[Lab 2] Cấu hình Policy trên Firewall Palo Alto chặn các chức năng trên ứng dụng Facebook
Ở bài lab trước chúng ta đã cấu hình policy cho phép các thiết bị trong vùng Trust Zone được sử dụng ứng dụng Facebook.
Trong phân chúng ta sẽ cho các thiết bị trong vùng Truest Zone được sử dụng Facebook nhưng chúng ta sẽ thực hiện chặn các tính khác trên facebook. Chẳng hạn chúng ta có thể sử dụng Firewall Palo Alto để chỉ cho phép người dùng lướt facebook nhưng không cho họ chơi game, hay không cho họ đăng status, hay chat bằng Facebook Messenger.
Ví dụ với policy ở trên các thiết bị vùng Trust Zone không chỉ đi được ứng dụng facebook mà còn có thể chơi game Candy Crush hay đăng status hay chat messenger… trong giờ làm việc.
1. Mô hình bài lab cấu hình Policy trên Firewall Palo Alto chặn các chức năng trên ứng dụng Facebook
Dưới đây là mô hình bài lab sử dụng Firwall Palo Alto để thiết lập các policy cho Facebook Application.
Để cấu hình Firewall Palo Alto với chính sách cho phép các thiết bị vùng Trust Zone được sử dụng Facebook nhưng cấm các thiết bị chơi game, hay sử dụng Facebook chat Messenger, Post Status... Đơn gian chúng ta chỉ cần vào giao diện cấu hình Firewall Palo Alto và vào phần “Policies → Security” và edit policy “Facebook_Base” mà chúng ta đã tạo ở bài lab trên để cấu hình Policy này.
Sau đó các bạn qua menu “Application” và chỉ chọn “facebook-base”. Lúc này các thiết bị trong vùng Trust Zone chỉ được phép lướt facebook và không được chơi game trên ứng dụng facebook hay sử dụng facebook messenger để chat hay post status trên facebook.
Sau khi cấu hình xong các bạn nhớ chọn “OK” để lưu lại policy và chọn “commit” để policy này có hiệu lực trên hệ thống Firewall Palo Alto.
Bây giờ các thiết bị trong vùng Trust Zone không thể post status facebook hay chơi game trên ứng dụng facebook và chat facebook messenger sẽ bị disconnect.
Người dùng chỉ có khả năng lướt facebook và không có thể sử dụng những chức năng khác của facebook.
Tiếp theo các bạn qua menu “Monitor → traffic” các bạn gõ “app eq facebook” để kiểm tra log trên hệ thống Palo Alto về các ứng dụng facebook.
Chúng ta có thể thấy người dùng vùng Trust Zone chỉ sử dụng được ứng dụng facebook base. Còn các ứng dụng như facebook-chat hay facebook-posting đều bị deny bởi rule cuối “UTD-Explicit-Deny01”.
Tổng hợp các bài lab cấu hình Firewall Palo Alto tại đây
- Hand on lab Palo Alto on UTD Environment
- [Lab 1] Configure policy Facebook on Firewall Palo Alto
- [Lab 2] Configure policy Facebook Function on Palo Alto
- [Lab 3] Configure Policy Applications on Standard Port
- [Lab 4] Configure Policy-based SSL decryption on Palo Alto
- [Lab 5] Configure Wildfire modern malware protection
Last edited:
![[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)