Søk i denne bloggen

PaloAltoNetworks firewall - SDWAN

 

SD-Wan er ikke noe jeg har lekt å mye med, slik jeg forstår det så er det to-delt.
En kan bruke det sammen med VPN, noe jeg ikke har testet ut,
og en kan bruke det til å få flere bærere mot internett.
Det er veldig fint om en har noen linjer som er ustabile eller at en ikke har nok båndbredde på kun en linje.

Jeg har kun testet delen med flere linjer og fordeling av trafikk og bruker denne hjemme pr nå.
3 forskjellige internet leverandører tilkoblet brannmuren og noen få konfigurasjonsendringer og en er i gang.
For å teste så har jeg 3 SD-Wan regler for ping, slik at jeg kan kjøre ping mot 3 IP`er og raskt se hvilken av linjene mine som er oppe.

Jeg har også laget 3 SD-Wan regler for IP-info, slik at jeg kan gå på tilsvarende "find my IP" sider og få info om min offisiselle IP på alle 3 linjene mine.

sd-wan regler



En kan lett fordele/rute trafikken basert på bruker, applikasjon, src-IP eller dest-IP.
Det er også mulig å sette prioritet på linjene, eller fordele f.-eks. 90% / 10% på 2 linjer.

Tar med et eksempel VSAT og Starlink:
 For de som har flere linjer og den ene er treg men fast pris(VSAT), altså ikke kvote basert, så vil jeg anbefale å kjøre alle ms-update, apple-update osv via den tregeste linjen.
Bruk gjerne sammen med QoS slik at det bare tar X antall % av linjen.

Slik vil den raske linjen (Starlink) være tilgjenglig for Teams, Zoom, Facetime, o.l. som kanskje er mer viktig for å få dine medarbeidere fornøyde.



PaloAltoNetworks firewall - FQDN vs URL



Det er viktig å vite forskjell på FQDN og URL når du lager brannmur regler på din NGFW



Nederste regel er riktig.

Jeg laget et par eksempel her.
Første regel slipper gjennom ssl trafikk på port 443 til flere tusen domener.*
Andre regel slipper gjennom ssl trafikk på port 443 mot files.avast.com

*f.eks disse:
cdn.lmbd[.]ru
res.chinese.littlefox[.]com
download.bestfuturemac[.]com
Dette er sider jeg ikke kjenner til, men jeg ser heller ingen grunn til å åpne for dem når idèen var å åpne for files.avast.com

Det finnes unntak der en må bruke FQDN, men forsøk med URL der det er mulig.



PaloAltoNetworks firewall - policy URL configuration

 


Hvis du synes det er vanskelig å lage gode brannmur regler på din PaloAltoNetworks NGFW så kan du få en lite tips her.

1. Først  lager du en brannmur regel som gjelder kun for den enheten du holder på med.
2. La det gå trafikk der noen dager/uker.
3. Lag så en rapport, sorter ut på den enheten du skal lage regel på. f.eks, en switch, server eller xbox.

URL Domain er det eneste feltet du trenger i dette tilfelle.



 


Ekporter listen til CSV.



 


Åpne filen i Excel eller Google Sheets.
Fjern "URL Domain" og legg på en "/" i rad B.
Lagre så som txt format og åpne i Notepad for å se at filen ser ok ut.
Mulig du må ta en "find and replace" på noen mellomrom. 







Importer filen som en URL Category i din brannmur.




URL kan nå legges til en regel du laget for den aktuelle enheten.
Applikasjoner som brukes finner du i regelen du alt har laget for enheten.
Se applikasjons listen og legg til under "Compare Applications &  Applications Seen"




Slik må du gjøre på alle dine enheter
Ingen switcher, brannmurer, printere, servere e.l. skal ha full tilgang til internett.

N.B. Om du ser noen URL`er i listen din som du ikke ønsker så er det bare å fjerne dem.
f.eks. så ønsker noen å fjerne telemetry URL`er.