Configure o acesso seguro com o firewall Palo Alto

Opções de download

  • PDF     (2.9 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.8 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:31 de janeiro de 2024
ID do documento:221589

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o acesso seguro com o firewall Palo Alto.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Firewall da versão Palo Alto 11.x
    • Acesso seguro
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA
    • ZTNA sem cliente

    Componentes Utilizados

    As informações neste documento são baseadas em: 

    • Firewall da versão Palo Alto 11.x
    • Acesso seguro
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Secure Access - Palo AltoAcesso seguro - Palo Alto

    A Cisco projetou o Secure Access para proteger e fornecer acesso a aplicativos privados, no local e baseados em nuvem. Ele também protege a conexão da rede à Internet. Isso é obtido por meio da implementação de vários métodos e camadas de segurança, todos voltados para preservar as informações à medida que elas são acessadas pela nuvem.

    Configurar

    Configurar a VPN no acesso seguro

    Navegue até o painel de administração do Secure Access.

    Secure Access - Main PageAcesso seguro - Página principal

    • Clique em Connect > Network Connections

    Secure Access - Network ConnectionsAcesso seguro - Conexões de rede

    • Em Network Tunnel Groups clique em + Add

    Secure Access - Network Tunnel GroupsAcesso seguro - Grupos de túnel de rede

    • Configure Tunnel Group Name,  Region e
    • Clique em Next

    Network Tunnel Group - General Settings

    note-icon

    Note: Escolha a região mais próxima ao local do firewall.

    • Configure o Tunnel ID Format e Passphrase
    • Clique em Next

    Network Tunnel Group - Tunnel ID Format

    • Configure os intervalos de endereços IP ou hosts que você configurou na sua rede e deseja passar o tráfego pelo Secure Access
    • Clique em Save

    Secure Access - Tunnel Groups - Routing OptionsAcesso seguro - Grupos de túneis - Opções de roteamento

    Depois de clicar Save nas informações sobre o túnel que são exibidas, salve-as para a próxima etapa, Configure the tunnel on Palo Alto.

    Dados do túnel

    Secure Access - Data for Tunnel Setup

    Configurar o túnel em Palo Alto

    Configurar a interface do túnel

    Navegue até o Painel Palo Alto.

    • Network > Interfaces > Tunnel
    • Click Add

    Palo Alto - Interface

    • No menu Config, configure oVirtual Router, Security Zonee atribua umSuffix Number

    Palo Alto - Tunnel Interface

    • Em IPv4, configure um IP não roteável. Por exemplo, você pode usar 169.254.0.1/30
    • Clique em OK

    Palo Alto - Tunnel Interface - IPV4

    Depois disso, você pode ter algo assim configurado:

    Palo Alto - Tunnel Configured

    Se você o tiver configurado dessa forma, poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IKE Crypto Profile.

    Configurar perfil de criptografia IKE

    Para configurar o perfil de criptografia, navegue até: 

    • Network > Network Profile > IKE Crypto  
    • Clique em Add

    Palo Alto - IKE Crypto

    • Configure os próximos parâmetros:
      • Name:  Configure um nome para identificar o perfil.
      • DH GROUP: grupo19
      • AUTHENTICATION: non-auth
      • ENCRYPTION: aes-256-gcm
      • Timers
        • Key Lifetime: 8 horas
        • IKEv2 Authentication: 0
    • Após ter tudo configurado, clique em OK

    Palo Alto - IKE Crypto Profile

    Se ela estiver configurada dessa forma, você poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IKE Gateways.

     Configurar gateways IKE

    Para configurar gateways IKE

    • Network > Network Profile > IKE Gateways
    • Clique em Add

    Palo Alto - IKE Gateways

    • Configure os próximos parâmetros:
      • Name: Configure um nome para identificar os Gateways Ike.
      • Version : modo somente IKEv2
      • Address Type : IPv4
      • Interface : Selecione sua interface WAN da Internet.
      • Local IP Address: Selecione o IP da interface WAN da Internet.
      • Peer IP Address Type : IP
      • Peer Address: Use o IP of Primary IP Datacenter IP Address, fornecido na etapa Tunnel Data.
      • Authentication: Chave pré-compartilhada
      • Pre-shared Key : Use o passphrase fornecido na etapa Tunnel Data.
      • Confirm Pre-shared Key : Use o passphrase fornecido na etapa Tunnel Data.
      • Local Identification : Escolha User FQDN (Email address) e use o Primary Tunnel ID dado na etapa, Dados do túnel.
      • Peer Identification : IP AddressEscolha e use o Primary IP Datacenter IP Address.

    Palo Alto - IKE Gateways - General

    • Clique em Advanced Options

    Palo Alto - IKE Gateways - Advanced Options

    Se ela estiver configurada dessa forma, você poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IPSEC Crypto.

    Configurar perfil de criptografia IPSEC

    Para configurar os gateways IKE, navegue até Network > Network Profile > IPSEC Crypto

    • Clique em Add

    Palo Alto - IPsec Crypto

    • Configure os próximos parâmetros: 
      • Name: Usar um nome para identificar o Perfil IPsec de Acesso Seguro
      • IPSec Protocol: ESP
      • ENCRYPTION: aes-256-gcm
      • DH Group: no-pfs, 1 hora
    • Clique em  OK

    Palo Alto - IPsec Crypto Profile

    Se ela estiver configurada dessa forma, você poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IPSec Tunnels.

    Configurar túneis IPSec

    Para configurar IPSec Tunnels, navegue até Network > IPSec Tunnels.

    • Clique em  Add

    Palo Alto - IPsec Tunnels

    • Configure os próximos parâmetros:
      • Name: Use um nome para identificar o túnel de acesso seguro
      • Tunnel Interface: Escolha a interface de túnel configurada na etapa, Configure a interface de túnel.
      • Type: Chave automática
      • Address Type: IPv4
      • IKE Gateways: Escolha os Gateways IKE configurados na etapa, Configurar Gateways IKE.
      • IPsec Crypto Profile:  Escolha os Gateways IKE configurados na etapa, Configurar perfil de criptografia IPSEC
      • Marcar a caixa de seleção para Advanced Options
        • IPSec Mode Tunnel: Escolha Túnel.
    • Clique em  OK

    Palo Alto - IPsec Tunnels - Configuration

    caution-icon

    Caution: Não há suporte para ID de proxy. Evite qualquer configuração com ID de proxy em Túneis IPSEC Palo Alto com Acesso Seguro.

    Agora que sua VPN foi criada com êxito, você pode prosseguir com a etapa, Configure Policy Based Forwarding.

    Configurar Encaminhamento Baseado em Política

    Para configurar Policy Based Forwarding, navegue até Policies > Policy Based Forwarding.

    • Clique em  Add

    Palo Alto - Policy Based Forwarding

    • Configure os próximos parâmetros:
      • General 
        • Name: Use um nome para identificar o acesso seguro, encaminhamento de base de política (roteamento por origem)
      • Source 
        • Zone: Selecione as Zonas de onde você tem planos para rotear o tráfego com base na origem
        • Source Address: Configure o host ou as redes que você deseja usar como origem.
        • Source Users: Configure os usuários para os quais deseja rotear o tráfego (somente se aplicável)
      • Destination/Application/Service 
        • Destination Address: Você pode deixá-lo como Qualquer ou pode especificar os intervalos de endereços de Acesso seguro (100.64.0.0/10)
      • Forwarding 
    • CliqueOK em e Commit

    Palo Alto - Policy Based Forwarding - General

    Palo Alto - Policy Based Forwarding - Source

    Palo Alto - Policy Based Forwarding - Destination

    Palo Alto - Policy Based Forwarding - Routing

    Agora você tem tudo configurado em Palo Alto; depois de configurar a rota, o túnel pode ser estabelecido e você precisa continuar configurando o RA-VPN, o ZTA baseado em navegador ou o ZTA base do cliente no painel de acesso seguro.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    31-Jan-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jairo Moreno
      Especialista em sucesso do cliente

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos