Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Security Policy trên PAN VM-series
III. Cấu hình NAT Policy trên PAN VM-series
III. Cấu hình NAT Policy trên PAN VM-series
Tại tab General tiến hành cấu hình các thông tin để xác định NAT bao gồm:
Tiếp theo tại tab Original Packet giúp xác định traffic sẽ được NAT, trong bài lab này sẽ xác định traffic của Subnet 172.16.198.0/24 và 172.16.199.0/24 đi internet cụ thể bao gồm:
Tiếp theo tại tab Translated Packet cho phép thay đổi thông tin IP và port của traffic ban đầu thông qua NAT, hỗ trợ 2 kiểu thay đổi thông tin: Source Address Translation (thay đổi thông tin liên quan đến nguồn traffic sinh ra), Destination Address Translation (thay đổi thông tin liên quan đến đích traffic cần tới). Đối với SNAT sẽ thực hiện thay đổi thông tin trong Source Address Translation cụ thể trong bài lab này sẽ thực hiện thay đổi các thông số bao gồm:
Sau khi tạo xong NAT rule, cần phải cấu hình Security rule tương ứng với trường hợp NAT overload sẽ cấu hình rule cho phép Subnet 172.16.198.0/24 và 172.16.199.0/24 có thể truy cập ra outside_zone như hình bên dưới.
Lúc này trên các PC thuộc Subnet 172.16.198.0/24 và 172.16.199.0/24 kiểm tra sẽ thấy được chúng có thể truy cập internet.
Trên thiết bị PAN VM-series để kiểm tra có thể dựa vào HIT COUNT (số lần match rule NAT) hoặc dựng vào Test Policy Match tương tự với Security rule.
Thêm vào có thể monitor traffic dựa vào log như hình bên dưới để xem thông tin NAT.
Ngoài ra còn hỗ trợ check các session đang hoạt động ở phần MONITOR > Session Browser như hình bên dưới.
Tiếp theo để tạo SNAT rule static cho phép việc truy cập dựa vào 1 ip khác IP trên cổng ouside (có thể là ip alias hoặc ip được nhà mạng cấp), cũng thực hiện tương tự như trên.
Ở tab Origianl Packet sẽ cấu hình tương tự nhưng ở tab Translate packet thì chọn Access Type là Translate Address để chỉ định IP cụ thể dùng để chuyển đổi như hình bên dưới.
Sau khi cấu hình sẽ được kết quả như hình bên dưới, đồng thời cũng cần cấu hình Security rule tương ứng.
Kiểm tra NAT rule thông qua Test và Session sẽ thấy được traffic đi internet của IP 172.16.100.100/24 thông qua IP 10.120.190.51/24 như hình bên dưới.
Để cấu hình DNAT cho phép public port trước tiên cũng cần phải định nghĩa thông tin NAT như hình bên dưới.
Sau đó xác định port dùng để NAT ở phần service và IP public dùng để nhận kết nối từ người dùng bên ngoài ở phần Destination address. Vì dùng DNAT port forwarding nên các traffic kết nối đều ở phần ouside_zone cho cả Inteface, Source và Destination zone như hình bên dưới. Đồng thời lúc này thông tin chuyển đổi sẽ là địa chỉ đích nên sẽ chọn kiểu chuyển đổi phù hợp (Static IP là kiểu mapping 1:1, ánh xạ từ IP public về IP server bên trong) và điền thông tin IP, port cần public của server như hình.
Sau đó cần cấu hình Security rule cho phép traffic từ bên ngoài có thể truy cập vào server bên trong.
Tại phần Source để xác định các traffic bên ngoài truy cập tới server bên trong, còn phần Destiantion sẽ xác định thông tin của server bên trong với destination address là IP public sử dụng để chuyển đổi (vì khi người dùng kết nối sẽ sử dụng IP public sau đó sẽ ánh xạ thành IP server nên lúc này traffic trả về từ server sẽ đi qua thông qua chính sách này)
Tại tab Service/URL Category sẽ xác định service được public (port được public ra bên ngoài) và cấu hình action allow cũng như log.
Kiểm tra traffic match Security và NAT rule được match như hình bên dưới.
Kiểm tra các session kết nối với server bên trong ở phần MONITOR > Sesssion Browser.
Từ người dùng bên ngoài có thể truy cập service của server nội bộ bên trong.
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Security Policy trên PAN VM-series
III. Cấu hình NAT Policy trên PAN VM-series
[LAB-3] Cấu hình Security và NAT Policy trên PAN VM-series (Phần 2)
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
III. Cấu hình NAT Policy trên PAN VM-series
Để cấu hình NAT trên PAN VM-series tiến hành vào phần POLICIES > NAT > Chọn Add.
Tại tab General tiến hành cấu hình các thông tin để xác định NAT bao gồm:
- Name: tên của NAT rule
- Group Rules By Tag: cho phép nhóm các NAT theo group để dễ dàng cho việc quản lý và cấu hình
- NAT Type: kiểu NAT hoạt động trên địa chỉ IP nào
Tiếp theo tại tab Original Packet giúp xác định traffic sẽ được NAT, trong bài lab này sẽ xác định traffic của Subnet 172.16.198.0/24 và 172.16.199.0/24 đi internet cụ thể bao gồm:
- SOURCE ZONE: nguồn traffic bắt đầu từ zone nào
- Destination Zone: đích đến của traffic ra zone nào
- Destination Interface: đích đến của traffic được cổng nào xử lý
- Service: dịch vụ của traffic được match để NAT
- SOURCE ADDRESS: địa chỉ nguồn traffic sinh ra
- DESTINATION ADDRESS: địa chỉ đích traffic muốn tới
Tiếp theo tại tab Translated Packet cho phép thay đổi thông tin IP và port của traffic ban đầu thông qua NAT, hỗ trợ 2 kiểu thay đổi thông tin: Source Address Translation (thay đổi thông tin liên quan đến nguồn traffic sinh ra), Destination Address Translation (thay đổi thông tin liên quan đến đích traffic cần tới). Đối với SNAT sẽ thực hiện thay đổi thông tin trong Source Address Translation cụ thể trong bài lab này sẽ thực hiện thay đổi các thông số bao gồm:
- Translate Type: hỗ trợ kiểu thay đổi Dynamic IP and Port (Lựa chọn địa chỉ dựa trên hàm băm của địa chỉ IP nguồn), Dynamic IP (cuyển đổi địa chỉ có sẵn tiếp theo trong phạm vi được chỉ định nhưng số cổng vẫn không thay đổi. ), Static IP (Địa chỉ giống nhau luôn được sử dụng để chuyển đổi và cổng không thay đổi)
- Address Type: tùy vào translate type mà các thông số có thể thay đổi, kiểu dùng để chuyển đổi với NAT overload sẽ sử dụng chuyển đổi dựa vào IP của cổng
- Interface: chọn cổng sẽ chịu trách nhiệm chuyển đổi
- IP Address: địa chỉ IP trên cổng chịu trách nhiệm chuyển đổi
Sau khi tạo xong NAT rule, cần phải cấu hình Security rule tương ứng với trường hợp NAT overload sẽ cấu hình rule cho phép Subnet 172.16.198.0/24 và 172.16.199.0/24 có thể truy cập ra outside_zone như hình bên dưới.
Lúc này trên các PC thuộc Subnet 172.16.198.0/24 và 172.16.199.0/24 kiểm tra sẽ thấy được chúng có thể truy cập internet.
| 
|
| 
|
Ngoài ra còn hỗ trợ check các session đang hoạt động ở phần MONITOR > Session Browser như hình bên dưới.
Tiếp theo để tạo SNAT rule static cho phép việc truy cập dựa vào 1 ip khác IP trên cổng ouside (có thể là ip alias hoặc ip được nhà mạng cấp), cũng thực hiện tương tự như trên.
Ở tab Origianl Packet sẽ cấu hình tương tự nhưng ở tab Translate packet thì chọn Access Type là Translate Address để chỉ định IP cụ thể dùng để chuyển đổi như hình bên dưới.
| 
|
| 
|
| 
|
Để cấu hình DNAT cho phép public port trước tiên cũng cần phải định nghĩa thông tin NAT như hình bên dưới.
Sau đó xác định port dùng để NAT ở phần service và IP public dùng để nhận kết nối từ người dùng bên ngoài ở phần Destination address. Vì dùng DNAT port forwarding nên các traffic kết nối đều ở phần ouside_zone cho cả Inteface, Source và Destination zone như hình bên dưới. Đồng thời lúc này thông tin chuyển đổi sẽ là địa chỉ đích nên sẽ chọn kiểu chuyển đổi phù hợp (Static IP là kiểu mapping 1:1, ánh xạ từ IP public về IP server bên trong) và điền thông tin IP, port cần public của server như hình.
| 
|
Tại phần Source để xác định các traffic bên ngoài truy cập tới server bên trong, còn phần Destiantion sẽ xác định thông tin của server bên trong với destination address là IP public sử dụng để chuyển đổi (vì khi người dùng kết nối sẽ sử dụng IP public sau đó sẽ ánh xạ thành IP server nên lúc này traffic trả về từ server sẽ đi qua thông qua chính sách này)
| 
|
| 
|
| 
|
Từ người dùng bên ngoài có thể truy cập service của server nội bộ bên trong.
Attachments
Last edited:
![[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)