Hướng dẫn cấu hình cơ bản Firewall Palo Alto Networks I. Giới thiệu Palo Alto Networks là một trong những thương hiệu tường lửa Next-Generation Firewall (NGFW) hàng đầu hiện nay, được sử dụng rộng rãi trong hệ thống mạng doanh nghiệp nhờ khả năng bảo mật mạnh mẽ, quản lý trực quan và tích hợp nhiều công nghệ bảo vệ hiện đại. Trong bài viết này, chúng ta sẽ thực hiện cấu hình cơ bản một thiết bị Palo Alto Firewall với các chức năng: Thiết lập Management Interface Cấu hình DNS và NTP Tạo Security Zone Cấu hình Interface Layer 3 Thiết lập Static Route Tạo Security Policy Cấu hình NAT cho phép máy trạm truy cập Internet Kiểm tra kết nối và xem log truy cập Mô hình triển khai sử dụng trong bài viết: II. Thiết lập ban đầu - Theo mặc định, cổng Management của Palo Alto Firewall sử dụng địa chỉ IP 192.168.1.1. - Kết nối máy tính vào cổng Management và truy cập trình duyệt web: "https://192.168.1.1" - Đăng nhập bằng tài khoản mặc định: Username: admin & Password: admin - Trong lần đăng nhập đầu tiên, hệ thống sẽ yêu cầu thay đổi mật khẩu quản trị. 1. Thay đổi địa chỉ IP Management - Truy cập: Device > Setup > Interfaces - Chọn Management Interface và nhấn Edit. - Thay đổi phù hợp với hệ thống mạng quản trị của bạn Địa chỉ IP Subnet Mask Default Gateway 2. Thiết lập Hostname và Timezone - Truy cập: Device > Setup > Management - Tại mục General Settings, nhấn biểu tượng bánh răng để chỉnh sửa. - Cấu hình: Hostname Timezone Format thời gian - Việc thiết lập đúng múi giờ giúp log và cảnh báo hệ thống chính xác hơn. 3. Cấu hình DNS và NTP - Truy cập: Device > Setup > Services - Tại đây, cấu hình: DNS Server - Ví dụ: 8.8.8.8, 1.1.1.1 NTP Server - Ví dụ: time.google.com - DNS giúp Firewall phân giải tên miền phục vụ update và truy cập dịch vụ. - NTP giúp đồng bộ thời gian hệ thống phục vụ logging và bảo mật. III. Cấu hình Security Zones - Trên Palo Alto Firewall, Security Policy hoạt động dựa trên Security Zone thay vì chỉ dựa trên địa chỉ IP. Việc phân chia Zone giúp kiểm soát lưu lượng rõ ràng và bảo mật hơn. - Trong mô hình này, chúng ta tạo: INSIDE - Mạng nội bộ OUTSIDE - Kết nối Internet - Truy cập: Network > Zones - Nhấn Add để tạo Zone mới. Thiết lập: Type: Layer 3 Tạo lần lượt hai Zone: INSIDE OUTSIDE IV. Cấu hình Network Interfaces - Truy cập: Network > Interfaces > Ethernet - Trong ví dụ này: Ethernet1/2 - Kết nối mạng LAN Ethernet1/1 - Kết nối Internet 1. Cấu hình Ethernet1/2 (LAN) - Chọn interface: Ethernet1/2 - Thiết lập: Config Tab Interface Type : Layer 3 Virtual Router : default Security Zone : INSIDE IPv4 Tab Type: Static Thêm địa chỉ IP: 192.168.100.1/24 2. Cấu hình Management Profile - Để cho phép Firewall phản hồi các dịch vụ quản trị như Ping hoặc HTTPS trên interface, cần tạo Management Profile. - Tại tab: Advanced - Trong mục: Management Profile - Tạo profile mới cho phép: Ping HTTPS SSH (nếu cần) Ví dụ trong bài viết này sẽ cho phép dịch vụ Ping để kiểm tra kết nối. 3. Cấu hình Ethernet1/1 (WAN) - Tiến hành cấu hình tương tự cho interface: Ethernet1/1 IP Address : 10.1.1.100/24 Security Zone : OUTSIDE V. Cấu hình Static Route - Sau khi hoàn tất cấu hình interface, chúng ta cần khai báo định tuyến mặc định để Firewall có thể truy cập Internet. - Truy cập: Network > Virtual Routers - Chọn Virtual Router: default - Tại mục: Static Routes - Nhấn Add và cấu hình: Destination : 0.0.0.0/0 Interface : Ethernet1/1 Next Hop : 10.1.1.254 - Route mặc định này cho phép toàn bộ lưu lượng không xác định được chuyển ra Router Internet. VI. Cấu hình Security Policy - Theo mặc định, Palo Alto Firewall sẽ từ chối lưu lượng giữa các Security Zone khác nhau nếu chưa có Policy cho phép. - Để cho phép người dùng nội bộ truy cập Internet, chúng ta cần tạo Security Policy. - Truy cập: Policies > Security - Tạo rule mới với các thông số: Source Zone : INSIDE Destination Zone : OUTSIDE Source Address : any Destination Address : any Application : any Service : application-default Action : allow - Rule này cho phép các máy trong mạng LAN truy cập Internet. VII. Cấu hình NAT - Do các máy trong mạng nội bộ sử dụng địa chỉ IP private, cần cấu hình NAT để chuyển đổi sang địa chỉ IP public khi truy cập Internet. - Truy cập: Policies > NAT - Nhấn Add để tạo NAT Rule mới. 1. Original Packet - Thiết lập: Source Zone : INSIDE Destination Zone : OUTSIDE Source Address : 192.168.100.0/24 2. Translated Packet - Thiết lập: Translation Type : Dynamic IP And Port Address Type : Interface Address Interface : Ethernet1/1 - Rule này sẽ chuyển đổi địa chỉ IP nội bộ sang địa chỉ IP của interface WAN khi truy cập Internet. VIII. Commit cấu hình - Sau khi hoàn tất toàn bộ cấu hình, nhấn nút: Commit ở góc trên bên phải giao diện quản trị. Lưu ý: Trên Palo Alto Firewall, mọi thay đổi chỉ có hiệu lực sau khi thực hiện Commit. IX. Kiểm tra kết nối Trên máy client, tiến hành kiểm tra: 1. Kiểm tra Gateway : ping 192.168.100.1 2. Kiểm tra Internet : ping 8.8.8.8 3. Kiểm tra DNS : ping google.com X. Kiểm tra Log truy cập - Để xem log lưu lượng truy cập: Monitor > Logs > Traffic - Việc theo dõi log giúp xác định nhanh các sự cố kết nối và kiểm tra hoạt động của Security Policy. XI. Kết luận - Qua bài viết này, chúng ta đã hoàn thành cấu hình cơ bản cho Palo Alto Firewall bao gồm: Thiết lập Management Cấu hình Interface Layer 3 Tạo Security Zone Thiết lập Static Route Tạo Security Policy Cấu hình NAT Internet Kiểm tra kết nối và log truy cập - Việc nắm vững cấu hình cơ bản sẽ giúp quá trình triển khai và vận hành Palo Alto Firewall hiệu quả và ổn định hơn.
Hướng dẫn cấu hình DHCP Server trên Palo Alto Firewall Bài này sẽ tiếp tục hướng dẫn các bạn cấu hình DHCP Server trên firewall Palo Alto Networks. 1. Tổng quan DHCP trên Palo Alto Firewall - Firewall có thể hoạt động với nhiều vai trò DHCP khác nhau: DHCP Server DHCP Relay Agent - Các chức năng này giúp firewall: Cấp phát IP tự động cho client Chuyển tiếp DHCP Request đến DHCP Server khác 2. DHCP Server là gì? - DHCP Server giúp tự động cấp: Địa chỉ IP, Subnet Mask, Default Gateway, DNS Server, Lease Time cho các thiết bị trong mạng LAN. - Ví dụ: PC, Laptop, Điện thoại, Camera, Printer 3. Mô hình DHCP Server Client PC ----------------[Palo Alto Firewall][DHCP Server] ethernet1/2: 192.168.100.1 - Firewall sẽ cấp IP cho client trong mạng LAN. 4. Cấu hình DHCP Server Bước 1: Mở DHCP Configuration Vào: Network > DHCP Chọn tab: DHCP Server Nhấn: Add Bước 2: Chọn Interface Ví dụ: ethernet1/2 Bước 3: Cấu hình IP Pool - Ví dụ: IP Pool: 192.168.100.100-192.168.100.200 Gateway: 192.168.100.1 Primary DNS: 8.8.8.8 Lease: 86400 Bước 4: Commit - Nhấn: Commit 5. Kiểm tra DHCP Server Kiểm tra Lease - Vào: Network > DHCP > DHCP Server - Hoặc CLI: "show dhcp server lease interface ethernet1/2" Kiểm tra Client - Kiểm tra: ipconfig - Nếu nhận IP trong dải: 192.168.100.100-200 thì DHCP hoạt động thành công. 6. Kết luận - DHCP Server trên firewall Palo Alto Networks giúp: Tự động hóa cấp phát IP Quản lý mạng hiệu quả Hỗ trợ mô hình nhiều VLAN/subnet Giảm cấu hình thủ công - DHCP Server phù hợp: Văn phòng nhỏ, Chi nhánh. Mạng đơn giản.
Hướng dẫn cấu hình Destination NAT trên Palo Alto Dựa trên sơ đồ mạng: - Inside network: 192.168.100.0/24 - Outside network: 10.1.1.0/24 - SSH Server cần được truy cập từ bên ngoài - Người dùng từ Internet sẽ truy cập vào địa chỉ public 10.1.1.100 và được DNAT về 192.168.100.10:22 Yêu cầu: - Palo Alto Firewall đã được cấu hình cơ bản (IP cho các interface, zone, routing). - SSH Server 192.168.100.10 đang chạy dịch vụ SSH (cổng 22). 1. Các bước thực hiện (Web GUI) Bước 1: Tạo Destination NAT Rule 1. Vào Policies > NAT > Add 2. Tab General: Name: Inbound Description: (tùy chọn) 3. Tab Original Packet: Source Zone: Outside Destination Zone: Outside Destination Interface: ethernet1/1 (interface nhận kết nối từ bên ngoài) Service: tcp/22 Source Address: Any Destination Address: 10.1.1.100 4. Tab Translated Packet: Destination Address Translation: Translation Type: Static IP Translated Address: 192.168.100.1 Translated Port: 22 Source Address Translation: None (không cần SNAT) 5. Click OK Bước 2: Tạo Security Policy cho phép SSH 1. Vào Policies > Security > Add 2. Tab General: Name: Allow_SSH_From_Outside 3. Tab Source: Source Zone: Outside Source Address: Any 4. Tab Destination: Destination Zone: Inside Destination Address: 10.1.1.100 5. Tab Application / Service: Application : App SSH Service: application-default 6. Tab Actions: Action: Allow Log at Session End: chọn để theo dõi 7. Click OK Bước 3: Commit thay đổi - Nhấn Commit góc trên bên phải để áp dụng cấu hình. 2. Kiểm tra kết nối - Từ một host bên ngoài thực hiện: ssh user@10.1.1.100 - Kết nối sẽ được chuyển tiếp đến 192.168.100.10:22. 3. Xem log NAT và Security - Monitor > Traffic hoặc để kiểm tra gói tin được DNAT thành công. Bằng cách làm theo các bước trên, bạn đã hoàn tất cấu hình Destination NAT cho phép truy cập SSH từ bên ngoài vào server nội bộ thông qua Palo Alto Firewall.
Hướng dẫn cấu hình DHCP Relay trên Firewall Palo Alto I. Mô hình triển khai II. Các bước cấu hình DHCP Relay - Trước khi cấu hình DHCP Relay, hãy đảm bảo rằng: 1. Interface Eth1/2 (Inside zone) đã được cấu hình là Layer 3 với IP 192.168.100.1/24. 2. Interface Eth1/3 (Server zone) đã được cấu hình là Layer 3 với IP 192.168.200.1/24 3. Các Interface này đã được gán vào Virtual Router và Zone tương ứng. 4. DHCP Server ở địa chỉ 192.168.200.100 đã được cấu hình và hoạt động bình thường. Bước 1: Truy cập cấu hình DHCP Relay - Trên giao diện quản trị Web của Palo Alto, theo đường dẫn sau: Network -> DHCP -> DHCP Relay - Bạn sẽ thấy một cửa sổ cấu hình. Lúc đầu, danh sách sẽ trống. Hãy nhấp vào nút Add ở phía dưới để tạo mới một cấu hình DHCP Relay. Bước 2: Thêm Interface Relay - Một cửa sổ cấu hình mới hiện ra, bạn cần khai báo các thông tin sau: Interface: Click chọn Ethernet1/2 (Interface kết nối với mạng Inside chứa Client cần cấp IP). Đây là interface sẽ lắng nghe các broadcast DHCP Discovery từ Client . Bước 3: Khai báo địa chỉ DHCP Server - Phần này dùng để chỉ định DHCP Server thực tế nằm ở mạng bên ngoài. 1. Chọn phiên bản IP: Tick chọn ô IPv4. 2. DHCP Server IP Address: Nhập địa chỉ IP của DHCP Server. Dựa vào sơ đồ, là địa chỉ 192.168.200.100. 3. Nhấn nút Add để thêm IP này vào danh sách. Lưu ý: Firewall cho phép bạn thêm tối đa 8 địa chỉ DHCP Server cho mỗi Interface. Bước 4: Security Policy cho phép DHCP - Nếu có chính sách chặn giữa các Zone, cần cho phép: Application: dhcp Service: application-default Ví dụ: Source Zone : Inside Destination Zone : Server Application : dhcp Action : Allow Bước 5: Hoàn tất và Commit III. Kiểm tra và xác minh Sau khi cấu hình hoàn tất, bạn có thể kiểm tra bằng cách: - Từ Client: Mở một máy trạm trong mạng 192.168.100.0/24 và cấu hình nhận IP động. Kiểm tra xem máy có nhận được IP thuộc dải 192.168.100.x từ DHCP Server hay không. - Dòng lệnh (CLI): Bạn có thể SSH vào firewall và dùng lệnh sau để xem trạng thái relay: show dhcp relay state - Kiểm tra trạng thái trong DHCP Server. IV. Tổng kết - Sau khi cấu hình thành công, luồng hoạt động sẽ diễn ra như sau: 1. Client gửi gói tin DHCP Discover (Broadcast). 2. Firewall (Eth1/2) nhận được broadcast. Vì được cấu hình DHCP Relay, nó sẽ chuyển gói tin này thành Unicast và gửi đến DHCP Server (192.168.200.100) . 3. DHCP Server nhận được yêu cầu và gửi lại DHCP Offer cho Firewall. 4. Firewall chuyển tiếp DHCP Offer này đến Client. 5. Quá trình trao đổi DHCP Request và DHCP Ack tiếp tục diễn ra tương tự qua trung gian Firewall. Bằng cách này, bạn đã thành công trong việc giúp các Client ở mạng Inside nhận IP từ Server xuyên qua tường lửa Palo Alto.
