Einrichtung der PA-200 für Haus-und Klein Büro

Einrichtung der PA-200 für Haus-und Klein Büro

275908
Created On 09/25/18 17:27 PM - Last Modified 06/05/23 20:28 PM


Resolution


Übersicht

Dieses Dokument bietet einen Schnellstart-Leitfaden für einen Heim-oder kleinen Büroeinsatz.

 

Ausstattung/Geräte

  • Palo Alto Networks PA-200 Gerät.
    Hinweis: andere Geräte, wie die PA-500, können auf die gleiche Weise konfiguriert werden.
  • Modem, das eine öffentliche IP durch DHCP zuweist.
  • DrahtLoser Router, der typischerweise 4 oder mehr LAN-Ports und 1 WAN-Port hat.
  • Drei geradlinige RJ-45 UTP-Kabel.
    Hinweis: CAT5e oder CAT6 wird für Gigabit Ethernet (GigE) Geschwindigkeiten empfohlen.

 

Vorgeschlagene Topologie

Untitled Diagramm (2) (1). jpg

 

Zugriff auf die WebGUI

  1. Verbinden Sie ein UTP-Kabel von Ihrem Computer mit dem MGMT-Port der Palo Alto Networks Firewall.
  2. Konfigurieren Sie den Ethernet-Port Ihres Computers, um IP 192.168.1.2 und Netzmaske 255.255.255.0 zu haben. EIN Standard-Gateway ist nicht erforderlich.
  3. Öffnen Sie einen Web-Browser und gehen Sie zu https://192.168.1.1, die Standard-Berechtigungen sind: Benutzername: admin, Passwort: admin

 

SicherheitsZonen schaffen

  1. Gehen Sie zu: Netzwerk > Zonen und klicken Sie auf HinzuFügen.
  2. 3 Zonen erstellen:
    • Untrust-L3, Typ Layer3
    • Trust-L3, Type Layer3
    • Trust-L2, Type Layer2
      BildSchirm + Schuss + 2014-10-16 + at + 3.31.59 + PM. png
      BildSchirm + Schuss + 2014-10-16 + at + 3.34.26 + PM. png
      BildSchirm + Schuss + 2014-10-16 + at + 3.35.00 + PM. png

Das Beispiel zeigt die resultierende Konfiguration:

BildschirmFoto 2014-10-16 um 3.36.18 Uhr 1. png

 

Verbinden Sie das ISP-Modem mit der Firewall

Verbinden Sie ein UTP-Kabel vom ISP-Modem mit der Palo Alto Networks Firewall, Port Ethernet1/1.

  1. Gehen Sie zu Netzwerk > SchnittStellen auf dem WebGUI und konfigurieren Sie Ethernet 1/1.
  2. Auf config
    • Konfigurieren Sie den Ethernet1/1 Interface-Typ als Layer3.
    • Setzen Sie virtuelle Router auf Standard.
    • Stellen Sie die Sicherheits Zone auf Untrust-L3.
      Screenshot 2014-10-13 um 5.18.55 Uhr. png
  3. Unter IPv4
    • Wenn der ISP ein Modem zur Verfügung stellt, von dem aus die Konfiguration automatisch bezogen werden kann, stellen Sie den Typ als DHCP-Client ein.
      Hinweis: Wenn "automatisch eine Standardroute erstellt wird, die auf das von Server mitgelieferte Standard-Gateway hinweist" aktiviert ist, wird eine Standard-Route im virtuellen Router installiert, "Default".
      Screenshot 2014-10-13 um 5.17.13 Uhr. png
    • Wenn der ISP ein Modem zur Verfügung stellt, das eine manuelle Konfiguration statischer Einträge erfordert, stellen Sie den Typ als statisch ein. Dann fügen Sie die statische IP-Adresse/Netzmaske hinzu.
      Zum Beispiel:
      Screenshot 2015-04-30 um 2.39.22 Uhr. png
      als nächstes gehen Sie zum Netzwerk > virtuelle Router > ' default ' > statische Routen > IPv4 und fügen Sie eine statische Route hinzu, die auf den nächsten Hopfen des ISP hinweist.
      Zum Beispiel:
      Screenshot 2015-04-30 um 2.40.42 Uhr. png

Hinweis: die IP-Adressen, die in den Screenshots angezeigt werden, sind nur Beispiele. Verwenden Sie IP-Adressen, die vom ISP zugewiesen werden.

 

Verbinden Sie den DrahtLosen Router

Allgemeine Empfehlungen:

  • Um eine Doppel-SNAT zu vermeiden, verwenden Sie den Don ' or-Internet-Port des WLAN-Routers nicht, wodurch er in einem DrahtLosen Access-Point-Modus verwendet wird.
  • Die DHCP-Server-Option im WLAN-Router muss deaktiviert werden. Der neue DHCP-Server wird in der "VLAN"-Schnittstelle der Firewall konfiguriert.
  • Konfigurieren Sie 192.168.1.253 als drahtlose Router-Management-IP.
  • Verbinden Sie Port 1 des drahtlosen Routers mit dem Ethernet 1/2-Port der Palo Alto Networks Firewall.

 

Ein VLAN-Objekt erstellen

  1. Gehen Sie zu Network > VLANs und klicken Sie auf HinzuFügen.
  2. Geben Sie einen Namen ein und wählen Sie ' v ' für VLAN-SchnittStelle
    Screenshot 2014-10-17 um 3.47.32 Uhr. png

 

Konfigurieren Sie die Layer2 Ports und VLAN Object

  1. Gehen Sie zum Netzwerk > Interfaces > Ethernet.
  2. Bearbeiten Sie die folgenden Einstellungen für die Schnittstellen Ethernet1/2, Ethernet1/3 und Ethernet1/4:
    • Interface Type: Layer2
    • NetFlow-Profil: keine
    • VLAN: VLAN-Objekt
    • Sicherheits Zone: Trust-L2
      Screenshot 2014-10-15 um 4.19.03 Uhr. png
      Screenshot 2015-04-30 um 4.12.18 Uhr. png
      Screenshot 2015-04-30 um 4.12.32 Uhr. png

 

Konfigurieren Sie die VLAN-SchnittStelle

Gehen Sie zu Netzwerk > Interfaces > VLAN und eDIT die folgenden Einstellungen :

Config Tab

  • VLAN: VLAN-Objekt
  • Virtueller Router: Standard
  • Sicherheits Zone: Trust-L3
    Screenshot 2014-10-15 um 4.21.25 Uhr. png

IPv4 Tab

Klicken Sie auf HinzuFügen und geben Sie IP-Adresse 192.168.1.254/24:
Screenshot 2014-10-17 um 3.51.11 Uhr. png

 

Den DHCP-Server konfigurieren

  1. Gehen Sie zum Netzwerk > DHCP > DHCP-Server.
  2. Klick Hinzufügen.
  3. Bearbeiten Sie die DHCP-Server-Einstellungen, wie gezeigt:
    • Wenn der ISP ein Modem zur Verfügung stellt, in dem die Konfiguration automatisch erreicht werden kann, dann kann der DHCP-Server die Konfiguration erben, die ursprünglich vom DHCP-Client vom ISP empfangen wurde. Wir werden dann eine Erbschafts Quelle konfigurieren, mit Einstellungen, die wir vom ISP erhalten haben, die wir an das lokale Netzwerk weitergeben wollen.
      Screenshot 2015-04-30 um 3.53.41 Uhr. png
    • Wenn der ISP ein Modem zur Verfügung stellt, das die manuelle Konfiguration statischer Einträge erfordert, geben Sie die Einstellungen für das lokale Netzwerk an.
      Hinweis: öffentliche Google-DNS-Server 8.8.8.8 und 8.8.4.4 werden hier als Beispiel verwendet. Wir empfehlen jedoch, die vom ISP zur Verfügung gestellten DNS-Server zu nutzen.
      Screenshot 2015-04-30 um 3.56.33 Uhr. png

 

Definieren Sie eine SicherheitsProfil Gruppe

  1. Gehen Sie zu Objekten > SicherheitsProfil Gruppen und klicken Sie auf HinzuFügen.
  2. Bearbeiten Sie die folgenden SicherheitsProfil Gruppeneinstellungen wie gewünscht:
    Screenshot 2014-10-15 um 4.37.27 Uhr. png
    Hinweis: diese Profile sind solche, die standardMäßig mit der Palo Alto Networks Firewall kommen und zu Demonstrationszwecken ausgewählt wurden. Wir empfehlen Ihnen, sich Zeit zu nehmen, um zu überprüfen, ob die Einstellungen für jedes der vorgestellten ausgewählten Profile für Ihr Setup geeignet sind.

 

Die Outbound-Internet-SicherheitsPolitik konfigurieren

  1. Gehen Sie zu Policies > Sicherheit und klicken Sie auf HinzuFügen.
  2. Geben Sie einen Namen und eine Beschreibung ein:
    Screenshot 2014-10-15 um 4.35.55 Uhr. png
  3. Fügen Sie die Quell Zone hinzu:
    Screenshot 2014-10-15 um 4.36.08 Uhr. png
  4. Die Zielzone HinzuFügen:
    Screenshot 2014-10-15 um 4.36.22 Uhr. png
  5. Geben Sie die Aktion an, die die ProfilEinstellung erlaubt und vervollständigt:
    Screenshot 2014-10-15 um 4.36.43 Uhr. png

 

Konfigurieren Sie Outbound Internet-NAT-Politik

  1. Gehen Sie zu Policies > NAT und klicken Sie auf HinzuFügen.
  2. Geben Sie einen Namen ein und überprüfen Sie IPv4 für NAT-Typ:
    Screenshot 2014-10-15 um 4.49.09 Uhr. png
  3. Geben Sie auf Original-Paket die Quell Zone, die Zielzone und die Ziel Schnittstelle an:
    Screenshot 2014-10-15 um 4.49.28 Uhr. png
  4. Auf übersetztes Paket, Set:
    • Übersetzungs Typ: Dynamic IP und Port
    • Adress-Typ: Interface-Adresse
    • Interface: Ethernet1/1
      Screenshot 2014-10-15 um 4.49.36 Uhr. png

 

Konfigurieren Sie die MGMT IP

Gehen Sie zum Device > Setup > Management und geben Sie folgende ManagementSchnittstellen Einstellungen an:

  • IP-Adresse
  • Netzmaske
  • Standard-Gateway
    Screenshot 2014-10-17 um 3.55.14 Uhr. png

 

DNS für MGMT einstellen

  1. Gehen Sie zum Gerät > Setup > Services.
  2. Geben Sie die DNS-Server-IPs ein. Zum Beispiel: Google DNS IP es 8.8.8.8 und 8.8.4.4.
    Hinweis: Dies sollte bereits konfiguriert worden sein, um Lizenzen auf dem Gerät zu installieren. Wenn die Lizenzen nicht auf dem Gerät installiert wurden, wird die Firewall mit diesen Einstellungen nicht in der Lage sein, den Lizenzserver zu erreichen.
    Screenshot 2014-10-17 um 3.56.54 Uhr. png

Die Änderungen begehen

Führen Sie eine Übergabe durch, um die Änderungen als laufende Konfiguration auf der Firewall aktiv zu machen. Das Internet-Modem muss möglicherweise neu gestartet werden, damit es der Firewall eine DHCP-Adresse zuweisen kann.

 

Besitzer: mivald
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFkCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language