Quy Trinh Cau Hinh Palo Alto 5060

Số hợp đồng:
Tên dự án:
Khách hàng: SAVIS
Tài liệu hướng dẫn sử dụng

Quy trình cấu hình Palo Alto 5060
1 Kiểm soát tài liệu..................................................................................................................................3
2 Phê duyệt tài liệu..................................................................................................................................3
3 Mục đích và phạm vi tài liệu................................................................................................................4
4 Nội dung tài liệu...................................................................................................................................4
Bước 4.1 Cấu hình các thông số cơ bản trên thiết bị.........................................................................4
Bước 4.1.1 Cấu hình hostname, timezone........................................................................................4
Bước 4.1.2 Cấu hình Interface MGMT............................................................................................5
Bước 4.1.3 Cấu hình DNS................................................................................................................6
Bước 4.1.4 Cấu hình thay đổi password Admin...............................................................................7
Bước 4.2 Cấu hình tạo kết nối đến LDAP Server và Radius Server..................................................7
Bước 4.2.1 Cấu hình tạo kết nối đến LDAP Server.........................................................................7
Bước 4.2.2 Cấu hình tạo kết nối đến RADIUS Server.....................................................................8
Bước 4.2.3 Cấu hình tạo Authentication Profile cho LDAP Server.................................................9
Bước 4.2.4 Cấu hình tạo Authentication Profile cho RADIUS Server...........................................11
Bước 4.2.5 Cấu hình User Identification........................................................................................13
Bước 4.2.6 Cấu hình Network Profile............................................................................................16
Bước 4.3 Cấu hình Object................................................................................................................16
Bước 4.3.1 Cấu hình Object publicIP.............................................................................................17
Bước 4.3.2 Cấu hình Object LDAP_Server...................................................................................17
Bước 4.3.3 Cấu hình Object LAN..................................................................................................18
Bước 4.3.4 Cấu hình Object ServerFarm.......................................................................................19
Bước 4.3.5 Cấu hình Object ThauPhu............................................................................................19
Bước 4.3.6 Cấu hình Object vpn_range.........................................................................................20
Bước 4.3.7 Cấu hình tạo service.....................................................................................................20
Bước 4.4 Cấu hình Certificate.........................................................................................................21
Bước 4.4.1 Cấu hình Import Certificate.........................................................................................21
Bước 4.4.2 Cấu hình tạo SSL/TLS Service Profile........................................................................22
Bước 4.5 Cấu hình các interface và gán vào các zone tương ứng....................................................23
Bước 4.5.1 Cấu hình tạo Zone........................................................................................................23
Bước 4.5.2 Cấu hình Interface.......................................................................................................28
Bước 4.6 Cấu hình DHCP Relay.....................................................................................................36
Bước 4.6.1 Cấu hình DHCP Relay cho interface LAN..................................................................36
Bước 4.6.2 Cấu hình DHCP Relay cho interface Thauphu............................................................37
Bước 4.7 Cấu hình SSL VPN..........................................................................................................38
Bước 4.7.1 Cấu hình Global Protect Gateway...............................................................................38
Bước 4.7.2 Cấu hình Global Protect Portals.................................................................................40
Bước 4.8 Cấu hình Policy Based Forwarding..................................................................................42
Bước 4.8.1 Cấu hình PBF cho Interface Thauphu truy cập vào vùng Server Farm......................42
Bước 4.8.2 Cấu hình PBF cho Interface Thauphu truy cập ra Internet theo đường WAN2...........44
Bước 4.9 Cấu hình NAT..................................................................................................................46
Bước 4.9.1 Cấu hình NAT Overload..............................................................................................46
Bước 4.9.2 Cấu hình NAT Service.................................................................................................51
Bước 4.10 Cấu hình Security Profile.................................................................................................52
Bước 4.10.1 Cấu hình Antivirus Profile......................................................................................52
Bước 4.10.2 Cấu hình URL Filtering..........................................................................................53
Bước 4.11 Cấu hình policy................................................................................................................54
Bước 4.11.1 Cấu hình policy từ LAN truy cập ra ngoài Internet................................................54
Bước 4.11.2 Cấu hình policy public server ra ngoài internet......................................................58
Bước 4.11.3 Cấu hình policy cho phép VPN vào vùng ServerFarm............................................61
Bước 4.11.4 Cấu hình policy xác thực captive portal để truy cập ra internet.............................64
Bước 4.12 Cấu hình VPN Client.......................................................................................................67
Bước 4.12.1 Truy cập VPN trên Iphone và Android....................................................................67
Bước 4.12.2 Truy cập VPN trên máy tính....................................................................................69
Page 2
1 Kiểm soát tài liệu
Bảng theo dõi cập nhật
Phiên bản Ngày Người thực hiện Nội dung thay đổi
1.0 29/03/2016 Phạm Hoàng Đạt
2 Phê duyệt tài liệu
Tên Vị trí/Vai trò Ngày duyệt Chữ ký
Page 3
3 Mục đích và phạm vi tài liệu
- Tài liệu này sử dụng cho cán bộ kĩ thuật Savis.
4 Nội dung tài liệu

Bước 4.1 Cấu hình các thông số cơ bản trên thiết bị
Bước 4.1.1 Cấu hình hostname, timezone

- Trong giao diện quản trị ban đầu chọn Device > Setup > Management > General Settings.
- Click “Edit” để thay đổi các thông tin như sau:
- “Hostname” nhập “PA-5060”.
Page 4
- “Time Zone” chọn “Asia/Ho_Chi_Minh””.
- “Locale” chọn “English”.
- “Date” và “Time” chọn theo thời gian thực tế.
- Các thông số còn lại để mặc định như ban đầu.
- Click “OK” để kết thúc cấu hình.
- Click “Save” để lưu cấu hình.

- Click “Commit” để thực hiện cấu hình.
Bước 4.1.2 Cấu hình Interface MGMT

- Trong giao diện quản trị ban đầu chọn Device > Setup > Management > Management
Interface Settings.
- “IP Address” nhập “192.168.10.20”.

- “Netmask” nhập “255.255.255.0”.
- “Default Gateway” nhập “192.168.10.1”.
Page 5
- “Speed” chọn “auto-negotiate”.
- “MTU” nhập “1500”.
- “Service” tích chọn “HTTPS”, “SSH”, “PING”.

Bước 4.1.3 Cấu hình DNS

- Trong giao diện quản trị ban đầu chọn Device > Setup > Sevice > Global.
- “DNS” tích chọn “Servers”.

- “Primary DNS Server” nhập “8.8.8.8”.
Page 6
- “Secondary DNS Server” nhập “8.8.4.4”.
- “Update Server” nhập “updates.paloaltonetworks.com”.

Bước 4.1.4 Cấu hình thay đổi password Admin

- Trong giao diện quản trị ban đầu chọn Device > Administrators.
- Click đúp vào account admin để thay đổi password như sau:
- “Name” nhập “admin.

- “Old Password” nhập password cũ.
- “New Password” và “Confirm New Password” nhập password mới.

Bước 4.2 Cấu hình tạo kết nối đến LDAP Server và Radius Server
Bước 4.2.1 Cấu hình tạo kết nối đến LDAP Server
- Trong giao diện quản trị ban đầu chọn Device > Server Profiles > LDAP.
- Click “Add” để thêm mới các LDAP Server Profile như sau:
Page 7
- “Profile Name” nhập “LDAP_SAVIS”.
- Trong phần “Server list” click “Add” để thêm mới LDAP Server như sau:
o “Name” nhập “192.168.10.60”.
o “LDAP Server” nhập “192.168.10.60”.
o “Port” nhập “389”.
- Trong phần “Server settings” nhập các thông số như sau:
o “Type” chọn “active-directory”.
o “Base DN” chọn “DC=ho, DC=savis, DC=vn”.
o “Bind DN” nhập “ho\administrator”.
o “Password” và “Confirm Password” nhập password của account administrator.

Bước 4.2.2 Cấu hình tạo kết nối đến RADIUS Server
- Trong giao diện quản trị ban đầu chọn Device > Server Profiles > LDAP.
- Click “Add” để thêm mới các RADIUS Server Profile như sau:
Page 8
- “Profile Name” nhập “RADIUS_SAVIS”.
- “Name” nhập “192.168.10.60”.
- “RADIUS Server” nhập “192.168.10.60”.
- “Port” nhập “389”.
- “Secret” và “Confirm Secret” nhập password để kết nối đến RADIUS Server.

Bước 4.2.3 Cấu hình tạo Authentication Profile cho LDAP Server
- Trong giao diện quản trị ban đầu chọn Device > Authentication Profiles.
- Click “Add” để thêm mới các Authentication Profile như sau:
Page 9
- “Name” nhập “Authentication_LDAP”.
- “Location” chọn “Shared”.
- Trong phần “Authentication” nhập các thông số như sau:
o “Type” chọn “LDAP”.
o “Server Profile” chọn “LDAP_SAVIS”.
o “login Attribute” nhập “sAMAccountName”.
o “Username Modifier” chọn “%USERINPUT%”.
- Trong phần “Advanced” nhập các thông số như sau:
Page 10
o Click “Add” và chọn “all” để cho phép tất cả user được xác thực.

Bước 4.2.4 Cấu hình tạo Authentication Profile cho RADIUS Server
- Trong giao diện quản trị ban đầu chọn Device > Authentication Profiles.
- Click “Add” để thêm mới các Authentication Profile như sau:
Page 11
- “Name” nhập “Authentication_LDAP”.
- “Location” chọn “Shared”.
o “Type” chọn “RADIUS”.
o “Server Profile” chọn “RADIUS_SAVIS”.
o Tích chọn “Retrieve user group from RADIUS”.
o “User Domain” nhập “ho”.
o “Username Modifier” chọn “%USERINPUT%”.
- Trong phần “Advanced” nhập các thông số như sau:
Page 12
o Click “Add” và chọn “all” để cho phép tất cả user được xác thực.

Bước 4.2.5 Cấu hình User Identification

- Trong giao diện quản trị ban đầu chọn Device > User Identification > User Mapping.
Page 13
- Trong phần “Palo Alto Networks User ID Agent Setup” Click “Edit” để thêm mới các thông
tin như sau:
o Nhập user/password domain administrator để cho phép palo alto lấy thông tin user
trong domain.
- Trong phần “Server Monitoring” nhập các thông số như sau:
o “Name” nhập “LDAP_SAVIS”.

o Tích chọn “Enable”.
o “Type” chọn “Microsoft Active Directory”.
o “Network Address” nhập “192.168.10.60”.
o Click “OK” để kết thúc cấu hình.
Page 14
- Trong giao diện quản trị ban đầu chọn Device > User Identification > Captive Portal Settings.
- Click “Edit” để thêm mới các thông tin như sau:
o Tích chọn “Enable Captive Portal”.

o “Mode” chọn “Redirect”.
o “Authentication” chọn “Authentication_LDAP”.
o Trong phần“Session Cookie” tích chọn “Enable” và “Roaming”.
o “Redirect Host” nhập “192.168.1.1”.
Page 15
o Click “OK” để kết thúc cấu hình.

Bước 4.2.6 Cấu hình Network Profile

- Trong giao diện quản trị ban đầu chọn Network > Network Profiles > Interface Mgmt.
- Click “Add” để thêm mới các thông tin như sau:
- “Name” nhập “Captive_portal”.

- Trong phần “Permitted Services” tích chọn “Ping”, “SSH”, “HTTPS”, “Response
Pages”.

Bước 4.3 Cấu hình Object

- Trong giao diện quản trị ban đầu chọn Object > Addresses.
- Click “Add” để thêm mới các object như sau:
Page 16
Bước 4.3.1 Cấu hình Object publicIP
- “Name” nhập “publicIP”.

- Tích chọn “Shared”.
- “Type” chọn “IP Netmask” và nhập “113.190.252.173”.

Bước 4.3.2 Cấu hình Object LDAP_Server
- “Name” nhập “LDAP_Server”.

- “Type” chọn “IP Netmask” và nhập “192.168.10.60”.
Page 17
Bước 4.3.3 Cấu hình Object LAN
- “Name” nhập “LAN”.

- “Type” chọn “IP Netmask” và nhập “192.168.1.0/24”.

Bước 4.3.4 Cấu hình Object ServerFarm
Page 18
- “Name” nhập “ServerFarm”.

Bước 4.3.5 Cấu hình Object ThauPhu
- “Name” nhập “Thauphu.


Page 19
Bước 4.3.6 Cấu hình Object vpn_range
- “Name” nhập “vpn_range”.

- “Type” chọn “IP Netmask” và nhập “10.10.10.100-10.10.10.200”.

Bước 4.3.7 Cấu hình tạo service

- Trong giao diện quản trị ban đầu chọn Objects > Services.
- Click “Add” để thêm mới các service như sau:
- “Name” nhập “RDP”.

Page 20
- “Protocol” chọn “TCP”.
- “Destination Port” nhập “3389”.
- “Source Port” nhập “1-65535”.

Bước 4.4 Cấu hình Certificate
Bước 4.4.1 Cấu hình Import Certificate

- Trong giao diện quản trị ban đầu chọn Device > Certificate Management > Certificates.
- Click “Import” để thêm mới các certificate như sau:
- “Certificate Name” nhập “sslvpn”.

- “Certificate File” chọn “certsavis.pfx”.
- “File Format” chọn “Encrypted Private Key and Certificate (PKCS12)”.
- “Passphrase” và “Confirm Passphrase” nhập private key của certificate..

Page 21
Bước 4.4.2 Cấu hình tạo SSL/TLS Service Profile
- Trong giao diện quản trị ban đầu chọn Device > Certificate Management > SSL/TLS Service
Profile.
- “Name” nhập “sslvpn”.

- “Certificate” chọn “sslvpn”.
- Trong phần “Protocol Settings’ chọn các thông số như sau:
o “Min Version” nhập “TLSv1.2”.
o “Max Version” chọn “Max”.

Bước 4.5 Cấu hình các interface và gán vào các zone tương ứng
Bước 4.5.1 Cấu hình tạo Zone

- Trong giao diện quản trị ban đầu chọn Network > Zone.
- Click “Add” để thêm mới các Zone như sau:
Page 22
Bước 4.5.1.1 Cấu hình tạo Zone WAN1
- “Name” nhập “WAN1”.

- “Type” chọn “Layer3”.
- Click “Add” để thêm Interface vào Zone.
- Tích chọn “Enable User Identification”.

Page 23
Bước 4.5.1.2 Cấu hình tạo Zone WAN2
- “Name” nhập “WAN2”.


Page 24
Bước 4.5.1.3 Cấu hình tạo Zone LAN
- “Name” nhập “LAN”.


Page 25
Bước 4.5.1.4 Cấu hình tạo Zone ServerFarm
- “Name” nhập “ServerFarm”.


Page 26
Bước 4.5.1.5 Cấu hình tạo Zone ThauPhu
- “Name” nhập “ThauPhu”.


Page 27
Bước 4.5.1.6 Cấu hình tạo Zone vpn
- “Name” nhập “vpn”.


Bước 4.5.2 Cấu hình Interface

- Trong giao diện quản trị ban đầu chọn Network > Interface.
- Click đúp vào các interface để tiến hành cấu hình như sau:
Bước 4.5.2.1 Cấu hình interface Ethernet1/3
Page 28
- “Comment” nhập “WAN1”.
- “Interface Type” chọn “Layer3”.
- Trong phần “Config” nhập các thông tin như sau:
o “Virtual Router” chọn “default”.
o “Virtual System” chọn “vsys1”.
o “Security Zone” chọn “WAN1”
- Trong phần “IPv4” nhập các thông tin như sau:
o “Type” chọn “PPPoE”.

o Nhập user/password để quay số.
o “Authentication” chọn “auto”.
Page 29
o “Static Address” chọn “publicIP”.
o Tích chọn “automatically create default route pointing to peer”.
o “Default Route Metric” nhập “5”.
- Trong phần “Advanced” nhập các thông tin như sau:
o “Management Profile” chọn “Captive_potal”.


- “Comment” nhập “WAN2”.

o “Security Zone” chọn “WAN2”
Page 30
o “Type” chọn “PPPoE”.
o Nhập user/password để quay số.
o “Authentication” chọn “auto”.

o “Static Address” chọn “None”.
o Tích chọn “automatically create default route pointing to peer”.
o “Default Route Metric” nhập “10”.
o “Management Profile” chọn “None”.


Page 31
- “Comment” nhập “LAN”.

o “Security Zone” chọn “LAN”
o “Type” chọn “Static”.

o Click “Add” để thêm IP “192.168.1.1/24”.
o “Management Profile” chọn “Captive_portal”.
Page 32

- “Comment” nhập “ServerFarm”.

o “Security Zone” chọn “ServerFarm”

Page 33
o “Management Profile” chọn “Captive_portal”.

- “Comment” nhập “Thau_Phu”.

o “Security Zone” chọn “ThauPhu”
Page 34
o “Management Profile” chọn “None”.


Bước 4.5.2.6 Cấu hình interface tunnel.100
Page 35
- “Interface Name” nhập “100”.
- “Comment” nhập “vpn”.
o “Security Zone” chọn “vpn”

Bước 4.6 Cấu hình DHCP Relay

- Trong giao diện quản trị ban đầu chọn Network > DHCP > DHCP Relay.
- Click “Add” để thêm mới các DHCP Relay như sau:
Bước 4.6.1 Cấu hình DHCP Relay cho interface LAN
- “Interface” chọn “ethernet1/5”.

- Tích chọn “IPv4”.
Page 36
- Click “Add” để thêm mới DHCP Server và nhập “192.168.10.60”.

Bước 4.6.2 Cấu hình DHCP Relay cho interface Thauphu
- “Interface” chọn “ethernet1/7”.

- Tích chọn “IPv4”.
- Click “Add” để thêm mới DHCP Server và nhập “192.168.10.60”.

Page 37
Bước 4.7 Cấu hình SSL VPN
Bước 4.7.1 Cấu hình Global Protect Gateway

- Trong giao diện quản trị ban đầu chọn Network > GlobalProtect > Gateway.
- Click “Add” để thêm mới các ssl vpn gateway:
- “Name” nhập “test”.

- “Location” chọn “vsys1”.
- Trong phần “Network Settings” nhập các thông số như sau:
o “Interface” chọn “ethernet1/3”.
o “IP Address” chọn “publicIP”.
o “SSL/TLS Service Profile” chọn “sslvpn”.
o “Authentication Profile” chọn “Authentication_LDAP”.
o “Authentication Message” nhập “Enter login credentials”.
- Trong phần “Client Configuration” nhập các thông số như sau:

o Tích chọn “Tunnel Mode”
o “Tunnel Interface” chọn “tunnel.100”.
o Tích chọn “Enable IPSec”.
o “GlobalProtect IPSec Crypto” chọn “default”.
Page 38
o Click “Add”.
o “Name” nhập “policy”.

o “Source User” chọn “any”.
o “OS” chọn “Any”.
o “IP Pool” nhập “10.10.10.100-10.10.10.200”.

o “Access Route” nhập “192.168.10.0/24”.
Page 39
- Trong phần “Network Service” nhập các thông số như sau:
o “Inheritance Source” chọn “ethernet1/3”.
o “Primary DNS” nhập “192.168.10.60”.
o “Secondary DNS” nhập “8.8.8.8”.

Bước 4.7.2 Cấu hình Global Protect Portals

- Trong giao diện quản trị ban đầu chọn Network > GlobalProtect > Portals.
- Click “Add” để thêm mới các ssl vpn portal:
- “Name” nhập “test”.

- “Location” chọn “vsys1”.
Page 40
o “IP Address” chọn “publicIP”.
o “SSL/TLS Service Profile” chọn “sslvpn”.
o “Authentication Profile” chọn “Authentication_LDAP”.
o “Authentication Message” nhập “Enter login credentials”.
- Trong phần “Agent Configuration” nhập các thông số như sau:
o Click “Add” để thêm mới policy.
o “Name” nhập “policy”.

o “Connect Method” chọn “on-demand (Manual user initated connection)”.
o “User/User Group” chọn “any”.

o “OS” chọn “any”.
Page 41
o Click “Add” trong phần “External Gateways”.
o “Name” nhập “gw”.
o “Address” chọn “113.190.252.173”.

Bước 4.8 Cấu hình Policy Based Forwarding

- Trong giao diện quản trị ban đầu chọn Policies> Policy Based Forwarding.
- Click “Add” để thêm mới các policy Based Forwarding như sau:
Bước 4.8.1 Cấu hình PBF cho Interface Thauphu truy cập vào vùng Server
Farm
- Trong phần “General” nhập các thông số như sau:

o “Name” nhập “Thauphu_to_ServerFarm”.
o “Description” nhập “port7 -> port6”.
Page 42
- Trong phần “Source” nhập các thông số như sau:
o “Type” chọn “Interface”.
o Click “Add” để thêm Interface “ethernet1/7”.
o “Source Address” chọn “Thauphu”.
- Trong phần “Destination/Application/Service” nhập các thông số như sau:

o “Destination Address” chọn “ServerFarm”.
o “Application” chọn “any”.
o “Service” chọn “any”.
Page 43
- Trong phần “Forwarding” nhập các thông số như sau:
o “Action” chọn “No PBF”.

Bước 4.8.2 Cấu hình PBF cho Interface Thauphu truy cập ra Internet theo
đường WAN2

o “Name” nhập “Thauphu_to_Internet”.
o “Description” nhập “port7 -> WAN2”.
Page 44
o “Type” chọn “Interface”.
o Click “Add” để thêm Interface “ethernet1/7”.
- Trong phần “Destination/Application/Service” nhập các thông số như sau:

o “Destination Address” chọn “any”.
o “Application” chọn “any”.
o “Service” chọn “any”.
Page 45
- Trong phần “Forwarding” nhập các thông số như sau:
o “Action” chọn “Forward”.
o “Egress Interface” chọn “ethernet1/4”
o “Next Hop” nhập “123.16.144.1”.

Bước 4.9 Cấu hình NAT

- Trong giao diện quản trị ban đầu chọn Policies> NAT.
- Click “Add” để thêm mới các policy NAT như sau:
Bước 4.9.1 Cấu hình NAT Overload
Bước 4.9.1.1 Cấu hình NAT Overload cho LAN
Page 46
o “Name” nhập “NAT_Overload_LAN”.
o “NAT Type” chọn “ipv4”.
- Trong phần “Original Packet” nhập các thông số như sau:

o “Source Zone” chọn “LAN”.
o “Destination Zone” chọn “WAN1”.
o “Source Address” chọn “LAN”.
Page 47
- Trong phần “Translated Packet” nhập các thông số như sau:
o “Translation Type” chọn “Dynamic IP And Port”.
o “Address Type” chọn “Translated Address”.
o Click “Add” để thêm “publicIP” vào phần “Translated Address”.

Bước 4.9.1.2 Cấu hình NAT Overload cho ServerFarm

o “Name” nhập “NAT_Overload_ServerFarm”.
Page 48
o “Source Zone” chọn “ServerFarm”.
o “Source Address” chọn “ServerFarm”.

o “Address Type” chọn “Translated Address”.
o Click “Add” để thêm “publicIP” vào phần “Translated Address”.

Page 49
Bước 4.9.1.3 Cấu hình NAT Overload cho ThauPhu

o “Name” nhập “NAT_Overload_Thauphu”.

o “Source Zone” chọn “Thauphu”.
Page 50
o “Address Type” chọn “Interface Address”.
o “IP Address” chọn “None”.

Bước 4.9.2 Cấu hình NAT Service

o “Name” nhập “PublicServer_to_Internet”.

o “Source Zone” chọn “WAN1”.
o “Service” chọn “RDP”.
o “Source Address” chọn “any”.
Page 51
o “Destination Address” chọn “publicIP”.

o Tích chọn “Destination Address Translation”.
o “Translated Address” chọn “LDAP_Server”.
o “Translated Port” chọn “3389”.

Bước 4.10 Cấu hình Security Profile

- Trong giao diện quản trị ban đầu chọn Objects > Security Profiles.
- Các Action trong Security Profile
Default Hành động mặc định được mô tả đối với từng mối đe dọa
Allow Cho phép traffic đi qua
Đưa ra cảnh báo đối với mỗi luồng traffic và sẽ lưu log vào
Alert
mục threat log
Drop Không cho phép traffic đi qua
Reset Đối với gói tin đạng TCP, khởi tạo lại kết nối ở phía client
Client
Đối với gói tin dạng UDP, hủy kết nối
Reset Đối với gói tin đạng TCP, khởi tạo lại kết nối ở phía server
Server
Đối với gói tin dạng TCP, khởi tạo lại kết nối ở cả 2 phía
Reset client và server
Both
chặn truy cập từ 1 nguồn hoặc 1 cặp nguồn đích cụ thể. Có
Block IP
thể cấu hình để chặn theo khoảng thời gian
- Click “Add” để thêm mới các Security Profile như sau:
Bước 4.10.1 Cấu hình Antivirus Profile

- Trong giao diện quản trị ban đầu chọn Objects > Security Profiles > Antivirus.
- Click “Add” để thêm mới các Antivirus Profile như sau:
Page 52
- “Name” nhập “antivirus_profile”.
- Tích chọn “Packet Capture”.
- Trong phần “Decoders” nhập các thông số như sau:
o “http” chọn “drop”.
o “ftp” chọn “drop”.
o Các thông số còn lại để mặc định như ban đầu.

Bước 4.10.2 Cấu hình URL Filtering

- Trong giao diện quản trị ban đầu chọn Objects > Security Profiles > URL Filtering.
- Click “Add” để thêm mới các URL Filtering Profile như sau:
Page 53
- “Name” nhập “url_policy”.
- “Action” chọn “block”.
- Trong phần “Category” nhập các thông số như sau:
o “adult” chọn “block”.
o “nudity” chọn “block”.
o “sex-education” chọn “block”.

Bước 4.11 Cấu hình policy

- Trong giao diện quản trị ban đầu chọn Policies > Security.
- Click “Add” để thêm mới các policy như sau:
Page 54
Bước 4.11.1 Cấu hình policy từ LAN truy cập ra ngoài Internet

o “Name” nhập “LAN_to_Internet”.
o “Rule Type” chọn “universal (default)”.
o “Description” nhập “port5 -> port3”.

o Click “Add” để thêm “LAN” vào “Source Zone”.
o Click “Add” để thêm “LAN” vào “Source Address”.
Page 55
- Trong phần “User” nhập các thông số như sau:
o Click “Add” để thêm “any” vào “Source User”.
- Trong phần “Destination” nhập các thông số như sau:

o Click “Add” để thêm “WAN1” vào “Destination Zone”.
o Click “Add” để thêm “any” vào “Destination Address”.
Page 56
- Trong phần “Application” nhập các thông số như sau:
o Click “Add” để thêm “any” vào “Applications”.

o Click “Add” để thêm “any” vào “service”.
o Click “Add” để thêm “any” vào “URL category”.
Page 57
- Trong phần “Actions” nhập các thông số như sau:
o “Action” chọn “Allow”.
o “Profile Type” chọn “Profile”.
o “Antivirus” chọn “antivirus_profile”.
o “Vulnerability Protection” chọn “strict”.
o “Anti-Spyware” chọn “strict”.
o “URL Filtering” chọn “url_policy”.
o “WildFire Analysis” chọn “default”.

Bước 4.11.2 Cấu hình policy public server ra ngoài internet

o “Name” nhập “Public3389”.
Page 58

o Click “Add” để thêm “LAN” vào “WAN1”.
o Click “Add” để thêm “any” vào “Source Address”.

Page 59
o Click “Add” để thêm “ServerFarm” vào “Destination Zone”.
o Click “Add” để thêm “publicIP” vào “Destination Address”.

o Click “Add” để thêm “ms-rdp” vào “Applications”.
Page 60


Page 61
Bước 4.11.3 Cấu hình policy cho phép VPN vào vùng ServerFarm

o “Name” nhập “VPN access”.

o Click “Add” để thêm “vpn” vào “Source Zone”.
o Click “Add” để thêm “any” vào “Source Address”.
Page 62

o Click “Add” để thêm “ServerFarm” vào “Destination Zone”.
Page 63
o Click “Add” để thêm “any” vào “Applications”.

Page 64

Bước 4.11.4 Cấu hình policy xác thực captive portal để truy cập ra internet
- Trong giao diện quản trị ban đầu chọn Policies > Captive Portal.
- Click “Add” để thêm mới các policy như sau:

o “Name” nhập “Policy_CaptivePortal”.
Page 65
o Click “Add” để thêm “LAN” vào “Source Zone”.
o Click “Add” để thêm “datph” vào “Source Address”.

o Click “Add” để thêm “WAN1” vào “Destination Zone”.
Page 66
- Trong phần “Service/URL Category” nhập các thông số như sau:
o Click “Add” để thêm “service-http” và “service-https” vào “Service”.

o “Action” chọn “web-form”.

- Sau khi đã tiến hành cấu hình xong tiến hành truy cập thử 1 trang web sẽ hiện ra form login
như hình dưới.
- Sử dụng account AD để đăng nhập và xác thực truy cập ra ngoài internet.
Page 67
Bước 4.12 Cấu hình VPN Client
Bước 4.12.1 Truy cập VPN trên Iphone và Android
- Truy cập vào App Store và tìm kiếm ứng dụng “GlobalProtect”.
- Sau đó tải ứng dụng và sử dụng ứng dụng “GlobalProtect” để thực hiện VPN.
- Màn hình Thêm Cấu hình hiện ra, chọn “IPSec”.
Page 68
- “Portal” nhập “113.190.252.173”.
- Nhập User/password.
- Click “Connect” để thêm mới cấu hình VPN.
- Sau khi đã kết nối thành công trên phần mềm sẽ đưa ra thông báo như sau:
- Ping “192.168.10.60”
Page 69
Bước 4.12.2 Truy cập VPN trên máy tính
- Truy cập vào đường dẫn https://113.190.252.173 để download phần mềm Global Protect
- Sử dụng account AD để đăng nhập vào portal.
Page 70
- Chọn đúng phiên bản hệ điều hành của máy để download.
- Sau khi đã download xong tiến hành cấu hình để truy cập VPN
- Trong phần “Settings” nhập Username/password AD.

- “Portal” nhập “113.190.252.173”.
- Click “Apply” để lưu lại cấu hình.
- Sau khi đã VPN thành công, kiểm tra log trên phần mềm và thực hiện lệnh ping đến các máy
chủ vùng ServerFarm
Page 71
- Sau khi đã VPN thành công, kiểm tra log trên phần mềm và thực hiện lệnh ping đến các máy
chủ vùng ServerFarm
- Tiến hành Remote Desktop đến Server 192.168.10.60
Page 72
Page 73

Quy Trinh Cau Hinh Palo Alto 5060

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Quy Trinh Cau Hinh Palo Alto 5060

Uploaded by

Copyright:

Available Formats

Số hợp đồng:

Khách hàng: SAVIS

Tài liệu hướng dẫn sử dụng

1.0 29/03/2016 Phạm Hoàng Đạt

2 Phê duyệt tài liệu

Tên Vị trí/Vai trò Ngày duyệt Chữ ký

4 Nội dung tài liệu

Bước 4.1.1 Cấu hình hostname, timezone

- Click “Edit” để thay đổi các thông tin như sau:

- “Hostname” nhập “PA-5060”.

- Click “Save” để lưu cấu hình.

Bước 4.1.2 Cấu hình Interface MGMT

- Click “Edit” để thay đổi các thông tin như sau:

- “IP Address” nhập “192.168.10.20”.

- Click “Save” để lưu cấu hình.

Bước 4.1.3 Cấu hình DNS

- Click “Edit” để thay đổi các thông tin như sau:

- “DNS” tích chọn “Servers”.

- Click “Save” để lưu cấu hình.

Bước 4.1.4 Cấu hình thay đổi password Admin

- “Name” nhập “admin.

- Click “Save” để lưu cấu hình.

- Click “Save” để lưu cấu hình.

- Click “Save” để lưu cấu hình.

- Click “Save” để lưu cấu hình.

- Click “Save” để lưu cấu hình.

Bước 4.2.5 Cấu hình User Identification

o “Name” nhập “LDAP_SAVIS”.

- Click “Edit” để thêm mới các thông tin như sau:

o Tích chọn “Enable Captive Portal”.

- Click “Save” để lưu cấu hình.

Bước 4.2.6 Cấu hình Network Profile

- Click “Add” để thêm mới các thông tin như sau:

- “Name” nhập “Captive_portal”.

- Click “Save” để lưu cấu hình.

Bước 4.3 Cấu hình Object

- Click “Add” để thêm mới các object như sau:

- “Name” nhập “publicIP”.

- Click “Save” để lưu cấu hình.

Bước 4.3.2 Cấu hình Object LDAP_Server

- “Name” nhập “LDAP_Server”.

Bước 4.3.3 Cấu hình Object LAN

- “Name” nhập “LAN”.

- Click “Save” để lưu cấu hình.

Bước 4.3.4 Cấu hình Object ServerFarm

- Click “Save” để lưu cấu hình.

Bước 4.3.5 Cấu hình Object ThauPhu

- “Name” nhập “Thauphu.

- Click “Save” để lưu cấu hình.

- “Name” nhập “vpn_range”.

- Click “Save” để lưu cấu hình.

Bước 4.3.7 Cấu hình tạo service

- “Name” nhập “RDP”.

- Click “Save” để lưu cấu hình.

Bước 4.4 Cấu hình Certificate

Bước 4.4.1 Cấu hình Import Certificate

- “Certificate Name” nhập “sslvpn”.

- Click “Save” để lưu cấu hình.

- “Name” nhập “sslvpn”.

- Click “Save” để lưu cấu hình.

Bước 4.5.1 Cấu hình tạo Zone

- “Name” nhập “WAN1”.

- Click “Save” để lưu cấu hình.