ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Thursday, September 25, 2014

การตั้งค่า Palo Alto Networks NGFW เบื้องต้น


            การตั้งค่า Palo Alto Networks NGFW สามารถทำได้โดยไม่ยาก และยิ่งใช้การบริหารจัดการผ่านทาง Web Interface ซึ่งมีการจัดเรียงหน้าเมนูการใช้งานได้เป็นอย่างดี ดูแล้วสามารถเข้าใจ และคาดเดาได้ง่าย อีกทั้งยังมีคุณสมบัติต่าง ๆ ที่เพรียบพร้อมตามที่ Next-Generation Firewall ในปัจจุบันสามารถทำได้ โดยในบทความนี้ก็จะเป็นตัวอย่างการตั้งค่า Palo Alto Networks NGFW แบบพื้นฐานที่ใช้งานกันโดยทั่วไปกันก่อนนะครับ สำหรับตัวอย่างการตั้งค่าในวันนี้ก็จะประกอบไปด้วย 2 ขั้นตอนหลัก ๆ ดังนี้ครับ
  • การตั้งค่าการบริหารจัดการเบื้องต้น - เช่น การตั้งค่า IP Management, การติดตั้ง license, การตั้งค่าวันและเวลา เป็นต้น
  • การตั้งค่า Firewall - เช่น การตั้งค่า Routing, NAT, Security Policy เป็นต้น

การตั้งค่าการบริหารจัดการเบื้องต้น
            จากบทความ ทำความรู้จักกับ Palo Alto Networks NGFW จะเห็นว่าบน Palo Alto Networks NGFW จะมีการแยก Control Plane และ Data Plane ออกจากกัน ไม่ว่าจะเป็น CPU หรือ RAM รวมทั้ง Routing Table ที่จะมีเป็นของตัวเองแยกออกจากกัน ซึ่งโดยปกติแล้วในการเข้าไปบริหารจัดการอุปกรณ์จะต้องทำผ่านทาง Control Plane โดยใช้ Console Interface หรือ Management Interface (MGT) เท่านั้น ซึ่งจะทำให้สามารถเข้าไปบริหารจัดการอุปกรณ์ได้ทุกเวลา แม้แต่กระทั่งในเวลาที่โดนโจมตีหรือมีทราฟิกโหลดอยู่ก็ตาม
            ก่อนที่จะเริ่มทำการกำหนด Security Policy ให้กับทราฟิกที่ใช้งานอยู่ในระบบเครือข่าย เราควรที่จะทำการตั้งค่า Management Interface (MGT) และการบริหารจัดการต่าง ๆ เช่น การตั้งค่าวันและเวลาให้ตรงกับปัจจุบันให้เรียบร้อยก่อน โดยตัวอย่างการตั้งค่าในวันนี้จะใช้งาน PAN-OS version 6.0.4 นะครับ

ตั้งค่าอินเทอร์เฟส Management
             ในการเข้าไปบริหารจัดการ Palo Alto Networks NGFW สามารถทำได้ผ่านทาง Console Port (Baud rate : 9600, Data Bit : 8, Parity : none, Stop bit : 1) หรืออินเทอร์เฟส MGT ก็ได้ โดยบนอินเทอร์เฟส MGT จะมีการกำหนดค่าโดย Default ดังนี้
            IP address : 192.168.1.1
            Username : admin
            Password : admin

            โดยในการเริ่มตั้งค่าอุปกรณ์จะสามารถใช้ Browser เรียกไปยัง https://192.168.1.1 สำหรับเข้าไปบริหารจัดการอุปกรณ์ผ่านทาง Web Interface หรือจะใช้ SSH หรือ Console Port เข้าไปบริหารจัดการผ่านทาง CLI ก็ได้

         ผ่านทาง Web Interface

         ผ่านทาง CLI
Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment.
admin@PA-3020> show system info
hostname: PA-3020
ip-address: 192.168.1.1
netmask: 255.255.255.0
default-gateway:
ipv6-address: unknown
ipv6-link-local-address: fe80::21b:17ff:feff:eea8/64
ipv6-default-gateway:
mac-address: 00:1b:17:ff:ee:a8


         และถ้าต้องการเปลี่ยนหมายเลข IP address และกำหนดค่าอื่น ๆ เช่น Default Gateway, DNS, NTP ของ Management Interface จะสามารถทำได้ดังนี้

         ผ่านทาง Web Interface
    1. การกำหนดหมายเลข IP address และ Default Gateway ให้ไปที่ Device > Setup > Management > Management Interface Settings จากนั้นคลิ๊กที่ Edit และทำการกำหนดหมายเลข IP address ตามต้องการ จากนั้นคลิ๊กที่ OK
    2. การกำหนด DNS Server และ NTP Server (เพื่อให้ Palo Alto Networks NGFW สามารถเชื่อมต่อกลับไปยัง Server สำหรับการติดตั้ง license และ update content ต่าง ๆ ได้) สามารถทำได้โดยไปที่ Device > Setup > Services > Services และคลิ๊กที่ Edit จากนั้นให้กำหนดหมายเลข DNS Server และ NTP Server ตามต้องการ จากนั้นคลิ๊กที่ OK
    3. เมื่อทำการกำหนดค่าเสร็จ และคลิ๊กที่ OK แล้ว ค่า configuration นี้จะเป็น candidate configuration ซึ่งจะยังไม่ได้ถูกนำไปใช้งานจนกว่าจะคลิ๊กที่ commit โดยถ้า commit ผ่านแล้ว ค่า configuration นี้จะเรียกว่า running configuration และจะถูกนำไปใช้งานบนอุปกรณ์

         ผ่านทาง CLI
    1. เมื่อทำการกำหนดค่าเสร็จ และคลิ๊กที่ OK แล้ว ค่า configuration นี้จะเป็น candidate configuration ซึ่งจะยังไม่ได้ถูกนำไปใช้งานจนกว่าจะคลิ๊กที่ commit โดยถ้า commit ผ่านแล้ว ค่า configuration นี้จะเรียกว่า running configuration และจะถูกนำไปใช้งานบนอุปกรณ์
admin@PA-3020# set deviceconfig system ip-address 192.168.100.30 netmask 255.255.255.0 default-gateway 192.168.100.254 ntp-server-1 203.185.69.59 ntp-server-2 203.185.69.60 dns-setting servers primary 192.168.120.5 secondary 192.168.150.5

[edit]                                                                          
admin@PA-3020# commit

...55%99%.....100%
Configuration committed successfully
[edit]                                                                          
admin@PA-3020# 

            จากนั้น สามารถทำการทดสอบด้วยการ ping ไปยัง updates.paloaltonetworks.com เพื่อตรวจสอบว่าอุปกรณ์สามารถเชื่อมต่อไปยัง Server สำหรับ Install license และ update content ต่าง ๆ ได้หรือไม่
admin@PA-3020> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (199.167.52.13) 56(84) bytes of data.
64 bytes from 199.167.52.13: icmp_seq=1 ttl=239 time=339 ms
64 bytes from 199.167.52.13: icmp_seq=2 ttl=239 time=335 ms
64 bytes from 199.167.52.13: icmp_seq=3 ttl=239 time=336 ms
64 bytes from 199.167.52.13: icmp_seq=4 ttl=239 time=340 ms
64 bytes from 199.167.52.13: icmp_seq=5 ttl=239 time=342 ms
64 bytes from 199.167.52.13: icmp_seq=6 ttl=239 time=337 ms
^C
--- updates.paloaltonetworks.com ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5004ms
rtt min/avg/max/mdev = 335.974/338.674/342.438/2.282 ms


ตั้งค่าการบริหารจัดการอื่น ๆ
         การตั้งค่าการบริหารจัดการอื่น ๆ อย่างเช่น hostname, วันที่และเวลา, การเปลี่ยน password admin เป็นต้น

         ผ่าน Web Interface
    ไปที่ Device > Setup > Management > General Settings จากนั้นให้ทำการกำหนดค่าตามต้องการและคลิ๊กที่ OK และ commit


         ผ่าน CLI
admin@PA-3020# set deviceconfig system hostname Running-config.PAN-FW timezone Asia/Bangkok 

[edit]                                   
admin@PA-3020# commit 

...55%99%......100%
Configuration committed successfully

[edit]                                          

admin@Running-config.PAN-FW> show ntp 

NTP state:
    NTP synched to 203.185.69.59
    NTP server 203.185.69.59 connected: True
    NTP server 203.185.69.60 connected: True

การจัดการ license
            ไปที่ Device > Licenses > License Management และคลิ๊กที่ Retrieve license keys from license server และอุปกรณ์จะติดต่อไปยัง Server เพื่อดึงข้อมูลที่ได้ register license เอาไว้มาโดยอัตโนมัติ



การ Upgrade PAN-OS และ Update Content
            เมื่อทำการติดตั้ง License เรียบร้อยแล้ว ก็ควรที่จะทำการ Upgrade PAN-OS และ Update Software โดยสามารถติดตามได้ในบทความ Content Update และ Upgrade PAN-OS บน Palo Alto Networks NGFW นะครับ

การเปลี่ยน Password Admin
            ไปที่ Device > Administrators และเลือกที่ user ที่ต้องการเพื่อเข้าไปทำการเปลี่ยน Password หรือทำการสร้าง user ใหม่

Firewall Configuration
            เมื่อทำการตั้งค่าการบริหารจัดการเบื้องต้น และจัดการด้าน license เสร็จเรียบร้อยแล้ว ก็จะเข้าสู่ขั้นตอนการตั้งค่า Firewall กันแล้วนะครับ โดยการตั้งค่าให้สามารถใช้งาน Firewall ในการควบคุมรูปแบบการติดต่อสื่อสารระหว่างแต่ละส่วนของระบบเครือข่ายเบื้องต้นได้นั้น จะมีขั้นตอนดังนี้
  1. การสร้าง Security Zone
  2. Layer 3 Interface configuration
  3. Routing
  4. การสร้าง Object
  5. NAT
  6. Security Policy
            สำหรับตัวอย่างการตั้งค่า Palo Alto Networks NGFW ในวันนี้ จะมีรายละเอียดการใช้งานหมายเลข IP address และการเชื่อมต่อตามภาพด้านล่าง ดังนี้

Zone
Interface
IP address
Host/Device in each zone
External
Ethernet 1/1
110.0.0.1/29
Router
Internet
110.0.0.6/29
0.0.0.0/0
DMZ
Ethernet 1/2
172.16.0.254/24
Web Server
FTP Server
172.16.0.10/24
172.16.0.20/24
Internal
Ethernet 1/3
10.10.0.254/24
Floor1 Network
10.10.0.0/24
Ethernet 1/4
10.20.0.254/24
Floor2 Network
10.20.0.0/24



            จากตัวอย่างการตั้งค่าด้านบนนี้ ได้มีการแบ่งระบบเครือข่ายออกเป็น 3 โซน คือ External, DMZ และ Internal โดยโซน External จะใช้ในการเชื่อมต่อไปยังเครือข่ายภายนอก หรืออินเทอร์เน็ต ส่วนโซน DMZ ซึ่งเป็นโซนที่มีไว้สำหรับรองรับการให้บริการที่ต้องมีการใช้งานจากเครือข่ายภายนอก เช่น Web Server, E-mail Server เป็นต้น (เป็นเสมือนโซนที่เป็น buffer ระหว่างเครือข่ายภายนอกและเครือข่ายภายใน เพื่อไม่ให้เครือข่ายภายนอกสามารถติดต่อสื่อสารกับเครือข่ายภายในได้โดยตรง) โดยจากตัวอย่างนี้จะมีการใช้งาน Server อยู่ 2 ชนิดคือ Web server ที่ใช้งานหมายเลขที่อยู่เป็น 172.16.0.10 และ FTP server ที่ใช้งานหมายเลขที่อยู่เป็น 172.16.0.20 และโซนสุดท้ายคือโซน Internal ซึ่งจะเชื่อมต่อไปยังเครือข่ายภายในขององค์กร โดยจากตัวอย่างนี้ ภายในโซน Internal จะมีการแบ่งเครือข่ายภายในเป็น 2 เครือข่ายคือ Floor 1 (10.10.0.0/24) และ Floor 2 (10.20.0.0/24) (บน Palo Alto Networks NGFW จะมีความพิเศษต่างจากหลาย ๆ ยี่ห้อ คือจะสามารถรวมหลาย ๆ Physical Interface ให้อยู่ภายในโซนเดียวกันได้ ต่างจากอีกหลาย ๆ ยี่ห้อ ที่มักจะกำหนดโซนเข้ากับ Physical Interface)

การตั้งค่า Security Zone
         ผ่าน Web Interface
    ไปที่ Network > Zones และคลิ๊กที่ Add เพื่อทำการสร้างโซนใหม่ โดยจากตัวอย่างนี้จะทำการสร้างโซนในระดับ Layer 3 ใหม่ 3 โซนด้วยกันคือ External, DMZ, Internal


การตั้งค่าอินเทอร์เฟสในระดับ Layer 3
         ผ่าน Web Interface
    ไปที่ Network > Interface > Ethernet และเลือกอินเทอร์เฟสที่ต้องการ จากนั้นเข้าไปทำการกำหนด Interface Type ให้เป็น Layer 3 และกำหนด Virtual Router เป็น default และเลือก Security Zone ตามที่ได้ออกแบบเอาไว้ จากนั้นคลิ๊กที่ IPv4 เพื่อทำการกำหนดหมายเลข IP address และคลิ๊กที่ OK



         ผ่าน CLI
PAN-FW# set network interface ethernet ethernet1/1 layer3 ip 110.0.0.1/29
PAN-FW# set network interface ethernet ethernet1/2 layer3 ip 172.16.0.254/24
PAN-FW# set network interface ethernet ethernet1/3 layer3 ip 10.10.0.254/24
PAN-FW# set network interface ethernet ethernet1/4 layer3 ip 10.20.0.254/24
PAN-FW# set zone External network layer3 ethernet1/1
PAN-FW# set zone DMZ network layer3 ethernet1/2
PAN-FW# set zone Internal network layer3 ethernet1/3
PAN-FW# set zone Internal network layer3 ethernet1/4

การตั้งค่า Routing (default route)
         จากตัวอย่างนี้ จะต้องมีการตั้งค่า default route เพื่อให้สามารถติดต่อกับอินเทอร์เน็ตได้ โดยจะต้องชี้ default route ไปที่ 110.0.0.6 ซึ่งเป็นหมายเลข IP address ของ next hop router

         ผ่าน Web Interface
    ไปที่ Network > Virtual Routers และคลิ๊กที่ default จากนั้นเลือก static routes > IPv4 จากนั้นทำการกำหนดค่า default route ในลักษณะตามภาพด้านล่าง และคลิ๊กที่ OK และ commit

    และสามารถเรียกดู Routing Table ที่ใช้งานในปัจจุบันได้ โดยไปที่ Network > Virtual Routers เลือก Virtual Router ที่ต้องการและคลิ๊กที่ More Runtime Stats

         ผ่าน CLI
admin@Running-config.PAN-FW# set network virtual-router default routing-table ip static-route default-route destination 0.0.0.0/0 interface ethernet1/1 nexthop ip-address 110.0.0.6

admin@Running-config.PAN-FW# commit


...55%98%........100%
Configuration committed successfully

admin@Running-config.PAN-FW> show routing route 

flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp, Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2

  
VIRTUAL ROUTER: default (id 1)
  ==========
destination             nexthop       metric flags   age   interface          next-AS    
0.0.0.0/0              110.0.0.6       10     A S          ethernet1/1
10.10.0.0/24           10.10.0.254     0      A C          ethernet1/3
10.10.0.254/32         0.0.0.0         0      A H                            
10.20.0.0/24           10.20.0.254     0      A C          ethernet1/4       
10.20.0.254/32         0.0.0.0         0      A H                      
110.0.0.0/29           110.0.0.1       0      A C          ethernet1/1
110.0.0.1/32           0.0.0.0         0      A H                            
172.16.0.0/24          172.16.0.254    0      A C          ethernet1/2
172.16.0.254/32        0.0.0.0         0      A H                                            
total routes shown: 9

การสร้าง Object
         การสร้าง Object จะช่วยให้สามารถทำการตั้งค่า Policy ต่าง ๆ ได้สะดวกมากยิ่งขึ้น แทนที่จะใช้งานหมายเลข IP address หรือหมายเลขพอร์ตในการตั้งค่า ซึ่งยากต่อการใช้งานและจดจำ การใช้ Object จะทำให้เราสามารถกำหนดชื่อของกลุ่มหมายเลขที่อยู่หรือหมายเลขพอร์ตที่ต้องการได้ เช่นจากตัวอย่างนี้ ก็อาจจะมีการสร้าง Object เพื่อใช้งาน ดังนี้

Object
Host/Network
Description
FTP Server-Private
172.16.0.20
เป็น IP จริงของ FTP Server ที่ใช้งานภานในองค์กร
FTP Server-Public
110.0.0.2
เป็น IP ของ FTP Server สำหรับใช้งานจาก External Zone
Web Server-Private
172.16.0.10
เป็น IP จริงของ Web Server ที่ใช้งานภานในองค์กร
Web Server-Public
110.0.0.3
เป็น IP ของ Web Server สำหรับใช้งานจาก External Zone
Internal Floor 1
10.10.0.0/24
หมายเลขเครือข่ายของ Internal Floor 1
Internal Floor 2
10.20.0.0/24
หมายเลขเครือข่ายของ Internal Floor 2
Internal Network
Internal Floor 1
Internal Floor 2
เป็น Address Group สำหรับ Internal Network ทั้งหมด (ทั้ง Floor 1 และ Floor 2)

         ผ่าน Web Interface
          ไปที่ Objects > Addresses และคลิ๊กที่ Add จากนั้นทำการกำหนด Object Address ที่ต้องการ

    และยังสามารถทำการตั้งค่า Address Group โดยจะเป็นการรวมกลุ่มของหลาย ๆ Address เข้าด้วยกันได้ โดยไปที่ Objects > Address Groups

    ผ่าน CLI
     การสร้าง Addresses Object
admin@Running-config.PAN-FW# set address "FTP Server-Public" description "NAT IP address of FTP Server" ip-netmask 110.0.0.2 

[edit] 
admin@Running-config.PAN-FW# show address 
address {
  "FTP Server-Private" {
    ip-netmask 172.16.0.20;
    description "Real IP Address of FTP Server";
  }
  "FTP Server-Public" {
    ip-netmask 110.0.0.2;
    description "NAT IP address of FTP Server";
  }
  "Web Server-Private" {
    ip-netmask 172.16.0.10;
    description "Real IP address of Web Server";
  }
  "Web Server-Public" {
    ip-netmask 110.0.0.3;
    description "NAT IP address of Web Server";
  }
  "Internal Floor 1" {
    ip-netmask 10.10.0.0/24;
    description "Internal Network Floor 1";
  }
  "Internal Floor 2" {
    ip-netmask 10.20.0.0/24;
    description "Internal Network Floor 2";
  }
}
[edit]

             การสร้าง Address Groups
admin@Running-config.PAN-FW# set address-group "Internal Network" static [ "Internal Floor 1" "Internal Floor 2" ] 

[edit] 
admin@Running-config.PAN-FW# show address-group 
address-group {
  "Internal Network" {
    static [ "Internal Floor 1" "Internal Floor 2"];
  }
}
[edit] 
  
การตั้งค่า NAT
         จากตัวอย่างการตั้งค่านี้ จะแสดงตัวอย่างการตั้งค่า NAT ในวิธีที่ใช้งานกันเป็นประจำ โดยจะมีรายละเอียด ดังนี้
NAT Type
Host/Network
External Zone NAT IP
Source NAT Static IP
FTP Server-Private
172.16.0.20
FTP Server-Public
110.0.0.2
Source NAT Dynamic IP and Port
Internal Network
10.10.0.0/24
10.20.0.0/24
ethernet 1/1 interface
110.0.0.1
Destination NAT Static IP and Port
Web Server-Private
172.16.0.10
Web Server-Public
110.0.0.3

  • FTP Server ใน DMZ Zone จะทำ NAT แบบ Static หรือ 1 ต่อ 1 จาก private IP address หมายเลข 172.16.0.20 จะถูกแปลงเป็น 110.0.0.2 เมื่อต้องการติดต่อกับ External Zone โดยจะไม่มีการเปลี่ยนแปลงหมายเลขพอร์ตของเครืองต้นทางแต่อย่างใด 
  • Internal Network ทั้งหมด จะทำ NAT แบบ Dynamic IP and Port หรือ PAT นั่นเอง โดยจะใช้หมายเลข 110.0.0.1 หรืออินเทอร์เฟส ethernet 1/1 ของ firewall ในการติดต่อสื่อสารกับ External Zone โดยนอกจากจะทำการแปลงหมายเลข source IP Address  มาใช้งานหมายเลข IP address เดียวกัน แล้วก็จะทำการแปลงหมายเลข source Port ไปด้วย
  • Web Server ใน DMZ Zone จะทำ NAT แบบ Destination NAT Static IP and Port หรือ Static PAT ซึ่งจะเป็นการแปลงหมายเลข IP Address แบบ one to one คล้าย ๆ กับการทำ Static NAT แต่จะมีการระบุหมายเลขพอร์ตไปด้วย โดยจากตัวอย่างนี้จะกำหนดให้ทำ NAT เฉพาะ TCP port 80 จากหมายเลข 110.0.0.3 port 80 แปลงมาเป็น 172.16.0.10 port 80 เท่านั้น จะไม่ทำการ NAT port อื่น ๆ มาด้วยเหมือนกับการใช้ Static NAT 

         ผ่าน Web Interface
    การตั้งค่า NAT สามารถทำได้โดยไปที่ Policies > NAT > Add โดยเราจะใช้ Object Address ที่สร้างขึ้นมาในขั้นตอนที่ผ่านมาในการทำ Policy
         Source NAT Static IP สำหรับ FTP Server



         Source NAT Dynamic IP and Port สำหรับ Internal Network




         Destination NAT Static IP and Port สำหรับ Web Server


    ในการตั้งค่า Destination NAT บน Palo Alto Networks NGFW จะะใช้ในกรณีที่ต้องการทำ Port Forwarding (Static PAT) เท่านั้น เนื่องจากเป็นเพียงหัวข้อเดียวที่ผมคิดว่ามีรูปแบบการตั้งค่าที่ค่อนข้างแปลก และยากต่อการเข้าใจ โดยในการตั้งค่า NAT Policy จะต้องทำการกำหนดให้โซนต้นทางและโซนปลายทางเป็นโซน Pre NAT เหมือนกัน จากนั้นที่ Original Packet จะเป็นหมายเลข IP address ในฝั่ง External ที่เป็นหมายเลข Pre NAT และ Translated Packet จะเป็นหมายเลข IP address ในฝั่ง DMZ Server ที่เป็นหมายเลข Post NAT

         ผ่าน CLI
admin@Running-config.PAN-FW# set rulebase nat rules "FTP Server" from DMZ to External source "FTP Server-Private" to-interface ethernet1/1 source-translation static-ip bi-directional yes translated-address "FTP Server-Public" 

[edit]       

[edit]  
admin@Running-config.PAN-FW# set rulebase nat rules "Internal Network" from Internal to External source "Internal Network" source-translation dynamic-ip-and-port interface-address interface ethernet1/1 ip 110.0.0.1/29 

[edit] 
admin@Running-config.PAN-FW# set rulebase nat rules "Web Server" from External to External destination "Web Server-Public" service service-http destination-translation translated-address "Web Server-Private" translated-port 80 

[edit]   

การตั้งค่า Security Policy
    การตั้งค่า policy สำหรับควบคุมรูปแบบทราฟิกที่จะอนุญาตหรือ ไม่อนุญาตให้เข้าใช้งานในส่วนต่าง ๆ ของระบบเครือข่าย จะมีหลักการตั้งค่าและทำงานที่คล้ายกับ Firewall ทั่วไป คือ
    1. ทำการตรวจสอบทราฟิกกับ policy ที่กำหนดทีละข้อเรียงตามลำดับจากบนลงล่าง
    2. เมื่อพบว่าทราฟิกตรงกับ policy ข้อใดแล้ว ก็จะทำตาม action ที่กำหนดไว้ใน policy นั้น
    3. เมื่อพบว่าทราฟิกตรงกับ policy ข้อใด และทำตาม action ที่กำหนดไปแล้ว จะไม่ทำการตรวจสอบ policy ข้อที่เหลืออีกต่อไป

    การใช้งาน Security Policy บน Palo Alto Networks NGFW นอกเหนือจากที่จะใช้ในการกำหนด Layer 4/7 Firewall Policy เหมือนกับ Firewall ยี่ห้ออื่น ๆ  แล้ว สิ่งที่แตกต่างจาก Firewall ยี่ห้ออื่น ๆ ก็คือ จะใช้ Security Policy เพียงอันเดียวในการเปิดการทำงานของ Security Profile ต่าง ๆ ไม่ว่าจะเป็น Anti-Virus, Anti-Spyware, Vulnerability (IPS), URL Filtering, File Blocking, Data Filtering เพื่อให้ทำการตรวจสอบในระดับ Content ของทราฟิกเพิ่มเติม ซึ่งในการตั้งค่าจะสามารถใช้ policy เพียงข้อเดียวในการกำหนด Security Profile ทั้งหมด ไม่ต้องแยกส่วนในการตั้งค่า policy แต่ละชนิดออกจากกันเหมือนกับ Firewall ยี่ห้ออื่น ๆ
         ผ่าน Web Interface
    จากตัวอย่างการตั้งค่านี้ ขอทำ Security Policy เฉพาะของ FTP Server ที่ต้องให้บริการกับผู้ใช้จากอินเทอร์เน็ตที่อยู่ใน External Zone เท่านั้นนะครับ โดยให้ไปที่ Policies > Security จากนั้นคลิ๊กที่ Add เพื่อทำการสร้าง Security Policy อันใหม่ขึ้นมา
            ที่ tab : General ให้ทำการกำหนดชื่อ, Description, Tags ของ Policy
            ที่ tab : Source ให้กำหนด Source Zone เป็น External และ Source Address เป็น Any (เป็น หมายเลข IP address อะไรก็ได้จากเครือข่ายภายนอก

            ที่ tab : Destination ให้กำหนด Destination Zone เป็น DMZ และ Destination Address เป็นหมายเลข IP address ที่ทำ NAT ออกไป (110.0.0.2) ของ FTP Server ซึ่งจากตัวอย่างนี้จะใช้ Object Address ที่ได้สร้างไว้ก่อนหน้านี้มาใช้งาน
            ที่ tab : Application ทำการเลือก Application ที่ต้องการ โดยสามารถทำการเลือก Application Filter เพื่อเรียกดูชนิดของ Application ที่ต้องการได้


            ที่ tab : Service/URL Category จะเป็นการกำหนด Service ที่เป็น TCP หรือ UDP Port Number นั่นเอง แต่ถ้าเลือกใช้งานเป็น Application Default ก็จะใช้งานหมายเลขพอร์ตตาม Application ที่เลือกเอาไว้ เช่น web-browsing ก็จะใช้ TCP port 80 และ 8080 เป็นต้น
            ที่ tab : Actions จะเป็นการกำหนดว่าจะให้ทำอย่างไรบ้างกับทราฟิกที่ตรงกับ Security Policy นี้ ไม่ว่าจะเป็นการ Deny หรือ Allow การเชื่อมต่อระหว่างแต่ละส่วนของเครือข่าย และรวมไปถึงการเปิดการทำงานของ Security Profile ต่าง ๆ ไม่ว่าจะเป็น Anti-Virus, Anti-Spyware, Vulnerability (IPS), URL Filtering, File Blocking, Data Filtering ก็จะทำการกำหนดค่าในหน้านี้เช่นกัน 

ตัวอย่างการตั้งค่าและใช้งาน Security Policy



         ผ่าน CLI

admin@Running-config.PAN-FW# set rulebase security rules "FTP Server-Public" from External to DMZ source any destination "FTP Server-Public" application ftp servicplication-default action allow profile-setting profiles url-filtering default virus default spyware default vulnerability default 

[edit]                                                                                                                                                                 
admin@Running-config.PAN-FW# set rulebase security rules "Web Server-Public" from External to DMZ source any destination "Web Server-Public" application web-browsing service application-default action allow profile-setting profiles url-filtering default virus default spyware default vulnerability default 

[edit]                                                                                                                                                             
admin@Running-config.PAN-FW# set rulebase security rules "Block Social Network" from Internal to External source "Internal Network" destination any source-user any application [ facebook google-plus instagram youtube ] service application-default tag "Internal to Internet" action deny 

[edit]                                                                                                                                                             
admin@Running-config.PAN-FW# set rulebase security rules "Internal to Internet" from Internal to External source "Internal Network" destination any source-user any application [ dns web-browsing ] service application-default tag "Internal to Internet" action allow profile-setting profiles url-filtering default virus default spyware default vulnerability default 

[edit]  

admin@Running-config.PAN-FW# show rulebase security 
security {
  rules {
    "FTP Server-Public" {
      profile-setting {
        profiles {
          url-filtering default;
          virus default;
          spyware default;
          vulnerability default;
        }
      }
      from External;
      to DMZ;
      source any;
      destination "FTP Server-Public";
      source-user any;
      category any;
      application ftp;
      service application-default;
      hip-profiles any;
      action allow;
    }
    "Web Server-Public" {
      profile-setting {
        profiles {
          url-filtering default;
          virus default;
          spyware default;
          vulnerability default;
        }
      }
      from External;
      to DMZ;
      source any;
      destination "Web Server-Public";
      source-user any;
      category any;
      application web-browsing;
      service application-default;
      hip-profiles any;
      action allow;
    }
    "Block Social Network" {
      from Internal;
      to External;
      source "Internal Network";
      destination any;
      source-user any;
      category any;
      application [ facebook google-plus instagram youtube];
      service application-default;
      hip-profiles any;
      tag "Internal to Internet";
      action deny;
    }
    "Internal to Internet" {
      from Internal;
      to External;
      source "Internal Network";
      destination any;
      source-user any;
      category any;
      application [ dns web-browsing];
      service application-default;
      hip-profiles any;
      tag "Internal to Internet";
      action allow;
      profile-setting {
        profiles {
          url-filtering default;
          virus default;
          spyware default;
          vulnerability default;
        }
      }
    }
  }
}
[edit]  
admin@Running-config.PAN-FW# commit 

...55%75%99%.....100%
Configuration committed successfully

[edit]  


          เพียงเท่านี้ ก็จะเสร็จสิ้นการตั้งค่า Palo Alto Networks NGFW ในเบื้องต้นกันแล้วนะครับ แต่จริง ๆ แล้ว Feature ต่าง ๆ ยังคงมีอีกหลากหลายมาก แต่ในบทความนี้จะขอกล่าวถึงแค่ส่วนนี้ก่อนครับ โดยเมื่อเสร็จสิ้นการตั้งค่าเรียบร้อยแล้ว สิ่งที่สำคัญที่ไม่ควรจะลืมก็คือการสั่ง Commit เพื่อนำค่า Configuration ที่ได้ตั้งค่าเอาไว้ไปใช้งานนะครับ


การตรวจสอบเบื้องต้น
           เมื่อทำการตั้งค่าเสร็จแล้ว เราสามารถตรวจสอบได้ว่าทราฟิกที่ต้องการนั้นจะไป match กับ Security Policy หรือ NAT Policy อันไหนที่เราสร้างขึ้นมาได้ ด้วยการใช้คำสั่ง Test นะครับ เช่น

admin@Running-config.PAN-FW> test security-policy-match from Internal to External source 10.10.0.1 destination 123.123.123.123 application facebook-base destination-port 80 protocol 6

"Block Social Network" {
        from Internal;
        source [ 10.10.0.0/24 10.20.0.0/24 ];
        source-region none;
        to External;
        destination any;
        destination-region none;
        user any;
        category any;
        application/service [ facebook-chat/tcp/any/80 facebook-chat/tcp/any/443 facebook-mail/tcp/any/80 facebook-mail/tcp/any/443 facebook-base/tcp/any/80 facebook-base/tcp/any/443 youtube-base/tcp/any/80 youtube-base/tcp/any/443 facebook-apps/tcp/any/80 facebook-apps/tcp/any/443 facebook-social-/tcp/any/80 youtube-safety-m/tcp/any/80 facebook-posting/tcp/any/80 facebook-posting/tcp/any/443 youtube-uploadin/tcp/any/80 youtube-uploadin/tcp/any/443 google-plus-base/tcp/any/443 google-plus-post/tcp/any/443 youtube-posting/tcp/any/80 youtube-posting/tcp/any/443 facebook-file-sh/tcp/any/80 facebook-file-sh/tcp/any/443 instagram/tcp/any/80 instagram/tcp/any/443 ];
        application/service(implicit) [ ssl/tcp/any/80 ssl/tcp/any/443 jabber/tcp/any/80 jabber/tcp/any/443 web-browsing/tcp/any/80 web-browsing/tcp/any/443 ];
        action deny;
        terminal no;
}

admin@Running-config.PAN-FW> test nat-policy-match from External to External source 123.123.123.123 destination 110.0.0.3 destination-port 80 protocol 6

Destination-NAT: Rule matched: Web Server
110.0.0.3:80 => 172.16.0.10:80

show log traffic

thanachaip@CBK-FW> show log traffic 
Time                App             From            Src Port          Source
Rule                Action          To              Dst Port          Destina
                    Src User        Dst User
===============================================================================
2014/05/07 07:00:03 incomplete      DMZ             51507             192.168.120.5
dmz to internal     allow           Internal        445               192.168.100.4
                                    
2014/05/07 07:00:04 incomplete      DMZ             51509             192.168.120.5
dmz to internal     allow           Internal        139               192.168.100.4
                                    
2014/05/07 07:00:04 incomplete      DMZ             51508             192.168.120.5
dmz to internal     allow           Internal        445               192.168.100.4
                                    
2014/05/07 07:00:04 ssl             External        47511             171.97.145.169
Public Mail Lomahte allow           DMZ             443               110.78.163.178
                                    
2014/05/07 07:00:08 not-applicable  External        12563             125.25.159.148
deny all            deny            External        443               110.78.163.177
                                    
2014/05/07 07:00:09 incomplete      DMZ             51507             192.168.120.5
dmz to internal     allow           Internal        445               192.168.100.4

show session all

admin@Running-config.PAN-FW> show session all

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
246412       web-browsing     ACTIVE  FLOW  NS   192.168.100.162[80]/Internal/17  (110.78.164.11[17824])
vsys1                                          88.87.13.71[1025]/External  (88.87.13.71[1025])
255887       web-browsing     ACTIVE  FLOW  NS   192.168.100.113[45795]/Internal/17  (110.78.164.11[30605])
vsys1                                          118.172.56.236[60683]/External  (118.172.56.236[60683])
244062       web-browsing     ACTIVE  FLOW  NS   192.168.100.162[80]/Internal/17  (110.78.164.11[10036])
vsys1                                          46.238.12.61[59911]/External  (46.238.12.61[59911])
236516       web-browsing     ACTIVE  FLOW  NS   192.168.100.162[80]/Internal/17  (110.78.164.11[26446])
vsys1                                          118.123.234.93[2041]/External  (118.123.234.93[2041])
236578       web-browsing     ACTIVE  FLOW  NS   192.168.100.162[80]/Internal/17  (110.78.164.11[47339])
vsys1                                          68.206.2.20[25485]/External  (68.206.2.20[25485])
240510       web-browsing     ACTIVE  FLOW  NS   192.168.100.162[80]/Internal/17  (110.78.164.11[10715])
vsys1                                          88.168.56.68[32617]/External  (88.168.56.68[32617])
259929       web-browsing     ACTIVE  FLOW  NS   192.168.100.113[45795]/Internal/17  (110.78.164.11[34155])
vsys1                                          114.109.138.167[60954]/External  (114.109.138.167[60954])
249612       web-browsing     ACTIVE  FLOW  NS   192.168.100.162[80]/Internal/17  (110.78.164.11[38182])
vsys1                                          37.122.62.101[41744]/External  (37.122.62.101[41744])

2 comments :

  1. ขอบคุณมากครับ ได้ความรู้เพียบ

    ReplyDelete