帕洛阿尔托防火墙
下一代防火墙通过检查所有流量(应用程序、威胁和内容)并将其绑定到用户,从而安全地启用应用程序并防止现代威胁,而不管用户的位置或设备类型。
从您的网络隔离主机,管理访问规则,并修改地址对象,并使用该组自动防火墙的管理帕洛阿尔托防火墙插件InsightConnect.此外,使用此插件可以查看规则库、安装策略和设置威胁保护帕洛阿尔托防火墙.
要使用帕洛阿尔托防火墙插件,你可以使用现有的Palo Alto的防火墙帐户或创建一个专用帐户配置InsightConnect连接。有关帕洛阿尔托防火墙插件的功能的更多信息,请参阅扩展库清单.
防火墙阻止使用案例
帕洛阿尔托防火墙插件的一个常见用例是通过在防火墙中阻止威胁来快速响应。这是通过管理地址组中的地址对象来实现的。首先,必须有一个现有的Palo Alto Firewall拒绝所有防火墙策略,并将预定义的地址组分配给该策略。当检测到威胁时,您可以利用Palo Alto Firewall插件通过将恶意地址添加到预定义地址组来阻止您的网络中的恶意主机,并通过从预定义地址组中删除地址来解除对主机的阻止。使用帕洛阿尔托防火墙插件和防火墙功能的方式描述允许安全和灵活的策略管理大量的动态地址。
你可以建立自己的工作流程来完成这个用例和更多的人,或者你可以从许多外的现成预建工作流程的选择防火墙阻止得到快速启动和运行。这些都可以在Rapid7扩展库.
为API用户帐户创建一个新角色
如果您希望为与InsightConnect一起使用的API用户帐户创建一个新角色,请遵循以下步骤。
打开你的帕洛阿尔托防火墙。与有权限来管理其他用户的用户帐户登录。
选择设备选项卡,然后从左侧菜单中,选择管理角色.
选择添加,位于屏幕的底部。
给角色一个合适的名称和说明,所以它很容易识别,然后从XML / REST API选项卡中选择适当的权限,请参阅下面的都需要不同的帕洛阿尔托防火墙插件操作哪些权限:
动作名称 权限要求 向组中添加地址对象 配置 添加外部动态列表 配置 增加政策 配置 检查地址是否在组内 配置 犯罪 犯罪 创建地址对象 配置 删除 配置 编辑 配置 得到 配置 从组获取地址 配置 得到政策 配置 op. 操作请求 从组中移除地址对象 配置 从政策中删除 配置 检索日志 日志 集 配置 设置安全策略规则 配置 显示 配置 现在已经创建了新角色,您应该可以在角色列表中看到它。下一步是创建一个将使用此角色的用户帐户。
创建API的新用户
要创建API与InsightConnect使用新的用户,请按照下列步骤。
在“设备”选项卡中,从左边的菜单中选择管理员.
选择添加,位于屏幕的底部。
设置用户名和密码。在管理员类型单选按钮中选择基于角色的,然后从下拉菜单中选择先前创建的配置文件。
点击好的保存更改。
提交更改
现在我们已经创建了新的API角色和用户,您必须将更改提交到防火墙设备。
使用犯罪钮在右上角。
中的更改描述也可以添加描述文本框,然后点击犯罪.
在InsightConnect中配置Palo Alto防火墙连接
现在,你已经创建了帕洛阿尔托防火墙你的用户,你可以配置InsightConnect帕洛阿尔托防火墙连接使用的插件。
在InsightConnect,打开帕洛阿尔托防火墙的网络连接配置。
- 你可以在工作流程构建过程中选择Palo Alto防火墙插件,或者通过选择独立创建连接插件和工具从设置选项卡在左边的菜单上。在插件和工具页面中,选择连接选项卡并单击添加连接在右上角。
配置Palo Alto防火墙插件的连接。
- 给连接一个唯一且可识别的名称,选择插件应该运行的协调器,并从列表中选择Palo Alto Firewall插件。如果它不可用,从安装插件选项卡。
配置您的帕洛阿尔托防火墙凭证。
- 在证书字段中,选择凭证到现有的帕洛阿尔托防火墙帐户或新创建的帕洛阿尔托防火墙用户输入用户名和密码。
- 在服务器字段中输入完整的网址(例如,
https://palo-alto-pan01.example.com)到帕洛阿尔托防火墙或全景系统。
测试您的连接
保存连接时,连接测试将尝试对指定的Palo Alto Firewall实例进行身份验证。Connection贴图上的蓝色圆圈表示Connection测试正在进行中。
成功的连接测试
如果没有圈,连接成功了,你就可以开始策划与CPalo奥拓防火墙的进程。
连接测试失败
红色圆圈表示连接测试失败。如果发生这种情况,在再次尝试之前检查你的连接细节(包括帕洛阿尔托防火墙URL,用户名和密码)。
该日志可能包含有用的故障排除信息。首先,点击看法看到你最近的连接测试的名单。
下测试状态选项卡,展开该遇到一个错误,查看其日志测试下拉。
故障排除
无效的证书
在上面的错误消息示例中,发生了一个授权错误,Palo Alto防火墙返回一个XML响应,表示“无效凭据”。在这种特殊情况下,连接中提供的凭据(用户名或密码)是错误的。用户需要删除该凭据,添加一个新凭据,并将其分配给连接。
TLS / SSL验证
如果连接测试过程中出现TLS / SSL证书校验错误,这可能是自签名的证书,可以通过选择得到缓解的结果假在连接中的验证证书/ SSL验证选项中。它也可以是不在协调器上受支持的CA列表中的证书的结果,其中,协调器将需要进行更新,或者一个代理需要被正确地配置.它也可能是恶意的或过期的票据,验证失败的目的是服务器所有者需要修复主机或更新到有效的证书。
用于编辑、获取、设置、显示动作的常见xpath示例
Palo Alto Pan OS Firewall XML API在请求和响应中都使用XML。Xpath允许您通过提供资源所在位置的XML结构来访问防火墙中的资源。这使得您可以使用InsightConnect Palo Alto防火墙的编辑、获取、设置和显示操作在您的防火墙中进行几乎任何配置更改。
Palo Alto有很多文档描述XML API是如何工作的,并提供了一些xpath的例子:
此外,还有一个内置的工具在帕洛阿尔托的防火墙,使您可以通过XML API浏览,让您得到您想要创建/编辑/更新elemenet正确的XPATH。您可以通过添加访问/ api到一个指向Palo Alto防火墙实例的URL的末尾,它会把你带到一个如下所示的页面:
一旦你找到了资源要更新您可以使用XML API网址找到该元素的需求编辑:
当您打开Url或单击Submit按钮时,您将看到一个类似如下的XML文档:
热门的XPath:
Address对象组:
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] /地址分组具体的地址对象组
/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/address-group/entry[@name='ADDRESS GROUP NAME']地址对象
/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/address自定义URL类别
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] / profiles / custom-url-categoryURL过滤
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] / profiles / url-filtering
示例用例:
启用/禁用防火墙规则:
xpath:
/ config /设备/条目[@ name = ' localhost。localdomain '] / vsys /条目[@ NAME = ' vsys1 '] /内存/安全/规则/条目[@ NAME = '规则名称']元素:
<禁用>是添加ip或url到地址对象组:
xpath:
/ config /设备/条目[@ name = ' localhost。localdomain '] / vsys /条目[@ NAME = ' vsys1 '] /地址分组/条目[@ NAME =地址组名称”)元素:
<静态> <成员> example.com < /成员> < example2.com >会员> < /成员成员> < example3.com > < /成员静态> < /