Como Trabalhar com Regras de PBF no Palo Alto

8 de janeiro de 2016

 

Em muitos ambientes é necessário redirecionar o trafego de rede por um caminho diferente, tomando como base critérios como a origem, protocolo ou aplicação. Por exemplo, você pode encaminhar tráfego de vídeo por um link de menor custo e tráfego do ERP corporativo por um link de alta disponibilidade.

O Palo Alto possui a funcionalidade de PBF (Policy Based Forwarding) que é capaz de cumprir tais requisitos de forma fácil e eficiente.

No primeiro momento temos que lembrar que o Palo Alto, assim como diversos dispositivos de rede, dispõe de uma tabela de roteamento. Entretanto, a PBF dentro da ordem de processamento do Palo Alto, é aplicada antes do roteamento propriamente dito.

Sendo assim caso o tráfego se encaixe nos critérios da regra, sofrerá as ações da PBF invés de ser encaminhado com base na tabela de roteamento.

As políticas de PBF funcionam da mesma forma que regras de Firewall, ou seja, First Match. A primeira regra que corresponder ao tráfego em questão será aplicada, a partir deste momento as demais regras não serão inspecionadas. Por exemplo, abaixo temos duas regras, a Regra 1 faz com que todo tráfego de arquivo dentro do Messenger seja encaminhado pelo link 1. A Regra 2 encaminha todo tráfego dos usuários do grupo Diretores pelo link 2.

Guilherme Morais_TechTip PaloAltoPBF_v3_01

Imagine que um diretor está encaminhando um arquivo pelo Messenger. Mesmo possuindo acesso privilegiado pelo link 2, devido a característica de tráfego (transferência de arquivo via Messenger) a regra 1 irá ter o primeiro “match” devido a ordem que as regras estão configuradas. Sendo assim, este trafego será encaminhado pelo link 1.

Após entender o conceito basico da PBF, vamos configurar uma regra para encaminhar todo o tráfego do grupo Telemarketing atraves do link 1.

Na GUI do PaloAlto, na aba PoliciesPolicy Based Forwarding clique em Add no canto inferior conforme ilustrado abaixo:

Guilherme Morais_TechTip PaloAltoPBF_v3_02

Na primeira tela você irá definir um nome para a regra, adicionalmente você pode definir uma descrição e uma tag. A tag é utilizada para separar as regras em categorias, por exemplo, REGRAS_INTERNET ou REGRAS_DMZ.

Guilherme Morais_TechTip PaloAltoPBF_v3_03

 

Na segunda aba intitulada Source, você irá definir a zona de origem do tráfego bem como o grupo TELEMARKETING conforme ilustrado abaixo:

Guilherme Morais_TechTip PaloAltoPBF_v3_04

 

Na aba Destination/Application/Service não precisamos alterar nada, pois a intenção é que a regra seja aplicada com base apenas no grupo de usuários que está gerando o trafego.

Na aba Forwarding configura-se o Action como Forward. Na Egrees Interface seleciona-se o link de internet que será usado como saída e no Next Hop, apesar de opcional, deve-se colocar o gateway do link correspondente.

Guilherme Morais_TechTip PaloAltoPBF_v3_05

 

Adicionalmente configura-se um monitor e marcar a opção Disable this rule if nexthop/monitor ip is unreachable. Desta forma caso o gateway fique indisponível a regra é desativada fazendo com que o tráfego seja enquadrado na próxima regra ou na tabela de roteamento.

Contudo, existem duas outras ações possíveis além da Forward:

Discard – Em certos casos desejamos descartar o trafego antes que ele seja validado pelas regras de Roteamento, Firewall e NAT. Desta forma podemos economizar processamento do equipamento. Por exemplo podemos criar uma PBF para descartar todo o tráfego de FTP.

No PBF – Quando temos diversas regras de PBF criadas, pode ser necessário criar uma regra para garantir que determinado trafego será processado pela tabela de roteamento, sem que seja influenciado acidentalmente por uma regra de PBF. Para isso utilizamos a ação No-PBF, desta forma o trafego que der “Match”com esta regra será imediatamente processado pela tabela de roteamento sem que seja feita a leitura de nenhuma outra regra PBF seguinte.

Após a criação de suas PBF deve-se clicar em Save e Commit no canto superior direito da interface para que a configuração seja aplicada.

As regras de PBF possuem grande utilidade quando temos a necessidade de encaminhar um trafego baseando-se em critérios como grupo de usuários, aplicação, protocolo ou interface.

Deve-se tomar cuidado, pois tais regras são aplicadas antes da tabela de roteamento, podendo causar redirecionamentos indesejados caso a regra seja feita sem o cuidado necessário.

Posts relacionados