật.
5.2.3 Hướng dẫn cấu hình trên Edge Gateway
- Tham khảo hướng dẫn cấu hình mục 5.1.2.
5.2.4 Hướng dẫn cấu hình trên NGFW
- Với các bước cấu hình cơ bản khách hàng tham khảo ở mục 3.3 Các bước cấu hình NGFW
cơ bản.
- Các cấu hình tính năng nâng cao 4 Hướng dẫn cấu hình tinh năng nâng cao của NGFW
