Configure o acesso seguro com o firewall Palo Alto

Opções de download

  • PDF     (2.9 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:31 de janeiro de 2024
ID do documento:221589

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o acesso seguro com o firewall Palo Alto.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Firewall da versão Palo Alto 11.x
    • Acesso seguro
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA
    • ZTNA sem cliente

    Componentes Utilizados

    As informações neste documento são baseadas em: 

    • Firewall da versão Palo Alto 11.x
    • Acesso seguro
    • Cisco Secure Client - VPN
    • Cisco Secure Client - ZTNA

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Acesso seguro - Palo AltoAcesso seguro - Palo Alto

    A Cisco projetou o Secure Access para proteger e fornecer acesso a aplicativos privados, no local e baseados em nuvem. Ele também protege a conexão da rede à Internet. Isso é obtido por meio da implementação de vários métodos e camadas de segurança, todos voltados para preservar as informações à medida que elas são acessadas pela nuvem.

    Configurar

    Configurar a VPN no acesso seguro

    Navegue até o painel de administração do Secure Access.

    Acesso seguro - Página principalAcesso seguro - Página principal

    • Clique em Connect > Network Connections

    Acesso seguro - Conexões de redeAcesso seguro - Conexões de rede

    • Em Network Tunnel Groups clique em + Add
      •

    Acesso seguro - Grupos de túnel de redeAcesso seguro - Grupos de túnel de rede

    • Configure Tunnel Group Name, Region e Device Type
    • Clique em Next
      •

    Grupo de Túneis de Rede - Configurações Gerais

    note-icon

    Observação: escolha a região mais próxima ao local do firewall.
    • Configure o Tunnel ID Format e Passphrase
    • Clique em Next
      •

    Grupo de Túneis de Rede - Formato de ID de Túnel

    • Configure os intervalos de endereços IP ou hosts que você configurou na sua rede e deseja passar o tráfego pelo Secure Access
    • Clique em Save
      •

    Acesso seguro - Grupos de túneis - Opções de roteamentoAcesso seguro - Grupos de túneis - Opções de roteamento

    Depois de clicar nas informações sobre Save o túnel que são exibidas, salve essas informações para a próxima etapa, Configure the tunnel on Palo Alto.

    Dados do túnel

    Acesso seguro - Configuração de dados para túnel

    Configurar o túnel em Palo Alto

    Configurar a interface do túnel

    Navegue até o Painel Palo Alto.

    • Network > Interfaces > Tunnel
    • Click Add
      •

    Palo Alto - Interface

    • No menuConfig, configure o Virtual Router, Security Zone e atribua umSuffix Number
      •

    Palo Alto - Interface do túnel

    • Em IPv4, configure um IP não roteável. Por exemplo, você pode usar 169.254.0.1/30
    • Clique emOK
      •

    Palo Alto - Interface de túnel - IPV4

    Depois disso, você pode ter algo assim configurado:

    Palo Alto - Túnel configurado

    Se tiver configurado dessa forma, você poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IKE Crypto Profile.

    Configurar perfil de criptografia IKE

    Para configurar o perfil de criptografia, navegue até: 

    • Network > Network Profile > IKE Crypto  
    • Clique emAdd
      •

    Palo Alto - criptografia IKE

    • Configure os próximos parâmetros:
      • Name: Configure um nome para identificar o perfil.
      • DH GROUP: grupo19
      • AUTHENTICATION: não-autenticação
      • ENCRYPTION: aes-256-gcm
      • Timers
        • Key Lifetime: 8 horas
        • IKEv2 Authentication:0
          •
    • Após ter tudo configurado, clique em OK
      •

    Palo Alto - Perfil de criptografia IKE

    Se ela estiver configurada dessa forma, você poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IKE Gateways.

     Configurar gateways IKE

    Para configurar gateways IKE

    • Network > Network Profile > IKE Gateways
    • Clique emAdd
      •

    Palo Alto - Gateways IKE

    • Configure os próximos parâmetros:
      • Name: Configure um nome para identificar os Gateways Ike.
      • Version : modo somente IKEv2
      • Address Type :IPv4
      • Interface : selecione sua interface WAN da Internet.
      • Local IP Address: selecione o IP da interface WAN da Internet.
      • Peer IP Address Type :IP
      • Peer Address: Use o IP of Primary IP Datacenter IP Address, fornecido na etapa Tunnel Data.
      • Authentication: Chave pré-compartilhada
      • Pre-shared Key : Use o valor passphrase fornecido na etapa Tunnel Data.
      • Confirm Pre-shared Key : Use o valor passphrase fornecido na etapa Tunnel Data.
      • Local Identification : Escolha User FQDN (Email address) e use o Primary Tunnel ID dado na etapa, Dados do túnel.
      • Peer Identification : IP AddressEscolha e use o Primary IP Datacenter IP Address.
        •

    Palo Alto - Gateways IKE - Geral

    • Clique emAdvanced Options

    Palo Alto - Gateways IKE - Opções avançadas

    Se ela estiver configurada dessa forma, você poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IPSEC Crypto.

    Configurar perfil de criptografia IPSEC

    Para configurar os gateways IKE, navegue até Network > Network Profile > IPSEC Crypto

    • Clique emAdd
      •

    Palo Alto - Criptografia IPsec

    • Configure os próximos parâmetros: 
      • Name: use um nome para identificar o perfil IPsec de acesso seguro
      • IPSec Protocol: ESP
      • ENCRYPTION: aes-256-gcm
      • DH Group: no-pfs, 1 hora
        •
    • Clique em OK
      •

    Palo Alto - Perfil de criptografia IPsec

    Se ela estiver configurada dessa forma, você poderá clicar em Commit para salvar a configuração e continuar com a próxima etapa, Configure IPSec Tunnels.

    Configurar túneis IPSec

    Para configurar IPSec Tunnels, navegue até Network > IPSec Tunnels.

    • Clique em Add
      •

    Palo Alto - Túneis IPsec

    • Configure os próximos parâmetros:
      • Name: use um nome para identificar o túnel de acesso seguro
      • Tunnel Interface: Escolha a interface de túnel configurada na etapa, Configure a interface de túnel.
      • Type: Chave automática
      • Address Type:IPv4
      • IKE Gateways: Escolha os gateways IKE configurados na etapa, Configurar gateways IKE.
      • IPsec Crypto Profile: Escolha os gateways IKE configurados na etapa, Configurar perfil de criptografia IPSEC
      • Marcar a caixa de seleção para Advanced Options
        • IPSec Mode Tunnel: Escolha Túnel.
        •
    • Clique em OK
      •

    Palo Alto - Túneis IPsec - Configuração

    Agora que sua VPN foi criada com êxito, você pode prosseguir com a etapa, Configure Policy Based Forwarding.

    Configurar Encaminhamento Baseado em Política

    Para configurar Policy Based Forwarding, navegue até Policies > Policy Based Forwarding.

    • Clique em Add
      •

    Palo Alto - Encaminhamento Baseado em Políticas

    • Configure os próximos parâmetros:
      • General 
        • Name: use um nome para identificar o acesso seguro, encaminhamento de base de política (roteamento por origem)
      • Source 
        • Zone: selecione as Zonas de onde você tem planos para rotear o tráfego com base na origem
        • Source Address: configure o host ou as redes que você deseja usar como origem.
        • Source Users: configure os usuários para os quais deseja rotear o tráfego (somente se aplicável)
          •
      • Destination/Application/Service 
        • Destination Address: Você pode deixá-lo como Qualquer ou pode especificar os intervalos de endereços de Acesso seguro (100.64.0.0/10)
      • Forwarding 
    • CliqueOK em e Commit
      •

    Palo Alto - Encaminhamento Baseado em Políticas - Geral

    Palo Alto - Encaminhamento Baseado em Políticas - Origem

    Palo Alto - Encaminhamento Baseado em Políticas - Destino

    Palo Alto - Encaminhamento Baseado em Políticas - Roteamento

    Agora você tem tudo configurado em Palo Alto; depois de configurar a rota, o túnel pode ser estabelecido e você precisa continuar configurando o RA-VPN, o ZTA baseado em navegador ou o ZTA base do cliente no painel de acesso seguro.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    31-Jan-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jairo Moreno
      TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos