帕洛阿尔托防火墙
下一代防火墙通过检查所有流量(应用程序、威胁和内容)并将其绑定到用户,从而安全地启用应用程序并防止现代威胁,而不管用户的位置或设备类型。
通过将主机与网络隔离、管理访问规则和使用帕洛阿尔托防火墙插件InsightConnect.此外,使用此插件可以查看规则库、安装策略和设置威胁保护帕洛阿尔托防火墙.
使用帕洛阿尔托防火墙插件,您可以使用已有的帕洛阿尔托防火墙帐户或创建专用帐户在InsightConnect中配置连接。有关帕洛阿尔托防火墙插件功能的更多信息,请参阅扩展库清单.
防火墙阻断用例
帕洛阿尔托防火墙插件的一个常见用例是通过在防火墙中阻止威胁来快速响应。这是通过管理地址组中的地址对象来实现的。首先,必须有一个现有的Palo Alto Firewall拒绝所有防火墙策略,并将预定义的地址组分配给该策略。当检测到威胁时,您可以利用Palo Alto Firewall插件通过将恶意地址添加到预定义地址组来阻止您的网络中的恶意主机,并通过从预定义地址组中删除地址来解除对主机的阻止。使用帕洛阿尔托防火墙插件和防火墙功能的方式描述允许安全和灵活的策略管理大量的动态地址。
您可以构建自己的工作流来完成这个用例和更多的用例,或者您可以从许多开箱即用的预构建工作流中选择用于防火墙阻塞的工作流来快速启动和运行。这些可以在Rapid7扩展库.
为API用户帐户创建一个新角色
如果您希望为与InsightConnect一起使用的API用户帐户创建一个新角色,请遵循以下步骤。
打开你的Palo Alto防火墙。请使用具有管理其他用户权限的用户帐号登录。
选择“设备”选项卡,从左边菜单中选择管理角色.
选择添加,位于屏幕的底部。
给角色一个合适的名称和描述,以便于识别,然后从XML/REST API选项卡选择合适的权限,看看下面不同的帕洛阿尔托防火墙插件操作需要哪些权限:
动作名称 权限要求 向组中添加地址对象 配置 添加外部动态列表 配置 增加政策 配置 检查地址是否在组内 配置 提交 提交 创建地址对象 配置 删除 配置 编辑 配置 得到 配置 从组获取地址 配置 得到政策 配置 人事处 操作请求 从组中移除地址对象 配置 删除从政策 配置 检索日志 日志 集 配置 设置安全策略规则 配置 显示 配置 现在已经创建了新角色,您应该可以在角色列表中看到它。下一步是创建一个将使用此角色的用户帐户。
为API创建一个新用户
按照以下步骤为API创建一个新用户,以便与InsightConnect一起使用。
在“设备”选项卡中,从左边的菜单中选择管理员.
选择添加,位于屏幕的底部。
设置用户名和密码。在管理员类型单选按钮中选择基于角色的,然后从下拉菜单中选择先前创建的配置文件。
点击好吧保存更改。
提交更改
现在我们已经创建了新的API角色和用户,您必须将更改提交到防火墙设备。
使用提交右上角的按钮。
中的更改描述也可以添加描述文本框,然后单击提交.
在InsightConnect中配置Palo Alto防火墙连接
现在你已经在帕洛阿尔托防火墙中创建了用户,你可以在InsightConnect中配置帕洛阿尔托防火墙连接来使用插件。
2 .在“InsightConnect”中打开Palo Alto防火墙的连接配置。
- 你可以在工作流程构建过程中选择Palo Alto防火墙插件,或者通过选择独立创建连接插件&工具从设置选项卡在左边的菜单上。在插件&工具页面,选择连接选项卡并单击添加连接在右上角。
配置Palo Alto防火墙插件的连接。
- 给连接一个唯一且可识别的名称,选择插件应该运行的协调器,并从列表中选择Palo Alto Firewall插件。如果它不可用,从安装插件选项卡。
配置您的帕洛阿尔托防火墙凭证。
- 在凭证字段,选择现有帕洛阿尔托防火墙帐户的凭据,或输入新创建的帕洛阿尔托防火墙用户的用户名和密码。
- 在服务器字段,输入完整的URL(例如:
https://palo-alto-pan01.example.com)到帕洛阿尔托防火墙或全景系统。
测试您的连接
保存连接时,连接测试将尝试对指定的Palo Alto Firewall实例进行身份验证。Connection贴图上的蓝色圆圈表示Connection测试正在进行中。
成功的连接测试
如果没有循环,则连接成功,您可以开始使用CPalo Alto防火墙编排进程了。
连接测试失败
红色圆圈表示连接测试失败。如果出现这种情况,请在再次尝试之前检查您的连接细节(包括Palo Alto防火墙的URL、用户名和密码)。
日志中可能包含有用的故障处理信息。首先,单击视图查看最近连接测试的列表。
下测试状态选项卡,展开遇到错误的测试的下拉列表以查看其日志。
故障排除
无效的证书
在上面的错误消息示例中,发生了一个授权错误,Palo Alto防火墙返回一个XML响应,表示“无效凭据”。在这种特殊情况下,连接中提供的凭据(用户名或密码)是错误的。用户需要删除该凭据,添加一个新凭据,并将其分配给连接。
TLS / SSL验证
如果在连接测试期间发生TLS/SSL证书验证错误,则可能是自签名证书的结果,可以通过选择来缓解这一问题假在连接中的验证证书/ SSL验证选项中。它也可以是不在协调器上受支持的CA列表中的证书的结果,哪个协调器需要更新,或者一个需要正确配置的代理.它也可能是恶意的或过期的票据,验证失败的目的是服务器所有者需要修复主机或更新到有效的证书。
用于编辑、获取、设置、显示动作的常见xpath示例
Palo Alto Pan OS Firewall XML API在请求和响应中都使用XML。Xpath允许您通过提供资源所在位置的XML结构来访问防火墙中的资源。这使得您可以使用InsightConnect Palo Alto防火墙的编辑、获取、设置和显示操作在您的防火墙中进行几乎任何配置更改。
Palo Alto有很多文档描述XML API是如何工作的,并提供了一些xpath的例子:
此外,在Palo Alto Firewall中有一个内置的工具,它允许您浏览XML API,允许您为希望创建/编辑/更新的元素网获得正确的XPATH。您可以通过添加/ api到一个指向Palo Alto防火墙实例的URL的末尾,它会把你带到一个如下所示的页面:
一旦你找到了你想要更新的资源,你可以使用XML API URL来找到需要编辑的元素:
当您打开Url或单击Submit按钮时,您将看到一个类似如下的XML文档:
受欢迎的xpath:
Address对象组:
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] /地址分组具体的地址对象组
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] /地址分组/entry[@name='ADDRESS GROUP NAME']地址对象
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] /地址自定义URL类别
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] / profiles / custom-url-categoryURL过滤
/ config /设备/条目[@ name = ' localhost.localdomain '] / vsys /条目[@ name = ' vsys1 '] / profiles / url-filtering
示例用例:
启用/禁用防火墙规则:
xpath:
/ config /设备/条目[@ name = ' localhost。localdomain '] / vsys /条目[@ NAME = ' vsys1 '] /内存/安全/规则/条目[@ NAME = '规则名称']元素:
<关闭>是的> < /禁用添加ip或url到地址对象组:
xpath:
/ config /设备/条目[@ name = ' localhost。localdomain '] / vsys /条目[@ NAME = ' vsys1 '] /地址分组/条目[@ NAME =地址组名称”)元素:
<静态> <成员> example.com < /成员> < example2.com >会员> < /成员成员> < example3.com > < /成员静态> < /