使用Palo Alto防火牆配置安全訪問

簡介

本文檔介紹如何使用Palo Alto防火牆配置Secure Access。

必要條件

• 配置使用者調配
• ZTNA SSO身份驗證配置
• 配置遠端訪問VPN安全訪問

需求

思科建議您瞭解以下主題：

• Palo Alto 11.x版防火牆
• 安全訪問
• Cisco安全使用者端 — VPN
• 思科安全使用者端 — ZTNA
• 無客戶端ZTNA

採用元件

本檔案中的資訊是根據： 

• Palo Alto 11.x版防火牆
• 安全訪問
• Cisco安全使用者端 — VPN
• 思科安全使用者端 — ZTNA

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

安全訪問 — Palo Alto

思科設計了安全訪問，可保護和提供對內部和基於雲的私有應用的訪問。它還保護從網路到Internet的連線。這是通過實施多種安全方法和層實現的，所有這些方法都旨在保護通過雲訪問資訊時的資訊。

設定

在安全訪問中配置VPN

導航到Secure Access的管理面板。

安全訪問 — 首頁

• 按一下 Connect > Network Connections


安全訪問 — 網路連線

• 在Network Tunnel Groups下，按一下 + Add

安全訪問 — 網路隧道組

• Configure Tunnel Group Name,Region和
• 按一下 Next

附註：選擇距離防火牆位置最近的區域。

• 配置Tunnel ID Format和 Passphrase
• 按一下 Next

• 配置在網路上已配置且希望通過安全訪問傳遞流量的IP地址範圍或主機
• 按一下 Save

安全存取 — 通道組 — 路由選項

按一下顯示的Save隧道相關資訊後，請儲存該資訊，以用於下一步Configure the tunnel on Palo Alto。

通道資料

在Palo Alto上配置隧道

設定通道介面

導航至Palo Alto Dashboard。

• Network > Interfaces > Tunnel
• Click Add

• 在選單下Config，配置Virtual Router、Security Zone，並指定Suffix Number

• 在IPv4下，配置不可路由IP。例如，您可以 169.254.0.1/30
• 按一下OK

之後，您可以設定以下內容：

如果進行了這樣的配置，可以按一下以Commit儲存配置，然後繼續執行下一步Configure IKE Crypto Profile。

配置IKE加密配置檔案

要配置加密配置檔案，請導航到： 

• Network > Network Profile > IKE Crypto  
• 按一下Add

• 配置下一個引數：
  • Name:  配置名稱以標識配置檔案。
  • DH GROUP:組19
  • AUTHENTICATION:非身份驗證
  • ENCRYPTION:aes-256-gcm
  • Timers
    
    • Key Lifetime:8小時
    • IKEv2 Authentication:0
• 完成所有配置後，按一下 OK

如果進行了這樣的配置，可以按一下儲存配置，然後繼續執行下一步Commit。 Configure IKE Gateways.

 配置IKE網關

配置IKE網關

• Network > Network Profile > IKE Gateways
• 按一下Add

• 配置下一個引數：
  • Name：配置用於標識Ike網關的名稱。
  • Version :僅IKEv2模式
  • Address Type :IPv4
  • Interface :選擇您的Internet WAN介面。
  • Local IP Address:選擇您的Internet WAN介面的IP。
  • Peer IP Address Type :IP
  • Peer Address:使用Tunnel Data步Primary IP Datacenter IP Address中給定的IP。
  • Authentication:預共用金鑰
  • Pre-shared Key :使用步passphrase驟Tunnel Data中給定。
  • Confirm Pre-shared Key :使用步passphrase驟Tunnel Data中給定。
  • Local Identification :選擇User FQDN (Email address)並使用步Primary Tunnel ID驟Tunnel Data中給定。
  • Peer Identification :IP Address選擇並使用Primary IP Datacenter IP Address。

• 按一下Advanced Options
  • Enable NAT Traversal
  • 選擇在步IKE Crypto Profile驟配置IKE加密配置檔案上建立的
  • 選中覈取方塊 Liveness Check
  • 按一下 OK

如果進行了這樣的配置，可以按一下儲存配置，然後繼續執行下一步Commit。 Configure IPSEC Crypto.

配置IPSEC加密配置檔案

要配置IKE網關，請導航至 Network > Network Profile > IPSEC Crypto

• 按一下Add

• 配置下一個引數： 
  • Name:使用名稱標識安全訪問IPsec配置檔案
  • IPSec Protocol:ESP
  • ENCRYPTION:aes-256-gcm
  • DH Group:no-pfs， 1小時
• 按一下 OK

如果進行了這樣的配置，可以按一下儲存配置，然後繼續執行下一步Commit。 Configure IPSec Tunnels.

配置IPSec隧道

要配置，IPSec Tunnels請導航至Network > IPSec Tunnels。

• 按一下 Add

• 配置下一個引數：
  • Name:使用名稱來標識安全訪問隧道
  • Tunnel Interface:選擇在步驟配置隧道介面上配置的隧道介面。
  • Type:自動金鑰
  • Address Type:IPv4
  • IKE Gateways:選擇在步驟配置IKE網關上配置的IKE網關。
  • IPsec Crypto Profile:  選擇在步驟配置IPSEC加密配置檔案上配置的IKE網關
  • 選中覈取方塊 Advanced Options
    • IPSec Mode Tunnel:選擇Tunnel。
• 按一下 OK

注意：代理ID不受支援，請避免在具有安全訪問的Palo Alto IPSEC隧道中使用代理ID進行任何配置。

成功建立VPN後，您可以繼續執行中的步驟Configure Policy Based Forwarding。

配置基於策略的轉發

要配置，Policy Based Forwarding請導航至 Policies > Policy Based Forwarding.

• 按一下 Add

• 配置下一個引數：
  • General 
    • Name:使用名稱標識安全訪問、策略基本轉發（按來源路由）
  • Source 
    • Zone:選擇您計畫根據來源路由流量的區域
    • Source Address:配置要用作源的主機或網路。
    • Source Users:配置要路由流量的使用者（僅在適用時）
  • Destination/Application/Service 
    • Destination Address:您可以將其保留為Any，也可以指定安全訪問(100.64.0.0/10)的地址範圍
  • Forwarding 
    • Action:轉發
    • Egress Interface:選擇在步驟配置隧道介面上配置的隧道介面。
    • Next Hop:無
• 按一下OK，然後 Commit

現在，您已在Palo Alto上配置了所有功能；配置路由後，可以建立隧道，您需要繼續在安全訪問控制面板上配置RA-VPN、基於瀏覽器的ZTA或客戶端基礎ZTA。