Triển khai firewall ở chế độ bridge mà không thay đổi cấu trúc mạng
1. Mô hình
Trong mô hình mạng trên ta sử dụng một máy Windows nối với cổng Management của Firewall Palo Alto với mục đích quản trị. Triển khai ba máy VPC ở ba cổng khác để thực hiện cấu hình chế độ Bridge.
Chế độ Bridge Mode (hay còn gọi là Layer 2 / Transparent Mode) là chế độ mà firewall hoạt động như một thiết bị cầu nối (bridge) giữa các thiết bị mạng, mà không yêu cầu thay đổi cấu trúc mạng IP hiện tại.
2. Thực hành cấu hình
- Đầu tiên ta cần tạo VLAN như hình dưới đây để tiện cho việc quản lý.
- Tiếp đến ta cũng sẽ thực hiện tạo Zones, ở đây loại (Type) của Zone sẽ là Layer 2.
Lần lượt cấu hình cho các Interface của Firewall với các thông tin về loại Interface là "Type 2", gán VLAN và Security Zone đã được tạo ở trên vào.
- Sau đó ta thực hiện cấu hình Policy như sau.
Lựa chọn "Intrazone" trong phần Rule Type bởi ta cấu hình các Interface đều thuộc cùng một khu vực (Zone) với nhau.
Nguồn sẽ là trong bridge zone đã được tạo. Bởi tất cả đều trong cùng một Zone nên không cần thiết lập cho phần "Destination". Sau đó hành động thực thi là "Allow".
Trên firewall, ta thực hiện kiểm tra các VLAN đã tạo như sau.
Cuối cùng là kiểm tra kết nối giữa các VPC.
Kết luận
Việc triển khai Firewall Palo Alto ở chế độ bridge (Layer 2/Transparent Mode) là một giải pháp tối ưu giúp tăng cường bảo mật mà không làm gián đoạn hay thay đổi cấu trúc mạng hiện tại. Trong chế độ này, firewall hoạt động như một thiết bị trung gian, cho phép phân tích, kiểm soát và lọc lưu lượng giữa các thiết bị mạng mà không cần thay đổi địa chỉ IP hay định tuyến. Do đó, chế độ Bridge là lựa chọn lý tưởng khi tổ chức cần bổ sung lớp bảo mật chủ động mà vẫn giữ nguyên cấu hình IP, VLAN và routing hiện tại.
Bài viết liên quan
Bài viết mới