Palo Alto [Lab - 2] Cấu hình Policy cơ bản trên Firewall

Trong bài viết này chúng ta sẽ cùng đi vào tìm hiểu cách cấu hình Policy cơ bản trên Firewall Palo Alto

1. Mô hình

Trong mô hình trên ta sử dụng một máy Windows đóng vai trò là máy quản trị, truy cập vào giao diện của Firewall Palo Alto. Máy VPC sẽ được sử dụng để thử nghiệm Policy đã cấu hình trên Firewall.
Mục đích là cấu hình Policy trên Firewall cho phép máy VPC nằm trong vùng "Trust" có thể truy cập được Internet bên ngoài.

2. Thực hành cấu hình

- Đầu tiên ta cần tạo hai Zones là LAN và WAN để tiện cho việc quản lý.

Tiếp đến, trên Interface eth1/1 và eth1/2 của Firewall ta sẽ lần lượt cấu hình các thông số cho chúng, bao gồm gán vào các Zones để quản lý và cấu hình địa chỉ IP.



Sau khi hoàn thành ta có thể thấy thông tin được hiển thị như hình trên.
- Tiếp theo ta cần thực hiện cấu hình Virtual Router
Vì Firewall Palo Alto không thể tự định tuyến giữa các cổng của nó, ta cần cấu hình Virtual Router để gán các Interface vào từng router ảo, các router ảo này sẽ có bảng định tuyến của nó cho phép nó quyết định việc chuyển tiếp các gói tin.

Ở hình trên ta thực hiện tạo một Virtual Router là VR1 và gán interface eth1/1 và eth1/2 vào để quản lý.
Sau đó ta thực hiện tạo Static Route cho phép việc chuyển tiếp gói tin trong Virtual Router như hình dưới đây. Ở đây ta sẽ tạo một đường Default route cho phép mọi địa chỉ IP không xác định rõ sẽ đi qua.

- Tiếp đến ta cần thực hiện cấu hình NAT để phân giải địa chỉ IP như sau


Nguồn của gói tin sẽ là từ mạng LAN ra ngoài mạng WAN, và vị trí cuối là interface eth1/2 trên Firewall.

Sử dụng Dynamic NAT để NAT địa chỉ IP từ trong ra ngoài với IP hiển thị ở mạng WAN sẽ là 10.120.170.230
- Cuối cùng ta cần thực hiện cấu hình một Policy cho phép mạng LAn truy cập được ra bên ngoài.




Nguồn là từ khu vực mạng LAN đến đích là khu vực mạng WAN với hành động thực thi là "Allow" như trong hình trên.
Và sau khi "Commit" để lưu trữ các cấu hình lại ta sẽ thực hiện ping từ VPC đến 8.8.8.8 để kiểm tra xem Policy có hoạt động được không như sau.

Thành công tạo Policy cho phép truy cập đến Internet.

Kết luận

Qua bài lab trên chúng ta đã có cái nhìn tổng quan về cấu hình Policy cho firewall Palo Alto. Chính sách rõ ràng, minh bạch giúp giảm rủi ro bảo mật, hạn chế các cuộc tấn công từ bên ngoài vào hệ thống nội bộ. Kết hợp với các thành phần khác như NAT, Virtual Router, Interface Management, và Zone, Security Policy cho phép quản lý lưu lượng toàn diện, từ lớp mạng đến ứng dụng. Việc nắm vững và cấu hình chính xác các policy không chỉ giúp hệ thống an toàn, mà còn đảm bảo hoạt động liên tục, hiệu quả và dễ dàng kiểm soát trong môi trường doanh nghiệp hoặc mô phỏng lab học tập.