Que peut faire mon pare-feu? Interfaces Layer 2—

Dans les versions précédentes de mise en route, nous avons couvert comment configurer le pare-feu à partir de zéro. Dans cette prochaine série, nous allons couvrir plus des fonctionnalités de configuration avancées qui vous aideront à bien régler votre pare-feu pour mieux convenir à votre environnement. Cette semaine, nous allons jeter un oeil aux interfaces de la couche 2 et comment le pare-feu peut être configuré pour fournir le pontage entre les VLAN tout en application des politiques de sécurité et en prévention des menaces pour sécuriser votre réseau.

Nous avons déjà couvert les balises VLAN comme sous-interfaces de couche 3 dans la mise en route des sous-interfaces de couche 3, mais Pan-OS vous permet également de créer des interfaces true Layer 2 qui agissent de la même manière qu'un Switch.

Nous allons commencer par un exemple simple où nous avons deux interfaces de niveau 2 dans la même zone et même VLAN. Ce scénario pourrait être pratique si, par exemple, vous avez les clients et serveurs sur le même sous-réseau IP et souhaitez autoriser les sessions de se former, mais il faut au contrôle qui demandes sont utilisés, ou devront fournir prévention des menaces sans modifier le sous-réseau IP.

Sur l’interrupteur, vous pourriez définir chaque ensemble d’ordinateurs dans un VLAN séparé, par exemple, les serveurs de VLAN 20 et clients dans 30 VLAN et ai le pare-feu à servir de pont entre ces VLAN :

1. Tout d’abord, vous devez créer une interface VLAN pour être utilisé par les interfaces physiques, que nous placerons à la couche 2. Accédez à l’onglet réseau, ouvrez les Interfaces dans le volet gauche, puis ouvrez l’onglet VLAN. Il y aura déjà une interface par défaut VLAN présente, que vous pouvez réutiliser si vous le souhaitez, mais nous allons créer un nouveau en cliquant sur le bouton Ajouter.
   Vous affecter l’interface de l’ID, ajouter tout commentaire pertinent et affecter l’interface de routeur virtuel par défaut et ajouter à la zone de confiance. Notez que l’ID est simplement un numéro d’identification de l’interface et n’influe pas sur n’importe quel 802. 1 q de marquage.
   
   
   
   Si vous essayez ensuite d’attribuer un VLAN à l’interface, vous remarquerez il n’ya pas encore tous disponibles, alors allez-y et cliquez sur le lien de nouveau VLAN pour commencer à créer un nouvel objet VLAN.
   
   

   

   
   Il suffit de lui donner un nom et cliquez sur OK pour l’instant.
   
   

   

   L’interface VLAN devrait ressembler un peu comme cela. Allez-y et cliquez sur OK.
   
   

2. De là, nous allons définir les interfaces ethernet1/2 Layer2 et définir la bonne configuration de VLAN. Accédez à l’onglet Ethernet et ouvrez les propriétés de l’interface ethernet1/2, puis changez le Type d’Interface à Layer2.
   
   
   Après avoir défini l’interface à Layer2, définir le VLAN à l’objet nouvellement créé de VLAN, mais notez que la zone de sécurité ne montre aucune option. C’est parce que nous n’avons pas encore créé les Zones de sécurité de couche 2. 
   
   
   
   N’importe quelle Zone de sécurité configuré sur le pare-feu est également attaché à un type de réseau spécifiques, comme la couche 3, VWire ou Layer 2. Dans la configuration de VLAN à l’étape 1, nous avons élargi l’interface VLAN.100 le routeur par défaut et la Zone Security Trust de couche 3. Il s’agit d’autoriser le trafic passer de couche 2 à la couche 3. Nous allons prendre un coup d’oeil à cela après que nous venons de terminer cette phase de l’introduction de la couche 2.
   
   Cliquez sur le lien de nouvelle Zone pour créer une nouvelle zone nommée L2-Trust :
   
   
3. Répétez les étapes ci-dessus pour interface ethernet1/3.
   
   
   
   
4. La dernière étape consiste à créer une politique de sécurité intrazone afin de permettre un contrôle plus granulaire sur applications reliant les deux segments et en appliquant des profils de sécurité à ces séances. Ouvrez l’onglet stratégies de commandes et accédez à la sécurité dans le volet gauche. Cliquez sur Ajouter pour créer une nouvelle stratégie de sécurité. Dans le menu déroulant Type de règle, sélectionnez « intrazone » comme Type.
   
   
   Ensuite, accédez à l’onglet Source, cliquez sur Ajouter, puis affectez-lui la zone source de L2-Trust.
   
   Parce qu’il s’agit d’une stratégie de sécurité d’intrazone, la sélection de zone de destination a été rendue inaccessible et dépend de la configuration de la source.
   
   Définir les applications pour ce qui est approprié entre les segments. Ce sont uniquement les applications que vous souhaitez autoriser entre les hôtes internes. Ceci ne s’applique pas à des connexions à destination ou en provenance d’autres réseaux.
   
   
   
   Enfin, définissez des profils de sécurité afin que toutes les sessions entre vos hôtes internes soient également inspectées pour des vulnérabilités, des exploits, des virus, etc.
   
   
   
   Votre politique de sécurité devrait maintenant ressembler à ceci:
   
   règle1, comme vu ci-dessus, sera utilisé dans le segment suivant, layer2 routage.

Cette configuration s’assurera vos hôtes tous restent sur le même sous-réseau IP, mais peuvent être séparés en fonction de leur rôle.

Plus d'interfaces peuvent être ajoutées pour fournir encore plus de segments ou des sous-interfaces étiquetées peuvent être ajoutées de la même façon que celles décrites dans mise en route: couche 3 — sous-interfaces.

Couche 2 routage

Comme prochaine étape, vous pouvez activer un accès internet pour les hôtes de votre réseau, donc vous aurez besoin activer certaines fonctionnalités de couche 3 dans la config de Layer2. Vous avez peut-être remarqué certains configuration Layer 3-regarder dans la configuration de VLAN plus tôt, et c’est où nous aurons besoin activer la fonctionnalité.

1. Accédez à l’onglet réseau.
2. Interfaces d’accès dans le volet gauche.
3. Ouvrez l’onglet VLAN.
4. Modifiez l’objet vlan.100.
5. Accédez à l’onglet IPv4.
6. Cliquez sur ajouter.
7. Entrez l’adresse IP, que les hôtes de votre réseau utilisera comme la passerelle par défaut, avec son masque de sous-réseau.

L’interface VLAN fonctionne désormais comme une interface de couche 3 vers le monde extérieur. Aucune séance de la provenance de vos hôtes internes au monde extérieur est traités par le pare-feu comme venant de la zone de couche 3 Trust va à la zone Untrust de couche 3.

Veuillez noter que vous pouvez avoir besoin d’une configuration supplémentaire afin de permettre les connexions sortantes, y compris l’itinéraire par défaut dans votre routeur virtuel, configuration NAT pour le sous-réseau IP interne est traduit à l’adresse IP publique du pare-feu et peut-être un serveur DHCP pour affecter automatiquement des adresses IP à rejoindre votre réseau de postes de travail. S'il vous plaît jetez un oeil à la mise en route-Layer 3, NAT et DHCP où nous couvrons ces étapes de configuration plus en détail.

La politique NAT requise pour accéder à internet :

La configuration du routeur virtuel :

J’espère que vous aimé cet article et l’a trouvé utile. N’hésitez pas à poster des commentaires ou des questions dans la section commentaire ci-dessous.

Cordialement,

Tom

Pour plus de détails sur les interfaces Layer 2, veuillez consulter la note technique sur la mise en réseau de la couche 2.