show running-config: การตั้งค่า Palo Alto Networks NGFW เบื้องต้น

การตั้งค่า Palo Alto Networks NGFW สามารถทำได้โดยไม่ยาก และยิ่งใช้การบริหารจัดการผ่านทาง Web Interface ซึ่งมีการจัดเรียงหน้าเมนูการใช้งานได้เป็นอย่างดี ดูแล้วสามารถเข้าใจ และคาดเดาได้ง่าย อีกทั้งยังมีคุณสมบัติต่าง ๆ ที่เพรียบพร้อมตามที่ Next-Generation Firewall ในปัจจุบันสามารถทำได้ โดยในบทความนี้ก็จะเป็นตัวอย่างการตั้งค่า Palo Alto Networks NGFW แบบพื้นฐานที่ใช้งานกันโดยทั่วไปกันก่อนนะครับ สำหรับตัวอย่างการตั้งค่าในวันนี้ก็จะประกอบไปด้วย 2 ขั้นตอนหลัก ๆ ดังนี้ครับ

การตั้งค่าการบริหารจัดการเบื้องต้น - เช่น การตั้งค่า IP Management, การติดตั้ง license, การตั้งค่าวันและเวลา เป็นต้น
การตั้งค่า Firewall - เช่น การตั้งค่า Routing, NAT, Security Policy เป็นต้น

การตั้งค่าการบริหารจัดการเบื้องต้น

จากบทความ ทำความรู้จักกับ Palo Alto Networks NGFW จะเห็นว่าบน Palo Alto Networks NGFW จะมีการแยก Control Plane และ Data Plane ออกจากกัน ไม่ว่าจะเป็น CPU หรือ RAM รวมทั้ง Routing Table ที่จะมีเป็นของตัวเองแยกออกจากกัน ซึ่งโดยปกติแล้วในการเข้าไปบริหารจัดการอุปกรณ์จะต้องทำผ่านทาง Control Plane โดยใช้ Console Interface หรือ Management Interface (MGT) เท่านั้น ซึ่งจะทำให้สามารถเข้าไปบริหารจัดการอุปกรณ์ได้ทุกเวลา แม้แต่กระทั่งในเวลาที่โดนโจมตีหรือมีทราฟิกโหลดอยู่ก็ตาม
ก่อนที่จะเริ่มทำการกำหนด Security Policy ให้กับทราฟิกที่ใช้งานอยู่ในระบบเครือข่าย เราควรที่จะทำการตั้งค่า Management Interface (MGT) และการบริหารจัดการต่าง ๆ เช่น การตั้งค่าวันและเวลาให้ตรงกับปัจจุบันให้เรียบร้อยก่อน โดยตัวอย่างการตั้งค่าในวันนี้จะใช้งาน PAN-OS version 6.0.4 นะครับ

ตั้งค่าอินเทอร์เฟส Management
ในการเข้าไปบริหารจัดการ Palo Alto Networks NGFW สามารถทำได้ผ่านทาง Console Port (Baud rate : 9600, Data Bit : 8, Parity : none, Stop bit : 1) หรืออินเทอร์เฟส MGT ก็ได้ โดยบนอินเทอร์เฟส MGT จะมีการกำหนดค่าโดย Default ดังนี้
IP address : 192.168.1.1
Username : admin
Password : admin

โดยในการเริ่มตั้งค่าอุปกรณ์จะสามารถใช้ Browser เรียกไปยัง https://192.168.1.1 สำหรับเข้าไปบริหารจัดการอุปกรณ์ผ่านทาง Web Interface หรือจะใช้ SSH หรือ Console Port เข้าไปบริหารจัดการผ่านทาง CLI ก็ได้

ผ่านทาง Web Interface

ผ่านทาง CLI

Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment.

admin@PA-3020> show system info

hostname: PA-3020

ip-address: 192.168.1.1

netmask: 255.255.255.0

default-gateway:

ipv6-address: unknown

ipv6-link-local-address: fe80::21b:17ff:feff:eea8/64

ipv6-default-gateway:

mac-address: 00:1b:17:ff:ee:a8

และถ้าต้องการเปลี่ยนหมายเลข IP address และกำหนดค่าอื่น ๆ เช่น Default Gateway, DNS, NTP ของ Management Interface จะสามารถทำได้ดังนี้

ผ่านทาง Web Interface

1. การกำหนดหมายเลข IP address และ Default Gateway ให้ไปที่ Device > Setup > Management > Management Interface Settings จากนั้นคลิ๊กที่ Edit และทำการกำหนดหมายเลข IP address ตามต้องการ จากนั้นคลิ๊กที่ OK

2. การกำหนด DNS Server และ NTP Server (เพื่อให้ Palo Alto Networks NGFW สามารถเชื่อมต่อกลับไปยัง Server สำหรับการติดตั้ง license และ update content ต่าง ๆ ได้) สามารถทำได้โดยไปที่ Device > Setup > Services > Services และคลิ๊กที่ Edit จากนั้นให้กำหนดหมายเลข DNS Server และ NTP Server ตามต้องการ จากนั้นคลิ๊กที่ OK

3. เมื่อทำการกำหนดค่าเสร็จ และคลิ๊กที่ OK แล้ว ค่า configuration นี้จะเป็น candidate configuration ซึ่งจะยังไม่ได้ถูกนำไปใช้งานจนกว่าจะคลิ๊กที่ commit โดยถ้า commit ผ่านแล้ว ค่า configuration นี้จะเรียกว่า running configuration และจะถูกนำไปใช้งานบนอุปกรณ์

ผ่านทาง CLI

1. เมื่อทำการกำหนดค่าเสร็จ และคลิ๊กที่ OK แล้ว ค่า configuration นี้จะเป็น candidate configuration ซึ่งจะยังไม่ได้ถูกนำไปใช้งานจนกว่าจะคลิ๊กที่ commit โดยถ้า commit ผ่านแล้ว ค่า configuration นี้จะเรียกว่า running configuration และจะถูกนำไปใช้งานบนอุปกรณ์

admin@PA-3020# set deviceconfig system ip-address 192.168.100.30 netmask 255.255.255.0 default-gateway 192.168.100.254 ntp-server-1 203.185.69.59 ntp-server-2 203.185.69.60 dns-setting servers primary 192.168.120.5 secondary 192.168.150.5

[edit]

admin@PA-3020# commit

...55%99%.....100%

Configuration committed successfully

[edit]

admin@PA-3020#

จากนั้น สามารถทำการทดสอบด้วยการ ping ไปยัง updates.paloaltonetworks.com เพื่อตรวจสอบว่าอุปกรณ์สามารถเชื่อมต่อไปยัง Server สำหรับ Install license และ update content ต่าง ๆ ได้หรือไม่

admin@PA-3020> ping host updates.paloaltonetworks.com

PING updates.paloaltonetworks.com (199.167.52.13) 56(84) bytes of data.

64 bytes from 199.167.52.13: icmp_seq=1 ttl=239 time=339 ms

64 bytes from 199.167.52.13: icmp_seq=2 ttl=239 time=335 ms

64 bytes from 199.167.52.13: icmp_seq=3 ttl=239 time=336 ms

64 bytes from 199.167.52.13: icmp_seq=4 ttl=239 time=340 ms

64 bytes from 199.167.52.13: icmp_seq=5 ttl=239 time=342 ms

64 bytes from 199.167.52.13: icmp_seq=6 ttl=239 time=337 ms

--- updates.paloaltonetworks.com ping statistics ---

6 packets transmitted, 6 received, 0% packet loss, time 5004ms

rtt min/avg/max/mdev = 335.974/338.674/342.438/2.282 ms

ตั้งค่าการบริหารจัดการอื่น ๆ
การตั้งค่าการบริหารจัดการอื่น ๆ อย่างเช่น hostname, วันที่และเวลา, การเปลี่ยน password admin เป็นต้น

ผ่าน Web Interface

ไปที่ Device > Setup > Management > General Settings จากนั้นให้ทำการกำหนดค่าตามต้องการและคลิ๊กที่ OK และ commit

ผ่าน CLI

admin@PA-3020# set deviceconfig system hostname Running-config.PAN-FW timezone Asia/Bangkok

[edit]

admin@PA-3020# commit

...55%99%......100%

Configuration committed successfully

[edit]

admin@Running-config.PAN-FW> show ntp

NTP state:

NTP synched to 203.185.69.59

NTP server 203.185.69.59 connected: True

NTP server 203.185.69.60 connected: True

การจัดการ license
ไปที่ Device > Licenses > License Management และคลิ๊กที่ Retrieve license keys from license server และอุปกรณ์จะติดต่อไปยัง Server เพื่อดึงข้อมูลที่ได้ register license เอาไว้มาโดยอัตโนมัติ

การ Upgrade PAN-OS และ Update Content
เมื่อทำการติดตั้ง License เรียบร้อยแล้ว ก็ควรที่จะทำการ Upgrade PAN-OS และ Update Software โดยสามารถติดตามได้ในบทความ Content Update และ Upgrade PAN-OS บน Palo Alto Networks NGFW นะครับ

การเปลี่ยน Password Admin
ไปที่ Device > Administrators และเลือกที่ user ที่ต้องการเพื่อเข้าไปทำการเปลี่ยน Password หรือทำการสร้าง user ใหม่

Firewall Configuration
เมื่อทำการตั้งค่าการบริหารจัดการเบื้องต้น และจัดการด้าน license เสร็จเรียบร้อยแล้ว ก็จะเข้าสู่ขั้นตอนการตั้งค่า Firewall กันแล้วนะครับ โดยการตั้งค่าให้สามารถใช้งาน Firewall ในการควบคุมรูปแบบการติดต่อสื่อสารระหว่างแต่ละส่วนของระบบเครือข่ายเบื้องต้นได้นั้น จะมีขั้นตอนดังนี้

การสร้าง Security Zone
Layer 3 Interface configuration
Routing
การสร้าง Object
NAT
Security Policy

สำหรับตัวอย่างการตั้งค่า Palo Alto Networks NGFW ในวันนี้ จะมีรายละเอียดการใช้งานหมายเลข IP address และการเชื่อมต่อตามภาพด้านล่าง ดังนี้

Zone	Interface	IP address	Host/Device in each zone
External	Ethernet 1/1	110.0.0.1/29	Router Internet	110.0.0.6/29 0.0.0.0/0
DMZ	Ethernet 1/2	172.16.0.254/24	Web Server FTP Server	172.16.0.10/24 172.16.0.20/24
Internal	Ethernet 1/3	10.10.0.254/24	Floor1 Network	10.10.0.0/24
Internal	Ethernet 1/4	10.20.0.254/24	Floor2 Network	10.20.0.0/24

จากตัวอย่างการตั้งค่าด้านบนนี้ ได้มีการแบ่งระบบเครือข่ายออกเป็น 3 โซน คือ External, DMZ และ Internal โดยโซน External จะใช้ในการเชื่อมต่อไปยังเครือข่ายภายนอก หรืออินเทอร์เน็ต ส่วนโซน DMZ ซึ่งเป็นโซนที่มีไว้สำหรับรองรับการให้บริการที่ต้องมีการใช้งานจากเครือข่ายภายนอก เช่น Web Server, E-mail Server เป็นต้น (เป็นเสมือนโซนที่เป็น buffer ระหว่างเครือข่ายภายนอกและเครือข่ายภายใน เพื่อไม่ให้เครือข่ายภายนอกสามารถติดต่อสื่อสารกับเครือข่ายภายในได้โดยตรง) โดยจากตัวอย่างนี้จะมีการใช้งาน Server อยู่ 2 ชนิดคือ Web server ที่ใช้งานหมายเลขที่อยู่เป็น 172.16.0.10 และ FTP server ที่ใช้งานหมายเลขที่อยู่เป็น 172.16.0.20 และโซนสุดท้ายคือโซน Internal ซึ่งจะเชื่อมต่อไปยังเครือข่ายภายในขององค์กร โดยจากตัวอย่างนี้ ภายในโซน Internal จะมีการแบ่งเครือข่ายภายในเป็น 2 เครือข่ายคือ Floor 1 (10.10.0.0/24) และ Floor 2 (10.20.0.0/24) (บน Palo Alto Networks NGFW จะมีความพิเศษต่างจากหลาย ๆ ยี่ห้อ คือจะสามารถรวมหลาย ๆ Physical Interface ให้อยู่ภายในโซนเดียวกันได้ ต่างจากอีกหลาย ๆ ยี่ห้อ ที่มักจะกำหนดโซนเข้ากับ Physical Interface)

การตั้งค่า Security Zone
ผ่าน Web Interface

ไปที่ Network > Zones และคลิ๊กที่ Add เพื่อทำการสร้างโซนใหม่ โดยจากตัวอย่างนี้จะทำการสร้างโซนในระดับ Layer 3 ใหม่ 3 โซนด้วยกันคือ External, DMZ, Internal

การตั้งค่าอินเทอร์เฟสในระดับ Layer 3
ผ่าน Web Interface

ไปที่ Network > Interface > Ethernet และเลือกอินเทอร์เฟสที่ต้องการ จากนั้นเข้าไปทำการกำหนด Interface Type ให้เป็น Layer 3 และกำหนด Virtual Router เป็น default และเลือก Security Zone ตามที่ได้ออกแบบเอาไว้ จากนั้นคลิ๊กที่ IPv4 เพื่อทำการกำหนดหมายเลข IP address และคลิ๊กที่ OK

ผ่าน CLI

PAN-FW# set network interface ethernet ethernet1/1 layer3 ip 110.0.0.1/29

PAN-FW# set network interface ethernet ethernet1/2 layer3 ip 172.16.0.254/24

PAN-FW# set network interface ethernet ethernet1/3 layer3 ip 10.10.0.254/24

PAN-FW# set network interface ethernet ethernet1/4 layer3 ip 10.20.0.254/24

PAN-FW# set zone External network layer3 ethernet1/1

PAN-FW# set zone DMZ network layer3 ethernet1/2

PAN-FW# set zone Internal network layer3 ethernet1/3

PAN-FW# set zone Internal network layer3 ethernet1/4

การตั้งค่า Routing (default route)
จากตัวอย่างนี้ จะต้องมีการตั้งค่า default route เพื่อให้สามารถติดต่อกับอินเทอร์เน็ตได้ โดยจะต้องชี้ default route ไปที่ 110.0.0.6 ซึ่งเป็นหมายเลข IP address ของ next hop router

ผ่าน Web Interface

ไปที่ Network > Virtual Routers และคลิ๊กที่ default จากนั้นเลือก static routes > IPv4 จากนั้นทำการกำหนดค่า default route ในลักษณะตามภาพด้านล่าง และคลิ๊กที่ OK และ commit

และสามารถเรียกดู Routing Table ที่ใช้งานในปัจจุบันได้ โดยไปที่ Network > Virtual Routers เลือก Virtual Router ที่ต้องการและคลิ๊กที่ More Runtime Stats

ผ่าน CLI

admin@Running-config.PAN-FW# set network virtual-router default routing-table ip static-route default-route destination 0.0.0.0/0 interface ethernet1/1 nexthop ip-address 110.0.0.6

admin@Running-config.PAN-FW# commit

...55%98%........100%

Configuration committed successfully

admin@Running-config.PAN-FW> show routing route

flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp, Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2

VIRTUAL ROUTER: default (id 1)

==========

destination nexthop metric flags age interface next-AS

0.0.0.0/0 110.0.0.6 10 A S ethernet1/1

10.10.0.0/24 10.10.0.254 0 A C ethernet1/3

10.10.0.254/32 0.0.0.0 0 A H

10.20.0.0/24 10.20.0.254 0 A C ethernet1/4

10.20.0.254/32 0.0.0.0 0 A H

110.0.0.0/29 110.0.0.1 0 A C ethernet1/1

110.0.0.1/32 0.0.0.0 0 A H

172.16.0.0/24 172.16.0.254 0 A C ethernet1/2

172.16.0.254/32 0.0.0.0 0 A H

total routes shown: 9

การสร้าง Object
การสร้าง Object จะช่วยให้สามารถทำการตั้งค่า Policy ต่าง ๆ ได้สะดวกมากยิ่งขึ้น แทนที่จะใช้งานหมายเลข IP address หรือหมายเลขพอร์ตในการตั้งค่า ซึ่งยากต่อการใช้งานและจดจำ การใช้ Object จะทำให้เราสามารถกำหนดชื่อของกลุ่มหมายเลขที่อยู่หรือหมายเลขพอร์ตที่ต้องการได้ เช่นจากตัวอย่างนี้ ก็อาจจะมีการสร้าง Object เพื่อใช้งาน ดังนี้

Object	Host/Network	Description
FTP Server-Private	172.16.0.20	เป็น IP จริงของ FTP Server ที่ใช้งานภานในองค์กร
FTP Server-Public	110.0.0.2	เป็น IP ของ FTP Server สำหรับใช้งานจาก External Zone
Web Server-Private	172.16.0.10	เป็น IP จริงของ Web Server ที่ใช้งานภานในองค์กร
Web Server-Public	110.0.0.3	เป็น IP ของ Web Server สำหรับใช้งานจาก External Zone
Internal Floor 1	10.10.0.0/24	หมายเลขเครือข่ายของ Internal Floor 1
Internal Floor 2	10.20.0.0/24	หมายเลขเครือข่ายของ Internal Floor 2
Internal Network	Internal Floor 1 Internal Floor 2	เป็น Address Group สำหรับ Internal Network ทั้งหมด (ทั้ง Floor 1 และ Floor 2)

ผ่าน Web Interface
ไปที่ Objects > Addresses และคลิ๊กที่ Add จากนั้นทำการกำหนด Object Address ที่ต้องการ

และยังสามารถทำการตั้งค่า Address Group โดยจะเป็นการรวมกลุ่มของหลาย ๆ Address เข้าด้วยกันได้ โดยไปที่ Objects > Address Groups

ผ่าน CLI

การสร้าง Addresses Object

admin@Running-config.PAN-FW# set address "FTP Server-Public" description "NAT IP address of FTP Server" ip-netmask 110.0.0.2

[edit]

admin@Running-config.PAN-FW# show address

address {

"FTP Server-Private" {

ip-netmask 172.16.0.20;

description "Real IP Address of FTP Server";

}

"FTP Server-Public" {

ip-netmask 110.0.0.2;

description "NAT IP address of FTP Server";

}

"Web Server-Private" {

ip-netmask 172.16.0.10;

description "Real IP address of Web Server";

}

"Web Server-Public" {

ip-netmask 110.0.0.3;

description "NAT IP address of Web Server";

}

"Internal Floor 1" {

ip-netmask 10.10.0.0/24;

description "Internal Network Floor 1";

}

"Internal Floor 2" {

ip-netmask 10.20.0.0/24;

description "Internal Network Floor 2";

}

[edit]

การสร้าง Address Groups

admin@Running-config.PAN-FW# set address-group "Internal Network" static [ "Internal Floor 1" "Internal Floor 2" ]

[edit]

admin@Running-config.PAN-FW# show address-group

address-group {

"Internal Network" {

static [ "Internal Floor 1" "Internal Floor 2"];

}

[edit]

การตั้งค่า NAT
จากตัวอย่างการตั้งค่านี้ จะแสดงตัวอย่างการตั้งค่า NAT ในวิธีที่ใช้งานกันเป็นประจำ โดยจะมีรายละเอียด ดังนี้

NAT Type	Host/Network	External Zone NAT IP
Source NAT Static IP	FTP Server-Private 172.16.0.20	FTP Server-Public 110.0.0.2
Source NAT Dynamic IP and Port	Internal Network 10.10.0.0/24 10.20.0.0/24	ethernet 1/1 interface 110.0.0.1
Destination NAT Static IP and Port	Web Server-Private 172.16.0.10	Web Server-Public 110.0.0.3

FTP Server ใน DMZ Zone จะทำ NAT แบบ Static หรือ 1 ต่อ 1 จาก private IP address หมายเลข 172.16.0.20 จะถูกแปลงเป็น 110.0.0.2 เมื่อต้องการติดต่อกับ External Zone โดยจะไม่มีการเปลี่ยนแปลงหมายเลขพอร์ตของเครืองต้นทางแต่อย่างใด
Internal Network ทั้งหมด จะทำ NAT แบบ Dynamic IP and Port หรือ PAT นั่นเอง โดยจะใช้หมายเลข 110.0.0.1 หรืออินเทอร์เฟส ethernet 1/1 ของ firewall ในการติดต่อสื่อสารกับ External Zone โดยนอกจากจะทำการแปลงหมายเลข source IP Address มาใช้งานหมายเลข IP address เดียวกัน แล้วก็จะทำการแปลงหมายเลข source Port ไปด้วย
Web Server ใน DMZ Zone จะทำ NAT แบบ Destination NAT Static IP and Port หรือ Static PAT ซึ่งจะเป็นการแปลงหมายเลข IP Address แบบ one to one คล้าย ๆ กับการทำ Static NAT แต่จะมีการระบุหมายเลขพอร์ตไปด้วย โดยจากตัวอย่างนี้จะกำหนดให้ทำ NAT เฉพาะ TCP port 80 จากหมายเลข 110.0.0.3 port 80 แปลงมาเป็น 172.16.0.10 port 80 เท่านั้น จะไม่ทำการ NAT port อื่น ๆ มาด้วยเหมือนกับการใช้ Static NAT

ผ่าน Web Interface

การตั้งค่า NAT สามารถทำได้โดยไปที่ Policies > NAT > Add โดยเราจะใช้ Object Address ที่สร้างขึ้นมาในขั้นตอนที่ผ่านมาในการทำ Policy Source NAT Static IP สำหรับ FTP Server

Source NAT Dynamic IP and Port สำหรับ Internal Network

Destination NAT Static IP and Port สำหรับ Web Server

ในการตั้งค่า Destination NAT บน Palo Alto Networks NGFW จะะใช้ในกรณีที่ต้องการทำ Port Forwarding (Static PAT) เท่านั้น เนื่องจากเป็นเพียงหัวข้อเดียวที่ผมคิดว่ามีรูปแบบการตั้งค่าที่ค่อนข้างแปลก และยากต่อการเข้าใจ โดยในการตั้งค่า NAT Policy จะต้องทำการกำหนดให้โซนต้นทางและโซนปลายทางเป็นโซน Pre NAT เหมือนกัน จากนั้นที่ Original Packet จะเป็นหมายเลข IP address ในฝั่ง External ที่เป็นหมายเลข Pre NAT และ Translated Packet จะเป็นหมายเลข IP address ในฝั่ง DMZ Server ที่เป็นหมายเลข Post NAT

ผ่าน CLI

admin@Running-config.PAN-FW# set rulebase nat rules "FTP Server" from DMZ to External source "FTP Server-Private" to-interface ethernet1/1 source-translation static-ip bi-directional yes translated-address "FTP Server-Public"

[edit]

admin@Running-config.PAN-FW# set rulebase nat rules "Internal Network" from Internal to External source "Internal Network" source-translation dynamic-ip-and-port interface-address interface ethernet1/1 ip 110.0.0.1/29

[edit]

admin@Running-config.PAN-FW# set rulebase nat rules "Web Server" from External to External destination "Web Server-Public" service service-http destination-translation translated-address "Web Server-Private" translated-port 80

[edit]

การตั้งค่า Security Policy

ทำการตรวจสอบทราฟิกกับ policy ที่กำหนดทีละข้อเรียงตามลำดับจากบนลงล่าง
เมื่อพบว่าทราฟิกตรงกับ policy ข้อใดแล้ว ก็จะทำตาม action ที่กำหนดไว้ใน policy นั้น
เมื่อพบว่าทราฟิกตรงกับ policy ข้อใด และทำตาม action ที่กำหนดไปแล้ว จะไม่ทำการตรวจสอบ policy ข้อที่เหลืออีกต่อไป

ผ่าน Web Interface

จากตัวอย่างการตั้งค่านี้ ขอทำ Security Policy เฉพาะของ FTP Server ที่ต้องให้บริการกับผู้ใช้จากอินเทอร์เน็ตที่อยู่ใน External Zone เท่านั้นนะครับ โดยให้ไปที่ Policies > Security จากนั้นคลิ๊กที่ Add เพื่อทำการสร้าง Security Policy อันใหม่ขึ้นมา

ที่ tab : General ให้ทำการกำหนดชื่อ, Description, Tags ของ Policy

ที่ tab : Source ให้กำหนด Source Zone เป็น External และ Source Address เป็น Any (เป็น หมายเลข IP address อะไรก็ได้จากเครือข่ายภายนอก

ที่ tab : Destination ให้กำหนด Destination Zone เป็น DMZ และ Destination Address เป็นหมายเลข IP address ที่ทำ NAT ออกไป (110.0.0.2) ของ FTP Server ซึ่งจากตัวอย่างนี้จะใช้ Object Address ที่ได้สร้างไว้ก่อนหน้านี้มาใช้งาน

ที่ tab : Application ทำการเลือก Application ที่ต้องการ โดยสามารถทำการเลือก Application Filter เพื่อเรียกดูชนิดของ Application ที่ต้องการได้

ที่ tab : Service/URL Category จะเป็นการกำหนด Service ที่เป็น TCP หรือ UDP Port Number นั่นเอง แต่ถ้าเลือกใช้งานเป็น Application Default ก็จะใช้งานหมายเลขพอร์ตตาม Application ที่เลือกเอาไว้ เช่น web-browsing ก็จะใช้ TCP port 80 และ 8080 เป็นต้น

ที่ tab : Actions จะเป็นการกำหนดว่าจะให้ทำอย่างไรบ้างกับทราฟิกที่ตรงกับ Security Policy นี้ ไม่ว่าจะเป็นการ Deny หรือ Allow การเชื่อมต่อระหว่างแต่ละส่วนของเครือข่าย และรวมไปถึงการเปิดการทำงานของ Security Profile ต่าง ๆ ไม่ว่าจะเป็น Anti-Virus, Anti-Spyware, Vulnerability (IPS), URL Filtering, File Blocking, Data Filtering ก็จะทำการกำหนดค่าในหน้านี้เช่นกัน

ตัวอย่างการตั้งค่าและใช้งาน Security Policy

ผ่าน CLI

admin@Running-config.PAN-FW# set rulebase security rules "FTP Server-Public" from External to DMZ source any destination "FTP Server-Public" application ftp servicplication-default action allow profile-setting profiles url-filtering default virus default spyware default vulnerability default

[edit]

admin@Running-config.PAN-FW# set rulebase security rules "Web Server-Public" from External to DMZ source any destination "Web Server-Public" application web-browsing service application-default action allow profile-setting profiles url-filtering default virus default spyware default vulnerability default

[edit]

admin@Running-config.PAN-FW# set rulebase security rules "Block Social Network" from Internal to External source "Internal Network" destination any source-user any application [ facebook google-plus instagram youtube ] service application-default tag "Internal to Internet" action deny

[edit]

admin@Running-config.PAN-FW# set rulebase security rules "Internal to Internet" from Internal to External source "Internal Network" destination any source-user any application [ dns web-browsing ] service application-default tag "Internal to Internet" action allow profile-setting profiles url-filtering default virus default spyware default vulnerability default

[edit]

admin@Running-config.PAN-FW# show rulebase security

security {

rules {

"FTP Server-Public" {

profile-setting {

profiles {

url-filtering default;

virus default;

spyware default;

vulnerability default;

}

from External;

to DMZ;

source any;

destination "FTP Server-Public";

source-user any;

category any;

application ftp;

service application-default;

hip-profiles any;

action allow;

}

"Web Server-Public" {

profile-setting {

profiles {

url-filtering default;

virus default;

spyware default;

vulnerability default;

}

from External;

to DMZ;

source any;

destination "Web Server-Public";

source-user any;

category any;

application web-browsing;

service application-default;

hip-profiles any;

action allow;

}

"Block Social Network" {

from Internal;

to External;

source "Internal Network";

destination any;

source-user any;

category any;

application [ facebook google-plus instagram youtube];

service application-default;

hip-profiles any;

tag "Internal to Internet";

action deny;

}

"Internal to Internet" {

from Internal;

to External;

source "Internal Network";

destination any;

source-user any;

category any;

application [ dns web-browsing];

service application-default;

hip-profiles any;

tag "Internal to Internet";

action allow;

profile-setting {

profiles {

url-filtering default;

virus default;

spyware default;

vulnerability default;

}

[edit]

admin@Running-config.PAN-FW# commit

...55%75%99%.....100%

Configuration committed successfully

[edit]

เพียงเท่านี้ ก็จะเสร็จสิ้นการตั้งค่า Palo Alto Networks NGFW ในเบื้องต้นกันแล้วนะครับ แต่จริง ๆ แล้ว Feature ต่าง ๆ ยังคงมีอีกหลากหลายมาก แต่ในบทความนี้จะขอกล่าวถึงแค่ส่วนนี้ก่อนครับ โดยเมื่อเสร็จสิ้นการตั้งค่าเรียบร้อยแล้ว สิ่งที่สำคัญที่ไม่ควรจะลืมก็คือการสั่ง Commit เพื่อนำค่า Configuration ที่ได้ตั้งค่าเอาไว้ไปใช้งานนะครับ

การตรวจสอบเบื้องต้น
เมื่อทำการตั้งค่าเสร็จแล้ว เราสามารถตรวจสอบได้ว่าทราฟิกที่ต้องการนั้นจะไป match กับ Security Policy หรือ NAT Policy อันไหนที่เราสร้างขึ้นมาได้ ด้วยการใช้คำสั่ง Test นะครับ เช่น

admin@Running-config.PAN-FW> test security-policy-match from Internal to External source 10.10.0.1 destination 123.123.123.123 application facebook-base destination-port 80 protocol 6

"Block Social Network" {

from Internal;

source [ 10.10.0.0/24 10.20.0.0/24 ];

source-region none;

to External;

destination any;

destination-region none;

user any;

category any;

application/service [ facebook-chat/tcp/any/80 facebook-chat/tcp/any/443 facebook-mail/tcp/any/80 facebook-mail/tcp/any/443 facebook-base/tcp/any/80 facebook-base/tcp/any/443 youtube-base/tcp/any/80 youtube-base/tcp/any/443 facebook-apps/tcp/any/80 facebook-apps/tcp/any/443 facebook-social-/tcp/any/80 youtube-safety-m/tcp/any/80 facebook-posting/tcp/any/80 facebook-posting/tcp/any/443 youtube-uploadin/tcp/any/80 youtube-uploadin/tcp/any/443 google-plus-base/tcp/any/443 google-plus-post/tcp/any/443 youtube-posting/tcp/any/80 youtube-posting/tcp/any/443 facebook-file-sh/tcp/any/80 facebook-file-sh/tcp/any/443 instagram/tcp/any/80 instagram/tcp/any/443 ];

application/service(implicit) [ ssl/tcp/any/80 ssl/tcp/any/443 jabber/tcp/any/80 jabber/tcp/any/443 web-browsing/tcp/any/80 web-browsing/tcp/any/443 ];

action deny;

terminal no;

}

admin@Running-config.PAN-FW> test nat-policy-match from External to External source 123.123.123.123 destination 110.0.0.3 destination-port 80 protocol 6

Destination-NAT: Rule matched: Web Server

110.0.0.3:80 => 172.16.0.10:80

show log traffic

thanachaip@CBK-FW> show log traffic

Time App From Src Port Source

Rule Action To Dst Port Destina

Src User Dst User

===============================================================================

2014/05/07 07:00:03 incomplete DMZ 51507 192.168.120.5

dmz to internal allow Internal 445 192.168.100.4

2014/05/07 07:00:04 incomplete DMZ 51509 192.168.120.5

dmz to internal allow Internal 139 192.168.100.4

2014/05/07 07:00:04 incomplete DMZ 51508 192.168.120.5

dmz to internal allow Internal 445 192.168.100.4

2014/05/07 07:00:04 ssl External 47511 171.97.145.169

Public Mail Lomahte allow DMZ 443 110.78.163.178

2014/05/07 07:00:08 not-applicable External 12563 125.25.159.148

deny all deny External 443 110.78.163.177

2014/05/07 07:00:09 incomplete DMZ 51507 192.168.120.5

dmz to internal allow Internal 445 192.168.100.4

show session all

admin@Running-config.PAN-FW> show session all

--------------------------------------------------------------------------------

ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])

Vsys Dst[Dport]/Zone (translated IP[Port])

--------------------------------------------------------------------------------

246412 web-browsing ACTIVE FLOW NS 192.168.100.162[80]/Internal/17 (110.78.164.11[17824])

vsys1 88.87.13.71[1025]/External (88.87.13.71[1025])

255887 web-browsing ACTIVE FLOW NS 192.168.100.113[45795]/Internal/17 (110.78.164.11[30605])

vsys1 118.172.56.236[60683]/External (118.172.56.236[60683])

244062 web-browsing ACTIVE FLOW NS 192.168.100.162[80]/Internal/17 (110.78.164.11[10036])

vsys1 46.238.12.61[59911]/External (46.238.12.61[59911])

236516 web-browsing ACTIVE FLOW NS 192.168.100.162[80]/Internal/17 (110.78.164.11[26446])

vsys1 118.123.234.93[2041]/External (118.123.234.93[2041])

236578 web-browsing ACTIVE FLOW NS 192.168.100.162[80]/Internal/17 (110.78.164.11[47339])

vsys1 68.206.2.20[25485]/External (68.206.2.20[25485])

240510 web-browsing ACTIVE FLOW NS 192.168.100.162[80]/Internal/17 (110.78.164.11[10715])

vsys1 88.168.56.68[32617]/External (88.168.56.68[32617])

259929 web-browsing ACTIVE FLOW NS 192.168.100.113[45795]/Internal/17 (110.78.164.11[34155])

vsys1 114.109.138.167[60954]/External (114.109.138.167[60954])

249612 web-browsing ACTIVE FLOW NS 192.168.100.162[80]/Internal/17 (110.78.164.11[38182])

vsys1 37.122.62.101[41744]/External (37.122.62.101[41744])

show running-config

ยินดีต้อนรับสู่ show running-config ครับ

Thursday, September 25, 2014

การตั้งค่า Palo Alto Networks NGFW เบื้องต้น

2 comments :