Palo Alto Networks Guide de l'administrateur Version 5.0 7/9/13 Version définitive - Palo Alto Networks CONFIDENTIEL Palo Alto Networks, Inc. www.paloaltonetworks.com © 2007-2013 Palo Alto Networks. Tous droits réservés. Palo Alto Networks, PAN-OS et Panorama sont des marques commerciales de Palo Alto Networks, Inc. Toutes les autres marques commerciales sont la propriété de leurs détenteurs respectifs. Réf. 810-000135-00B juillet 9, 2013 - Palo Alto Networks - CONFIDENTIEL Table des matières Préface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 À propos de ce guide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Conventions typographiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Remarques et précautions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Documentation connexe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Chapitre 1 Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Vue d'ensemble du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Fonctionnalités et avantages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Interfaces de gestion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Chapitre 2 Mise en route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Préparation du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Paramétrage du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Utilisation de l'interface Web du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . 23 Validation des modifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Accès aux pages de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Utilisation des tableaux des pages de configuration . . . . . . . . . . . . . . . . . . . . . . 27 Champs obligatoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Verrouillage des transactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Navigateurs pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Obtention d'aide sur la configuration du pare-feu . . . . . . . . . . . . . . . . . . . 29 Obtention d'informations supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Support technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Chapitre 3 Gestion des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Paramétrage du système, configuration et gestion des licences . . . . . . . . . 32 Définition des paramètres de gestion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Définition des paramètres des opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Définition des paramètres des services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Palo Alto Networks • 3 Définition des paramètres d'ID de contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Définition des paramètres de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Service statistiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Comparaison des fichiers de configuration. . . . . . . . . . . . . . . . . . . . . . . . . . 52 Installation d'une licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Mise à niveau vers une version ultérieure/ antérieure du logiciel PAN-OS 53 Mise à niveau de PAN-OS dans une configuration haute disponibilité . . . . . . . . . 55 Mise à niveau vers une version antérieure du logiciel PAN-OS . . . . . . . . . . . . . . 56 Mise à niveau vers une version de maintenance antérieure . . . . . . . . . . . . . . 57 Mise à niveau vers une version des fonctions antérieure. . . . . . . . . . . . . . . . . 57 Mise à jour des définitions des menaces et des applications. . . . . . . . . . . . 59 Rôles, profils et comptes Administrateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Exigences relatives au nom d'utilisateur et au mot de passe . . . . . . . . . . . . . 61 Définition des rôles Administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Définition des profils de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Création de comptes administratifs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Précision des domaines d'accès des administrateurs. . . . . . . . . . . . . . . . . . . . 66 Profils d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Paramétrage de profils d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Création d'une base de données d'utilisateurs locale. . . . . . . . . . . . . . . . . . . 69 Configuration des paramètres du serveur RADIUS. . . . . . . . . . . . . . . . . . . . . 70 Configuration des paramètres du serveur LDAP. . . . . . . . . . . . . . . . . . . . . . . 71 Configuration des paramètres de Kerberos (authentification Active Directory native). . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Séquence d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Paramétrage de séquences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . 73 Journaux du pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Configuration de la journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Exportation programmée des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Définition des paramètres du journal de configuration. . . . . . . . . . . . . . . . . . 78 Définition des paramètres du journal système . . . . . . . . . . . . . . . . . . . . . . . . 79 Définition des paramètres du journal de correspondance HIP. . . . . . . . . . . . 80 Définition des paramètres du journal des alarmes. . . . . . . . . . . . . . . . . . . . . 80 Gestion des paramètres du journal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Configuration des destinations de pièges SNMP . . . . . . . . . . . . . . . . . . . . . 82 Configuration des serveurs Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Descriptions des champs Syslog personnalisés . . . . . . . . . . . . . . . . . . . . . . . . 84 Configuration des paramètres de notification par courrier électronique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Affichage des alarmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Configuration des paramètres de Netflow. . . . . . . . . . . . . . . . . . . . . . . . . . 92 Importation, exportation et génération de certificats de sécurité . . . . . . . . 93 Certificats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Autorités de certification de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Profil du certificat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Répondeur OCSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Cryptage de clés privées et de mots de passe sur le pare-feu . . . . . . . . . . . . . . 98 Paramètres de clé principale et de diagnostics . . . . . . . . . . . . . . . . . . . . . . . 98 Mise à jour des clés principales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 4 • Palo Alto Networks Haute disponibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 HD Active/Passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 HD Active/Active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Flux de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Options de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Remarques sur NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Paramétrage de la HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Activation de la HD sur le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Communications entre les systèmes virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Passerelles partagées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Définition des systèmes virtuels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Configuration des passerelles partagées. . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Définition des pages de réponse personnalisées . . . . . . . . . . . . . . . . . . . . 124 Affichage des informations de support. . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Chapitre 4 Configuration du réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Déploiement du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Déploiements d'un câble virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Déploiements de couche 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Déploiements de couche 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Déploiements en mode Tap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Définition de câbles virtuels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Modification du contenu d'un paquet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Interfaces du pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Affichage des interfaces actives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Configuration des interfaces de couche 2 . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Configuration des sous-interfaces de couche 2 . . . . . . . . . . . . . . . . . . . . . . 136 Configuration des interfaces de couche 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Configuration des sous-interfaces de couche 3 . . . . . . . . . . . . . . . . . . . . . . 141 Configuration des interfaces de câble virtuel . . . . . . . . . . . . . . . . . . . . . . . 146 Configuration des sous-interfaces de câble virtuel . . . . . . . . . . . . . . . . . . . 147 Configuration des groupes d'interfaces agrégés. . . . . . . . . . . . . . . . . . . . . 149 Configuration des interfaces Ethernet agrégées . . . . . . . . . . . . . . . . . . . . . 151 Configuration des interfaces VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Configuration des interfaces en boucle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Configuration des interfaces de tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Configuration des interfaces Tap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Configuration des interfaces HD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Zones de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Définition de zones de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Prise en charge de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Routeurs virtuels et protocoles de routage . . . . . . . . . . . . . . . . . . . . . . . . . 162 Protocole RIP (Routing Information Protocol) . . . . . . . . . . . . . . . . . . . . . . . . 163 Protocole OSPF (Open Shortest Path First). . . . . . . . . . . . . . . . . . . . . . . . . . 163 Protocole BGP (Border Gateway Protocol). . . . . . . . . . . . . . . . . . . . . . . . . 163 Routage multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Définition des routeurs virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Serveur et relais DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Palo Alto Networks • 5 Proxy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Profils réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Définition des profils de gestion de l'interface. . . . . . . . . . . . . . . . . . . . . . . 189 Définition des profils de surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Définitions des profils de protection de zone . . . . . . . . . . . . . . . . . . . . . . . . 191 Chapitre 5 Politiques et profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Politiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Directives de définition des politiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Précision des utilisateurs et des applications des politiques . . . . . . . . . . . . . 200 Politiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Définition de politiques de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Politiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Détermination de la configuration de zone dans la politique NAT et de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Options des règles NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Définition des politiques de traduction des adresses réseau . . . . . . . . . . . . 209 Exemples de politiques NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 NAT64. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Politiques de transfert basé sur une politique . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Politiques de déchiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Politiques de contrôle prioritaire sur l'application . . . . . . . . . . . . . . . . . . . . . . . . 221 Définition d'applications personnalisées avec contrôle prioritaire sur l'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 Définition de politiques de contrôle prioritaire sur l'application. . . . . . . . . . 221 Politiques de portail captif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Définition de politiques de portail captif . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Politiques de protection DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 Définition de politiques DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Profils antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Profils antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Profils de protection contre les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 Profils de filtrage des URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Profils de blocage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Profils de filtrage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Profils DoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Autres objets de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Adresses et groupes d'adresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Définition des plages d'adresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Définition des groupes d'adresses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Définition des régions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Applications et groupes d'applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 Définition des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 Applications personnalisées avec signatures. . . . . . . . . . . . . . . . . . . . . . . . . 255 Définition des groupes d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Filtres d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Groupes de services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Modèles de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 6 • Palo Alto Networks Catégories d'URL personnalisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Listes d'interdiction dynamiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Signatures contre les logiciels espions et les vulnérabilités personnalisées . . . . . 263 Définition des modèles de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Définition des signatures contre les logiciels espions et les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 Groupes de profils de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Transfert des journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Profils de déchiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Calendriers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 Chapitre 6 Rapports et journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 Utilisation du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Utilisation du centre de commande de l'application. . . . . . . . . . . . . . . . . . 275 Utilisation d'App-Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Rapport de récapitulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Rapport de surveillance des modifications . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Rapport de surveillance des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Rapport de la carte des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Rapport de surveillance du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 Rapport de la carte du trafic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Affichage des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 Affichage des informations de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Utilisation des rapports du Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Configuration d'un rapport du Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Gestions des rapports du Botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 Gestion de rapports de récapitulation au format PDF. . . . . . . . . . . . . . . . 293 Gestion des rapports d'activité des utilisateurs . . . . . . . . . . . . . . . . . . . . . 295 Gestion des groupes de rapports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 Planification des rapports pour la distribution par courrier électronique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Affichage des rapports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 Génération de rapports personnalisés. . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Identification des applications inconnues et prise de mesures . . . . . . . . . . 300 Actions à appliquer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Demande d'un App-ID à Palo Alto Networks . . . . . . . . . . . . . . . . . . . . . . . . 302 Autre trafic inconnu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 Prise de captures de paquets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 Chapitre 7 Configuration du pare-feu pour l'identification utilisateur. . . . . . . . . . . 305 Présentation de l'identification utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . 305 Fonctionnement de l'identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 Identification des utilisateurs et des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Interaction des composants d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Agent d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Mappage d'utilisateurPAN-OS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Palo Alto Networks • 7 Agent Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Requête de groupeLAPPAN-OS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Agents d'identification utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Portails captifs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 Configuration du pare-feu pour l'identification utilisateur . . . . . . . . . . . . . . 310 Configuration du mappage d'utilisateur PAN-OS . . . . . . . . . . . . . . . . . . . 317 Configuration du mappage d'utilisateurPAN-OS . . . . . . . . . . . . . . . . . . . . . . . . 317 Configuration d'un pare-feu pour le partage des données de mappage d'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 Paramétrage de l'agent d'ID utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Installation de l'agent d'ID utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Configuration de l'agent d'ID utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 Détection des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 Surveillance du fonctionnement de l'agent d'ID utilisateur . . . . . . . . . . . . . . 327 Désinstallation et mise à niveau de l'agent d'ID utilisateur. . . . . . . . . . . . . . 327 Paramétrage de l'agent Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . 328 Installation ou mise à niveau de l'agent Terminal Server sur le serveur de terminaux. . . . . . . . . . . . . . . . . . . . . . . 328 Configuration de l'agent Terminal Server sur le serveur de terminaux . . . . 329 Désinstallation de l'agent Terminal Server sur le serveur de terminaux. . . . 333 Chapitre 8 Configuration des tunnels IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Réseaux privés virtuels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Tunnels VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 IPSec et IKE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Profils crypto IPSec et IKE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Paramétrage des VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 Définitions des passerelles IKE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Paramétrage des tunnels IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Définition des profils crypto IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Définition des profils crypto IPSec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Affichage du statut du tunnel IPSec sur le pare-feu . . . . . . . . . . . . . . . . . . . 347 Exemple de configuration VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Topologie existante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Nouvelle topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Configuration de la connexion VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 Dépannage de la connectivité VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 Déploiement d'un VPN à grande échelle avec GlobalProtect. . . . . . . . . . 351 Vue d'ensemble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Déploiement d'un réseau VPN à grande échelle . . . . . . . . . . . . . . . . . . . . . . . . 352 Certificats et répondeur OCSP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Configuration de la passerelle GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . 356 Configuration du portail GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Configuration du satellite GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Protocoles de routage dynamique et VPN à grande échelle . . . . . . . . . . . . . . . 362 Sauvegarde du portail GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 8 • Palo Alto Networks Chapitre 9 Configuration de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 Authentification GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Paramétrage de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Paramétrage et activation de l'agent de GlobalProtect. . . . . . . . . . . . . . 383 Paramétrage de l'agent de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Chapitre 10 Configuration de la qualité de service. . . . . . . . . . . . . . . . . . . . . . . . . . 387 Prise en charge du pare-feu pour la QoS . . . . . . . . . . . . . . . . . . . . . . . . . 387 Configuration de la QoS pour les interfaces du pare-feu . . . . . . . . . . . . . . . . . . 388 Définition des profils de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Définition des politiques de QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Affichage des statistiques de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 Chapitre 11 Configuration d'un Pare-feu série VM . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 Configuration système requise et limitations. . . . . . . . . . . . . . . . . . . . . . . . 398 Configuration requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Licence du Pare-feu série VM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Installation du Pare-feu série VM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Chapitre 12 Paramétrage de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Paramétrage de Panorama en tant qu'appareil virtuel. . . . . . . . . . . . . . . 406 Installation de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 Configuration de l'interface réseau de Panorama . . . . . . . . . . . . . . . . . . . . . . . 407 Extension de la capacité de stockage des journaux . . . . . . . . . . . . . . . . . . . . . . 408 Ajout d'un disque virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 Paramétrage des partitions de stockage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Paramétrage de Panorama sur un appareil série M. . . . . . . . . . . . . . . . . 410 Exécution du paramétrage initial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 Connexion à Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 Modification du mot de passe par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 Configuration de la haute disponibilité (HD) . . . . . . . . . . . . . . . . . . . . . . . 411 Changement de la priorité de journalisation dans une paire HD . . . . . . . . . . . . 414 Palo Alto Networks • 9 Chapitre 13 Gestion centralisée des périphériques à l'aide de Panorama . . . . . . . . 417 Accès à l'interface Web de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Utilisation de l'interface de Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Onglet Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 Ajout de périphériques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422 Définition des groupes de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 Rôles, profils et comptes Administrateur de Panorama . . . . . . . . . . . . . . . 425 Définition des rôles Administrateur de Panorama . . . . . . . . . . . . . . . . . . . . . . . . 426 Création de comptes Panorama administratifs . . . . . . . . . . . . . . . . . . . . . . . . . . 427 Précision des domaines d'accès Panorama des administrateurs. . . . . . . . . 430 Groupes de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Utilisation de politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Utilisation d'objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 Utilisation de périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436 Opération de validation dans Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 Rétrocompatibilité de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 Modèles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 Configuration des modèles de Panorama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 Ajout d'un nouveau modèle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 Configuration d'un modèle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Contrôle prioritaire sur les paramètres du modèle. . . . . . . . . . . . . . . . . . . . 441 Suppression de modèles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 Journalisation et génération de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 Génération de rapports d'activité des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . 443 Utilisation de Panorama pour la consignation de l'ensemble . . . . . . . . . . . . . . . 443 Déploiement d'une consignation de l'ensemble distribuée . . . . . . . . . . . . . . 444 Gestion des collecteurs de journaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 Définition des groupes de collecteurs de journaux. . . . . . . . . . . . . . . . . . . . 451 Affichage des informations de déploiement du pare-feu . . . . . . . . . . . . . 456 Sauvegarde des configurations du pare-feu . . . . . . . . . . . . . . . . . . . . . . . 457 Planification de l'exportation de la configuration . . . . . . . . . . . . . . . . . . . 457 Mise à niveau du logiciel Panorama. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 Chapitre 14 Configuration de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 A propos de WildFire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 Paramétrage de WildFire sur le pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . 463 Configuration des paramètresWildFire sur le pare-feu . . . . . . . . . . . . . . . . . . 463 Configuration du transfert de WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 Journal de filtrage des données WildFire . . . . . . . . . . . . . . . . . . . . . . . . . 465 Utilisation du portail WildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 Configuration des paramètres sur le portailWildFire . . . . . . . . . . . . . . . . . . . . 467 Affichage des rapportsWildFire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 Annexe A 10 • Palo Alto Networks