Professional Documents
Culture Documents
VIFON-TaiLieuThietKe-PaloAlto-Firewall - 26.02.2024
VIFON-TaiLieuThietKe-PaloAlto-Firewall - 26.02.2024
DỰ ÁN:
CUNG CẤP TƯỜNG LỬA, PHẦN MỀM CHỐNG MALWARE VÀ
DỊCH VỤ TRIỂN KHAI
02/2024
Giải pháp và các tài liệu hỗ trợ đi cùng có đề cập đến các thông tin mật cũng như thông tin kinh doanh riêng tư thuộc sở hữu
của VIFON. Tài liệu này có thể được in hoặc sao chép để phục vụ mục đích đánh giá dự án đang đề xuất. Nghiêm cấm chia sẻ tài
liệu đến các bên thứ ba hoặc cá nhân ngoài tổ chức và dự án.
FPT Information System
Ngày
Chữ ký
Mục lục
4. MÔ TẢ THIẾT KẾ USER-ID 19
5. MÔ TẢ THIẾT KẾ SDWAN 20
Mô tả thiết kế:
Hệ thống trang bị thiết bị tường lửa Palo Alto Firewall – PA 1420 đảm nhiệm 3 vai trò Internal
FW, External FW, WAN Firewall
From To
Device Port Mode LACP Name Device Port Mode LACP Num Description
Hệ thống trang bị thiết bị Palo Alto Firewall PA 460 đóng 3 vài trò Internal FW, External FW và WAN
Firewall . Trong đó:
Hệ thống sẽ chạy chung 3 role trên 1 thiết bị và không thực hiện tách Virtual System như ở site HCM
Giữa 2 site HCM và HD sẽ dựng 2 VPN Tunnel trong đó site HCM sẽ dùng đường truyền VNPT và
FPT để dựng VPN Tunnel với site HD.
Palo Alto hỗ trợ load balancing qua 2 đường VPN để tối ưu bandwidth.
192.168.3.200
ae1.99
INSIDE layer3 loopback.1
loopback.2
ethernet1/2
ethernet1/11
OUTSIDE layer3 ethernet1/12
sdwan.1
ethernet1/1
ethernet1/7
SERVER layer3 ae1.15
VPN-S2S layer3 tunnel.10
Hầu hết traffic được user sử dụng là SSL/TLS. Giao thức SSL /TLS nhằm đảm dữ liệu và traffic người dùng
được mã hóa khi đi vào môi trường Internet hoặc thậm chí khi đi trong nội bộ.
Tuy nhiên , vì traffic bị mã hóa dẫn đến Palo Alto không thể hoàn toàn kiểm soát được các traffic này, đòi hỏi
cần một cơ chế giúp PA đọc các traffic bị mã hóa bởi giao thức SSL/TLS.
Tính năng SSL Decryption giúp PA đọc các traffic bị mã hóa, có hai hướng triển khai như sau:
a. Cần viết chính sách GPO, trust Self-Sign Root CA , lưu ý chính sách GPO để trust Root CA chỉ có thể
được viết ở Computer Configuration, cần hỗ trợ từ Vifon.
2. Sử dụng Internal Root CA cấp phát cho Palo Alto quyền Sub CA (Intermediate CA), yêu cầu như sau:
b. Phía Intenral CA tạo Certificate dùng template Sub CA sử dụng CSR đã tạo.
Phía FPT đề xuất phương án số 1 vì tính khả thi trong triển khai và quản lý dễ dàng.
Decrypt
Decrypt Options Log
Source Destination Destination Decrypt Options Decrypt Options
Name Source Zone URL Category Service Options Unsuccessful
User Zone Address Type Decryption Profile
Action SSL
Handshake
business-and-
economy
content-delivery-
networks
excluded-
decryption-url
financial-services
1 Exclude Decryption VS2-INSIDE any VS2-OUTSIDE any government any no-decrypt ssl-forward-proxy Vifon-DecryptionSSL FALSE
health-and-
medicine
internet-
communications-
and-telephony
office365
user-whitelist-url
2 Decrypt SSL for Internet any known-user any any any any decrypt ssl-forward-proxy Vifon-DecryptionSSL TRUE
Mô tả chính sách:
- Các traffic tới các trang về tài chính, cloud, office365, chính phủ, y tế sẽ không bị decryption vì có thể gây lỗi và vi phạm tính riêng tư.
Block user nếu đăng PA sẽ khóa tài khoàn sau 5 lần đăng nhập thất bại =>
5 lần
nhập thất bại tránh tình trạng user bị khóa bởi chính sách trên AD.
4. MÔ TẢ THIẾT KẾ USER-ID
User-ID là một tính năng giúp Palo Alto kiểm soát traffic người dung sử dụng username thay vì
IP address. Khả năng này giúp khắc phục vấn đề về việc IP của người dung bị thay đổi do được
cấp từ DHCP Server, ngoài ra việc viết chính sách dựa Username/Group thay vì IP Address giúp
tang cường mức độ bảo mật hơn cho hệ thống vì việc xử lý các cuộc tấn công sẽ dễ dàng hơn.
Tính năng User-ID yêu cầu Palo Alto Firewall có khả năng đọc log từ Active Directory Server. Để
có thể đọc log từ AD, Palo Alto yêu cầu một LDAP Service Account với một số quyền như sau:
Account phải thuộc group “Event Log Readers” và Distributed COM Users (nằm trong OU
Builtin)
Account phải có khả năng đọc CIMV2 namespace trên AD Server mà nó sẽ đọc log (lưu ý:
nếu cấu hình PA đọc log trên nhiều AD server thì phải cấu hình quyền đọc CIMV2
namespace trên từng AD server đó).
Tham khảo bài viết trong liên kết > Mục “Configure a Service Account for the PAN-OS
Integrated User-ID Agent”.
5. MÔ TẢ THIẾT KẾ SDWAN
Tính năng SDWAN được sử dụng trên hệ thống VIFON nhằm tối ưu hóa truy cập intenret, tính toán chất
lượng đường truyền và chuyển tiếp gói tin của ứng dụng theo chất lượng đường truyền
Palo Alto đi kèm rất nhiều profile sẵn được hãng định nghĩa như bảng dưới:
Lưu ý: profile Unmatched-Profile là customize profile (tự tạo). Profile này sẽ được giải thích chi tiết ở mục
“Thuyết minh chính sách SDWAN”