LAB FIREWALL PALO ALTO
Phần 1: Deploy mô hình Lab Palo Alto
1.Mô hình Lab Palo Alto
Mô tả mô hình LAB PALO ALTO, các thành phần gồm:
- PAN01: Thành phần Firewall Palo Alto 01
- PAN02: Thành phần Firewall Palo Alto 02
- VM TEST PAN 01: VM thuộc vùng mạng Internal 01
- VM TEST PAN 02: VM thuộc vùng mạng Internal 02
Trên mỗi thành Firewall Palo Alto, có các interface sau:
- ethernet1/1: Kết nối tới vùng mạng External
- ethernet1/2: Kết nối tới vùng mạng Internal 01
- ethernet1/3: Kết nối tới vùng mạng Internal 01
- ethernet1/4: Được sử dụng làm đường HA1 giữa 2 thành phần Firewall
- ethernet1/5: Được sử dụng làm đường HA1-Backup giữa 2 thành phần Firewall
- ethernet1/6: Được sử dụng làm đường HA2 giữa 2 thành phần Firewall
2.Deploy mô hình LAB PAN trên vCenter
2.1 Deploy PAN
Tại host đặt VM, chọn ACTION:
Chọn Deploy OVF Template:
Chọn Local file , sau đó chọn UPLOAD FILES:
Chọn file PA-VM-ESX-10.0.0.ova , sau đó chọn Open:
Đợi quá trình UPLOAD FILES hoàn tất, chọn NEXT:
Đặt tên cho VM, chọn thư mục sau đó chọn NEXT:
Chọn host lưu trữ VM, sau đó chọn NEXT:
Review lại thông tin VM, sau đó chọn NEXT:
Chọn VM Storage Policy FTT0-2, sau đó chọn vsanDatastore, rồi chọn NEXT:
Tại bước select Network, tạm thời bỏ qua bước chọn VM Network, sẽ cấu hình tại phần sau, sau đó chọn NEXT:
View lại cấu hình VM, sau đó chọn FINISH:
Sau đó đi đến thư mục chứa VM, chọn VM, sau đó chọn ACTION, chọn Edit Settings:
Sau đó thực hiện tùy chỉnh cấu hình như hình dưới đây, sau đó chọn OK:
Sau đó chọn Power On VM:
Sau đó chọn LAUNCH WEB CONSOLE:
Sau đó đợi VM start, chú ý quá trình này có thể tốn nhiều thời gian , đợi cho đến khi quá trình này hoàn thành:
Sau khi VM start thành công:
- Đăng nhập với user/pasword mặc định: admin | admin.
- Sau đó PAN sẽ yêu cầu nhập password mặc định, để đổi password mới.
Sau đó sử dụng các câu lệnh sau để cấu hình IP MGMT cho PAN:
> configure ter
# set deviceconfig system type static
# set deviceconfig system ip-address 10.120.140.199 netmask 255.255.255.0 default-gateway 10.120.140.250 dns-setting servers primary 10.120.100.201
#commit
Sau khi #commit , quá trình commit như sau:
Sau khi commit thành công, tại thanh trình duyệt, nhập https://10.120.140.199, sau đó chọn Advanced, chọn Proceed to 10.120.140.199:
Sau đó đăng nhập với admin và password mới:
Như vậy, đã hoàn thành deploy một VM PAN lên vCenter, để deploy các VM PAN khác trong mô hình, thực hiện tương tự các bước trên.
3. Cấu hình PAN 01
3.1 Cấu hình Interfaces ethernet1/1
Chọn NETWORK, chọn Interfaces, sau đó chọn interface cần cấu hình, ở đây chọn ethernet1/1:
a)Tại tab Config.
Cấu hình ethernet1/1 với thông tin như sau, sau đó chọn OK:
- Interface Type: Layer3
- Netflow Profile: None
- Virtual Router: default
- Security Zone: UNTRUST
Nếu chưa có Security Zone, tạo Security Zone như sau, chọn New Zone khi Security Zone là None:
Sau đó nhập Name là UNTRUST, sau đó cọn OK:
b)Tại tab Ipv4
Chọn + Add để thêm địa chỉ IP:
Sau đó nhập 10.120.10.245/24
c)Tại tab Advanced
Chọn tab Advanced, chọn mũi tên đi xuống trong phần Management Profile, sau đó chọn Management Profile:
Thiết lập như dưới đây, sau đó chọn OK:
- Name: MGMT-Ping
- Tích chọn: HTTPS, SSH, Ping.
Sau khi hoàn tất cấu hình tại các tab Config, Ipv4, Advanced, sau đó chọn OK để hoàn tất cấu hình interface ethernet1/1:
3.2 Cấu hình interface ethernet1/2
Chọn NETWORK, chọn Interfaces, sau đó chọn interface cần cấu hình, ở đây chọn ethernet1/2:
a)Tại tab Config.
Cấu hình ethernet1/2 với thông tin như sau, sau đó chọn OK:
- Interface Type: Layer3
- Netflow Profile: None
- Virtual Router: default
- Security Zone: TRUST
Nếu chưa có Security Zone, tạo Security Zone như sau, chọn New Zone khi Security Zone chưa có Zone cần chọn:
Sau đó nhập Name là TRUST, sau đó cọn OK:
b)Tại tab Ipv4
Chọn + Add để thêm địa chỉ IP:
Sau đó nhập 10.120.140.245/24
c)Tại tab Advanced
Chọn tab Advanced, chọn mũi tên đi xuống trong phần Management Profile, sau đó chọn MGMT-Ping đã tạo ở trên:
Sau khi hoàn tất cấu hình tại các tab Config, Ipv4, Advanced, sau đó chọn OK để hoàn tất cấu hình interface ethernet1/2:
3.3 Cấu hình interface ethernet 1/3
Chọn NETWORK, chọn Interfaces, sau đó chọn interface cần cấu hình, ở đây chọn ethernet1/3:
a)Tại tab Config.
Cấu hình ethernet1/3 với thông tin như sau, sau đó chọn OK:
- Interface Type: Layer3
- Netflow Profile: None
- Virtual Router: default
- Security Zone: TRUST
b)Tại tab Ipv4
Chọn + Add để thêm địa chỉ IP:
Sau đó nhập 10.120.160.245/24
c)Tại tab Advanced
Chọn tab Advanced, chọn mũi tên đi xuống trong phần Management Profile, sau đó chọn MGMT-Ping đã tạo ở trên:
Sau khi hoàn tất cấu hình tại các tab Config, Ipv4, Advanced, sau đó chọn OK để hoàn tất cấu hình interface ethernet1/3:
3.4 Cấu hình Static Route
Để cấu hình Static Route, chọn NETWORK, chọn Virtual Routers, chọn More Runtime Stats:
Sau đó chọn Static Routes, tại tab IPv4 , chọn Add:
Sau đó, hoành thành các thông tin như bên dưới, sau đó chọn OK:
- Name: DEFAULT
- Destination: 0.0.0.0/0
- Interface: None
- Next Hop: IP Address | 10.120.10.250
Sau đó chọn OK để tiếp tục:
3.5 Cấu hình Policy-NAT
a)Cấu hình Policy
Để thêm một Policy(trong trường hợp này tạo rule Any-Any cho phép tất cả traffic trên các máy đi qua PAN) , chọn POLICIES, chọn Security, chọn Add:
Tại tab General, đặt tên cho Policy tại thẻ Name là Any-Any:
Tại tab Source, trong phần SOURCE ZONE, click Add để chọn Zone TRUST, trong phần SOURCE ADDRESS chọn Any:
Tại tab Destination, trong phần DESTINATION ZONE, click Add để chọn Zone UNTRUST, trong phần DESTINATION ADDRESS chọn Any:
Tại tab Application, trong phần APPLICATIONS, chọn Any:
Tại tab Service/URL Category, trong phần SERVICE , chọn any:
Tại phần Action, chọn Allow , bật Log at Session End trong Log Setting, sau đó chọn OK để hoàn thành tạo Policy.
b)Cấu hình NAT
Để cấu hình NAT cho PAN, chọn POLICIES, chọn NAT, sau đó chọn Add:
Tại General , đặt tên Name là NAT-Internet:
Tại tab Original Packet, trong phần SOURCE ZONE chọn TRUST, trong phần Destination Packet chọn UNTRUST:
Tại tab Translated Packet, chọn theo thông tin dưới đây, sau đó chọn OK:
- Translation Type: Dynamic IP And Port
- Address Type: Interface Address
- Interface: ethernet1/1
- IP Address: 10.120.10.245/24
- Translaton Type: None
3.6 Commit
Sau khi hoàn thành các cấu hình , thực hiện Commit các cấu hình để apply vào PAN.
Chọn Commit trên góc phải,
Chọn Commit All Chnges, sau đó chọn Commit:
Đợi quá trình Commit hoàn tất:
4. Deploy PANORAMA và VM test cho mô hình LAB PAN.
4.1 Deploy PANORAMA
Tại Host deploy VM, chọn ACTION, chọn Deploy OVF Template, đó chọn Local file, sau đó chọn UPLOAD FILES:
Chọn file Panorama-ESX-10.0.0.ova, sau đó chọn Open:
Xác nhận lại file đã chọn, sau đó chọn NEXT:
Hoàn thành Virtual machine name, chọn thư mục chứa VM, sau đó chọn NEXT:
Chọn host chứa VM, sau đó chọn NEXT:
Review lại, sau đó chọn NEXT:
Chọn Storage sau đó chọn NEXT:
Tạm thời bỏ qua bước chọn networks, sẽ edit network trong các bước tiếp theo, sau đó chọn NEXT:
Review lại cấu hình, sau đó chọn FINISH:
Đợi quá trình Deploy OVF template hoàn thành:
Sau khi quá trình Deploy OVF hoàn thành, chọn VM Panorama trong thư mục, chọn ACTION, chọn Edit Settings:
Chọn các cấu hình theo hình dưới đây, sau đó chọn OK:
Sau đó Power On VM:
Sau khi Power On, chọn LAUCH WEB CONSOLE theo dõi quá trình boot của PAN-OS:
Bắt đầu quá trình boot của PANOS:
Đợi quá trình boot hoàn thành(có thể mất nhiều thời gian), đăng nhập với acount default(admin|admin), sau lần đăng nhập đầu tiên PANOS sẽ bắt buộc đổi mật khẩu, hoàn thành và đăng nhập với password mới:
Sau đó sử dụng các câu lệnh sau để cấu hình IP MGMT cho PAN:
> configure ter
# set deviceconfig system type static
# set deviceconfig system ip-address 10.120.140.195 netmask 255.255.255.0 default-gateway 10.120.140.250 dns-setting servers primary 10.120.100.201
#commit
Sau khi #commit , quá trình commit như sau:
Sau khi commit thành công, tại thanh trình duyệt, nhập https://10.120.140.195 , sau đó chọn Advanced, chọn Proceed to 10.120.140.195:
Sau đó đăng nhập với admin và password mới:
4.2 Deploy VM test cho mô hình LAB PAN
Deploy một VM sử dụng Windows OS, sau đó cấu hình mạng cho mỗi VM như bên dưới.
VM TEST PAN 01: VM thuộc vùng mạng Internal 01
VM TEST PAN 02: VM thuộc vùng mạng Internal 02
![[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)