入门教程︰ 1设置您的防火墙
入门教程︰ 设置您的防火墙Resolution
我打开我的防火墙,现在做什么?
在取消装箱全新帕洛阿尔托网络防火墙,或工厂复位之后,设备处于空白状态一无所有但最低配置和在工厂安装的软件映像。你从这里去哪里?我们在新入门系列中的第一篇文章将指导您完成为操作准备防火墙的第一阶段.
我们会考虑看看如何第一次连接到防火墙,如何设置许可证,所以你可以下载新的软件和内容,以及如何准备您第一次的安全策略。
你会想要配置的第一件事是管理 IP 地址,这使得它易于继续稍后设置您的新设备。
1。初始设置
这两种方法可用来连接到新设备要么管理端口或以太网到 db 9 控制台电缆上使用网络电缆。
使用管理端口时 , 必须重新配置要使用的工作站, 以便其网络接口在 192.168.1. 0/24 ip 范围内具有 ip 地址, 因为管理端口的默认 ip 将被 192.168.1.1.
使用控制台电缆时, 将终端仿真程序设置为9600baud、8数据位、1停止位、奇偶校验无、VT100. 如果使用腻子, 如果连接类型设置为 "串行", 则它应该带有适当的配置 .
后准备电缆和工作站,插头插进电源插座,看防火墙启动起来。
控制台输出启动顺序:
欢迎来到帕诺斯
启动 udev: [确定]
设置时钟 (utc): 10月14日 (星期三) 11:10: 53 PDT 2015 [确定]
设置主机名 200: [确定]
检查文件系统: 运行文件系统
检查 sysroot0: [确定] 运行文件系统检查 pancfg: [确定]
运行文件系统检查 panrepo: [确定]
[确定]
重新装入根 filesys读写模式下的 tem:
启用/等/fstab 互换: [确定]
INIT: 进入运行级别: 3
进入非交互式启动启动
网络: [确定] 启动
系统记录器: [确定]
启动内核记录器: .
.....
引导的设备后,在控制台连接显示登录提示和 SSH 或 SSL 连接,可以向 192.168.1.1。
我们会在步骤 1.1 中突出显示的控制台和 SSH。图形用户界面或 GUI 在 1.2 的一步。
1.1。控制台和 SSH 连接
默认的用户名和密码是管理员/管理员, 因此我们将继续登录以显示 CLI. 从这里,我们将开始建立适当的 IP 地址和子网设备和默认网关和 DNS 设置,所以单位可以稍后收集更新。
登录为: 管理员
使用键盘-交互式身份验证.
密码:
上次登录: 10月14日 (星期三) 11:57:16 2015 从 192.168.1.168
警告: 您的设备仍然配置了默认的管理员帐户凭据. 请在部署前更改您的密码。
admin@PA-200> 配置
输入配置模式
[编辑]
admin@PA-200 # 设置 deviceconfig 系统 ip 地址10.0.0.10 网络掩码255.255.255.0 默认网关 10.0.0.1 dns 设置服务器主 4.2.2.2
使用 "提交"命令将新设置应用于系统.
admin@PA-200 承诺...
55%..。60%75%. 99%.....。100%
成功提交配置
[编辑]
在这一点上,你会失去 SSH 和 SSL 访问到设备,如 IP 地址已更改并重新启动管理服务,通过这些变化。现在您需要重新连接到新的 IP 地址-请跳到步骤 1.3.
1.2。Web 界面初始设置
在您首次连接到 web 接口时,您的浏览器可能会显示一条错误消息。这是因为 web 接口使用的证书是自签名的证书,您的浏览器不信任。在这个时候,然后将您带到登录屏幕,你可以安全地忽略该错误消息:
使用默认的用户名和密码管理/管理员登录,然后导航到 "设备" 选项卡. 在左窗格中,选择设置,然后选择的管理,在该对话框中可以更改管理界面设置:
更改接口配置,单击确定。
接下来,选择服务选项卡和配置一个 DNS 服务器。
要完成这一步并将更改应用于该设备,请单击右上角的提交链接:
提交完成后,浏览器最终倍的 IP 地址已更改,所以您需要手动更改在地址栏中重新连接到新的 IP 地址。
1.3 整理的第一步
防火墙是现在配置正确的 IP 地址来在您的 LAN 网络工作就往前走,将电缆连接:
[*]连接到路由器的接口 1
[*]连接到交换机的接口 2
[*]管理 (管理) 接口连接到交换机
你应该能够从网络,连接到管理 IP 和你应该能够上网冲浪了。
2。准备许可证和更新系统
允许下载内容和应用程序更新或软件升级,系统需要获得许可。各种许可证控制系统的不同功能, 因此,
[*]支持许可授权系统软件和 AppID 更新
[*]ThreatPrevention许可证添加病毒、威胁和恶意软件签名
[*]url许可证允许在安全策略中使用 url 类别
如果设备尚未在支持门户上注册, 请按照下列步骤注册设备:如何注册帕洛阿尔托网络设备、备用、陷阱或 VM 系列授权码
导航到设备选项卡,从左窗格中选择许可证:
如果设备已使用上述方法注册, 并且已添加了授权代码, 请继续, 然后从许可证服务器中选择 "检索许可证密钥 ".
如果设备已注册, 但尚未添加许可证, 请选择 "使用授权代码激活功能",通过其授权代码激活许可证, 您将从帕洛阿尔托销售联系人处收到此证书.
许可证已成功添加后,许可证页面看起来与此类似:
http://www.59cto.com/undefined
现在你准备好开始更新此设备上的内容,所以导航到设备选项卡,然后从左窗格中选择动态更新。
第一次打开此页,会有不可见包供下载。系统首先需要获取可用更新的列表, 然后才能显示哪些可使用, 因此请选择 "立即检查".
该系统在检索时的可用更新列表,应用程序和威胁包将变为可用。您可能注意到防病毒程序包丢失-仅在下载并安装应用程序和威胁包后才显示.
下载包后,往前走并安装到系统。
安装应用程序和威胁包后, 现在运行另一个检查以检索防病毒程序包.
现在开始下载并安装防病毒程序包,就像你一样与应用程序和威胁包。
完成这些任务,这是设置日程安排自动下载并安装在您方便的时间的每个包的好时机。更新可以安装在生产过程中和不中断现有会话内容,所以它是安全的来应用更新在白天。然而,大多数组织选择在晚上或下班时间,尽量减少风险的过程中执行更新。
通过单击旁边的时间表时间表设置日程安排:
设置适当的时间表之后, 提交更改。
注意: treshold 设置是在推送提交并安装包之前要保存的小时数. 在持有到期的时执行另一个检查以验证包仍然可用或已用一个新更新。如果仍然可用更新服务器上的相同的包,它被安装。如果可用更新的包,它下载和阈限计时器被重置。
提交完成后,往前走,升级到更近的泛操作系统,以防该装置安装在较旧的操作系统上。
在设备选项卡,打开软件部分。第一次访问此选项卡时, 弹出窗口将不显示可用的更新信息 ,因为系统与更新服务器没有以前的联系, 也不知道哪些更新可用. 往前走并关闭此弹出菜单,然后选择立即检查。
下一部分可能会有所不同,取决于哪个版本在您的设备上当前处于活动状态。如果您的防火墙已在运行 7.1.0 或更高,你可能只需要安装最新的维护版本。如果您的防火墙当前在 6.1.x, 您将同时下载 PAN OS 7.0.1 和最新的 7.0.x. 以允许小累积更新,在火车上主要代码的第一个图像用作基本映像。任何后续更新或维护版本,是规模较小,包含主要更新。
在此实例中安装 7.0.2 但向前走和选择较新的版本,如果有的话。,一旦安装完成,重复上述步骤以走到下一个主要版本,直到达到所需的释放。
当您单击安装时,可能会显示一条警告。在消息上单击确定并继续安装。
安装完成后,重启防火墙,以激活新的泛操作系统。
在事件的设备来安装与直接前面的主版本比旧版本目前可用的最新专业释放,因此在此示例如果泛 OS 6.0 中预安装防火墙,,我们首先需要安装下一个重大6.1,然后才能升级到 7.0 版。
3。准备安全配置文件
该系统是预装在每个类别中的默认安全配置文件。
现在,你会开始配置与这些默认配置文件,除了 URL 筛选。
一旦你觉得准备 ' 踢出一个缺口 ' 请查看本教程:优化您的安全策略
导航到对象选项卡中,选择安全配置文件 > URL 筛选和添加新的 URL 过滤配置文件。
在这第一次的自定义 URL 过滤配置文件,允许行动不创建 URL 过滤日志条目开始通过设置警报,而不是允许,所有的行动。设定警报来洞察一些 web 浏览网络上的发生的动作。
为网络安全和进攻会话成为可见的适当的日志中,所有其他默认配置文件应该已经提供足够的覆盖范围。下一步,你需要准备不需要的应用程序的组。
4。应用程序
下载更新程序包后, 防火墙包含许多可用于创建安全策略的应用程序, 但这些应用程序还加载了有用的元数据来创建基于其行为的应用程序组, 称为应用程序过滤器. 而不必手动添加到组的应用程序并使列表保持最新,应用程序筛选器将自动添加新的应用程序匹配某些行为的应用程序筛选器,使安全策略,以采取适当的行动。
创建应用程序筛选器与第一政策的不良行为。转到对象选项卡,然后选择应用程序筛选器。
例如, 您将创建一个名为对等的应用程序筛选器, 其中添加了匹配子类别文件共享和技术对等的 所有应用程序。
你现在准备设置你第一次的安全策略,看看日志,但首先,让我们来快速绕道而行,看看网络配置。
5。网络配置
如果您导航到网络选项卡,并看看接口,可以看到接口 1 和 2 都设置为虚拟的线或 vwire,并将添加到默认 vwire。
Vwire 在其他类型的接口配置一些有趣的优点: 它被认为是一个凹凸-在--钢丝,要求没有接口上的 IP 地址和没有路由的配置。它简单可以插入在您的路由器和交换机,以开始传递交通。我们会覆盖其他接口类型在即将发表的文章,但是现在,让我们坚持使用 vwire 配置。
如果接口是红色的他们没有连接到活动的设备,请确保 ethernet1/1 连接到出站路由器和 ethernet1/2 连接到您的内部开关和两个接口都是绿色。
6。安全策略和日志记录
既然你已经准备好您的设备,让我们看看安全策略和设置允许好交通出去的初始配置和糟糕的交通堵塞。
初始安全政策只是允许所有出站通信,不检查。有两个主要的允许和阻止区间交通的默认规则。我们会放大这些最后的两个,在即将举行的会议上,他们不是目前有关的 vwire。
通过编辑 rule1 启动并使它 '好应用' 阻止规则:
正如他们离开的源和目标。
根据应用程序 > 选择点对点应用程序筛选器。它有助于键入要添加的应用程序或组的名称-无需滚动所有应用程序:
下行动,将操作设置为拒绝,你不喜欢点对点,并单击确定。
接下来您将创建一个安全策略允许的一切。我们建议您在 以后的 "允许" 规则中添加应用程序 ,但现在, 让我们只阻止我们知道我们不喜欢的应用程序, 让其余的, 所以你可以看到什么样的流量传递到互联网上, 并决定是否要阻止更多的应用程序在网上.
在 "源" 下, 选择 "信任" 作为与连接到 LAN 交换机的接口2关联的源区域.
在 "目标" 下, 选择不信任作为与接口1关联的区域并连接到 Internet 路由器.
现在就离开 appliactions 吧.
根据操作,您将添加安全配置文件来启用扫描的恶意内容的传出连接或应用 URL 过滤到浏览会话。
安全策略现在应该像这样。确保的互联网访问策略位于下方坏-应用程序-阻止策略,安全策略是处理顶部到底部的每一个新的连接和积极的第一个匹配适用。如果坏-应用程序-阻止策略位于下方的互联网访问规则,将允许对等应用程序。
现在走和提交这些更改,导航到监视器选项卡。当提交操作完成后时,日志开始填满有趣的流量日志、URL 日志和威胁日志,如果检测到任何感染。
页:
[1]