TÀI LIỆU HƯỚNG DẪN KHÁCH HÀNG DỊCH
VỤ VIETTEL CLOUD FIREWALL (VCF)
PALO ALTO
(Phần cấu hình nâng cao)
1
1
Mục đích ...................................................................................................................... 3
2
Phạm vi áp dụng........................................................................................................... 3
3
Mô tả dịch vụ ............................................................................................................... 3
4
3.1
Mô tả tóm tắt ........................................................................................................... 3
3.2
Mô tả tính năng ....................................................................................................... 3
Hướng dẫn cấu hình nâng cao...................................................................................... 4
4.1
Nhận dạng ứng dụng (App-ID) ............................................................................... 4
4.2
Nhận dạng người dùng (User-ID) .......................................................................... 5
4.3
Anti-Virus + Anti-Spyware + Vulnerability Protection.......................................... 7
4.4
Wildfire.................................................................................................................... 9
4.5
Advanced URL Filtering ....................................................................................... 10
4.6
DNS Security ......................................................................................................... 12
4.7
Cài đặt dự phòng (High Availability) ................................................................... 14
4.8
Cấu hình VPN Client To Site ................................................................................ 17
4.9
Tạo tài khoản đăng nhập mới ............................................................................... 29
4.10 Nâng cấp Firmware .............................................................................................. 30
4.11 Cài đặt SMNP ....................................................................................................... 30
4.12 Cài đặt DNS .......................................................................................................... 32
4.13 Cấu hinh NAT port ................................................................................................ 33
4.14 Cấu hình ngăn chặn truy cập Website độc hại và Custom Website ..................... 34
4.15 Cấu hình VPN Site To Site giữa Palo Alto và vFirewall ...................................... 35
2
1
Mục đích
Mục đích của tài liệu là hướng dẫn quản trị dịch vụ Viettel Cloud Firewall (VCF) và
triển khai nhằm đảm bảo ứng dụng vận hành thông suốt, hỗ trợ giải quyết các vấn đề kỹ
thuật khách hàng gặp phải trong quá trình sử dụng dịch vụ góp phần đem lại cho khách
hàng trải nghiệm hài lòng khi sử dụng dịch vụ của Viettel IDC.
2
Phạm vi áp dụng
Tài liệu này được áp dụng cho dịch vụ VCF.
3 Mô tả dịch vụ
3.1 Mô tả tóm tắt
Dịch vụ Viettel Cloud Firewall là dịch vụ tường lửa thế hệ mới (Next Generation
Firewall) với các tính năng firewall kết hợp với các tính năng bảo mật vô cùng mạnh mẽ,
hướng vào các đối tượng khách hàng đang sử dụng dịch vụ trên nền tảng Cloud có nhu cầu
bảo mật cao như Viettel Private Cloud, Viettel Dedicated Private Cloud, Viettel Virtual
Private Cloud, Viettel Cloud Server...
3.2 Mô tả tính năng
Nhận dạng ứng dụng (App-ID)
o Nhận biết và giám sát các ứng dụng trong hệ thống
o Gán ứng dụng vào Policy, chặn truy cập dựa theo từng ứng dụng
o Rất linh hoạt nhờ vào khả năng thêm mới ứng dụng, cho phép việc thêm những
ứng dụng mới để kiểm soát.
Nhận dạng người dùng (User-ID)
o Nhận biết và giám sát người dùng trong hệ thống
o Có thể gán người dùng vào Policy, chặn truy cập dựa theo người dùng
o Tăng sự chi tiết của báo cáo. Khi có sự cố, có thể truy lại đến từng người dùng.
Antivirus
o Chặn các loại malware khác nhau dựa trên cơ sở dữ liệu của hãng Palo Alto
o Nếu như traffic khớp với signature của malware, VCF sẽ drop traffic này
Anti-Spyware
o Chặn các loại spyware như là keylogger, rootkits, trojan dựa trên cơ sở dữ liệu
của hãng Palo Alto
o Nếu như traffic khớp với signature của spyware, VCF sẽ drop traffic này
Vulnerability Protection:
o Chặn các loại tấn công ở Layer 7 như là buffer overflows, remote code execution
dựa trên cơ sở dữ liệu của hãng Palo Alto
o Nếu như traffic khớp với signature ở cơ sở dữ liệu, VCF sẽ drop traffic này
3
Wildfire
o Giống với Antivirus ở việc chặn malware, nhưng dựa vào machine learning
sandbox để đánh giá file xem có phải là malware không
o Khi có file có vấn đề, Wildfire sẽ chạy file đấy qua không gian ảo hóa sandbox để
đánh giá xem file này có đúng là malware không. Nếu đúng, malware sẽ được
thêm vào bản cập nhập để gửi đến tất cả các Firewall có Wildfire khác
o Rất hiệu quả trong việc phòng chống mã độc tống tiền ransomware.
Advanced URL Filtering
o Giám sát và kiểm soát các trang web người dùng có thể truy cập
o Có thể chặn theo URL hoặc chặn theo loại trang web
o Bảo vệ người dùng khỏi những trang web độc hại, trang web phishing
o Chặn download từ các trang web độc hại
o Yêu cầu mật khẩu để truy cập trang web
DNS Security
o Dùng machine learning để bảo vệ khỏi malware sử dụng DNS để tấn công C2 và
lấy trộm thông tin
o Có thể tạo sinkhole cho các DNS request
4 Hướng dẫn cấu hình nâng cao
4.1 Nhận dạng ứng dụng (App-ID)
Tạo Application Filter
 Object  Application Filters
 Có thể chọn Category, Subcategory, Risk, Tags, Characteristic.
4
 Ứng dụng phải khớp tất cả thiết lập đã chọn để được thêm vào filter
Gán vào Security Policy mong muốn
 Chọn Security Policy  Application  Tìm tên của filter vừa tạo
 Nếu muốn chặn những ứng dụng trong filter, để action là Deny
 Ấn Save và Commit
4.2 Nhận dạng người dùng (User-ID)
Lấy list của người dùng từ LDAP, Radius, etc
 Device  Server Profiles  Chọn server chứa thông tin người dùng
Cấu hình user-id ở source zone
 Network  Zones  Chọn Zone
 Click Enable User Identification  Ok
5
Map User-id vào group
 Device  User Identification  Add  Group mapping
 Server profile là LDAP, Radius, etc vừa tạo
 Group Include List  Chọn group, user mong muốn
Cấu hình User-ID agent
 Agent này sẽ login vào domain controller để map user với IP
6
 User Identification  User Mapping  User-ID Setup  Cấu hình
 User Identification  User Mapping  Server Monitoring  Add
o Chọn Server agent sẽ login vào
 Ấn Save và Commit
4.3 Anti-Virus + Anti-Spyware + Vulnerability Protection
3 tính năng cấu hình giống nhau
Tạo Profile mới hoặc chọn profile đã tạo
 Objects  Security Profiles  Antivirus/Anti-Spyware/Vulnerability
Protection  Add
7
 Chọn Signature Action theo mong muốn
o Nếu để default, sẽ dựa vào action của từng signature để đánh giá
 Thêm exception cho ứng dụng mong muốn
 Để thêm exception cho từng signature hoặc muốn xem tất cả signature
o Signature exceptions  Show all signatures  Click vào IP Address
Exemptions
8
Gán vào Security Policy
 Policies  Security  Chọn Policy mong muốn
 Actions  Profile Setting  Chọn Profile vừa tạo
 Ấn Save và Commit
4.4 Wildfire
Cấu hình Wildfire Inline Machine Learning
 Objects  Security Profiles  Antivirus
 Chọn profile  Wildfire Inline ML  Cấu hình action theo ý muốn
 Có thể thêm file exception
Gán vào Security Policy
 Policies  Security  Chọn Policy mong muốn
 Actions  Profile Setting  Chọn Profile vừa tạo  Gán Antivirus và
Wildfire Analysis (wildfire analysis để default)
9
 Ấn Save và Commit
4.5 Advanced URL Filtering
Tạo URL Filtering Profile hoặc thay đổi profile đã tạo
 Object  Security Profiles  URL Filtering
 Sửa Category mong muốn
 Để chặn người dùng nhập thông tin đăng nhập trên mạng: User Credential
Detection
 Thêm nơi lấy thông tin đăng nhập (từ phần cấu hình User-ID)
10
 Cấu hình chặn phishing và javascript exploit ở Inline ML
 Có thể thêm exception nếu muốn
Gán vào Security Policy
 Policies  Security  Chọn Policy mong muốn
 Actions  Profile Setting  Chọn Profile vừa tạo  Gán vào URL Filtering
11
 Ấn Save và Commit
4.6 DNS Security
Cấu hình để allow paloalto-dns-security trong phần App-ID
 Objects  Applications  Tìm paloalto-dns-security ở thanh tìm kiếm
 Xác nhận là paloalto-dns-security đã được enable (chữ enable màu xám)
 Nếu như chưa enable thì enable lên.
 Nếu như vCF là internal FW, cần cấu hình rule allow App-IDs trên external
FW để cho dịch vụ hoạt động
Cấu hình sinkhole
 Objects  Security Profiles  Anti-Spyware  Chọn Profile  DNS Policies
Cấu hình DNS Security
 Objects  Security Profiles  Anti-Spyware  Chọn Profile  DNS Policies
12
Cấu hình exception
 Objects  Security Profiles  Anti-Spyware  Chọn Profile  DNS Exceptions
Gán vào Security Policies
 Policies  Security  Chọn Policy mong muốn
 Actions  Profile Setting  Chọn Profile vừa tạo  Gán vào Anti-Spyware
 Ấn Save và Commit
13
4.7 Cài đặt dự phòng (High Availability)
Vào Network->Interface->Ethernet
Chọn Interface tham gia vào HA
Vào Device-> High Availability->General
 Enable HA: Bật High Availability
 Group ID: Định danh nhóm
 Mode: Chọn chế độ Active Passive hoặc Active Active
 Enable Config Sync: Bật chế độ đồng bộ
Cấu hình địa chỉ Peer IP và Peer IP Backup cho HA1
14
 Control Link HA1: Cấu hình IP Link Control cho HA1
 Control Link HA1(Backup): Cấu hình IP Link Backup Control cho HA1
 Data Link HA2: Cấu hình IP Link HA2
 Device Priority: Chọn mức độ ưu tiên để làm Active hoặc Passive, độ ưu tiên
thấp hơn sẽ làm Active.
 Heartbeat Backup: Khi Firewall Master down, Firewall Slave sẽ lên Active,
và khi Firewall Master up sẽ tự động lên lại Active.
15
Vào Link and Path Monitoring:
 Link Monitoring: Bật Mode để khi có 1 link bất kỳ Down thì Firewall Slave
sẽ lên Active.
 Link Group: Chọn Group Interface để theo dõi
Khi cấu hình xong HA, Firewall Master sẽ đồng bộ tới Firewall Slave.
16
4.8 Cấu hình VPN Client To Site
Vào Device->Local User Database->User
Tạo User cho phép truy cập VPN
Vào Device->Certificate Management->SSL/TSL Service Profile
Tạo SSL/TSL Service Profile
17
Vào Device-> Certificate Manager->Certificates
Tạo Certificate SSL cho GlobalProtect
 Tạo Root CA ( Dành cho Self Trust)
18
19
Tạo Server Cert để xác thực thông tin Cert cho kết nối VPN:
20
Vào Device-> Authentication Profile
Tạo Profile User xác thực người dùng
Vào Advanced: Cho phép User truy cập VPN
Vào Network->GlobalProtect->Gateways
21
Tạo Gateway cho Tunnel VPN
Chọn Interface WAN
Chọn Profile SSL và tạo Client Authentication
22
Chọn Interface Tunnel cho VPN
23
Vào Agent->Client Setting
Tạo IP POOL cho dải mạng truy cập VPN
Vào Network->GlobalProtect->Portal
Tạo Portal cho phép Client download phần mềm GlobalProtect Client để truy cập
VPN
24
Chọn Profile SSL/TSL
Tạo Client Authentication
Tạo External Gateways cho VPN
Nhập IP External và Port kết nối ( Nếu sử dụng Port) của Edge Gateway:
25
Add Trust Root CA đã tạo:
Tạo Policy cho phép từ Tunnel truy cập PaloAlto và Internet
Vào Policies > NAT
26
Tạo Policy cho phép Intrazone (Cho phép truy cập trong cùng Zone)
27
Trên thiết bị Client truy cập Portal 123.10.10.12:26443 để Download phần mềm
GlobalProtect
28
4.9 Tạo tài khoản đăng nhập mới
Vào Device -> Administrators
Name: Tạo tên User
Password: Tạo mật khẩu cho User
Đổi mật khẩu tài khoản có sẵn
Vào Device -> Administrators
Chọn User muốn đổi mật khẩu
29
4.10 Nâng cấp Firmware
Đảm bảo NGFW có kết nối ra Internet để cập nhật các bản Pan-OS mới nhất.
Vào Device -> Software nhấn Check Now để cập nhật các bản Pan-OS mới nhất
4.11 Cài đặt SMNP
Vào Device > Server Profiles > SNMP Trap
Chọn Add để tạo Profile SMNP.
Version : Chọn phiên bản V2c hoặc v3
30
Tạo Interface VLAN
Vào Network->Interface->Ethernet
Chọn Add Subinterface
31
4.12 Cài đặt DNS
Vào Network->DNS Proxy
Chọn Add để tạo Proxy
32
4.13 Cấu hinh NAT port
Vào Policies-> NAT
Translation Type: Chọn Dynamic IP and Port hoặc Static để dịch địa chỉ với Port và IP
Address Type: Chọn Address hoặc Interface dùng cho SNAT
Source Address Translation: Dành cho cấu hình SNAT
33
Destination Address Translation: Dành cho cấu hình DNAT
4.14 Cấu hình ngăn chặn truy cập Website độc hại và Custom Website
Vào Custom Objects > URL Category > Add
Nhập URL những Websites muốn cho phép hoặc chặn truy cập
Vào Custom Objects > URL Filtering > Add
Cấu hình Allow, Alert, Block, Continue trong các Category.
34
Vào Policies > Security
Chọn Policy muốn gán Profiles URL
4.15 Cấu hình VPN Site To Site giữa Palo Alto và vFirewall
VPN dựa trên Policy Base:
Trên PaloAlto:
Cấu hình Phase 1:
35
Cấu hình Phase 2:
Cấu hình IKE Gateway:
36
Cấu hình Ipsec Tunnel:
Cấu hình Local và Remote IP theo Policy Base:
37
Cấu hình Static Route trên Tunnel VPN:
38
Cấu hình Policy cho phép kết nối VPN, từ VPN đến Local và ngược lại.
Trên vFirewall:
Cấu hình Local Subnets và Peer Subnets
39
40
41
Session Type: Chọn Policy Based Session
Cấu hình Policy cho phép truy cập VPN và Local
VPN dựa trên Route Base:
42
Trên PaloAlto:
Cấu hình Phase 1:
Cấu hình Phase 2:
Cấu hình IKE Gateway:
43
Cấu hình Ipsec Tunnel:
44
Cấu hình Local và Remote IP:
Cấu hình IP Tunnel Interface:
45
Trên vFirewall:
Cấu hình Static Route:
Cấu hình Local Subnet và Peer Subnet:
46
47
48
Cấu hình Session Type: Route Based Session
Nhập Peer IP Tunnel
Cấu hình Policy cho phép truy cập VPN, Từ Local tới Peer và ngược lại
49