Einrichtung der PA-200 für Haus-und Klein Büro
Resolution
Übersicht
Dieses Dokument bietet einen Schnellstart-Leitfaden für einen Heim-oder kleinen Büroeinsatz.
Ausstattung/Geräte
- Palo Alto Networks PA-200 Gerät.
Hinweis: andere Geräte, wie die PA-500, können auf die gleiche Weise konfiguriert werden. - Modem, das eine öffentliche IP durch DHCP zuweist.
- DrahtLoser Router, der typischerweise 4 oder mehr LAN-Ports und 1 WAN-Port hat.
- Drei geradlinige RJ-45 UTP-Kabel.
Hinweis: CAT5e oder CAT6 wird für Gigabit Ethernet (GigE) Geschwindigkeiten empfohlen.
Vorgeschlagene Topologie
Zugriff auf die WebGUI
- Verbinden Sie ein UTP-Kabel von Ihrem Computer mit dem MGMT-Port der Palo Alto Networks Firewall.
- Konfigurieren Sie den Ethernet-Port Ihres Computers, um IP 192.168.1.2 und Netzmaske 255.255.255.0 zu haben. EIN Standard-Gateway ist nicht erforderlich.
- Öffnen Sie einen Web-Browser und gehen Sie zu https://192.168.1.1, die Standard-Berechtigungen sind: Benutzername: admin, Passwort: admin
SicherheitsZonen schaffen
- Gehen Sie zu: Netzwerk > Zonen und klicken Sie auf HinzuFügen.
- 3 Zonen erstellen:
- Untrust-L3, Typ Layer3
- Trust-L3, Type Layer3
- Trust-L2, Type Layer2
Das Beispiel zeigt die resultierende Konfiguration:
Verbinden Sie das ISP-Modem mit der Firewall
Verbinden Sie ein UTP-Kabel vom ISP-Modem mit der Palo Alto Networks Firewall, Port Ethernet1/1.
- Gehen Sie zu Netzwerk > SchnittStellen auf dem WebGUI und konfigurieren Sie Ethernet 1/1.
- Auf config
- Konfigurieren Sie den Ethernet1/1 Interface-Typ als Layer3.
- Setzen Sie virtuelle Router auf Standard.
- Stellen Sie die Sicherheits Zone auf Untrust-L3.
- Unter IPv4
- Wenn der ISP ein Modem zur Verfügung stellt, von dem aus die Konfiguration automatisch bezogen werden kann, stellen Sie den Typ als DHCP-Client ein.
Hinweis: Wenn "automatisch eine Standardroute erstellt wird, die auf das von Server mitgelieferte Standard-Gateway hinweist" aktiviert ist, wird eine Standard-Route im virtuellen Router installiert, "Default". - Wenn der ISP ein Modem zur Verfügung stellt, das eine manuelle Konfiguration statischer Einträge erfordert, stellen Sie den Typ als statisch ein. Dann fügen Sie die statische IP-Adresse/Netzmaske hinzu.
Zum Beispiel:
als nächstes gehen Sie zum Netzwerk > virtuelle Router > ' default ' > statische Routen > IPv4 und fügen Sie eine statische Route hinzu, die auf den nächsten Hopfen des ISP hinweist.
Zum Beispiel:
- Wenn der ISP ein Modem zur Verfügung stellt, von dem aus die Konfiguration automatisch bezogen werden kann, stellen Sie den Typ als DHCP-Client ein.
Hinweis: die IP-Adressen, die in den Screenshots angezeigt werden, sind nur Beispiele. Verwenden Sie IP-Adressen, die vom ISP zugewiesen werden.
Verbinden Sie den DrahtLosen Router
Allgemeine Empfehlungen:
- Um eine Doppel-SNAT zu vermeiden, verwenden Sie den Don ' or-Internet-Port des WLAN-Routers nicht, wodurch er in einem DrahtLosen Access-Point-Modus verwendet wird.
- Die DHCP-Server-Option im WLAN-Router muss deaktiviert werden. Der neue DHCP-Server wird in der "VLAN"-Schnittstelle der Firewall konfiguriert.
- Konfigurieren Sie 192.168.1.253 als drahtlose Router-Management-IP.
- Verbinden Sie Port 1 des drahtlosen Routers mit dem Ethernet 1/2-Port der Palo Alto Networks Firewall.
Ein VLAN-Objekt erstellen
- Gehen Sie zu Network > VLANs und klicken Sie auf HinzuFügen.
- Geben Sie einen Namen ein und wählen Sie ' v ' für VLAN-SchnittStelle
Konfigurieren Sie die Layer2 Ports und VLAN Object
- Gehen Sie zum Netzwerk > Interfaces > Ethernet.
- Bearbeiten Sie die folgenden Einstellungen für die Schnittstellen Ethernet1/2, Ethernet1/3 und Ethernet1/4:
- Interface Type: Layer2
- NetFlow-Profil: keine
- VLAN: VLAN-Objekt
- Sicherheits Zone: Trust-L2
Konfigurieren Sie die VLAN-SchnittStelle
Gehen Sie zu Netzwerk > Interfaces > VLAN und eDIT die folgenden Einstellungen :
Config Tab
- VLAN: VLAN-Objekt
- Virtueller Router: Standard
- Sicherheits Zone: Trust-L3
IPv4 Tab
Klicken Sie auf HinzuFügen und geben Sie IP-Adresse 192.168.1.254/24:
Den DHCP-Server konfigurieren
- Gehen Sie zum Netzwerk > DHCP > DHCP-Server.
- Klick Hinzufügen.
- Bearbeiten Sie die DHCP-Server-Einstellungen, wie gezeigt:
- Wenn der ISP ein Modem zur Verfügung stellt, in dem die Konfiguration automatisch erreicht werden kann, dann kann der DHCP-Server die Konfiguration erben, die ursprünglich vom DHCP-Client vom ISP empfangen wurde. Wir werden dann eine Erbschafts Quelle konfigurieren, mit Einstellungen, die wir vom ISP erhalten haben, die wir an das lokale Netzwerk weitergeben wollen.
- Wenn der ISP ein Modem zur Verfügung stellt, das die manuelle Konfiguration statischer Einträge erfordert, geben Sie die Einstellungen für das lokale Netzwerk an.
Hinweis: öffentliche Google-DNS-Server 8.8.8.8 und 8.8.4.4 werden hier als Beispiel verwendet. Wir empfehlen jedoch, die vom ISP zur Verfügung gestellten DNS-Server zu nutzen.
Definieren Sie eine SicherheitsProfil Gruppe
- Gehen Sie zu Objekten > SicherheitsProfil Gruppen und klicken Sie auf HinzuFügen.
- Bearbeiten Sie die folgenden SicherheitsProfil Gruppeneinstellungen wie gewünscht:
Hinweis: diese Profile sind solche, die standardMäßig mit der Palo Alto Networks Firewall kommen und zu Demonstrationszwecken ausgewählt wurden. Wir empfehlen Ihnen, sich Zeit zu nehmen, um zu überprüfen, ob die Einstellungen für jedes der vorgestellten ausgewählten Profile für Ihr Setup geeignet sind.
Die Outbound-Internet-SicherheitsPolitik konfigurieren
- Gehen Sie zu Policies > Sicherheit und klicken Sie auf HinzuFügen.
- Geben Sie einen Namen und eine Beschreibung ein:
- Fügen Sie die Quell Zone hinzu:
- Die Zielzone HinzuFügen:
- Geben Sie die Aktion an, die die ProfilEinstellung erlaubt und vervollständigt:
Konfigurieren Sie Outbound Internet-NAT-Politik
- Gehen Sie zu Policies > NAT und klicken Sie auf HinzuFügen.
- Geben Sie einen Namen ein und überprüfen Sie IPv4 für NAT-Typ:
- Geben Sie auf Original-Paket die Quell Zone, die Zielzone und die Ziel Schnittstelle an:
- Auf übersetztes Paket, Set:
- Übersetzungs Typ: Dynamic IP und Port
- Adress-Typ: Interface-Adresse
- Interface: Ethernet1/1
Konfigurieren Sie die MGMT IP
Gehen Sie zum Device > Setup > Management und geben Sie folgende ManagementSchnittstellen Einstellungen an:
- IP-Adresse
- Netzmaske
- Standard-Gateway
DNS für MGMT einstellen
- Gehen Sie zum Gerät > Setup > Services.
- Geben Sie die DNS-Server-IPs ein. Zum Beispiel: Google DNS IP es 8.8.8.8 und 8.8.4.4.
Hinweis: Dies sollte bereits konfiguriert worden sein, um Lizenzen auf dem Gerät zu installieren. Wenn die Lizenzen nicht auf dem Gerät installiert wurden, wird die Firewall mit diesen Einstellungen nicht in der Lage sein, den Lizenzserver zu erreichen.
Die Änderungen begehen
Führen Sie eine Übergabe durch, um die Änderungen als laufende Konfiguration auf der Firewall aktiv zu machen. Das Internet-Modem muss möglicherweise neu gestartet werden, damit es der Firewall eine DHCP-Adresse zuweisen kann.
Besitzer: mivald