การตั้งค่า Palo Alto Networks NGFW เบื้องต้น

การตั้งค่า Palo Alto Networks NGFW เบื้องต้น

การตั้งค่า Palo Alto Networks NGFW สามารถทำได้โดยไม่ยาก และยิ่งใช้การบริหารจัดการผ่านทาง Web Interface ซึ่งมีการจัดเรียงหน้าเมนูการใช้งานได้เป็นอย่างดี ดูแล้วสามารถเข้าใจ และคาดเดาได้ง่าย อีกทั้งยังมีคุณสมบัติต่าง ๆ ที่เพรียบพร้อมตามที่ Next-Generation Firewall ในปัจจุบันสามารถทำได้ โดยในบทความนี้ก็จะเป็นตัวอย่างการตั้งค่า Palo Alto Networks NGFW แบบพื้นฐานที่ใช้งานกันโดยทั่วไปกันก่อนนะครับ สำหรับตัวอย่างการตั้งค่าในวันนี้ก็จะประกอบไปด้วย 2 ขั้นตอนหลัก ๆ ดังนี้ครับ

  • การตั้งค่าการบริหารจัดการเบื้องต้น – เช่น การตั้งค่า IP Management, การติดตั้ง license, การตั้งค่าวันและเวลา เป็นต้น
  • การตั้งค่า Firewall – เช่น การตั้งค่า Routing, NAT, Security Policy เป็นต้น

การตั้งค่าการบริหารจัดการเบื้องต้น

จากบทความ ทำความรู้จักกับ Palo Alto Networks NGFW จะเห็นว่าบน Palo Alto Networks NGFW จะมีการแยก Control Plane และ Data Plane ออกจากกัน ไม่ว่าจะเป็น CPU หรือ RAM รวมทั้ง Routing Table ที่จะมีเป็นของตัวเองแยกออกจากกัน ซึ่งโดยปกติแล้วในการเข้าไปบริหารจัดการอุปกรณ์จะต้องทำผ่านทาง Control Plane โดยใช้ Console Interface หรือ Management Interface (MGT) เท่านั้น ซึ่งจะทำให้สามารถเข้าไปบริหารจัดการอุปกรณ์ได้ทุกเวลา แม้แต่กระทั่งในเวลาที่โดนโจมตีหรือมีทราฟิกโหลดอยู่ก็ตาม
ก่อนที่จะเริ่มทำการกำหนด Security Policy ให้กับทราฟิกที่ใช้งานอยู่ในระบบเครือข่าย เราควรที่จะทำการตั้งค่า Management Interface (MGT) และการบริหารจัดการต่าง ๆ เช่น การตั้งค่าวันและเวลาให้ตรงกับปัจจุบันให้เรียบร้อยก่อน โดยตัวอย่างการตั้งค่าในวันนี้จะใช้งาน PAN-OS version 6.0.4 นะครับ

ตั้งค่าอินเทอร์เฟส Management
ในการเข้าไปบริหารจัดการ Palo Alto Networks NGFW สามารถทำได้ผ่านทาง Console Port (Baud rate : 9600, Data Bit : 8, Parity : none, Stop bit : 1) หรืออินเทอร์เฟส MGT ก็ได้ โดยบนอินเทอร์เฟส MGT จะมีการกำหนดค่าโดย Default ดังนี้
IP address : 192.168.1.1
Username : admin
Password : admin

โดยในการเริ่มตั้งค่าอุปกรณ์จะสามารถใช้ Browser เรียกไปยัง https://192.168.1.1 สำหรับเข้าไปบริหารจัดการอุปกรณ์ผ่านทาง Web Interface หรือจะใช้ SSH หรือ Console Port เข้าไปบริหารจัดการผ่านทาง CLI ก็ได้

ผ่านทาง Web Interface

ผ่านทาง CLI

และถ้าต้องการเปลี่ยนหมายเลข IP address และกำหนดค่าอื่น ๆ เช่น Default Gateway, DNS, NTP ของ Management Interface จะสามารถทำได้ดังนี้

 

ผ่านทาง Web Interface

    1. การกำหนดหมายเลข IP address และ Default Gateway ให้ไปที่ Device > Setup > Management > Management Interface Settings จากนั้นคลิ๊กที่ Edit และทำการกำหนดหมายเลข IP address ตามต้องการ จากนั้นคลิ๊กที่ OK

    2. การกำหนด DNS Server และ NTP Server (เพื่อให้ Palo Alto Networks NGFW สามารถเชื่อมต่อกลับไปยัง Server สำหรับการติดตั้ง license และ update content ต่าง ๆ ได้) สามารถทำได้โดยไปที่ Device > Setup > Services > Services และคลิ๊กที่ Edit จากนั้นให้กำหนดหมายเลข DNS Server และ NTP Server ตามต้องการ จากนั้นคลิ๊กที่ OK

    3. เมื่อทำการกำหนดค่าเสร็จ และคลิ๊กที่ OK แล้ว ค่า configuration นี้จะเป็น candidate configuration ซึ่งจะยังไม่ได้ถูกนำไปใช้งานจนกว่าจะคลิ๊กที่ commit โดยถ้า commit ผ่านแล้ว ค่า configuration นี้จะเรียกว่า running configuration และจะถูกนำไปใช้งานบนอุปกรณ์

 

ผ่านทาง CLI

    1. เมื่อทำการกำหนดค่าเสร็จ และคลิ๊กที่ OK แล้ว ค่า configuration นี้จะเป็น candidate configuration ซึ่งจะยังไม่ได้ถูกนำไปใช้งานจนกว่าจะคลิ๊กที่ commit โดยถ้า commit ผ่านแล้ว ค่า configuration นี้จะเรียกว่า running configuration และจะถูกนำไปใช้งานบนอุปกรณ์

จากนั้น สามารถทำการทดสอบด้วยการ ping ไปยัง updates.paloaltonetworks.com เพื่อตรวจสอบว่าอุปกรณ์สามารถเชื่อมต่อไปยัง Server สำหรับ Install license และ update content ต่าง ๆ ได้หรือไม่

 

ตั้งค่าการบริหารจัดการอื่น ๆ
         การตั้งค่าการบริหารจัดการอื่น ๆ อย่างเช่น hostname, วันที่และเวลา, การเปลี่ยน password admin เป็นต้น

ผ่าน Web Interface

    ไปที่ Device > Setup > Management > General Settings จากนั้นให้ทำการกำหนดค่าตามต้องการและคลิ๊กที่ OK และ commit

ผ่าน CLI

admin@PA-3020# set deviceconfig system hostname Running-config.PAN-FW timezone Asia/Bangkok


การจัดการ license
ไปที่ Device > Licenses > License Management และคลิ๊กที่ Retrieve license keys from license server และอุปกรณ์จะติดต่อไปยัง Server เพื่อดึงข้อมูลที่ได้ register license เอาไว้มาโดยอัตโนมัติ

 

การ Upgrade PAN-OS และ Update Content
เมื่อทำการติดตั้ง License เรียบร้อยแล้ว ก็ควรที่จะทำการ Upgrade PAN-OS และ Update Software โดยสามารถติดตามได้ในบทความ Content Update และ Upgrade PAN-OS บน Palo Alto Networks NGFW นะครับ

 

การเปลี่ยน Password Admin
ไปที่ Device > Administrators และเลือกที่ user ที่ต้องการเพื่อเข้าไปทำการเปลี่ยน Password หรือทำการสร้าง user ใหม่

 

Firewall Configuration
เมื่อทำการตั้งค่าการบริหารจัดการเบื้องต้น และจัดการด้าน license เสร็จเรียบร้อยแล้ว ก็จะเข้าสู่ขั้นตอนการตั้งค่า Firewall กันแล้วนะครับ โดยการตั้งค่าให้สามารถใช้งาน Firewall ในการควบคุมรูปแบบการติดต่อสื่อสารระหว่างแต่ละส่วนของระบบเครือข่ายเบื้องต้นได้นั้น จะมีขั้นตอนดังนี้

  1. การสร้าง Security Zone
  2. Layer 3 Interface configuration
  3. Routing
  4. การสร้าง Object
  5. NAT
  6. Security Policy

สำหรับตัวอย่างการตั้งค่า Palo Alto Networks NGFW ในวันนี้ จะมีรายละเอียดการใช้งานหมายเลข IP address และการเชื่อมต่อตามภาพด้านล่าง ดังนี้

Zone Interface IP address Host/Device in each zone
External Ethernet 1/1 110.0.0.1/29 Router

Internet

110.0.0.6/29

0.0.0.0/0

DMZ Ethernet 1/2 172.16.0.254/24 Web Server

FTP Server

172.16.0.10/24

172.16.0.20/24

Internal Ethernet 1/3 10.10.0.254/24 Floor1 Network 10.10.0.0/24
Ethernet 1/4 10.20.0.254/24 Floor2 Network 10.20.0.0/24

 

จากตัวอย่างการตั้งค่าด้านบนนี้ ได้มีการแบ่งระบบเครือข่ายออกเป็น 3 โซน คือ External, DMZ และ Internal โดยโซน External จะใช้ในการเชื่อมต่อไปยังเครือข่ายภายนอก หรืออินเทอร์เน็ต ส่วนโซน DMZ ซึ่งเป็นโซนที่มีไว้สำหรับรองรับการให้บริการที่ต้องมีการใช้งานจากเครือข่ายภายนอก เช่น Web Server, E-mail Server เป็นต้น (เป็นเสมือนโซนที่เป็น buffer ระหว่างเครือข่ายภายนอกและเครือข่ายภายใน เพื่อไม่ให้เครือข่ายภายนอกสามารถติดต่อสื่อสารกับเครือข่ายภายในได้โดยตรง) โดยจากตัวอย่างนี้จะมีการใช้งาน Server อยู่ 2 ชนิดคือ Web server ที่ใช้งานหมายเลขที่อยู่เป็น 172.16.0.10 และ FTP server ที่ใช้งานหมายเลขที่อยู่เป็น 172.16.0.20 และโซนสุดท้ายคือโซน Internal ซึ่งจะเชื่อมต่อไปยังเครือข่ายภายในขององค์กร โดยจากตัวอย่างนี้ ภายในโซน Internal จะมีการแบ่งเครือข่ายภายในเป็น 2 เครือข่ายคือ Floor 1 (10.10.0.0/24) และ Floor 2 (10.20.0.0/24) (บน Palo Alto Networks NGFW จะมีความพิเศษต่างจากหลาย ๆ ยี่ห้อ คือจะสามารถรวมหลาย ๆ Physical Interface ให้อยู่ภายในโซนเดียวกันได้ ต่างจากอีกหลาย ๆ ยี่ห้อ ที่มักจะกำหนดโซนเข้ากับ Physical Interface)

การตั้งค่า Security Zone
ผ่าน Web Interface

    ไปที่ Network > Zones และคลิ๊กที่ Add เพื่อทำการสร้างโซนใหม่ โดยจากตัวอย่างนี้จะทำการสร้างโซนในระดับ Layer 3 ใหม่ 3 โซนด้วยกันคือ External, DMZ, Internal

 

การตั้งค่าอินเทอร์เฟสในระดับ Layer 3
ผ่าน Web Interface

    ไปที่ Network > Interface > Ethernet และเลือกอินเทอร์เฟสที่ต้องการ จากนั้นเข้าไปทำการกำหนด Interface Type ให้เป็น Layer 3 และกำหนด Virtual Router เป็น default และเลือก Security Zone ตามที่ได้ออกแบบเอาไว้ จากนั้นคลิ๊กที่ IPv4 เพื่อทำการกำหนดหมายเลข IP address และคลิ๊กที่ OK

 

ผ่าน CLI

 

การตั้งค่า Routing (default route)
         จากตัวอย่างนี้ จะต้องมีการตั้งค่า default route เพื่อให้สามารถติดต่อกับอินเทอร์เน็ตได้ โดยจะต้องชี้ default route ไปที่ 110.0.0.6 ซึ่งเป็นหมายเลข IP address ของ next hop router

ผ่าน Web Interface

    ไปที่ Network > Virtual Routers และคลิ๊กที่ default จากนั้นเลือก static routes > IPv4 จากนั้นทำการกำหนดค่า default route ในลักษณะตามภาพด้านล่าง และคลิ๊กที่ OK และ commit

    และสามารถเรียกดู Routing Table ที่ใช้งานในปัจจุบันได้ โดยไปที่ Network > Virtual Routers เลือก Virtual Router ที่ต้องการและคลิ๊กที่ More Runtime Stats

ผ่าน CLI

การสร้าง Object
         การสร้าง Object จะช่วยให้สามารถทำการตั้งค่า Policy ต่าง ๆ ได้สะดวกมากยิ่งขึ้น แทนที่จะใช้งานหมายเลข IP address หรือหมายเลขพอร์ตในการตั้งค่า ซึ่งยากต่อการใช้งานและจดจำ การใช้ Object จะทำให้เราสามารถกำหนดชื่อของกลุ่มหมายเลขที่อยู่หรือหมายเลขพอร์ตที่ต้องการได้ เช่นจากตัวอย่างนี้ ก็อาจจะมีการสร้าง Object เพื่อใช้งาน ดังนี้

Object Host/Network Description
FTP Server-Private 172.16.0.20 เป็น IP จริงของ FTP Server ที่ใช้งานภานในองค์กร
FTP Server-Public 110.0.0.2 เป็น IP ของ FTP Server สำหรับใช้งานจาก External Zone
Web Server-Private 172.16.0.10 เป็น IP จริงของ Web Server ที่ใช้งานภานในองค์กร
Web Server-Public 110.0.0.3 เป็น IP ของ Web Server สำหรับใช้งานจาก External Zone
Internal Floor 1 10.10.0.0/24 หมายเลขเครือข่ายของ Internal Floor 1
Internal Floor 2 10.20.0.0/24 หมายเลขเครือข่ายของ Internal Floor 2
Internal Network Internal Floor 1

Internal Floor 2

เป็น Address Group สำหรับ Internal Network ทั้งหมด (ทั้ง Floor 1 และ Floor 2)


         ผ่าน Web Interface
ไปที่ Objects > Addresses และคลิ๊กที่ Add จากนั้นทำการกำหนด Object Address ที่ต้องการ

    และยังสามารถทำการตั้งค่า Address Group โดยจะเป็นการรวมกลุ่มของหลาย ๆ Address เข้าด้วยกันได้ โดยไปที่ Objects > Address Groups

    ผ่าน CLI
     การสร้าง Addresses Object

             การสร้าง Address Groups

  
การตั้งค่า NAT
จากตัวอย่างการตั้งค่านี้ จะแสดงตัวอย่างการตั้งค่า NAT ในวิธีที่ใช้งานกันเป็นประจำ โดยจะมีรายละเอียด ดังนี้

NAT Type Host/Network External Zone NAT IP
Source NAT Static IP FTP Server-Private

172.16.0.20

FTP Server-Public

110.0.0.2

Source NAT Dynamic IP and Port Internal Network

10.10.0.0/24

10.20.0.0/24

ethernet 1/1 interface

110.0.0.1

Destination NAT Static IP and Port Web Server-Private

172.16.0.10

Web Server-Public

110.0.0.3

  • FTP Server ใน DMZ Zone จะทำ NAT แบบ Static หรือ 1 ต่อ 1 จาก private IP address หมายเลข 172.16.0.20 จะถูกแปลงเป็น 110.0.0.2 เมื่อต้องการติดต่อกับ External Zone โดยจะไม่มีการเปลี่ยนแปลงหมายเลขพอร์ตของเครืองต้นทางแต่อย่างใด
  • Internal Network ทั้งหมด จะทำ NAT แบบ Dynamic IP and Port หรือ PAT นั่นเอง โดยจะใช้หมายเลข 110.0.0.1 หรืออินเทอร์เฟส ethernet 1/1 ของ firewall ในการติดต่อสื่อสารกับ External Zone โดยนอกจากจะทำการแปลงหมายเลข source IP Address  มาใช้งานหมายเลข IP address เดียวกัน แล้วก็จะทำการแปลงหมายเลข source Port ไปด้วย
  • Web Server ใน DMZ Zone จะทำ NAT แบบ Destination NAT Static IP and Port หรือ Static PAT ซึ่งจะเป็นการแปลงหมายเลข IP Address แบบ one to one คล้าย ๆ กับการทำ Static NAT แต่จะมีการระบุหมายเลขพอร์ตไปด้วย โดยจากตัวอย่างนี้จะกำหนดให้ทำ NAT เฉพาะ TCP port 80 จากหมายเลข 110.0.0.3 port 80 แปลงมาเป็น 172.16.0.10 port 80 เท่านั้น จะไม่ทำการ NAT port อื่น ๆ มาด้วยเหมือนกับการใช้ Static NAT

 

ผ่าน Web Interface

    การตั้งค่า NAT สามารถทำได้โดยไปที่ Policies > NAT > Add โดยเราจะใช้ Object Address ที่สร้างขึ้นมาในขั้นตอนที่ผ่านมาในการทำ Policy

Source NAT Static IP สำหรับ FTP Server

Source NAT Dynamic IP and Port สำหรับ Internal Network

Destination NAT Static IP and Port สำหรับ Web Server

 

    ในการตั้งค่า Destination NAT บน Palo Alto Networks NGFW จะะใช้ในกรณีที่ต้องการทำ Port Forwarding (Static PAT) เท่านั้น เนื่องจากเป็นเพียงหัวข้อเดียวที่ผมคิดว่ามีรูปแบบการตั้งค่าที่ค่อนข้างแปลก และยากต่อการเข้าใจ โดยในการตั้งค่า NAT Policy จะต้องทำการกำหนดให้โซนต้นทางและโซนปลายทางเป็นโซน Pre NAT เหมือนกัน จากนั้นที่ Original Packet จะเป็นหมายเลข IP address ในฝั่ง External ที่เป็นหมายเลข Pre NAT และ Translated Packet จะเป็นหมายเลข IP address ในฝั่ง DMZ Server ที่เป็นหมายเลข Post NAT

 

ผ่าน CLI

 

การตั้งค่า Security Policy

    1. การตั้งค่า policy สำหรับควบคุมรูปแบบทราฟิกที่จะอนุญาตหรือ ไม่อนุญาตให้เข้าใช้งานในส่วนต่าง ๆ ของระบบเครือข่าย จะมีหลักการตั้งค่าและทำงานที่คล้ายกับ Firewall ทั่วไป คือ

      1. ทำการตรวจสอบทราฟิกกับ policy ที่กำหนดทีละข้อเรียงตามลำดับจากบนลงล่าง
      2. เมื่อพบว่าทราฟิกตรงกับ policy ข้อใดแล้ว ก็จะทำตาม action ที่กำหนดไว้ใน policy นั้น
      3. เมื่อพบว่าทราฟิกตรงกับ policy ข้อใด และทำตาม action ที่กำหนดไปแล้ว จะไม่ทำการตรวจสอบ policy ข้อที่เหลืออีกต่อไป
    การใช้งาน Security Policy บน Palo Alto Networks NGFW นอกเหนือจากที่จะใช้ในการกำหนด Layer 4/7 Firewall Policy เหมือนกับ Firewall ยี่ห้ออื่น ๆ  แล้ว สิ่งที่แตกต่างจาก Firewall ยี่ห้ออื่น ๆ ก็คือ จะใช้ Security Policy เพียงอันเดียวในการเปิดการทำงานของ Security Profile ต่าง ๆ ไม่ว่าจะเป็น Anti-Virus, Anti-Spyware, Vulnerability (IPS), URL Filtering, File Blocking, Data Filtering เพื่อให้ทำการตรวจสอบในระดับ Content ของทราฟิกเพิ่มเติม ซึ่งในการตั้งค่าจะสามารถใช้ policy เพียงข้อเดียวในการกำหนด Security Profile ทั้งหมด ไม่ต้องแยกส่วนในการตั้งค่า policy แต่ละชนิดออกจากกันเหมือนกับ Firewall ยี่ห้ออื่น ๆ

ผ่าน Web Interface

    จากตัวอย่างการตั้งค่านี้ ขอทำ Security Policy เฉพาะของ FTP Server ที่ต้องให้บริการกับผู้ใช้จากอินเทอร์เน็ตที่อยู่ใน External Zone เท่านั้นนะครับ โดยให้ไปที่ Policies > Security จากนั้นคลิ๊กที่ Add เพื่อทำการสร้าง Security Policy อันใหม่ขึ้นมา
            ที่ tab : General ให้ทำการกำหนดชื่อ, Description, Tags ของ Policy

            ที่ tab : Source ให้กำหนด Source Zone เป็น External และ Source Address เป็น Any (เป็น หมายเลข IP address อะไรก็ได้จากเครือข่ายภายนอก

            ที่ tab : Destination ให้กำหนด Destination Zone เป็น DMZ และ Destination Address เป็นหมายเลข IP address ที่ทำ NAT ออกไป (110.0.0.2) ของ FTP Server ซึ่งจากตัวอย่างนี้จะใช้ Object Address ที่ได้สร้างไว้ก่อนหน้านี้มาใช้งาน

            ที่ tab : Application ทำการเลือก Application ที่ต้องการ โดยสามารถทำการเลือก Application Filter เพื่อเรียกดูชนิดของ Application ที่ต้องการได้

            ที่ tab : Service/URL Category จะเป็นการกำหนด Service ที่เป็น TCP หรือ UDP Port Number นั่นเอง แต่ถ้าเลือกใช้งานเป็น Application Default ก็จะใช้งานหมายเลขพอร์ตตาม Application ที่เลือกเอาไว้ เช่น web-browsing ก็จะใช้ TCP port 80 และ 8080 เป็นต้น

            ที่ tab : Actions จะเป็นการกำหนดว่าจะให้ทำอย่างไรบ้างกับทราฟิกที่ตรงกับ Security Policy นี้ ไม่ว่าจะเป็นการ Deny หรือ Allow การเชื่อมต่อระหว่างแต่ละส่วนของเครือข่าย และรวมไปถึงการเปิดการทำงานของ Security Profile ต่าง ๆ ไม่ว่าจะเป็น Anti-Virus, Anti-Spyware, Vulnerability (IPS), URL Filtering, File Blocking, Data Filtering ก็จะทำการกำหนดค่าในหน้านี้เช่นกัน

                                ตัวอย่างการตั้งค่าและใช้งาน Security Policy

 

ผ่าน CLI

เพียงเท่านี้ ก็จะเสร็จสิ้นการตั้งค่า Palo Alto Networks NGFW ในเบื้องต้นกันแล้วนะครับ แต่จริง ๆ แล้ว Feature ต่าง ๆ ยังคงมีอีกหลากหลายมาก แต่ในบทความนี้จะขอกล่าวถึงแค่ส่วนนี้ก่อนครับ โดยเมื่อเสร็จสิ้นการตั้งค่าเรียบร้อยแล้ว สิ่งที่สำคัญที่ไม่ควรจะลืมก็คือการสั่ง Commit เพื่อนำค่า Configuration ที่ได้ตั้งค่าเอาไว้ไปใช้งานนะครับ

 

การตรวจสอบเบื้องต้น
เมื่อทำการตั้งค่าเสร็จแล้ว เราสามารถตรวจสอบได้ว่าทราฟิกที่ต้องการนั้นจะไป match กับ Security Policy หรือ NAT Policy อันไหนที่เราสร้างขึ้นมาได้ ด้วยการใช้คำสั่ง Test นะครับ เช่น

show log traffic

show session all

 

 

Cr. http://running-config.blogspot.com/2014/09/palo-alto-networks-ngfw_25.html

 

About admin