Professional Documents
Culture Documents
Tên dự án:
Page 2
1 Kiểm soát tài liệu
Bảng theo dõi cập nhật
Phiên bản Ngày Người thực hiện Nội dung thay đổi
Page 3
3 Mục đích và phạm vi tài liệu
- Tài liệu này sử dụng cho cán bộ kĩ thuật Savis.
Page 4
- “Time Zone” chọn “Asia/Ho_Chi_Minh””.
- “Locale” chọn “English”.
- “Date” và “Time” chọn theo thời gian thực tế.
- Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
Page 5
- “Speed” chọn “auto-negotiate”.
- “MTU” nhập “1500”.
- “Service” tích chọn “HTTPS”, “SSH”, “PING”.
- Click “OK” để kết thúc cấu hình.
Page 6
- “Secondary DNS Server” nhập “8.8.4.4”.
- “Update Server” nhập “updates.paloaltonetworks.com”.
- Click “OK” để kết thúc cấu hình.
Bước 4.2 Cấu hình tạo kết nối đến LDAP Server và Radius Server
Bước 4.2.1 Cấu hình tạo kết nối đến LDAP Server
- Trong giao diện quản trị ban đầu chọn Device > Server Profiles > LDAP.
- Click “Add” để thêm mới các LDAP Server Profile như sau:
Page 7
- “Profile Name” nhập “LDAP_SAVIS”.
- Trong phần “Server list” click “Add” để thêm mới LDAP Server như sau:
o “Name” nhập “192.168.10.60”.
o “LDAP Server” nhập “192.168.10.60”.
o “Port” nhập “389”.
- Trong phần “Server settings” nhập các thông số như sau:
o “Type” chọn “active-directory”.
o “Base DN” chọn “DC=ho, DC=savis, DC=vn”.
o “Bind DN” nhập “ho\administrator”.
o “Password” và “Confirm Password” nhập password của account administrator.
- Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
Bước 4.2.2 Cấu hình tạo kết nối đến RADIUS Server
- Trong giao diện quản trị ban đầu chọn Device > Server Profiles > LDAP.
- Click “Add” để thêm mới các RADIUS Server Profile như sau:
Page 8
- “Profile Name” nhập “RADIUS_SAVIS”.
- “Name” nhập “192.168.10.60”.
- “RADIUS Server” nhập “192.168.10.60”.
- “Port” nhập “389”.
- “Secret” và “Confirm Secret” nhập password để kết nối đến RADIUS Server.
- Click “OK” để kết thúc cấu hình.
Bước 4.2.3 Cấu hình tạo Authentication Profile cho LDAP Server
- Trong giao diện quản trị ban đầu chọn Device > Authentication Profiles.
- Click “Add” để thêm mới các Authentication Profile như sau:
Page 9
- “Name” nhập “Authentication_LDAP”.
- “Location” chọn “Shared”.
- Trong phần “Authentication” nhập các thông số như sau:
o “Type” chọn “LDAP”.
o “Server Profile” chọn “LDAP_SAVIS”.
o “login Attribute” nhập “sAMAccountName”.
o “Username Modifier” chọn “%USERINPUT%”.
- Trong phần “Advanced” nhập các thông số như sau:
Page 10
o Click “Add” và chọn “all” để cho phép tất cả user được xác thực.
- Click “OK” để kết thúc cấu hình.
Bước 4.2.4 Cấu hình tạo Authentication Profile cho RADIUS Server
- Trong giao diện quản trị ban đầu chọn Device > Authentication Profiles.
- Click “Add” để thêm mới các Authentication Profile như sau:
Page 11
- “Name” nhập “Authentication_LDAP”.
- “Location” chọn “Shared”.
- Trong phần “Authentication” nhập các thông số như sau:
o “Type” chọn “RADIUS”.
o “Server Profile” chọn “RADIUS_SAVIS”.
o Tích chọn “Retrieve user group from RADIUS”.
o “User Domain” nhập “ho”.
o “Username Modifier” chọn “%USERINPUT%”.
- Trong phần “Advanced” nhập các thông số như sau:
Page 12
o Click “Add” và chọn “all” để cho phép tất cả user được xác thực.
- Click “OK” để kết thúc cấu hình.
Page 13
- Trong phần “Palo Alto Networks User ID Agent Setup” Click “Edit” để thêm mới các thông
tin như sau:
o Nhập user/password domain administrator để cho phép palo alto lấy thông tin user
trong domain.
- Trong phần “Server Monitoring” nhập các thông số như sau:
Page 14
- Click “Save” để lưu cấu hình.
- Click “Commit” để thực hiện cấu hình.
- Trong giao diện quản trị ban đầu chọn Device > User Identification > Captive Portal Settings.
Page 15
o Click “OK” để kết thúc cấu hình.
Page 16
Bước 4.3.1 Cấu hình Object publicIP
Page 17
- Click “Save” để lưu cấu hình.
- Click “Commit” để thực hiện cấu hình.
Page 18
- “Name” nhập “ServerFarm”.
- Tích chọn “Shared”.
- “Type” chọn “IP Netmask” và nhập “192.168.10.0/24”.
- Click “OK” để kết thúc cấu hình.
Page 19
Bước 4.3.6 Cấu hình Object vpn_range
Page 20
- “Protocol” chọn “TCP”.
- “Destination Port” nhập “3389”.
- “Source Port” nhập “1-65535”.
- Click “OK” để kết thúc cấu hình.
Page 21
Bước 4.4.2 Cấu hình tạo SSL/TLS Service Profile
- Trong giao diện quản trị ban đầu chọn Device > Certificate Management > SSL/TLS Service
Profile.
Bước 4.5 Cấu hình các interface và gán vào các zone tương ứng
Page 22
Bước 4.5.1.1 Cấu hình tạo Zone WAN1
Page 23
Bước 4.5.1.2 Cấu hình tạo Zone WAN2
Page 24
Bước 4.5.1.3 Cấu hình tạo Zone LAN
Page 25
Bước 4.5.1.4 Cấu hình tạo Zone ServerFarm
Page 26
Bước 4.5.1.5 Cấu hình tạo Zone ThauPhu
Page 27
Bước 4.5.1.6 Cấu hình tạo Zone vpn
Page 28
- “Comment” nhập “WAN1”.
- “Interface Type” chọn “Layer3”.
- Trong phần “Config” nhập các thông tin như sau:
o “Virtual Router” chọn “default”.
o “Virtual System” chọn “vsys1”.
o “Security Zone” chọn “WAN1”
- Trong phần “IPv4” nhập các thông tin như sau:
Page 29
o “Static Address” chọn “publicIP”.
o Tích chọn “automatically create default route pointing to peer”.
o “Default Route Metric” nhập “5”.
- Trong phần “Advanced” nhập các thông tin như sau:
Page 30
o “Type” chọn “PPPoE”.
o Tích chọn “Enable”.
o Nhập user/password để quay số.
Page 31
Bước 4.5.2.3 Cấu hình interface Ethernet1/5
Page 32
- Click “OK” để kết thúc cấu hình.
Page 33
o “Management Profile” chọn “Captive_portal”.
- Click “OK” để kết thúc cấu hình.
Page 34
o “Type” chọn “Static”.
o Click “Add” để thêm IP “192.168.100.1/24”.
- Trong phần “Advanced” nhập các thông tin như sau:
Page 35
- “Interface Name” nhập “100”.
- “Comment” nhập “vpn”.
- “Interface Type” chọn “Layer3”.
- Trong phần “Config” nhập các thông tin như sau:
o “Virtual Router” chọn “default”.
o “Virtual System” chọn “vsys1”.
o “Security Zone” chọn “vpn”
- Click “OK” để kết thúc cấu hình.
Page 36
- Click “Add” để thêm mới DHCP Server và nhập “192.168.10.60”.
- Click “OK” để kết thúc cấu hình.
Page 37
Bước 4.7 Cấu hình SSL VPN
Page 38
o Click “Add”.
Page 39
- Trong phần “Network Service” nhập các thông số như sau:
o “Inheritance Source” chọn “ethernet1/3”.
o “Primary DNS” nhập “192.168.10.60”.
o “Secondary DNS” nhập “8.8.8.8”.
- Click “OK” để kết thúc cấu hình.
Page 40
o “Interface” chọn “ethernet1/3”.
o “IP Address” chọn “publicIP”.
o “SSL/TLS Service Profile” chọn “sslvpn”.
- Trong phần “Network Settings” nhập các thông số như sau:
o “Authentication Profile” chọn “Authentication_LDAP”.
o “Authentication Message” nhập “Enter login credentials”.
- Trong phần “Agent Configuration” nhập các thông số như sau:
o Click “Add” để thêm mới policy.
Page 41
o Click “Add” trong phần “External Gateways”.
o “Name” nhập “gw”.
o “Address” chọn “113.190.252.173”.
- Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
Bước 4.8.1 Cấu hình PBF cho Interface Thauphu truy cập vào vùng Server
Farm
Page 42
- Trong phần “Source” nhập các thông số như sau:
o “Type” chọn “Interface”.
o Click “Add” để thêm Interface “ethernet1/7”.
o “Source Address” chọn “Thauphu”.
o “Source User” chọn “any”.
Page 43
- Trong phần “Forwarding” nhập các thông số như sau:
o “Action” chọn “No PBF”.
- Click “OK” để kết thúc cấu hình.
Bước 4.8.2 Cấu hình PBF cho Interface Thauphu truy cập ra Internet theo
đường WAN2
Page 44
- Trong phần “Source” nhập các thông số như sau:
o “Type” chọn “Interface”.
o Click “Add” để thêm Interface “ethernet1/7”.
o “Source Address” chọn “Thauphu”.
o “Source User” chọn “any”.
Page 45
- Trong phần “Forwarding” nhập các thông số như sau:
o “Action” chọn “Forward”.
o “Egress Interface” chọn “ethernet1/4”
o “Next Hop” nhập “123.16.144.1”.
- Click “OK” để kết thúc cấu hình.
Page 46
- Trong phần “General” nhập các thông số như sau:
o “Name” nhập “NAT_Overload_LAN”.
o “NAT Type” chọn “ipv4”.
Page 47
- Trong phần “Translated Packet” nhập các thông số như sau:
o “Translation Type” chọn “Dynamic IP And Port”.
o “Address Type” chọn “Translated Address”.
o Click “Add” để thêm “publicIP” vào phần “Translated Address”.
- Click “OK” để kết thúc cấu hình.
Page 48
- Trong phần “Original Packet” nhập các thông số như sau:
o “Source Zone” chọn “ServerFarm”.
o “Destination Zone” chọn “WAN1”.
o “Source Address” chọn “ServerFarm”.
o “Destination Address” chọn “any”.
Page 49
Bước 4.9.1.3 Cấu hình NAT Overload cho ThauPhu
Page 50
- Trong phần “Translated Packet” nhập các thông số như sau:
o “Translation Type” chọn “Dynamic IP And Port”.
o “Address Type” chọn “Interface Address”.
o “Interface” chọn “ethernet1/4”.
o “IP Address” chọn “None”.
- Click “OK” để kết thúc cấu hình.
Page 51
o “Destination Address” chọn “publicIP”.
Default Hành động mặc định được mô tả đối với từng mối đe dọa
Allow Cho phép traffic đi qua
Đưa ra cảnh báo đối với mỗi luồng traffic và sẽ lưu log vào
Alert
mục threat log
Drop Không cho phép traffic đi qua
Reset Đối với gói tin đạng TCP, khởi tạo lại kết nối ở phía client
Client
Đối với gói tin dạng UDP, hủy kết nối
Reset Đối với gói tin đạng TCP, khởi tạo lại kết nối ở phía server
Server
Đối với gói tin dạng UDP, hủy kết nối
Đối với gói tin dạng TCP, khởi tạo lại kết nối ở cả 2 phía
Reset client và server
Both
Đối với gói tin dạng UDP, hủy kết nối
chặn truy cập từ 1 nguồn hoặc 1 cặp nguồn đích cụ thể. Có
Block IP
thể cấu hình để chặn theo khoảng thời gian
Page 52
- “Name” nhập “antivirus_profile”.
- Tích chọn “Shared”.
- Tích chọn “Packet Capture”.
- Trong phần “Decoders” nhập các thông số như sau:
o “http” chọn “drop”.
o “ftp” chọn “drop”.
o Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
Page 53
- “Name” nhập “url_policy”.
- Tích chọn “Shared”.
- “Action” chọn “block”.
- Trong phần “Category” nhập các thông số như sau:
o “adult” chọn “block”.
o “nudity” chọn “block”.
o “sex-education” chọn “block”.
o Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
Page 54
Bước 4.11.1 Cấu hình policy từ LAN truy cập ra ngoài Internet
Page 55
- Trong phần “User” nhập các thông số như sau:
o Click “Add” để thêm “any” vào “Source User”.
Page 56
- Trong phần “Application” nhập các thông số như sau:
o Click “Add” để thêm “any” vào “Applications”.
Page 57
- Trong phần “Actions” nhập các thông số như sau:
o “Action” chọn “Allow”.
o “Profile Type” chọn “Profile”.
o “Antivirus” chọn “antivirus_profile”.
o “Vulnerability Protection” chọn “strict”.
o “Anti-Spyware” chọn “strict”.
o “URL Filtering” chọn “url_policy”.
o “WildFire Analysis” chọn “default”.
o Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
Page 58
o “Rule Type” chọn “universal (default)”.
Page 59
- Trong phần “Destination” nhập các thông số như sau:
o Click “Add” để thêm “ServerFarm” vào “Destination Zone”.
o Click “Add” để thêm “publicIP” vào “Destination Address”.
Page 60
- Trong phần “Application” nhập các thông số như sau:
o Click “Add” để thêm “any” vào “service”.
o Click “Add” để thêm “any” vào “URL category”.
Page 61
Bước 4.11.3 Cấu hình policy cho phép VPN vào vùng ServerFarm
Page 62
- Trong phần “User” nhập các thông số như sau:
o Click “Add” để thêm “any” vào “Source User”.
Page 63
- Trong phần “Application” nhập các thông số như sau:
o Click “Add” để thêm “any” vào “Applications”.
Page 64
- Trong phần “Actions” nhập các thông số như sau:
o “Action” chọn “Allow”.
o Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
Bước 4.11.4 Cấu hình policy xác thực captive portal để truy cập ra internet
- Trong giao diện quản trị ban đầu chọn Policies > Captive Portal.
- Click “Add” để thêm mới các policy như sau:
Page 65
- Trong phần “Source” nhập các thông số như sau:
o Click “Add” để thêm “LAN” vào “Source Zone”.
o Click “Add” để thêm “datph” vào “Source Address”.
Page 66
- Trong phần “Service/URL Category” nhập các thông số như sau:
o Click “Add” để thêm “service-http” và “service-https” vào “Service”.
o Click “Add” để thêm “any” vào “URL category”.
Page 67
Bước 4.12 Cấu hình VPN Client
- Truy cập vào App Store và tìm kiếm ứng dụng “GlobalProtect”.
- Sau đó tải ứng dụng và sử dụng ứng dụng “GlobalProtect” để thực hiện VPN.
Page 68
- “Portal” nhập “113.190.252.173”.
- Nhập User/password.
- Click “Connect” để thêm mới cấu hình VPN.
- Sau khi đã kết nối thành công trên phần mềm sẽ đưa ra thông báo như sau:
- Ping “192.168.10.60”
Page 69
Bước 4.12.2 Truy cập VPN trên máy tính
- Truy cập vào đường dẫn https://113.190.252.173 để download phần mềm Global Protect
Page 70
- Chọn đúng phiên bản hệ điều hành của máy để download.
- Sau khi đã download xong tiến hành cấu hình để truy cập VPN
Page 71
- Sau khi đã VPN thành công, kiểm tra log trên phần mềm và thực hiện lệnh ping đến các máy
chủ vùng ServerFarm
Page 72
Page 73