一、基本概述
Palo Alto Networks是一个网络安全解决方案供应商,提供了一系列面向企业的网络防火墙、安全信息与事件管理系统等安全产品,其中以Next-Generation Firewall (NGFW) 为主打产品。
NGFW需要为网络安全提供广泛的保护,包括但不限于用户验证、防病毒恶意软件、应用控制、Url过滤、反病毒、远程VPN等性能,可以支持UDP, TCP, HTTP, DHCP, DNS等协议和IPv6环境。
二、基本配置
Palo Alto防火墙的基本配置包括对网络拓扑、外部接口、内部接口、虚拟局域网(VLAN)、VPN、地址、汇聚(聚合链路)、静态路由、默认网关、静态NAT、PANDB更新等。以下是第一次安装Palo Alto防火墙后的基本配置步骤。
1.网络拓扑
在防火墙中创建越来越多的VLAN、接口、地址对象、规则等时,要考虑网络拓扑结构。配置网络拓扑,防火墙就会了解公司网络的基本信息,包括防火墙与交换机、防火墙与路由器之间的连接方式等。
2.外部接口
在Palo Alto防火墙配置时,每个防火墙都应有至少两个接口,分别为外部接口和内部接口。外部接口是从外部网络中检测和保护内部网络的第一道防线。防火墙可以设置IP地址、子网掩码、网关、MTU和Primary DNS等相关信息。在配置网络拓扑中,也需要考虑网络规模,并根据需求配置多个外部接口。
3.内部接口
内部接口连接到公司内部网络,防火墙上配置安全策略,来控制内部网络的访问权限和数据流量,使安全和控制在一个较高的水平上。同样,内部接口也应有IP地址、子网掩码、网关、MTU和Primary DNS等级别的配置。如果你需要支持VLAN,请打开802.1Q标记(VLAN 标记)。
4.虚拟局域网(VLAN)
防火墙还支持配置VLAN来将多个端口分配到不同的虚拟网络,这最大限度上增加了网络的灵活性。VLAN通过在防火墙上创建逻辑网桥,实现不同的VLAN交互。而且,可以通过规则把VLAN的流量导向安全区域和外部网络等。
5. VPN
Palo Alto防火墙支持一些VPN模式,需根据不同业务需求进行选择,如网关到网关模式和客户端到网关模式等。使用VPN要考虑加密模式和认证方法,如3DES、AES、MD5、SHA1和SHA256.同时,需要指定每个目标的子网,以及为每个远程SSL VPN网站配置证书。
6.地址
在防火墙上还需要配置IP地址、子网掩码、DNS服务器(建议设置两个),DNS防漏洞地址等相关信息。此外,还需要为用户IP地址SELinux驱动器配置相关信息,并根据服务器IP地址配置相关安全规则。
7.汇聚(聚合链路)
汇聚口和聚合链路也可以在表现上提升网络的吞吐率。防火墙支持静态聚合和动态聚合。配置时,要考虑源IP和目标IP等相关信息。
下面是静态聚合链路的配置示例:
config> network interface aae link-aggregate ae1 config> network interface ethernet eth1 channel-group 1 mode passive config> network interface ethernet eth2 channel-group 1 mode passive config> exit
8.静态路由
静态路由是用户在配置Palo Alto防火墙时需要考虑的因素之一。防火墙需要知道如何将网络流量从源到目的地,而静态路由就是指由网络管理员手动配置的路由。静态路由需要考虑到网络流量、信息、转发下一跳和目的地等相关信息。
9.默认网关
默认网关也是在配置静态路由时需要注意的。默认网关就是当用户的设备(如电脑或手机)要访问Internet时,数据包需要通过的路由器。在Palo Alto防火墙上通过router-interface命令来设置静态路由器为默认网关的命令如下所示:
config> network virtual-router trust-vr config> set protocol static config> set route 0.0.0.0/0 next-hop xx.xx.xx.xx config> exit
三、优化配置
1. 消除单点故障
如果一台防火墙发生故障,会给公司带来很大的损失。为了防范这样的情况,需要考虑如何消除单点故障。
首先,多个防火墙可以叠加,在有效保护公司数据安全情况下,也增加了系统的可靠性。另外,使用高可用性技术可以使多个防火墙中的任意一个故障都不会影响用户的业务,例如在集群中使用HA3协议,用于监测防火墙设备状态;或者将多个防火墙叠加在一起,建立一个更大的防火墙部署,防攻击性更强。
2.配置不同的安全策略
针对不同网络流量的安全限制,需要配置不同的安全策略。这意味着要针对特定的应用程序和使用者,设置特定的访问限制。像社交网站和购物网站等黑名单,就需要被限制访问。
防火墙还可以通过形成规则,限制不同网络用户的上传和下载流量的数量和种类,开启反病毒、反间谍和入侵检测功能等。它能够自动病毒检测、反恶意软件传播、识别该网络内的各种恶意行为,然后根据网络安全策略,执行防御和攻击控制。
3.使用Quagga管理多个防火墙的路由配置
为避免需要在多个防火墙上配置路由的问题,可以使用Quagga。这是一款免费的开源软件,可以帮助网络管理员跨各种平台和设备管理多个防火墙的路由配置。
Quagga支持下列协议:OSPF、BGP、RIP、ISIS、和OSPFv3.通过将数据分发到各个子路由器和子网关中,防火墙保证了企业网络的高可用性和可靠性 。
4.使用VRF将不同网络隔离
网络虚拟化是实现VRF(Virtual Route Forwarding)管理的基本手段之一。 在一个防火墙中配置多个虚拟路由表,每个虚拟路由表有自己的IP地址、路由表和传输等参数,这是VRF技术的核心思想。通过VRF技术,您将在不同的虚拟路由表之间切换,从而实现网络数据的隔离和网络 service delivery。
要开启VRF,您需要在防火墙上配置三个路由表,Vrf-Next hop、Vrf-IPv4、Vrf6-IPv6.然后,你需要为这些路由表配置VPN接口并且使其互联。
结论
通过配置Palo Alto NGFW,达到安全控制、流量管理、威胁感知和可扩展性,并通过调整来进一步提高系统的可靠性和性能。网络管理员应根据自己公司的实际需求,进行定制化配置,以达到最佳的安全性和效率。
原创文章,作者:EMRTC,如若转载,请注明出处:https://www.506064.com/n/368058.html
微信扫一扫 
支付宝扫一扫 